Beveiligingsbewerkingen voor bevoegde accounts in Microsoft Entra-id
De beveiliging van bedrijfsassets is afhankelijk van de integriteit van de bevoegde accounts waarmee de IT-systemen worden beheerd. Cyberaanvallers gebruiken aanvallen met referentiediefstal en andere middelen om zich op bevoegde accounts te richten en toegang te krijgen tot gevoelige gegevens.
Normaal gesproken is de beveiliging van de organisatie gericht op de ingangs- en afsluitpunten van een netwerk als de beveiligingsperimeter. Software as a Service-toepassingen (SaaS) en persoonlijke apparaten op internet hebben deze aanpak echter minder effectief gemaakt.
Microsoft Entra ID maakt gebruik van identiteits- en toegangsbeheer (IAM) als besturingsvlak. In de identiteitslaag van uw organisatie hebben gebruikers die zijn toegewezen aan bevoorrechte beheerdersrollen de controle. De accounts die worden gebruikt voor toegang moeten worden beveiligd, ongeacht of de omgeving on-premises, in de cloud of een hybride omgeving is.
U bent volledig verantwoordelijk voor alle beveiligingslagen voor uw on-premises IT-omgeving. Wanneer u Azure-services gebruikt, zijn preventie en respons de gezamenlijke verantwoordelijkheden van Microsoft als cloudserviceprovider en u als klant.
- Zie Gedeelde verantwoordelijkheid in de cloud voor meer informatie over het model voor gedeelde verantwoordelijkheid.
- Zie Privileged Access beveiligen voor hybride en cloudimplementaties in Microsoft Entra ID voor meer informatie over het beveiligen van toegang voor bevoegde gebruikers.
- Zie Documentatie over Privileged Identity Management voor een breed scala aan video's, instructiegidsen en inhoud van belangrijke concepten voor bevoegde identiteit.
Logboekbestanden die moeten worden bewaakt
De logboekbestanden die u gebruikt voor onderzoek en controle zijn:
Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:
Microsoft Sentinel. Maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor. Maakt geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
Azure Event Hubs geïntegreerd met een SIEM. Hiermee kunnen Microsoft Entra-logboeken worden gepusht naar andere SIEM's, zoals Splunk, ArcSight, QRadar en Sumo Logic via de integratie van Azure Event Hubs. Zie Stream Microsoft Entra-logboeken naar een Azure Event Hub voor meer informatie.
Microsoft Defender voor Cloud-apps. Hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.
Microsoft.Graph. Hiermee kunt u gegevens exporteren en Microsoft Graph gebruiken om meer analyses uit te voeren. Zie Microsoft Graph PowerShell SDK en Microsoft Entra ID Protection voor meer informatie.
Identiteitsbeveiliging. Hiermee worden drie belangrijke rapporten gegenereerd die u kunt gebruiken om u te helpen met uw onderzoek:
Riskante gebruikers. Bevat informatie over welke gebruikers risico lopen, details over detecties, geschiedenis van alle riskante aanmeldingen en risicogeschiedenis.
Riskante aanmeldingen. Bevat informatie over een aanmelding die kan duiden op verdachte omstandigheden. Zie Risico onderzoeken voor meer informatie over het onderzoeken van informatie uit dit rapport.
Risicodetectie. Bevat informatie over andere risico's die worden geactiveerd wanneer een risico wordt gedetecteerd en andere relevante informatie, zoals aanmeldingslocatie en eventuele details van Microsoft Defender voor Cloud-apps.
Workloadidentiteiten beveiligen met Identity Protection Preview. Gebruik dit om risico's op workloadidentiteiten te detecteren voor aanmeldingsgedrag en offline indicatoren van inbreuk.
Hoewel dit wordt ontmoedigd, kunnen bevoegde accounts permanente beheerrechten hebben. Als u ervoor kiest om permanente bevoegdheden te gebruiken en het account wordt gecompromitteerd, dan kan dit een sterk negatief effect hebben. Het wordt aanbevolen prioriteit te geven aan het bewaken van bevoegde accounts en de accounts op te nemen in uw PIM-configuratie (Privileged Identity Management). Zie Aan de slag met Privileged Identity Management voor meer informatie over PIM. Het wordt tevens aanbevolen om te valideren dat beheerdersaccounts:
- Zijn vereist.
- De minste bevoegdheid hebben om de vereiste activiteiten uit te voeren.
- Minimaal worden beveiligd met meervoudige verificatie.
- Worden uitgevoerd vanaf PAW-apparaten (Privileged Access Workstation) of SAW-apparaten (Secure Admin Workstation).
In de rest van dit artikel wordt beschreven waarop u wordt aangeraden te controleren en te waarschuwen. Het artikel is ingedeeld op het type bedreiging. Als er specifieke vooraf samengestelde oplossingen zijn, koppelen we deze aan de hand van de tabel. Anders kunt u waarschuwingen maken met behulp van de hierboven beschreven hulpprogramma's.
Dit artikel bevat informatie over het instellen van basislijnen, het controleren van aanmeldingen en het gebruik van bevoegde accounts. Ook worden hulpprogramma's en resources besproken die u kunt gebruiken om de integriteit van uw bevoegde accounts te behouden. De inhoud is ingedeeld in de volgende onderwerpen:
- 'Break-glass' noodaccounts
- Aanmelden met bevoegd account
- Wijzigingen in bevoegde accounts
- Bevoegde groepen
- Toewijzing en uitbreiding van bevoegdheden
Accounts voor noodtoegang
Het is belangrijk dat u voorkomt dat uw Microsoft Entra-tenant per ongeluk wordt vergrendeld. U kunt het effect van een onbedoelde vergrendeling beperken door accounts voor noodtoegang in uw organisatie te maken. Accounts voor noodtoegang worden ook wel break-glass accounts genoemd, zoals in 'breek het glas in geval van nood'-berichten die worden gevonden op fysieke beveiligingsapparatuur zoals brandalarmen.
Accounts voor noodtoegang hebben meestal zeer uitgebreide bevoegdheden en worden niet aan bepaalde personen toegewezen. Accounts voor noodtoegang zijn alleen bestemd voor echte noodsituaties waarin normale bevoegde accounts niet kunnen worden gebruikt. Een voorbeeld is wanneer een beleid voor voorwaardelijke toegang onjuist is geconfigureerd en alle normale beheerdersaccounts vergrendelt. Beperk het gebruik van noodaccounts tot alleen de momenten waarop dit absoluut noodzakelijk is.
Zie Beveiligingstoegangsprocedures voor beheerders in Microsoft Entra ID voor hulp bij wat u moet doen in noodgevallen.
Een waarschuwing met hoge prioriteit verzenden telkens wanneer een account voor noodtoegang wordt gebruikt.
Detectie
Omdat break-glass-accounts alleen worden gebruikt als er een noodgeval is, moet uw bewaking geen accountactiviteit detecteren. Verzend een waarschuwing met hoge prioriteit telkens wanneer een account voor noodtoegang wordt gebruikt of gewijzigd. Een van de volgende gebeurtenissen kan erop wijzen dat een slechte actor uw omgevingen probeert te compromitteren:
- Aanmelden.
- Wachtwoordwijziging van account.
- Accountmachtiging of rollen gewijzigd.
- Referentie- of verificatiemethode toegevoegd of gewijzigd.
Zie Beheerdersaccounts voor noodtoegang beheren in Microsoft Entra ID voor meer informatie over het beheren van accounts voor toegang tot noodgevallen. Zie Een waarschuwingsregel maken voor gedetailleerde informatie over het maken van een waarschuwing voor een noodaccount.
Aanmelden met bevoegd account
Bewaak alle aanmeldingsactiviteiten van een bevoegd account met behulp van de aanmeldingslogboeken van Microsoft Entra als de gegevensbron. Naast aanmeldings- en foutinformatie bevatten de logboeken de volgende details:
- Onderbrekingen
- Apparaat
- Location
- Risico
- Toepassing
- Datum en tijd
- Is het account uitgeschakeld
- Vergrendeling
- MFA-fraude
- Fout bij voorwaardelijke toegang
Zaken die moeten worden bewaakt
U kunt aanmeldingsgebeurtenissen voor bevoegde accounts bewaken in de aanmeldingslogboeken van Microsoft Entra. Waarschuw en onderzoek de volgende gebeurtenissen voor bevoegde accounts.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Aanmeldingsfout, drempelwaarde voor ongeldig wachtwoord | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout en foutcode = 50126 |
Definieer een drempelwaarde voor de basislijn en bewaak en pas deze aan om af te stemmen op het gedrag van uw organisatie en valse waarschuwingen die niet worden gegenereerd te beperken. Microsoft Sentinel-sjabloon Sigma-regels |
| Fout vanwege vereiste voor voorwaardelijke toegang | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout en foutcode = 53003 en Reden van fout = Geblokkeerd door voorwaardelijke toegang |
Deze gebeurtenis kan een indicatie zijn dat een aanvaller probeert in het account te komen. Microsoft Sentinel-sjabloon Sigma-regels |
| Bevoegde accounts die geen naamgevingsbeleid volgen | Azure-abonnement | Azure-roltoewijzingen vermelden met behulp van Azure Portal | Lijst met roltoewijzingen voor abonnementen en waarschuwingen waarbij de aanmeldingsnaam niet overeenkomt met de indeling van uw organisatie. Een voorbeeld is het gebruik van ADM_ als voorvoegsel. | |
| Onderbreking | Hoog, gemiddeld | Microsoft Entra-aanmeldingen | Status = Onderbroken en foutcode = 50074 en Reden van fout = Sterke verificatie vereist Status = Onderbroken en Foutcode = 500121 Reden van fout = Verificatie is mislukt tijdens een aanvraag voor sterke verificatie |
Deze gebeurtenis kan een indicatie zijn dat een aanvaller het wachtwoord voor het account heeft, maar de meervoudige verificatievraag niet kan doorstaan. Microsoft Sentinel-sjabloon Sigma-regels |
| Bevoegde accounts die geen naamgevingsbeleid volgen | Hoog | Microsoft Entra-map | Microsoft Entra-roltoewijzingen vermelden | Geef roltoewijzingen weer voor Microsoft Entra-rollen en waarschuw wanneer de UPN niet overeenkomt met de indeling van uw organisatie. Een voorbeeld is het gebruik van ADM_ als voorvoegsel. |
| Bevoegde accounts detecteren die niet zijn geregistreerd voor meervoudige verificatie | Hoog | Microsoft Graph API | Query uitvoeren op IsMFARegistered eq false voor beheerdersaccounts. List credentialUserRegistrationDetails - Microsoft Graph beta | Controleer en onderzoek om te bepalen of de gebeurtenis opzettelijk of per ongeluk is. |
| Accountvergrendeling | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout en foutcode = 50053 |
Definieer een drempelwaarde voor de basislijn en bewaak en pas deze aan om af te stemmen op het gedrag van uw organisatie en het genereren van valse waarschuwingen te beperken. Microsoft Sentinel-sjabloon Sigma-regels |
| Account is uitgeschakeld of geblokkeerd voor aanmeldingen | Laag | Aanmeldingslogboek van Microsoft Entra | Status = fout en Target = UPN van gebruiker en foutcode = 50057 |
Met deze gebeurtenis kan worden aangegeven dat iemand toegang probeert te krijgen tot een account nadat deze persoon de organisatie heeft verlaten. Hoewel het account is geblokkeerd, is het nog steeds belangrijk om deze activiteit te noteren en er een waarschuwing voor te geven. Microsoft Sentinel-sjabloon Sigma-regels |
| Waarschuwing voor MFA-fraude of blokkeren | Hoog | Aanmeldingslogboek van Microsoft Entra/Azure Log Analytics | Aanmeldingsverificatiedetails>Resultaatdetails = MFA geweigerd, fraudecode ingevoerd | Bevoegde gebruiker heeft aangegeven dat hij de prompt voor meervoudige verificatie niet heeft veroorzaakt, wat kan aangeven dat een aanvaller het wachtwoord voor het account heeft. Microsoft Sentinel-sjabloon Sigma-regels |
| Waarschuwing voor MFA-fraude of blokkeren | Hoog | Microsoft Entra-auditlogboek/Azure Log Analytics | Activiteitstype = Gerapporteerde fraude - Gebruiker wordt geblokkeerd voor MFA of gerapporteerde fraude - Geen actie ondernomen (op basis van instellingen op tenantniveau voor frauderapport) | Bevoegde gebruiker heeft aangegeven dat hij de prompt voor meervoudige verificatie niet heeft veroorzaakt, wat kan aangeven dat een aanvaller het wachtwoord voor het account heeft. Microsoft Sentinel-sjabloon Sigma-regels |
| Aanmeldingen van bevoegde accounts buiten de verwachte besturingselementen | Aanmeldingslogboek van Microsoft Entra | Status = fout UserPricipalName = <Beheer-account> Locatie = <niet-goedgekeurde locatie> IP-adres = <niet-goedgekeurde IP> Apparaatgegevens = <niet-goedgekeurde browser, besturingssysteem> |
Bewaak en waarschuw op alle vermeldingen die u hebt gedefinieerd als niet-goedgekeurd. Microsoft Sentinel-sjabloon Sigma-regels |
|
| Buiten normale aanmeldingstijden | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd en Locatie = en Tijd = Buiten kantooruren |
Bewaak en waarschuw als aanmeldingen buiten de verwachte tijden plaatsvinden. Het is belangrijk om het normale werkpatroon voor elk bevoegd account te vinden en om te waarschuwen of er niet-geplande wijzigingen buiten normale werktijden zijn. Aanmeldingen buiten normale werktijden kunnen duiden op inbreuk of mogelijke bedreigingen van insiders. Microsoft Sentinel-sjabloon Sigma-regels |
| Risico voor identiteitsbeveiliging | Hoog | Identity Protection-logboeken | Risicostatus = Risico en Risiconiveau = Laag, gemiddeld, hoog en Activiteit = Onbekende aanmelding/TOR, enzovoort |
Met deze gebeurtenis wordt aangegeven dat er een abnormaliteit is gedetecteerd met de aanmelding voor het account waarvoor moet worden gewaarschuwd. |
| Wachtwoord wijzigen | Hoog | Microsoft Entra-auditlogboeken | Activiteitsacteur = Beheer/selfservice en Doel = Gebruiker en Status = Geslaagd of mislukt |
Waarschuwing over wachtwoordwijzigingen voor beheerdersaccounts, met name voor globale beheerders, gebruikersbeheerders, abonnementsbeheerders en accounts voor toegang tot noodgevallen. Schrijf een query die is gericht op alle bevoegde accounts. Microsoft Sentinel-sjabloon Sigma-regels |
| Wijziging in verouderd verificatieprotocol | Hoog | Aanmeldingslogboek van Microsoft Entra | Client-app = Andere client, IMAP, POP3, MAPI, SMTP, enzovoort en Gebruikersnaam = UPN en Toepassing = Exchange (voorbeeld) |
Veel aanvallen maken gebruik van verouderde verificatie, dus als er een wijziging in het verificatieprotocol voor de gebruiker is, kan dit een indicatie zijn van een aanval. Microsoft Sentinel-sjabloon Sigma-regels |
| Nieuw apparaat of nieuwe locatie | Hoog | Aanmeldingslogboek van Microsoft Entra | Apparaatgegevens = Apparaat-id en Browser en Besturingssysteem en Compatibel/beheerd en Doel = Gebruiker en Location |
De meeste beheeractiviteiten moeten afkomstig zijn van bevoegde toegangsapparaten, vanaf een beperkt aantal locaties. Daarom ontvangt u een waarschuwing op nieuwe apparaten of locaties. Microsoft Sentinel-sjabloon Sigma-regels |
| Instelling voor controlewaarschuwingen is gewijzigd | Hoog | Microsoft Entra-auditlogboeken | Service = PIM en Categorie = Rolbeheer en Activiteit = PIM-waarschuwing uitschakelen en Status = Geslaagd |
U krijgt een waarschuwing bij wijzigingen in een kernwaarschuwing als dit onverwacht is. Microsoft Sentinel-sjabloon Sigma-regels |
| Beheer istrators die verifiëren bij andere Microsoft Entra-tenants | Medium | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd ResourcetenantID != Tenant-id voor thuisgebruik |
Wanneer het bereik is ingesteld op Bevoegde gebruikers, detecteert deze monitor wanneer een beheerder is geverifieerd bij een andere Microsoft Entra-tenant met een identiteit in de tenant van uw organisatie. Waarschuwing als resourcetenantID niet gelijk is aan de tenant-id van de startpagina Microsoft Sentinel-sjabloon Sigma-regels |
| Beheerderstatus is gewijzigd van Gast naar Lid | Medium | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker bijwerken Categorie: UserManagement UserType is gewijzigd van gast naar lid |
Bewaak en waarschuw bij het wijzigen van het gebruikerstype van Gast naar Lid. Was deze wijziging verwacht? Microsoft Sentinel-sjabloon Sigma-regels |
| Gastgebruikers uitgenodigd voor tenant door niet-goedgekeurde uitnodigers | Medium | Microsoft Entra-auditlogboeken | Activiteit: Externe gebruiker uitnodigen Categorie: UserManagement Gestart door (actor): User Principal Name |
Bewaak en waarschuw niet-goedgekeurde actoren die externe gebruikers uitnodigen. Microsoft Sentinel-sjabloon Sigma-regels |
Wijzigingen door bevoegde accounts
Controleer alle voltooide wijzigingen en pogingen tot wijzigingen door een bevoegd account. Met deze gegevens kunt u bepalen wat de normale activiteit is voor elk bevoegd account en een waarschuwing krijgen over activiteiten die afwijken van de verwachte activiteit. De Auditlogboeken van Microsoft Entra worden gebruikt om dit type gebeurtenis vast te leggen. Zie Auditlogboeken in Microsoft Entra-id voor meer informatie over Microsoft Entra-auditlogboeken.
Microsoft Entra Domain Services.
Bevoegde accounts waaraan machtigingen zijn toegewezen in Microsoft Entra Domain Services kunnen taken uitvoeren voor Microsoft Entra Domain Services die van invloed zijn op de beveiligingspostuur van uw door Azure gehoste virtuele machines die gebruikmaken van Microsoft Entra Domain Services. Schakel beveiligingscontroles in op virtuele machines en bewaak de logboeken. Zie de volgende bronnen voor meer informatie over het inschakelen van Microsoft Entra Domain Services-controles en een lijst met gevoelige bevoegdheden:
- Beveiligingscontroles inschakelen voor Microsoft Entra Domain Services
- Gebruik van gevoelige bevoegdheden controleren
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Pogingen tot en voltooide wijzigingen | Hoog | Microsoft Entra-auditlogboeken | Datum en tijd en Service en Categorie en naam van de activiteit (wat) en Status = Geslaagd of mislukt en Doel en Initiator of acteur (wie) |
Niet-geplande wijzigingen moeten onmiddellijk worden gemeld. Deze logboeken moeten worden bewaard om te helpen bij een mogelijk onderzoek. Wijzigingen op tenantniveau waardoor de beveiligingspostuur van uw tenant wordt verlaagd moeten onmiddellijk worden onderzocht (koppeling naar Infra-document). Een voorbeeld is het uitsluiten van accounts van meervoudige verificatie of voorwaardelijke toegang. Waarschuw bij eventuele toevoegingen of wijzigingen in toepassingen. Zie de Handleiding voor beveiligingsbewerkingen van Microsoft Entra voor toepassingen. |
| Voorbeeld Poging tot of voltooide wijziging van apps of services met hoge waarde |
Hoog | Auditlogboek | Service en Categorie en naam van de activiteit |
Datum en tijd, service, categorie en naam van de activiteit, status = geslaagd of mislukt, doel, initiator of actor (wie) |
| Bevoorrechte wijzigingen in Microsoft Entra Domain Services | Hoog | Microsoft Entra Domain Services. | Zoek gebeurtenis 4673 | Beveiligingscontroles inschakelen voor Microsoft Entra Domain Services Zie Het gebruik van gevoelige bevoegdheden controleren voor een lijst met alle bevoegde gebeurtenissen. |
Wijzigingen in bevoegde accounts
Onderzoek wijzigingen in de verificatieregels en bevoegdheden van bevoegde accounts, met name als de wijziging meer bevoegdheden biedt of de mogelijkheid om taken uit te voeren in uw Microsoft Entra-omgeving.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Account met bevoegdheden maken | Medium | Microsoft Entra-auditlogboeken | Service = Core Directory en Categorie = Gebruikersbeheer en Activiteitstype = Gebruiker toevoegen -correleren met- Categorietype = Rolbeheer en Activiteitstype = Lid toevoegen aan rol en Gewijzigde eigenschappen = Role.DisplayName |
Controleer het maken van bevoegde accounts. Zoek naar correlatie tussen het maken en verwijderen van accounts. Microsoft Sentinel-sjabloon Sigma-regels |
| Wijzigingen in verificatiemethoden | Hoog | Microsoft Entra-auditlogboeken | Service = Verificatiemethode en Activiteitstype = Door de gebruiker geregistreerde beveiligingsgegevens en Categorie = Gebruikersbeheer |
Deze wijziging kan een indicatie zijn van een aanvaller die een verificatiemethode toevoegt aan het account, zodat deze de toegang kan blijven behouden. Microsoft Sentinel-sjabloon Sigma-regels |
| Waarschuwing over wijzigingen in machtigingen voor bevoegde accounts | Hoog | Microsoft Entra-auditlogboeken | Categorie = Rolbeheer en Activiteitstype = In aanmerking komend lid toevoegen (permanent) of Activiteitstype = In aanmerking komend lid toevoegen (in aanmerking komend) en Status = Geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName |
Deze waarschuwing is met name bedoeld voor accounts waaraan rollen worden toegewezen die niet bekend zijn of zich buiten hun normale verantwoordelijkheden bevinden. Sigma-regels |
| Ongebruikte bevoegde accounts | Medium | Microsoft Entra-toegangsbeoordelingen | Voer een maandelijkse beoordeling uit voor inactieve gebruikersaccounts met bevoegdheden. Sigma-regels |
|
| Accounts die zijn vrijgesteld van voorwaardelijke toegang | Hoog | Azure Monitor-logboeken of Toegangsbeoordelingen |
Voorwaardelijke toegang = Insights en Reporting | Elk account dat is vrijgesteld van voorwaardelijke toegang, omzeilt waarschijnlijk beveiligingscontroles en is kwetsbaarder voor inbreuk. Break-glass-accounts zijn vrijgesteld. Zie informatie over het bewaken van break-glass-accounts verderop in dit artikel. |
| Toevoeging van een Tijdelijke toegangspas aan een bevoegd account | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Beheer geregistreerde beveiligingsgegevens Reden van status: Beheer geregistreerde tijdelijke toegangspasmethode voor gebruiker Categorie: UserManagement Gestart door (actor): User Principal Name Doel: User Principal Name |
Bewaak en waarschuw bij een Tijdelijke toegangspas die wordt gemaakt voor een bevoegde gebruiker. Microsoft Sentinel-sjabloon Sigma-regels |
Zie Inzichten en rapportage voor voorwaardelijke toegang voor meer informatie over het bewaken van uitzonderingen op beleid voor voorwaardelijke toegang.
Zie Een toegangsbeoordeling maken van Microsoft Entra-rollen in Privileged Identity Management voor meer informatie over het detecteren van ongebruikte bevoegde accounts.
Toewijzing en uitbreiding
Als u bevoegde accounts hebt die permanent zijn ingericht met verhoogde mogelijkheden, kunt u kwetsbaarheid voor aanvallen en risico's voor uw beveiligingsgrens verhogen. Gebruik in plaats daarvan Just-In-Time-toegang met behulp van een verhogingsprocedure. Met dit type systeem kunt u geschiktheid toewijzen voor bevoegde rollen. Beheerders verhogen hun bevoegdheden alleen voor deze rollen wanneer ze taken uitvoeren waarvoor deze bevoegdheden nodig zijn. Met behulp van een uitbreidingsproces kunt u uitbreidingen en niet-gebruik van bevoegde accounts bewaken.
Een basislijn samenstellen
Als u wilt controleren op uitzonderingen, moet u eerst een basislijn maken. Bepaal de volgende informatie voor deze elementen
Beheerdersaccounts
- Uw strategie voor bevoegde accounts
- Gebruik van on-premises accounts voor het beheren van on-premises resources
- Gebruik van cloudaccounts voor het beheren van cloudresources
- Aanpak voor het scheiden en bewaken van beheerdersmachtigingen voor on-premises- en cloudresources
Beveiliging van bevoorrechte rollen
- Beveiligingsstrategie voor rollen met beheerdersbevoegdheden
- Organisatiebeleid voor het gebruik van bevoegde accounts
- Strategie en principes voor het handhaven van permanente bevoegdheden tegenover het bieden van tijdgebonden en goedgekeurde toegang
De volgende concepten en informatie helpen bij het bepalen van beleidsregels:
- Just-In-Time-beheerdersprincipes. Gebruik de Microsoft Entra-logboeken om informatie vast te leggen voor het uitvoeren van beheertaken die gebruikelijk zijn in uw omgeving. Bepaal de gebruikelijke hoeveelheid tijd die nodig is om de taken te voltooien.
- Precies genoeg beheerdersprincipes. Bepaal de minst bevoegde rol, die mogelijk een aangepaste rol is, die nodig is voor beheertaken. Zie Rollen met minimale bevoegdheden per taak in Microsoft Entra-id voor meer informatie.
- Stel een uitbreidingsbeleid in. Nadat u inzicht hebt verkregen in het type verhoogde bevoegdheden dat nodig is en hoe lang dit voor elke taak nodig is, maakt u beleidsregels die het gebruik met verhoogde bevoegdheden voor uw omgeving weerspiegelen. Definieer bijvoorbeeld een beleid om de toegang van global Beheer istrator tot één uur te beperken.
Nadat u uw basislijn en het beleid hebt ingesteld, kunt u bewaking configureren om het gebruik buiten het beleid te detecteren en te waarschuwen.
Detectie
Let met name op wijzigingen in toewijzing en uitbreiding van bevoegdheden.
Zaken die moeten worden bewaakt
U kunt bevoegde accountwijzigingen bewaken met behulp van Microsoft Entra-auditlogboeken en Azure Monitor-logboeken. Neem de volgende wijzigingen op in uw bewakingsproces.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Toegevoegd aan in aanmerking komende bevoorrechte rol | Hoog | Microsoft Entra-auditlogboeken | Service = PIM en Categorie = Rolbeheer en Activiteitstype = Lid toevoegen aan rol voltooid (in aanmerking komend) en Status = Geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName |
Elk account dat in aanmerking komt voor een rol krijgt nu bevoegde toegang. Als de toewijzing onverwacht of in een rol zit die niet de verantwoordelijkheid van de accounthouder is, onderzoekt u dit. Microsoft Sentinel-sjabloon Sigma-regels |
| Rollen die zijn toegewezen buiten PIM | Hoog | Microsoft Entra-auditlogboeken | Service = PIM en Categorie = Rolbeheer en Activiteitstype = Lid toevoegen aan rol (permanent) en Status = Geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName |
Deze rollen moeten nauwkeurig worden bewaakt en meldingen moeten zijn ingeschakeld. Gebruikers mogen waar mogelijk geen rollen toewijzen buiten PIM. Microsoft Sentinel-sjabloon Sigma-regels |
| Hoogtetoenames | Medium | Microsoft Entra-auditlogboeken | Service = PIM en Categorie = Rolbeheer en Activiteitstype = Lid toevoegen aan voltooide rol (PIM-activering) en Status = geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName |
Nadat een bevoegd account is verhoogd, kunnen hiermee wijzigingen worden aangebracht die van invloed kunnen zijn op de beveiliging van uw tenant. Alle uitbreidingen moeten worden geregistreerd. Als deze zich buiten het standaardpatroon voor die gebruiker voordoen, moet er een waarschuwing worden uitgestuurd en moet het worden onderzocht, indien niet gepland. |
| Goedkeuringen en uitbreiding weigeren | Laag | Microsoft Entra-auditlogboeken | Service = Toegangsbeoordeling en Categorie = UserManagement en Activiteitstype = Aanvraag goedgekeurd of geweigerd en Geïnitieerde actor = UPN |
Bewaak alle uitbreidingen omdat de tijdlijn voor een aanval duidelijk kan worden aangegeven. Microsoft Sentinel-sjabloon Sigma-regels |
| Wijzigingen in PIM-instellingen | Hoog | Microsoft Entra-auditlogboeken | Service = PIM en Categorie = Rolbeheer en Activiteitstype = Rolinstelling bijwerken in PIM en Statusreden = MFA bij activering uitgeschakeld (voorbeeld) |
Een van deze acties kan de beveiliging van de PIM-uitbreiding verminderen en het voor aanvallers gemakkelijker maken om een bevoegd account te verkrijgen. Microsoft Sentinel-sjabloon Sigma-regels |
| Uitbreiding niet opgetreden op SAW/PAW | Hoog | Aanmeldingslogboeken van Microsoft Entra | Apparaat-id en Browser en Besturingssysteem en Compatibel/beheerd Correleren met: Service = PIM en Categorie = Rolbeheer en Activiteitstype = Lid toevoegen aan voltooide rol (PIM-activering) en Status = Geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName |
Als deze wijziging is geconfigureerd, moet elke poging om een niet-PAW/SAW-apparaat te verhogen onmiddellijk worden onderzocht omdat het kan aangeven dat een aanvaller het account probeert te gebruiken. Sigma-regels |
| Uitbreiding van bevoegdheden voor het beheren van alle Azure-abonnementen | Hoog | Azure Monitor | Tabblad Activiteitenlogboek Tabblad Directory-activiteit Operations Name = Wijst de beller toe aan de beheerder van gebruikerstoegang -En- Gebeurteniscategorie = Beheer istratief en Status = Geslaagd, starten, mislukken en Gebeurtenis gestart door |
Deze wijziging moet onmiddellijk worden onderzocht als deze niet is gepland. Met deze instelling kan een aanvaller toegang krijgen tot Azure-abonnementen in uw omgeving. |
Zie Toegang verhogen om alle Azure-abonnementen en beheergroepen te beheren voor meer informatie over het beheren van verhoging. Zie het Azure-activiteitenlogboek, dat deel uitmaakt van de Documentatie van Azure Monitor voor informatie over het bewaken van uitbreidingen met behulp van informatie die beschikbaar is in de Microsoft Entra-logboeken.
Volgende stappen
Raadpleeg de volgende artikelen over beveiligingsbewerkingen:
Overzicht van Microsoft Entra-beveiligingsbewerkingen
Beveiligingsbewerkingen voor gebruikersaccounts
Beveiligingsbewerkingen voor consumentenaccounts
Beveiligingsbewerkingen voor Privileged Identity Management
Beveiligingsbewerkingen voor toepassingen