Руководство по операциям безопасности Microsoft Entra

Корпорация Майкрософт имеет успешный и проверенный подход к безопасности нулевого доверия с помощью принципов защиты в глубине, которые используют удостоверение в качестве плоскости управления. Организации продолжают принимать гибридные рабочие нагрузки для масштабирования, экономии затрат и безопасности. Идентификатор Microsoft Entra играет ключевую роль в стратегии управления удостоверениями. В последнее время новости, связанные с удостоверениями и безопасностью компрометации безопасности, все чаще побудили ИТ-специалистов предприятия рассмотреть их состояние безопасности идентификации в качестве измерения успеха оборонительной безопасности.

Все чаще организации должны принимать сочетание локальных и облачных приложений, к которым пользователи обращаются как с локальными, так и облачными учетными записями. Управление пользователями, приложениями и устройствами как локально, так и в облаке представляет сложные сценарии.

Гибридное удостоверение

Идентификатор Microsoft Entra создает общее удостоверение пользователя для проверки подлинности и авторизации для всех ресурсов независимо от расположения. Мы называем это гибридное удостоверение.

Для достижения гибридного удостоверения с помощью идентификатора Microsoft Entra можно использовать один из трех методов проверки подлинности в зависимости от ваших сценариев. Три метода:

• Синхронизация хэша паролей (PHS)
• Сквозная проверка подлинности (PTA)
• Федерация (AD FS)

При аудите текущих операций безопасности или установке операций безопасности для вашей среды Azure рекомендуется:

• Ознакомьтесь с определенными частями руководства по безопасности Майкрософт, чтобы создать базовые сведения о защите облачной или гибридной среды Azure.
• Проверьте стратегию учетной записи и пароль и методы проверки подлинности, чтобы предотвратить наиболее распространенные векторы атак.
• Создайте стратегию непрерывного мониторинга и оповещения о действиях, которые могут указывать на угрозу безопасности.

Публика

Руководство По Microsoft Entra SecOps предназначено для корпоративных ит-удостоверений и групп операций безопасности и управляемых поставщиков служб, которые должны противостоять угрозам с помощью более эффективной конфигурации безопасности удостоверений и профилей мониторинга. Это руководство особенно важно для ИТ-администраторов и архитекторов удостоверений, которые советуют командам по обороне Центра безопасности (SOC) защищать и проверять проникновение, чтобы улучшить и поддерживать состояние безопасности удостоверений.

Размах

В этом руководстве приведены рекомендации по предварительному просмотру и аудиту паролей и стратегиям. В этой статье также представлен обзор средств, доступных для гибридных сред Azure и полностью облачных сред Azure. Наконец, мы предоставляем список источников данных, которые можно использовать для мониторинга и оповещения, а также настройки стратегии и управления событиями безопасности (SIEM). Остальная часть руководства содержит стратегии мониторинга и оповещения в следующих областях:

• Учетные записи пользователей. Рекомендации, относящиеся к не привилегированным учетным записям пользователей без прав администратора, включая аномальное создание и использование учетных записей, а также необычные входы.

• Привилегированные учетные записи. Руководство, относящееся к привилегированным учетным записям пользователей с повышенными разрешениями для выполнения административных задач. К задачам относятся назначения ролей Microsoft Entra, назначения ролей ресурсов Azure и управление доступом для ресурсов и подписок Azure.

• управление привилегированными пользователями (PIM). Рекомендации, относящиеся к использованию PIM для управления, контроля и мониторинга доступа к ресурсам.

• Приложения. Рекомендации, относящиеся к учетным записям, используемым для проверки подлинности для приложений.

• Устройства. Рекомендации, относящиеся к мониторингу и оповещению для устройств, зарегистрированных или присоединенных за пределами политик, несоответствующего использованию, управлению ролями администрирования устройств и входам на виртуальные машины.

• Инфраструктура. Рекомендации, относящиеся к мониторингу и предупреждению угроз для гибридных и облачных сред.

Важное справочное содержимое

Корпорация Майкрософт имеет множество продуктов и служб, которые позволяют настраивать ИТ-среду в соответствии с вашими потребностями. Рекомендуется ознакомиться со следующими рекомендациями для вашей операционной среды:

• Операционные системы Windows

  • Базовые показатели безопасности (FINAL) для Windows 10 версии 1909 и Windows Server версии 1909
  • Базовые показатели безопасности для Windows 11
  • Базовые показатели безопасности для Windows Server 2022

• Локальные среды

  • архитектура Microsoft Defender для удостоверений
  • Краткое руководство по подключению Microsoft Defender для удостоверений к Active Directory
  • Базовые показатели безопасности Azure для Microsoft Defender для удостоверений
  • Мониторинг Active Directory для признаков компрометации

• Облачные среды Azure

  • Мониторинг входов с помощью журнала входа Microsoft Entra
  • Отчеты об активности аудита в портал Azure
  • Изучение риска с помощью Защита идентификации Microsoft Entra
  • Подключение данных Защита идентификации Microsoft Entra к Microsoft Sentinel

• службы домен Active Directory (AD DS)

  • Рекомендации по политике аудита

• службы федерации Active Directory (AD FS) (AD FS)

  • Устранение неполадок AD FS — аудит событий и ведения журнала

Источники данных

Файлы журнала, используемые для исследования и мониторинга, являются следующими:

• Журналы аудита Microsoft Entra
• Журналы входа
• Журналы аудита Microsoft 365
• Журналы Azure Key Vault

В портал Azure можно просмотреть журналы аудита Microsoft Entra. Скачайте журналы в виде файлов с разделительными запятыми (CSV) или нотации объектов JavaScript (JSON). В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:

• Microsoft Sentinel — обеспечивает интеллектуальную аналитику безопасности на корпоративном уровне, предоставляя возможности управления сведениями о безопасности и событиями (SIEM).

• Правила Sigma — Sigma — это развивающийся стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. Где шаблоны Sigma существуют для рекомендуемых условий поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не записываются, тестируются и управляются корпорацией Майкрософт. Скорее, репозиторий и шаблоны создаются и собираются мировым сообществом ИТ-безопасности.

• Azure Monitor — включает автоматизированный мониторинг и оповещение различных условий. Может создавать или использовать книги для объединения данных из разных источников.

• Центры событий Azure интегрирован с SIEM. Журналы Microsoft Entra можно интегрировать с другими SIEMs, такими как Splunk, ArcSight, QRadar и Sumo Logic с помощью интеграции Центры событий Azure. Дополнительные сведения см. в журналах Microsoft Entra Stream в концентратор событий Azure.

• приложения Microsoft Defender для облака — позволяет обнаруживать и управлять приложениями, управлять приложениями и ресурсами, а также проверять соответствие облачных приложений.

• Защита удостоверений рабочей нагрузки с помощью Защита идентификации Microsoft Entra. Используется для обнаружения риска для удостоверений рабочей нагрузки в поведении входа и автономных индикаторах компрометации.

Большая часть того, что вы будете отслеживать и оповещать, являются последствиями политик условного доступа. Вы можете использовать аналитические сведения об условном доступе и книгу отчетов, чтобы проверить влияние одной или нескольких политик условного доступа на вход и результаты политик, включая состояние устройства. Эта книга позволяет просматривать сводку влияния и определять влияние за определенный период времени. Вы также можете использовать книгу для изучения входов определенного пользователя. Дополнительные сведения см. в аналитических сведениях и отчетах об условном доступе.

Оставшаяся часть этой статьи описывает, что отслеживать и оповещать. Где существуют определенные предварительно созданные решения, которые мы ссылаемся на них или предоставляем примеры, приведенные в таблице. В противном случае можно создавать оповещения с помощью предыдущих средств.

• Защита идентификаторов создает три ключевых отчета, которые можно использовать для изучения:

• Рискованные пользователи содержат сведения о том, какие пользователи подвергаются риску, сведения об обнаружении, истории всех рискованных входов и журнале рисков.

• Рискованные входы содержат сведения, связанные с обстоятельствами входа, которые могут указывать на подозрительные обстоятельства. Дополнительные сведения об изучении информации из этого отчета см. в статье "Практическое руководство. Изучение риска".

• Обнаружения рисков содержат сведения о сигналах риска, обнаруженных Защита идентификации Microsoft Entra, которые сообщают о входе и риске пользователя. Дополнительные сведения см. в руководстве по операциям безопасности Microsoft Entra для учетных записей пользователей.

Дополнительные сведения см. в разделе "Что такое Защита идентификации Microsoft Entra".

Источники данных для мониторинга контроллера домена

Для получения наилучших результатов рекомендуется отслеживать контроллеры домена с помощью Microsoft Defender для удостоверений. Этот подход обеспечивает лучшие возможности обнаружения и автоматизации. Следуйте инструкциям из этих ресурсов:

• архитектура Microsoft Defender для удостоверений
• Краткое руководство по подключению Microsoft Defender для удостоверений к Active Directory

Если вы не планируете использовать Microsoft Defender для удостоверений, отслеживайте контроллеры домена одним из следующих подходов:

• Сообщения журнала событий. Сведения о признаках компрометации см. в разделе "Мониторинг Active Directory".
• Командлеты PowerShell. См. раздел "Устранение неполадок с развертыванием контроллера домена".

Компоненты гибридной проверки подлинности

В рамках гибридной среды Azure следующие элементы должны быть базовыми и включены в стратегию мониторинга и оповещения.

• Агент PTA — агент сквозной проверки подлинности используется для включения сквозной проверки подлинности и устанавливается локально. Сведения о проверке версии и дальнейших шагах см . в агенте сквозной проверки подлинности Microsoft Entra: журнал выпусков версий агента.

• AD FS/WAP — службы федерации Active Directory (AD FS) (Azure AD FS) и прокси-сервер веб-приложения (WAP) обеспечивают безопасный общий доступ к цифровым удостоверениям и правам прав на права в пределах безопасности и корпоративных границ. Сведения о рекомендациях по обеспечению безопасности см. в рекомендациях по защите службы федерации Active Directory (AD FS).

• Microsoft Entra Connect Health Agent — агент , используемый для предоставления связи для Microsoft Entra Connect Health. Дополнительные сведения об установке агента см. в статье microsoft Entra Connect Health agent.

• Модуль синхронизации Microsoft Entra Connect — локальный компонент, также называемый подсистемой синхронизации. Дополнительные сведения о функции см. в разделе "Функции службы синхронизации Microsoft Entra Connect".

• Агент контроллера домена защиты паролем — агент контроллера домена защиты паролем Azure используется для мониторинга и создания отчетов о сообщениях журнала событий. Дополнительные сведения см. в разделе "Принудительное применение локальной защиты паролей Microsoft Entra" для служб домен Active Directory.

• DLL фильтра паролей — библиотека DLL фильтра паролей агента контроллера домена получает запросы проверки пароля пользователя из операционной системы. Фильтр перенаправит их в службу агента контроллера домена, которая выполняется локально на контроллере домена. Сведения об использовании библиотеки DLL см. в статье "Принудительное применение локальной защиты паролей Microsoft Entra Password Protection для служб домен Active Directory".

• Агент обратной записи паролей — обратная запись паролей — это функция, включенная в Microsoft Entra Connect , которая позволяет записывать изменения паролей в облаке в существующий локальный каталог в режиме реального времени. Дополнительные сведения об этой функции см. в разделе "Как работает обратная запись самостоятельного сброса пароля" в идентификаторе Microsoft Entra.

• Соединитель частной сети Microsoft Entra — упрощенные агенты, которые сидят в локальной среде и упрощают исходящее подключение к службе прокси приложения. Дополнительные сведения см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".

Компоненты облачной проверки подлинности

В рамках облачной среды Azure следующие элементы должны быть базовыми и включены в стратегию мониторинга и оповещения.

• Прокси приложения Microsoft Entra — эта облачная служба обеспечивает безопасный удаленный доступ к локальным веб-приложениям. Дополнительные сведения см. в статье "Удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra".

• Microsoft Entra Connect — службы, используемые для решения Microsoft Entra Connect . Дополнительные сведения см. в разделе "Что такое Microsoft Entra Connect".

• Microsoft Entra Connect Health — работоспособность служб предоставляет настраиваемую панель мониторинга, которая отслеживает работоспособность служб Azure в регионах, где они используются. Дополнительные сведения см. в разделе Microsoft Entra Connect Health.

• Многофакторная проверка подлинности Microsoft Entra — многофакторная проверка подлинности требует, чтобы пользователь предоставил несколько форм проверки подлинности. Этот подход может обеспечить упреждающий первый шаг для защиты среды. Дополнительные сведения см. в разделе Многофакторная проверка подлинности Microsoft Entra.

• Динамические группы — динамическая конфигурация членства в группах безопасности для администраторов Microsoft Entra может задавать правила для заполнения групп, созданных в идентификаторе Microsoft Entra на основе атрибутов пользователей. Дополнительные сведения см. в разделе "Динамические группы" и совместной работы Microsoft Entra B2B.

• Условный доступ — условный доступ — это средство, используемое идентификатором Microsoft Entra ID для объединения сигналов, принятия решений и применения политик организации. Условный доступ находится в центре нового уровня управления на основе удостоверений. Дополнительные сведения см. в разделе "Что такое условный доступ".

• Защита идентификации Microsoft Entra — средство, позволяющее организациям автоматизировать обнаружение и исправление рисков на основе удостоверений, исследовать риски с помощью данных на портале и экспортировать данные обнаружения рисков в SIEM. Дополнительные сведения см. в разделе "Что такое Защита идентификации Microsoft Entra".

• Лицензирование на основе групп. Лицензии можно назначать группам, а не напрямую пользователям. Идентификатор Microsoft Entra хранит сведения о состояниях назначения лицензий для пользователей.

• Служба подготовки . Подготовка относится к созданию удостоверений пользователей и ролей в облачных приложениях, к которым пользователям требуется доступ. Помимо создания удостоверений пользователей, автоматическая подготовка включает обслуживание и удаление удостоверений пользователей в качестве изменения состояния или ролей. Дополнительные сведения см. в статье о работе подготовки приложений в идентификаторе Microsoft Entra.

• API Graph . API Microsoft Graph — это веб-API RESTful, который позволяет получить доступ к ресурсам облачной службы Microsoft. После регистрации приложения и получения маркеров проверки подлинности для пользователя или службы можно выполнять запросы к API Microsoft Graph. Дополнительные сведения см. в разделе "Обзор Microsoft Graph".

• Доменная служба — доменные службы Microsoft Entra (AD DS) предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика. Дополнительные сведения см. в разделе "Что такое доменные службы Microsoft Entra".

• Azure Resource Manager — Azure Resource Manager — это служба развертывания и управления для Azure. Он предоставляет уровень управления, позволяющий создавать, обновлять и удалять ресурсы в учетной записи Azure. Дополнительные сведения см. в статье "Что такое Azure Resource Manager".

• Управляемое удостоверение — управляемые удостоверения устраняют необходимость управления учетными данными разработчиками. Управляемые удостоверения предоставляют удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Дополнительные сведения см. в статье "Что такое управляемые удостоверения для ресурсов Azure".

• управление привилегированными пользователями . PIM — это служба в идентификаторе Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. Дополнительные сведения см. в статье "Что такое Microsoft Entra управление привилегированными пользователями".

• Проверки доступа . Проверки доступа Microsoft Entra позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Доступ пользователей можно регулярно проверять, чтобы убедиться, что только правильные пользователи имеют постоянный доступ. Дополнительные сведения см. в разделе "Что такое проверки доступа Microsoft Entra".

• Управление правами . Управление правами Microsoft Entra — это функция управления удостоверениями . Организации могут управлять жизненным циклом идентификации и доступа в большом масштабе, автоматив рабочие процессы запросов на доступ, назначения доступа, проверки и истечение срока действия. Дополнительные сведения см. в разделе "Что такое управление правами Microsoft Entra".

• Журналы действий . Журнал действий — это журнал платформы Azure, который предоставляет аналитические сведения о событиях уровня подписки. Этот журнал включает такие сведения, как при изменении ресурса или при запуске виртуальной машины. Дополнительные сведения см . в журнале действий Azure.

• Служба самостоятельного сброса пароля . Microsoft Entra самообслуживания сброс пароля (SSPR) дает пользователям возможность изменять или сбрасывать пароль. Администратор или служба поддержки не требуются. Дополнительные сведения см. в статье о том, как это работает: самостоятельный сброс пароля Microsoft Entra.

• Службы устройств — управление удостоверениями устройств является основой для условного доступа на основе устройств. С помощью политик условного доступа на основе устройств вы можете гарантировать, что доступ к ресурсам в вашей среде возможен только с управляемыми устройствами. Дополнительные сведения см. в разделе "Что такое удостоверение устройства".

• Самостоятельное управление группами . Вы можете разрешить пользователям создавать собственные группы безопасности или группы Microsoft 365 в идентификаторе Microsoft Entra ID и управлять ими. Владелец группы может утвердить или запретить запросы на членство и может делегировать управление членством в группах. Функции самостоятельного управления группами недоступны для групп безопасности с поддержкой почты или списков рассылки. Дополнительные сведения см. в разделе "Настройка самостоятельного управления группами" в идентификаторе Microsoft Entra ID.

• Обнаружение рисков. Содержит сведения о других рисках, инициируемых при обнаружении риска, и других соответствующих сведений, таких как расположение входа и любые сведения из Microsoft Defender для облака Apps.

Дальнейшие действия

См. следующие статьи по операциям безопасности:

Операции безопасности для учетных записей пользователей

Операции безопасности для учетных записей потребителей

Операции безопасности для привилегированных учетных записей

Операции безопасности для управление привилегированными пользователями

Операции безопасности для приложений

Операции безопасности для устройств

Операции безопасности для инфраструктуры