Microsoft Entra-beveiligingsbewerkingen voor apparaten
Apparaten zijn niet vaak gericht op aanvallen op basis van identiteiten, maar kunnen worden gebruikt om te voldoen aan beveiligingscontroles en om gebruikers te imiteren. Apparaten kunnen een van de vier relaties hebben met Microsoft Entra ID:
Ongeregistreerde
Geregistreerde en gekoppelde apparaten worden een primair vernieuwingstoken (PRT) uitgegeven, dat kan worden gebruikt als een primair verificatieartefact en in sommige gevallen als een multifactor-verificatieartefact. Aanvallers proberen hun eigen apparaten te registreren, PRT's te gebruiken op legitieme apparaten om toegang te krijgen tot bedrijfsgegevens, prT-tokens te stelen van legitieme gebruikersapparaten of onjuiste configuraties te vinden in besturingselementen op basis van apparaten in Microsoft Entra ID. Met hybride apparaten van Microsoft Entra wordt het joinproces gestart en beheerd door beheerders, waardoor de beschikbare aanvalsmethoden worden verminderd.
Zie Uw integratiemethoden kiezen in het artikel Uw Microsoft Entra-apparaatimplementatie plannen voor meer informatie over methoden voor apparaatintegratie.
Om het risico te verminderen dat slechte actoren uw infrastructuur aanvallen via apparaten, bewaakt u
Apparaatregistratie en Microsoft Entra join
Niet-compatibele apparaten die toegang hebben tot toepassingen
BitLocker-sleutel ophalen
Rollen van apparaatbeheerder
Aanmeldingen bij virtuele machines
Waar te zoeken
De logboekbestanden die u gebruikt voor onderzoek en bewaking zijn:
Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:
Microsoft Sentinel : maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor : maakt geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
Azure Event Hubs - geïntegreerd met een SIEM- Microsoft Entra-logboeken kunnen worden geïntegreerd in andere SIEM's , zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.
Microsoft Defender voor Cloud-apps – hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.
Workloadidentiteiten beveiligen met Microsoft Entra ID Protection : wordt gebruikt voor het detecteren van risico's voor workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.
Veel van wat u bewaakt en waarschuwt, zijn de effecten van uw beleid voor voorwaardelijke toegang. U kunt de werkmap met inzichten voor voorwaardelijke toegang en rapportage gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleidsregels met inbegrip van de apparaatstatus te onderzoeken. Met deze werkmap kunt u een samenvatting bekijken en de effecten gedurende een specifieke periode identificeren. U kunt de werkmap ook gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken.
In de rest van dit artikel wordt beschreven wat u wordt aangeraden te controleren en te waarschuwen en wordt georganiseerd op basis van het type bedreiging. Als er specifieke vooraf gebouwde oplossingen zijn, koppelen we er een koppeling naar of bieden we voorbeelden die volgen op de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.
Apparaatregistraties en joins buiten beleid
Bij Microsoft Entra geregistreerde apparaten en aan Microsoft Entra gekoppelde apparaten beschikken over primaire vernieuwingstokens (PRT's), die hetzelfde zijn als één verificatiefactor. Deze apparaten kunnen soms sterke verificatieclaims bevatten. Zie Wanneer krijgt een PRT een MFA-claim voor meer informatie over wanneer PRT sterke verificatieclaims bevat? Als u wilt voorkomen dat slechte actoren apparaten registreren of samenvoegen, moet u meervoudige verificatie (MFA) registreren of toevoegen aan apparaten. Controleer vervolgens op apparaten die zijn geregistreerd of gekoppeld zonder MFA. U moet ook controleren op wijzigingen in MFA-instellingen en -beleidsregels en nalevingsbeleid voor apparaten.
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Apparaatregistratie of -deelname voltooid zonder MFA | Gemiddeld | Aanmeldingslogboeken | Activiteit: geslaagde verificatie voor Device Registration Service. En Geen MFA vereist |
Waarschuwing wanneer: Elk apparaat is geregistreerd of toegevoegd zonder MFA Microsoft Sentinel-sjabloon Sigma-regels |
| Wijzigingen in de wisselknop MFA voor apparaatregistratie in Microsoft Entra-id | Hoog | Auditlogboek | Activiteit: Apparaatregistratiebeleid instellen | Zoek naar: De wisselknop wordt uitgeschakeld. Er is geen vermelding in het auditlogboek. Periodieke controles plannen. Sigma-regels |
| Wijzigingen in het beleid voor voorwaardelijke toegang waarvoor domein-gekoppelde of compatibele apparaten zijn vereist. | Hoog | Auditlogboek | Wijzigingen in beleid voor voorwaardelijke toegang |
Waarschuwing wanneer: Wijzigen in beleid dat lid is van een domein of compatibel, wijzigingen in vertrouwde locaties of accounts of apparaten die zijn toegevoegd aan MFA-beleidsonderzondering. |
U kunt een waarschuwing maken waarmee de juiste beheerders worden gewaarschuwd wanneer een apparaat is geregistreerd of lid is zonder MFA met behulp van Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
U kunt Microsoft Intune ook gebruiken om nalevingsbeleid voor apparaten in te stellen en te bewaken.
Niet-compatibele apparaat-aanmelding
Het is mogelijk niet mogelijk om de toegang tot alle cloud- en software-as-a-servicetoepassingen te blokkeren met beleid voor voorwaardelijke toegang waarvoor compatibele apparaten zijn vereist.
Mobile Device Management (MDM) helpt u windows 10-apparaten compatibel te houden. Met Windows-versie 1809 hebben we een beveiligingsbasislijn van beleidsregels uitgebracht. Microsoft Entra ID kan worden geïntegreerd met MDM om naleving van apparaten af te dwingen met bedrijfsbeleid en kan de nalevingsstatus van een apparaat rapporteren.
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Aanmeldingen door niet-compatibele apparaten | Hoog | Aanmeldingslogboeken | DeviceDetail.isCompliant == false | Als u aanmelding vanaf compatibele apparaten vereist, waarschuwt u wanneer: een aanmelding door niet-compatibele apparaten of toegang zonder MFA of een vertrouwde locatie. Als u apparaten wilt vereisen, controleert u op verdachte aanmeldingen. |
| Aanmeldingen op onbekende apparaten | Laag | Aanmeldingslogboeken | DeviceDetail is leeg, verificatie met één factor of vanaf een niet-vertrouwde locatie | Zoek naar: alle toegang vanaf apparaten die niet voldoen aan de naleving, elke toegang zonder MFA of vertrouwde locatie Microsoft Sentinel-sjabloon Sigma-regels |
LogAnalytics gebruiken om query's uit te voeren
Aanmeldingen door niet-compatibele apparaten
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Aanmeldingen op onbekende apparaten
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Verouderde apparaten
Verouderde apparaten omvatten apparaten die zich gedurende een bepaalde periode niet hebben aangemeld. Apparaten kunnen verlopen wanneer een gebruiker een nieuw apparaat krijgt of een apparaat verliest, of wanneer een aan Microsoft Entra gekoppeld apparaat wordt gewist of opnieuw wordt ingericht. Apparaten blijven mogelijk ook geregistreerd of lid wanneer de gebruiker niet meer is gekoppeld aan de tenant. Verouderde apparaten moeten worden verwijderd, zodat de primaire vernieuwingstokens (PRT's) niet kunnen worden gebruikt.
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Laatste aanmeldingsdatum | Laag | Graph API | approximateLastSignInDateTime | Gebruik Graph API of PowerShell om verouderde apparaten te identificeren en te verwijderen. |
BitLocker-sleutel ophalen
Aanvallers die inbreuk hebben op het apparaat van een gebruiker kunnen de BitLocker-sleutels ophalen in Microsoft Entra-id. Het is ongebruikelijk dat gebruikers sleutels ophalen en moeten worden bewaakt en onderzocht.
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Sleutel ophalen | Gemiddeld | Auditlogboeken | OperationName == "BitLocker-sleutel lezen" | Zoek naar: sleutel ophalen, ander afwijkend gedrag door gebruikers die sleutels ophalen. Microsoft Sentinel-sjabloon Sigma-regels |
Maak in LogAnalytics een query zoals
AuditLogs
| where OperationName == "Read BitLocker key"
Rollen van apparaatbeheerder
De lokale beheerder van Microsoft Entra-apparaten en de rol Globale beheerder krijgen automatisch lokale beheerdersrechten op alle apparaten die zijn toegevoegd aan Microsoft Entra. Het is belangrijk om te controleren wie deze rechten heeft om uw omgeving veilig te houden.
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Gebruikers toegevoegd aan globale rollen of apparaatbeheerdersrollen | Hoog | Auditlogboeken | Activiteitstype = Lid toevoegen aan rol. | Zoek naar: nieuwe gebruikers die zijn toegevoegd aan deze Microsoft Entra-rollen, volgend afwijkend gedrag door computers of gebruikers. Microsoft Sentinel-sjabloon Sigma-regels |
Niet-Azure AD-aanmeldingen bij virtuele machines
Aanmeldingen bij virtuele Windows- of LINUX-machines (VM's) moeten worden gecontroleerd op aanmeldingen door andere accounts dan Microsoft Entra-accounts.
Microsoft Entra-aanmelding voor LINUX
Met Microsoft Entra-aanmelding voor LINUX kunnen organisaties zich aanmelden bij hun Azure LINUX-VM's met behulp van Microsoft Entra-accounts via SSH (Secure Shell Protocol).
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Niet-Azure AD-account aanmelden, met name via SSH | Hoog | Logboeken voor lokale verificatie | Ubuntu: controleren /var/log/auth.log voor SSH-gebruik RedHat: controleren /var/log/sssd/ voor SSH-gebruik |
Zoek naar: vermeldingen waarbij niet-Azure AD-accounts verbinding maken met VM's. Zie het volgende voorbeeld. |
Ubuntu-voorbeeld:
9 mei 23:49:39 ubuntu1804 aad_certhandler[3915]: versie: 1.0.015570001; gebruiker: localusertest01
9 mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Gebruiker 'localusertest01' is geen Microsoft Entra-gebruiker; retourneert een leeg resultaat.
9 mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Versie: 1.0.015570001; gebruiker: localusertest01
9 mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Gebruiker 'localusertest01' is geen Microsoft Entra-gebruiker; retourneert een leeg resultaat.
9 mei 23:49:43 ubuntu1804 sshd[3909]: openbaar geaccepteerd voor localusertest01 vanaf 192.168.0.15 poort 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sessie geopend voor user localusertest01 by (uid=0).
U kunt beleid instellen voor aanmeldingen voor LINUX-VM's en Linux-VM's detecteren en markeren waaraan niet-goedgekeurde lokale accounts zijn toegevoegd. Zie Voor meer informatie het gebruik van Azure Policy om standaarden te garanderen en naleving te beoordelen.
Microsoft Entra-aanmeldingen voor Windows Server
Met Microsoft Entra-aanmelding voor Windows kan uw organisatie zich aanmelden bij uw Azure Windows 2019+-VM's met behulp van Microsoft Entra-accounts via RDP (Remote Desktop Protocol).
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Niet-Azure AD-account aanmelden, met name via RDP | Hoog | Windows Server-gebeurtenislogboeken | Interactieve aanmelding bij windows-VM | Gebeurtenis 528, aanmeldingstype 10 (RemoteInteractive). Wordt weergegeven wanneer een gebruiker zich aanmeldt via Terminal Services of Extern bureaublad. |
Volgende stappen
Overzicht van Microsoft Entra-beveiligingsbewerkingen
Beveiligingsbewerkingen voor gebruikersaccounts
Beveiligingsbewerkingen voor consumentenaccounts
Beveiligingsbewerkingen voor bevoegde accounts
Beveiligingsbewerkingen voor Privileged Identity Management