handleiding voor Microsoft Entra-machtigingsbeheer waarschuwingen
Waarschuwingen zijn essentieel om problemen met machtigingen op te lossen. Met waarschuwingen kan uw organisatie proactief identiteiten en hun toegang tot resources beheren.
Gebruik Microsoft Entra-machtigingsbeheer om waarschuwingen te configureren om uw omgeving continu te bewaken voor scenario's zoals overprivilegeerde accounts en inactieve identiteiten. U kunt ook op de hoogte worden gesteld van mogelijke bedreigingen, serviceonderbrekingen en afwijkend gebruik van machtigingen.
Machtigingenbeheerwaarschuwingen gaan per e-mail naar geabonneerde gebruikers en hebben overzichtsweergaven: de geactiveerde waarschuwing, het betreffende autorisatiesysteem en het aantal identiteiten, taken en resources die betrokken zijn bij de waarschuwing. Bekijk waarschuwingen in Machtigingsbeheer voor meer gedetailleerde informatie over triggers.
Notitie
Waarschuwingen voor machtigingenbeheer zijn niet realtime; ze zijn gebaseerd op het vernieuwen van het activiteitenlogboek van het product, dus er kan een vertraging optreden tussen activiteit en waarschuwing.
Er zijn vier typen waarschuwingen die moeten worden geconfigureerd in Microsoft Entra-machtigingsbeheer:
Statistische anomaliewaarschuwingen
Statistische anomaliewaarschuwingen maken gebruik van Microsoft Entra-machtigingsbeheer mogelijkheden voor kunstmatige intelligentie (AI) en machine learning (ML). Op basis van eerdere informatie over activiteitenlogboeken classificeert machtigingenbeheer en bepaalt dit typische gedrag voor elke identiteit. U kunt kiezen uit vooraf geconfigureerde waarschuwingen voor atypische of verdachte activiteiten in uw omgeving. U kunt bijvoorbeeld een melding ontvangen wanneer een identiteit een groot aantal taken uitvoert of wanneer een identiteit taken uitvoert op een ongebruikelijk tijdstip van de dag.
Statistische anomaliewaarschuwingen zijn handig voor detectie van bedreigingen, omdat ongebruikelijke activiteiten in uw omgeving een teken kunnen zijn van een gecompromitteerd account. Gebruik deze waarschuwingen om mogelijke serviceonderbrekingen te detecteren. De zes vooraf geconfigureerde statistische anomaliewaarschuwingen zijn:
- Identiteit heeft een groot aantal taken uitgevoerd: gebruik deze waarschuwing voor detectie van bedreigingen. Identiteiten die een atypisch hoog aantal taken uitvoeren, kunnen een indicatie zijn van inbreuk.
- Identiteit uitgevoerd laag aantal taken: deze waarschuwing is handig om potentiële serviceonderbrekingen te detecteren, met name van computeraccounts. Identiteiten die een ongebruikelijk laag aantal taken uitvoeren, kunnen duiden op plotselinge storingen of problemen met machtigingen.
- Door identiteit uitgevoerde taken met meerdere ongebruikelijke patronen: gebruik deze waarschuwing voor detectie van bedreigingen. Identiteiten met verschillende ongebruikelijke taakpatronen kunnen een indicatie zijn van een gecompromitteerd account.
- Door identiteit uitgevoerde taken met ongebruikelijke resultaten: deze waarschuwing is handig om potentiële serviceonderbrekingen te detecteren. Identiteiten die taken uitvoeren met ongebruikelijke resultaten, zoals taken die mislukken, kunnen duiden op plotselinge storingen of problemen met machtigingen.
- Door identiteit uitgevoerde taken met ongebruikelijke timing: deze waarschuwing is bedoeld voor detectie van bedreigingen. Identiteiten die taken uitvoeren buiten hun gebruikelijke uren, kunnen duiden op een gecompromitteerd account of een gebruiker die toegang heeft tot resources vanaf een atypische locatie.
- Door identiteit uitgevoerde taken met ongebruikelijke typen: deze waarschuwing is bedoeld voor detectie van bedreigingen. Identiteiten die plotseling taken uitvoeren die ze meestal niet uitvoeren, kunnen duiden op een gecompromitteerd account.
Zie statistische anomaliewaarschuwingen en waarschuwingstriggers maken en weergeven voor meer informatie over deze vooraf geconfigureerde waarschuwingen.
Reageren op statistische anomaliewaarschuwingen
Een statistische anomaliewaarschuwing kan duiden op een mogelijk beveiligingsincident of serviceonderbreking. Het betekent niet noodzakelijkerwijs dat er een incident is opgetreden. Er zijn geldige gebruiksvoorbeelden die deze waarschuwingen activeren. Een werknemer op een afwezigheidsreis, in een nieuwe tijdzone, kan bijvoorbeeld een door identiteit uitgevoerde taken activeren met een waarschuwing over ongebruikelijke timing .
Over het algemeen raden we u aan om de identiteit te onderzoeken om te bepalen of er actie nodig is. Gebruik het tabblad Controle in Machtigingsbeheer of analyseer recente logboekregistratiegegevens.
Anomaliewaarschuwingen op basis van regels
Anomaliewaarschuwingen op basis van regels zijn vooraf geconfigureerd. Gebruik deze voor de melding van de initiële activiteit in uw omgeving. Maak bijvoorbeeld waarschuwingen voor initiële toegang tot resources of wanneer gebruikers taken voor de eerste keer uitvoeren.
Gebruik op regels gebaseerde anomaliewaarschuwingen voor zeer gevoelige productieautorisatiesystemen of identiteiten die u nauwkeurig wilt bewaken.
Er zijn drie vooraf geconfigureerde anomaliewaarschuwingen op basis van regels:
- Elke resource die voor het eerst wordt geopend: gebruik deze trigger om op de hoogte te worden gesteld van nieuwe actieve resources in een autorisatiesysteem. Een gebruiker maakt bijvoorbeeld zonder uw kennis een nieuw Exemplaar van Microsoft Azure Blob Storage in een abonnement. De trigger waarschuwt u wanneer de nieuwe Blob Storage voor het eerst wordt geopend.
- Identiteit voert een bepaalde taak voor de eerste keer uit: gebruik deze trigger om bereik creep of verhoogde machtigingen van uw gebruikers te detecteren. Als een gebruiker bijvoorbeeld voor het eerst verschillende taken uitvoert, kan het account worden aangetast of heeft de gebruiker onlangs een wijziging in machtigingen gehad waarmee ze nieuwe taken kunnen uitvoeren.
- Identiteit voert een taak voor de eerste keer uit: gebruik deze waarschuwingstrigger voor nieuwe actieve gebruikers in een abonnement of om verdachte inactieve accounts te detecteren. Een nieuwe gebruiker wordt bijvoorbeeld ingericht in een Azure-abonnement. Deze trigger waarschuwt u wanneer de nieuwe gebruiker de eerste taak uitvoert.
Notitie
Identiteit voert een bepaalde taak voor de eerste keer een melding uit wanneer een gebruiker voor het eerst een unieke taak uitvoert. Identiteit voert een taak uit voor de eerste keer verzendt een melding wanneer een identiteit de eerste taak binnen een opgegeven tijdsbestek uitvoert.
Zie op regels gebaseerde anomaliewaarschuwingen en waarschuwingstriggers maken en weergeven voor meer informatie.
Reageren op anomaliewaarschuwingen op basis van regels
Anomaliewaarschuwingen op basis van regels kunnen veel waarschuwingen genereren. Daarom raden we u aan deze te gebruiken voor zeer gevoelige autorisatiesystemen.
Wanneer u een anomaliewaarschuwing op basis van regels ontvangt, onderzoekt u de identiteit of resource om te bepalen of er actie nodig is. Gebruik het tabblad Controle in Machtigingsbeheer of analyseer recente logboekregistratiegegevens.
Waarschuwingen voor analyse van machtigingen
Waarschuwingen voor analyse van machtigingen zijn vooraf geconfigureerd; gebruik ze voor belangrijke bevindingen in uw omgeving. Elke waarschuwing is gekoppeld aan een categorie in het rapport Permissions Analytics. U kunt bijvoorbeeld op de hoogte worden gesteld van inactiviteit van de gebruiker of wanneer een gebruiker wordt overschreven.
Gebruik waarschuwingen voor analyse van machtigingen voor meer informatie over belangrijke bevindingen, proactief. Maak bijvoorbeeld een waarschuwing voor nieuwe, overschreven gebruikers in uw omgeving.
Waarschuwingen voor analyse van machtigingen spelen een belangrijke rol in de aanbevolen stroom Discover-Remediate-Monitor. In het volgende voorbeeld wordt de stroom gebruikt om inactieve gebruikers in uw omgeving op te schonen:
- Ontdekken: gebruik het rapport Machtigingenanalyse om inactieve gebruikers in uw omgeving te detecteren.
- Herstellen: de inactieve gebruikers handmatig opschonen of met herstelprogramma's in Microsoft Entra-machtigingsbeheer.
- Monitor: Maak een waarschuwing voor analyse van machtigingen voor nieuwe inactieve gebruikers die in uw omgeving zijn gedetecteerd, waardoor een proactieve benadering voor het opschonen van verouderde accounts mogelijk is.
In het artikel vindt u meer informatie over het maken en weergeven van een machtigingsanalysetrigger.
De volgende lijst met aanbevolen waarschuwingen voor machtigingenanalyse is voor ondersteunde cloudomgevingen. Voeg indien nodig meer waarschuwingen voor analyse van machtigingen toe. De aanbevelingen voor Microsoft Azure, Amazone Web Services (AWS) en Google Cloud Platform (GCP) weerspiegelen geen bepaalde omgeving.
Azure: Aanbevelingen voor waarschuwingen voor machtigingenanalyse
- Overprovisioned Active Users
- Overprovisioned Active System Identities
- Overprovisioned Active Serverless Functions
- Supergebruikers
- Supersysteemidentiteiten
- Super serverloze functies
- Inactieve gebruikers
- Inactieve groepen
- Niet-actieve serverloze functies
- Inactieve systeemidentiteiten
AWS: Aanbevelingen voor waarschuwingen voor machtigingenanalyse
- Overprovisioned Active Users
- Overprovisioned Active Roles
- Overprovisioned Active Resources
- Overprovisioned Active Serverless Functions
- Gebruikers met escalatie van bevoegdheden
- Rollen met escalatie van bevoegdheden
- Accounts met escalatie van bevoegdheden
- Supergebruikers
- Superrollen
- Superbronnen
- Super serverloze functies
- Inactieve gebruikers
- Inactieve rollen
- Inactieve groepen
- Inactieve resources
- Niet-actieve serverloze functies
- Gebruikers zonder MFA (optioneel, afhankelijk van het gebruik van IDP voor MFA)
GCP: Aanbevelingen voor waarschuwingen voor machtigingenanalyse
- Overprovisioned Active Users
- Overprovisioned Active Service Accounts
- Overprovisioned Active Serverless Functions
- Gebruikers met escalatie van bevoegdheden
- Serviceaccounts met escalatie van bevoegdheden
- Supergebruikers
- Superserviceaccounts
- Super serverloze functies
- Inactieve gebruikers
- Inactieve groepen
- Niet-actieve serverloze functies
- Niet-actieve serverloze accounts
Reageren op waarschuwingen voor analyse van machtigingen
Herstel varieert voor elke waarschuwing. Er zijn geldige use cases waarmee waarschuwingen voor analyse van machtigingen worden geactiveerd. Uw beheerdersaccounts of accounts voor toegang voor noodgevallen kunnen bijvoorbeeld waarschuwingen activeren voor overprovisioned actieve gebruikers. Als er geen herstel nodig is, kunt u de ck_exclude_from_pci en ck_exclude_from_reports tags toepassen op de identiteit.
- ck_exclude_from_pci verwijdert de identiteit uit de PCI-score van het autorisatiesysteem
- ck_exclude_from_reports verwijdert de identiteit uit de resultaten van het rapport Permissions Analytics
Activiteitswaarschuwingen
Activiteitenwaarschuwingen bewaken continu kritieke identiteiten en resources om u te helpen op de hoogte te blijven van activiteiten met een hoog risico in uw omgeving. Deze waarschuwingen kunnen u bijvoorbeeld waarschuwen over geopende resources in uw omgeving of uitgevoerde taken. Activiteitenwaarschuwingen kunnen worden aangepast. U kunt waarschuwingscriteria maken met de gebruiksvriendelijke, geen code-interface. Meer informatie over het maken en weergeven van activiteitswaarschuwingen en waarschuwingstriggers.
De volgende secties bevatten voorbeeldactiviteitswaarschuwingen die u kunt maken. Ze zijn ingedeeld op algemene ideeën, vervolgens scenario's voor Azure, AWS en GCP.
Ideeën voor algemene activiteitenwaarschuwingen
Pas de volgende activiteitswaarschuwingen toe in ondersteunde cloudomgevingen: Azure, AWS en GCP.
Waarschuwingstrigger voor het bewaken van accountactiviteit voor toegang tot noodgevallen
Accounts voor noodtoegang zijn bedoeld voor scenario's waarin gewone beheerdersaccounts niet kunnen worden gebruikt. Maak een waarschuwing om de activiteit van deze accounts te controleren om inbreuk en mogelijk misbruik te detecteren.
Waarschuwingstrigger voor het bewaken van activiteiten die worden uitgevoerd op kritieke resources
Voor kritieke resources in uw omgeving die u wilt bewaken, maakt u een waarschuwing om u op de hoogte te stellen van activiteiten op een specifieke resource, met name voor detectie van bedreigingen.
Ideeën voor azure-activiteitenwaarschuwingen
Waarschuwingstrigger voor het bewaken van directe roltoewijzing
Als uw organisatie een JIT-toegangsmodel (Just-In-Time) gebruikt, maakt u een waarschuwingstrigger om u op de hoogte te stellen van directe roltoewijzing in een Azure-abonnement.
Waarschuwingstrigger voor het bewaken van uitschakelen en opnieuw opstarten van virtuele machines
Gebruik activiteitswaarschuwingen om resourcetypen te bewaken en potentiële serviceonderbrekingen te detecteren. Het volgende voorbeeld is een activiteitswaarschuwing voor het uitschakelen en opnieuw opstarten van een virtuele machine (VM) in een Azure-abonnement.
Waarschuwingstrigger voor het bewaken van beheerde identiteiten
Als u bepaalde identiteits- of resourcetypen wilt bewaken, maakt u een waarschuwing voor activiteiten die worden uitgevoerd door een specifieke identiteit of resourcetype. Het volgende voorbeeld is een waarschuwing voor het bewaken van de activiteit van beheerde identiteiten in een Azure-abonnement.
Ideeën voor AWS-activiteitenwaarschuwingen
Waarschuwingstrigger voor het bewaken van activiteit per hoofdgebruiker
Als er accounts met hoge bevoegdheden zijn die u wilt bewaken, maakt u waarschuwingen voor activiteiten die door deze accounts worden uitgevoerd. Het volgende voorbeeld is een activiteitswaarschuwing voor het bewaken van de activiteit van hoofdgebruikers.
Waarschuwingstrigger om gebruikers te bewaken die zijn gemaakt door iemand die niet in de IT Beheer s-rol is
Voor taken die bepaalde personen of rollen in uw omgeving uitvoeren, maakt u waarschuwingen voor taken die door anderen worden uitgevoerd, waardoor mogelijk een slechte actor wordt aangegeven. Het volgende voorbeeld is een activiteitswaarschuwing voor gebruikers die zijn gemaakt door iemand die niet de rol IT Beheer heeft.
Waarschuwingstrigger voor het controleren van pogingen om niet-geautoriseerde objectdownloads uit een S3-bucket te controleren
Het is handig om waarschuwingen te maken voor mislukte activiteiten, voor detectie van bedreigingen en detectie van serviceonderbrekingen. De volgende voorbeeld van een activiteitswaarschuwing is voor een downloadfout in het bucketobject van Amazon Simple Storage Service (S3), wat kan duiden op een gecompromitteerd account dat toegang probeert te krijgen tot onbevoegde resources.
Waarschuwingstrigger voor het bewaken van de activiteit van autorisatiefouten voor een toegangssleutel
Als u specifieke toegangssleutels wilt bewaken, maakt u activiteitswaarschuwingen voor autorisatiefouten.
Ideeën voor GCP-activiteitenwaarschuwingen
Waarschuwingstrigger voor het bewaken van het maken van Cloud SQL-databases
Als u nieuwe resources wilt bewaken die in uw omgeving zijn gemaakt, moet u waarschuwingen instellen voor het maken van specifieke resourcetypen. Het volgende voorbeeld is een waarschuwing voor het maken van Cloud SQL Database.
Waarschuwingstrigger voor het controleren van autorisatiefouten voor serviceaccountsleutels
Als u uw servicesleutels wilt controleren op mogelijke onderbrekingen, maakt u een activiteitswaarschuwing voor autorisatiefouten, voor een serviceaccountsleutel, in een GCP-project.
Reageren op activiteitswaarschuwingen
Over het algemeen raden we u aan om de activiteit te onderzoeken wanneer u een activiteitswaarschuwing ontvangt om te bepalen of er actie nodig is. Gebruik het tabblad Controle in Machtigingsbeheer of analyseer recente logboekregistratiegegevens.
Notitie
Omdat activiteitswaarschuwingen kunnen worden aangepast, variëren reacties op basis van geïmplementeerde waarschuwingstypen voor activiteiten.
Volgende stappen
Het configureren van waarschuwingen is een belangrijk operationeel onderdeel van Microsoft Entra-machtigingsbeheer. Met deze waarschuwingen kunt u uw omgeving continu bewaken voor scenario's zoals overprivilegeerde accounts en inactieve identiteiten en u op de hoogte stellen van mogelijke bedreigingen, serviceonderbrekingen en afwijkend gebruik van machtigingen. Zie de volgende bronnen voor aanvullende richtlijnen over Microsoft Entra-machtigingsbeheer bewerkingen: