Microsoft Entra-beveiligingsbewerkingen voor apparaten
Apparaten zijn niet vaak het doelwit bij aanvallen op basis van identiteit, maar kunnen worden gebruikt om beveiligingscontroles te doorstaan en te omzeilen of om gebruikers te imiteren. Apparaten kunnen een van de vier relaties hebben met Microsoft Entra ID:
Ongeregistreerd
Aan geregistreerde en gekoppelde apparaten wordt een Primair vernieuwingstoken (PRT) uitgegeven, dat kan worden gebruikt als een artefact voor primaire verificatie en in sommige gevallen als een artefact voor meervoudige verificatie. Aanvallers proberen hun eigen apparaten te registreren, PRT's te gebruiken op legitieme apparaten om toegang te krijgen tot bedrijfsgegevens, prT-tokens te stelen van legitieme gebruikersapparaten of onjuiste configuraties te vinden in besturingselementen op basis van apparaten in Microsoft Entra ID. Met hybride apparaten van Microsoft Entra wordt het joinproces gestart en beheerd door beheerders, waardoor de beschikbare aanvalsmethoden worden verminderd.
Zie Uw integratiemethoden kiezen in het artikel Uw Microsoft Entra-apparaatimplementatie plannen voor meer informatie over methoden voor apparaatintegratie.
Om het risico te verkleinen dat kwaadwillende actoren uw infrastructuur aanvallen via apparaten, bewaakt u
Apparaatregistratie en Microsoft Entra join
Niet-compatibele apparaten die toegang hebben tot toepassingen
Ophaling van BitLocker-sleutels
Rollen van apparaatbeheerders
Aanmeldingen bij virtuele machines
Waar te zoeken
De logboekbestanden die u gebruikt voor onderzoek en controle zijn:
Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:
Microsoft Sentinel: maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor: maakt geautomatiseerde bewaking en waarschuwingen voor verschillende omstandigheden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
Azure Event Hubs - geïntegreerd met een SIEM- Microsoft Entra-logboeken kunnen worden geïntegreerd in andere SIEM's , zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.
Microsoft Defender voor Cloud-apps: hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.
Workloadidentiteiten beveiligen met Identity Protection Preview: wordt gebruikt om risico's van workloadidentiteiten bij aanmeldingsgedrag en offline indicatoren van inbreuk te detecteren.
Veel van wat u bewaakt en waarschuwt, zijn de gevolgen van uw beleid voor voorwaardelijke toegang. U kunt de inzichten en rapportagewerkmap voor voorwaardelijke toegang gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleidsregels, inclusief de apparaatstatus, te onderzoeken. Met deze werkmap kunt u een samenvatting bekijken en de effecten gedurende een specifieke periode identificeren. U kunt de werkmap ook gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken.
In de rest van dit artikel wordt beschreven waarop u wordt aangeraden te bewaken en te waarschuwen. De informatie is ingedeeld op basis van het type bedreiging. Als er specifieke vooraf gebouwde oplossingen zijn, bieden we koppelingen daarnaar of geven we voorbeelden na de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.
Apparaatregistraties en koppelingen buiten het beleid
Bij Microsoft Entra geregistreerde apparaten en aan Microsoft Entra gekoppelde apparaten beschikken over primaire vernieuwingstokens (PRT's), die hetzelfde zijn als één verificatiefactor. Deze apparaten kunnen soms sterke verificatieclaims bevatten. Zie Wanneer krijgt een PRT een MFA-claim? voor meer informatie over wanneer PRT's sterke verificatieclaims bevatten. Als u wilt voorkomen dat slechte actoren apparaten registreren of samenvoegen, moet u meervoudige verificatie (MFA) registreren of toevoegen aan apparaten. Controleer vervolgens op apparaten die zijn geregistreerd of gekoppeld zonder MFA. U moet ook controleren op wijzigingen in MFA-instellingen en -beleidsregels en nalevingsbeleid voor apparaten.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Apparaatregistratie of -koppeling voltooid zonder MFA | Medium | Aanmeldingslogboeken | Activiteit: geslaagde verificatie bij Device Registration Service. And Geen MFA vereist |
Waarschuwing wanneer: Elk apparaat is geregistreerd of toegevoegd zonder MFA Microsoft Sentinel-sjabloon Sigma-regels |
| Wijzigingen in de wisselknop MFA voor apparaatregistratie in Microsoft Entra-id | Hoog | Auditlogboek | Activiteit: Beleidsregels voor apparaatregistratie instellen | Zoek naar: De wisselknop wordt uitgeschakeld. Er is geen vermelding in het auditlogboek. Planning van periodieke controles. Sigma-regels |
| Wijzigingen in beleid voor voorwaardelijke toegang waarvoor een domein-gekoppeld of -compatibel apparaat is vereist. | Hoog | Auditlogboek | Wijzigingen in beleid voor voorwaardelijke toegang |
Waarschuwing wanneer: Wijzigen in beleid dat lid is van een domein of compatibel, wijzigingen in vertrouwde locaties of accounts of apparaten die zijn toegevoegd aan MFA-beleidsonderzondering. |
U kunt een waarschuwing maken waarmee de juiste beheerders worden gewaarschuwd wanneer een apparaat wordt geregistreerd of gekoppeld zonder MFA, met behulp van Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
U kunt ook gebruikmaken van Microsoft Intune om nalevingsbeleid voor apparaten in te stellen en te bewaken.
Niet-compatibele apparaat-aanmelding
Het is wellicht niet mogelijk om de toegang tot alle cloud- en Software as a Service-toepassingen te blokkeren met beleid voor voorwaardelijke toegang waarvoor compatibele apparaten zijn vereist.
Met Mobile Device Management (MDM) kunt u Windows 10-apparaten compatibel houden. Met Windows versie 1809 hebben we een beveiligingsbasislijn van beleid uitgebracht. Microsoft Entra ID kan worden geïntegreerd met MDM om naleving van apparaten af te dwingen met bedrijfsbeleid en kan de nalevingsstatus van een apparaat rapporteren.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Aanmeldingen door niet-compatibele apparaten | Hoog | Aanmeldingslogboeken | DeviceDetail.isCompliant == false | Als u aanmelding vanaf compatibele apparaten vereist, waarschuwt u wanneer: een aanmelding door niet-compatibele apparaten of toegang zonder MFA of een vertrouwde locatie. Als u apparaten wilt vereisen, controleert u op verdachte aanmeldingen. |
| Aanmeldingen door onbekende apparaten | Laag | Aanmeldingslogboeken | DeviceDetail is leeg, verificatie met één factor of vanaf een niet-vertrouwde locatie | Zoek naar: alle toegang vanaf apparaten die niet voldoen aan de naleving, elke toegang zonder MFA of vertrouwde locatie Microsoft Sentinel-sjabloon Sigma-regels |
LogAnalytics gebruiken om query's uit te voeren
Aanmeldingen door niet-compatibele apparaten
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Aanmeldingen door onbekende apparaten
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Verlopen apparaten
Verlopen apparaten omvatten apparaten die niet zijn aangemeld gedurende een opgegeven periode. Apparaten kunnen verlopen wanneer een gebruiker een nieuw apparaat krijgt of een apparaat verliest, of wanneer een aan Microsoft Entra gekoppeld apparaat wordt gewist of opnieuw wordt ingericht. Apparaten blijven mogelijk ook geregistreerd of lid wanneer de gebruiker niet meer is gekoppeld aan de tenant. Verouderde apparaten moeten worden verwijderd, zodat de primaire vernieuwingstokens (PRT's) niet kunnen worden gebruikt.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Laatste aanmeldingsdatum | Laag | Graph API | approximateLastSignInDateTime | Gebruik de Graph-API of PowerShell om verlopen apparaten te identificeren en te verwijderen. |
Ophaling van BitLocker-sleutels
Aanvallers die inbreuk hebben op het apparaat van een gebruiker kunnen de BitLocker-sleutels ophalen in Microsoft Entra-id. Het is ongebruikelijk dat gebruikers sleutels ophalen, dus dit moet worden bewaakt en onderzocht.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Ophaling van sleutels | Medium | Auditlogboeken | OperationName == "BitLocker-sleutel lezen" | Zoek naar: sleutel ophalen, ander afwijkend gedrag door gebruikers die sleutels ophalen. Microsoft Sentinel-sjabloon Sigma-regels |
Maak in LogAnalytics een query zoals
AuditLogs
| where OperationName == "Read BitLocker key"
Rollen van apparaatbeheerders
Globale beheerders en Beheer beheerders in de cloud krijgen automatisch lokale beheerdersrechten op alle aan Microsoft Entra gekoppelde apparaten. Het is belangrijk om te controleren wie deze rechten heeft om uw omgeving veilig te houden.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Gebruikers toegevoegd aan globale rollen of apparaatbeheerdersrollen | Hoog | Auditlogboeken | Activiteitstype = Lid toevoegen aan rol. | Zoek naar: nieuwe gebruikers die zijn toegevoegd aan deze Microsoft Entra-rollen, volgend afwijkend gedrag door computers of gebruikers. Microsoft Sentinel-sjabloon Sigma-regels |
Niet-Azure AD-aanmeldingen bij virtuele machines
Aanmeldingen bij virtuele Windows- of LINUX-machines (VM's) moeten worden gecontroleerd op aanmeldingen door andere accounts dan Microsoft Entra-accounts.
Microsoft Entra-aanmelding voor LINUX
Met Microsoft Entra-aanmelding voor LINUX kunnen organisaties zich aanmelden bij hun Azure LINUX-VM's met behulp van Microsoft Entra-accounts via SSH (Secure Shell Protocol).
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Niet-Azure AD-account dat zich aanmeldt, met name via SSH | Hoog | Lokale verificatielogboeken | Ubuntu: controleren /var/log/auth.log voor SSH-gebruik Redhat: controleer /var/log/sssd/ op SSH-gebruik |
Zoek naar: vermeldingen waarbij niet-Azure AD-accounts verbinding maken met VM's. Zie het volgende voorbeeld. |
Ubuntu-voorbeeld:
9 mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Versie: 1.0.015570001; gebruiker: localusertest01
9 mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Gebruiker 'localusertest01' is geen Microsoft Entra-gebruiker; retourneert een leeg resultaat.
9 mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Versie: 1.0.015570001; gebruiker: localusertest01
9 mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Gebruiker 'localusertest01' is geen Microsoft Entra-gebruiker; retourneert een leeg resultaat.
9 mei 23:49:43 ubuntu1804 sshd[3909]: Openbaar geaccepteerd voor localusertest01 vanaf 192.168.0.15 poort 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9 mei 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sessie geopend voor gebruiker localusertest01 door (uid=0).
U kunt beleid instellen voor aanmeldingen voor LINUX-VM's, en Linux-VM's detecteren en markeren waarvoor niet-goedgekeurde lokale accounts zijn toegevoegd. Zie het Azure-beleid gebruiken om standaarden te garanderen en naleving te beoordelen voor meer informatie.
Microsoft Entra-aanmeldingen voor Windows Server
Met Microsoft Entra-aanmelding voor Windows kan uw organisatie zich aanmelden bij uw Azure Windows 2019+-VM's met behulp van Microsoft Entra-accounts via RDP (Remote Desktop Protocol).
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Niet-Azure AD-account aanmelden, met name via RDP | Hoog | Windows Server-gebeurtenislogboeken | Interactieve aanmelding bij Windows-VM | Gebeurtenis 528, aanmeldingstype 10 (RemoteInteractive). Wordt weergegeven wanneer een gebruiker zich aanmeldt via Terminal Services of Remote Desktop. |
Volgende stappen
Overzicht van Microsoft Entra-beveiligingsbewerkingen
Beveiligingsbewerkingen voor gebruikersaccounts
Beveiligingsbewerkingen voor consumentenaccounts
Beveiligingsbewerkingen voor bevoegde accounts
Beveiligingsbewerkingen voor Privileged Identity Management