Handleiding voor microsoft Entra-beveiligingsbewerkingen

Microsoft heeft een succesvolle en bewezen benadering van Zero Trust-beveiliging met behulp van diepgaande verdedigingsprincipes die identiteit als besturingsvlak gebruiken. Organisaties blijven een hybride workloadwereld omarmen voor schaal, kostenbesparingen en beveiliging. Microsoft Entra ID speelt een belangrijke rol in uw strategie voor identiteitsbeheer. Onlangs heeft nieuws over identiteits- en beveiligingsinbreuken de IT-onderneming steeds meer gevraagd om hun identiteitsbeveiligingspostuur te beschouwen als een meting van het succes van defensieve beveiliging.

Organisaties moeten in toenemende mate een combinatie van on-premises en cloudtoepassingen omarmen, waartoe gebruikers toegang hebben met zowel on-premises als cloudaccounts. Het beheren van gebruikers, toepassingen en apparaten zowel on-premises als in de cloud vormt uitdagende scenario's.

Hybride identiteit

Microsoft Entra ID maakt een algemene gebruikersidentiteit voor verificatie en autorisatie voor alle resources, ongeacht de locatie. We noemen deze hybride identiteit.

Voor het bereiken van een hybride identiteit met Microsoft Entra ID kan een van de drie verificatiemethoden worden gebruikt, afhankelijk van uw scenario's. De drie methoden zijn:

• Wachtwoord-hashsynchronisatie (PHS)
• Passthrough-verificatie (PTA)
• Federatie (AD FS)

Wanneer u uw huidige beveiligingsbewerkingen controleert of beveiligingsbewerkingen voor uw Azure-omgeving tot stand brengt, raden we u aan:

• Lees specifieke gedeelten van de Beveiligingsrichtlijnen van Microsoft om een basislijn voor kennis op te stellen over het beveiligen van uw cloud- of hybride Azure-omgeving.
• Controleer uw account- en wachtwoordstrategie en verificatiemethoden om de meest voorkomende aanvalsvectoren te helpen ontmoedigen.
• Maak een strategie voor continue bewaking en waarschuwingen voor activiteiten die kunnen duiden op een beveiligingsrisico.

Audiëntie

De Microsoft Entra SecOps-handleiding is bedoeld voor it-teams en beveiligingsactiviteiten voor ondernemingen en beheerde serviceproviders die bedreigingen moeten tegenhouden via betere configuratie- en bewakingsprofielen voor identiteitsbeveiliging. Deze handleiding is met name relevant voor IT-beheerders en identiteitsarchitecten die de verdedigings- en penetratietests van Security Operations Center (SOC) adviseren om hun identiteitsbeveiligingspostuur te verbeteren en te behouden.

Draagwijdte

Deze inleiding bevat de voorgestelde aanbevelingen voor voorlezen en wachtwoordcontrole en strategie. Dit artikel bevat ook een overzicht van de hulpprogramma's die beschikbaar zijn voor hybride Azure-omgevingen en volledig cloudgebaseerde Azure-omgevingen. Ten slotte bieden we een lijst met gegevensbronnen die u kunt gebruiken voor het bewaken en waarschuwen en configureren van uw SIEM-strategie en -omgeving (Security Information and Event Management). De rest van de richtlijnen bevat strategieën voor bewaking en waarschuwingen op de volgende gebieden:

• Gebruikersaccounts. Richtlijnen die specifiek zijn voor niet-bevoegde gebruikersaccounts zonder beheerdersbevoegdheden, waaronder afwijkend account maken en gebruiken, en ongebruikelijke aanmeldingen.

• Bevoegde accounts. Richtlijnen die specifiek zijn voor bevoegde gebruikersaccounts met verhoogde machtigingen voor het uitvoeren van beheertaken. Taken omvatten Microsoft Entra-roltoewijzingen, Azure-resourceroltoewijzingen en toegangsbeheer voor Azure-resources en -abonnementen.

• Privileged Identity Management (PIM). Richtlijnen die specifiek zijn voor het gebruik van PIM voor het beheren, beheren en bewaken van de toegang tot resources.

• Toepassingen. Richtlijnen die specifiek zijn voor accounts die worden gebruikt voor verificatie voor toepassingen.

• Apparaten. Richtlijnen die specifiek zijn voor het bewaken en waarschuwen van apparaten die zijn geregistreerd of gekoppeld buiten beleid, niet-compatibel gebruik, het beheren van apparaatbeheerrollen en aanmeldingen bij virtuele machines.

• Infrastructuur. Richtlijnen die specifiek zijn voor het bewaken en waarschuwen van bedreigingen voor uw hybride en uitsluitend cloudomgevingen.

Belangrijke referentie-inhoud

Microsoft heeft veel producten en services waarmee u uw IT-omgeving kunt aanpassen aan uw behoeften. We raden u aan de volgende richtlijnen voor uw bedrijfsomgeving te bekijken:

• Windows-besturingssystemen

  • Beveiligingsbasislijn (FINAL) voor Windows 10 v1909 en Windows Server v1909
  • Beveiligingsbasislijn voor Windows 11
  • Beveiligingsbasislijn voor Windows Server 2022

• On-premises omgevingen

  • Architectuur van Microsoft Defender for Identity
  • Snelstart: Microsoft Defender for Identity verbinden met Active Directory
  • Azure-beveiligingsbasislijn voor Microsoft Defender for Identity
  • Active Directory controleren op tekenen van inbreuk

• Azure-omgevingen in de cloud

  • Aanmeldingen bewaken met het aanmeldingslogboek van Microsoft Entra
  • Activiteitenrapporten controleren in Azure Portal
  • Risico's onderzoeken met Microsoft Entra ID Protection
  • Microsoft Entra ID Protection-gegevens verbinden met Microsoft Sentinel

• Active Directory-domein Services (AD DS)

  • Aanbevelingen voor controlebeleid

• Active Directory Federation Services (AD FS)

  • Problemen met AD FS oplossen - Controlegebeurtenissen en logboekregistratie

Gegevensbronnen

De logboekbestanden die u gebruikt voor onderzoek en bewaking zijn:

• Microsoft Entra-auditlogboeken
• Aanmeldingslogboeken
• Microsoft 365-auditlogboeken
• Azure Key Vault-logboeken

Vanuit Azure Portal kunt u de Auditlogboeken van Microsoft Entra bekijken. Download logboeken als bestanden met door komma's gescheiden waarden (CSV) of JavaScript Object Notation (JSON). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:

• Microsoft Sentinel : maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.

• Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.

• Azure Monitor : maakt geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.

• Azure Event Hubs geïntegreerd met een SIEM. Microsoft Entra-logboeken kunnen worden geïntegreerd met andere SIEM's, zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs. Zie Stream Microsoft Entra-logboeken naar een Azure Event Hub voor meer informatie.

• Microsoft Defender voor Cloud-apps - Hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.

• Workloadidentiteiten beveiligen met Microsoft Entra ID Protection : wordt gebruikt voor het detecteren van risico's voor workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.

Veel van wat u bewaakt en waarschuwt, zijn de effecten van uw beleid voor voorwaardelijke toegang. U kunt de werkmap voor inzichten voor voorwaardelijke toegang en rapportage gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleid, inclusief de apparaatstatus, te onderzoeken. Met deze werkmap kunt u een impactoverzicht bekijken en de impact gedurende een bepaalde periode identificeren. U kunt de werkmap ook gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken. Zie inzichten en rapportage voor voorwaardelijke toegang voor meer informatie.

In de rest van dit artikel wordt beschreven waarop u moet controleren en waarschuwen. Als er specifieke vooraf gebouwde oplossingen zijn, koppelen we er een koppeling naar of bieden we voorbeelden die volgen op de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.

• Id Protection genereert drie belangrijke rapporten die u kunt gebruiken om u te helpen met uw onderzoek:

• Riskante gebruikers bevatten informatie over welke gebruikers risico lopen, details over detecties, geschiedenis van alle riskante aanmeldingen en risicogeschiedenis.

• Riskante aanmeldingen bevatten informatie over de omstandigheid van een aanmelding die kan duiden op verdachte omstandigheden. Zie Procedure: Risico onderzoeken voor meer informatie over het onderzoeken van informatie uit dit rapport.

• Risicodetecties bevatten informatie over risicosignalen die zijn gedetecteerd door Microsoft Entra ID Protection die aanmeldings- en gebruikersrisico's informeert. Zie de Handleiding voor beveiligingsbewerkingen van Microsoft Entra voor gebruikersaccounts voor meer informatie.

Zie Wat is Microsoft Entra ID Protection voor meer informatie.

Gegevensbronnen voor bewaking van domeincontrollers

Voor de beste resultaten raden we u aan uw domeincontrollers te bewaken met Behulp van Microsoft Defender for Identity. Deze aanpak maakt de beste detectie- en automatiseringsmogelijkheden mogelijk. Volg de richtlijnen van deze resources:

• Architectuur van Microsoft Defender for Identity
• Snelstart: Microsoft Defender for Identity verbinden met Active Directory

Als u niet van plan bent Om Microsoft Defender for Identity te gebruiken, controleert u uw domeincontrollers op een van de volgende manieren:

• Gebeurtenislogboekberichten. Zie Active Directory controleren op tekenen van inbreuk.
• PowerShell-cmdlets. Zie Problemen met domeincontrollerimplementatie oplossen.

Onderdelen van hybride verificatie

Als onderdeel van een hybride Azure-omgeving moeten de volgende items worden gebasislijnd en opgenomen in uw bewakings- en waarschuwingsstrategie.

• PTA-agent : de passthrough-verificatieagent wordt gebruikt om passthrough-verificatie in te schakelen en wordt on-premises geïnstalleerd. Zie de passthrough-verificatieagent van Microsoft Entra: Versiereleasegeschiedenis voor informatie over het verifiëren van uw agentversie en de volgende stappen.

• AD FS/WAP - Active Directory Federation Services (Azure AD FS) en Web toepassingsproxy (WAP) maken het veilig delen van digitale identiteiten en rechtenrechten mogelijk binnen uw beveiligings- en bedrijfsgrenzen. Zie Best practices voor het beveiligen van Active Directory Federation Services voor informatie over aanbevolen beveiligingsprocedures.

• Microsoft Entra Connect Health Agent : de agent die wordt gebruikt om een communicatiekoppeling te bieden voor Microsoft Entra Connect Health. Zie De installatie van de Microsoft Entra Connect Health-agent voor meer informatie over het installeren van de agent.

• Microsoft Entra Connect Sync Engine : het on-premises onderdeel, ook wel de synchronisatie-engine genoemd. Zie de functies van de Microsoft Entra Connect Sync-service voor meer informatie over de functie.

• Dc-agent voor wachtwoordbeveiliging- Azure-wachtwoordbeveiliging DC-agent wordt gebruikt om te helpen bij het bewaken en rapporteren van gebeurtenislogboekberichten. Zie On-premises Microsoft Entra-wachtwoordbeveiliging afdwingen voor Active Directory-domein Services voor meer informatie.

• DLL voor wachtwoordfilter: het DLL-bestand met wachtwoordfilters van de DC-agent ontvangt aanvragen voor gebruikerswachtwoordvalidatie van het besturingssysteem. Het filter stuurt deze door naar de DC Agent-service die lokaal wordt uitgevoerd op de domeincontroller. Zie On-premises Microsoft Entra-wachtwoordbeveiliging afdwingen voor Active Directory-domein Services voor meer informatie over het gebruik van de DLL.

• Agent voor wachtwoord terugschrijven: wachtwoord terugschrijven is een functie die is ingeschakeld met Microsoft Entra Connect waarmee wachtwoordwijzigingen in de cloud in realtime worden teruggeschreven naar een bestaande on-premises directory. Zie hoe selfservice voor het terugschrijven van wachtwoorden werkt in Microsoft Entra ID voor meer informatie over deze functie.

• Microsoft Entra private network connector - Lightweight agents die zich on-premises bevinden en de uitgaande verbinding met de toepassingsproxy-service mogelijk maken. Zie Microsoft Entra private network connectors voor meer informatie.

Onderdelen van cloudverificatie

Als onderdeel van een azure-cloudomgeving moeten de volgende items worden gebasislijnd en opgenomen in uw bewakings- en waarschuwingsstrategie.

• Microsoft Entra-toepassingsproxy : deze cloudservice biedt veilige externe toegang tot on-premises webtoepassingen. Zie Externe toegang tot on-premises toepassingen via de Microsoft Entra-toepassingsproxy voor meer informatie.

• Microsoft Entra Connect - Services die worden gebruikt voor een Microsoft Entra Connect-oplossing. Zie Wat is Microsoft Entra Connect voor meer informatie.

• Microsoft Entra Connect Health - Service Health biedt u een aanpasbaar dashboard waarmee de status van uw Azure-services wordt bijgehouden in de regio's waar u ze gebruikt. Zie Microsoft Entra Connect Health voor meer informatie.

• Meervoudige verificatie van Microsoft Entra: voor meervoudige verificatie is een gebruiker vereist om meer dan één vorm van bewijs voor verificatie te bieden. Deze aanpak kan een proactieve eerste stap bieden voor het beveiligen van uw omgeving. Zie Microsoft Entra multifactor authentication voor meer informatie.

• Dynamische groepen : dynamische configuratie van lidmaatschap van beveiligingsgroepen voor Microsoft Entra-beheerders kunnen regels instellen om groepen in te vullen die zijn gemaakt in Microsoft Entra-id op basis van gebruikerskenmerken. Zie Dynamische groepen en Microsoft Entra B2B-samenwerking voor meer informatie.

• Voorwaardelijke toegang - Voorwaardelijke toegang is het hulpprogramma dat wordt gebruikt door Microsoft Entra ID om signalen samen te brengen, beslissingen te nemen en organisatiebeleid af te dwingen. Voorwaardelijke toegang vormt het hart van het nieuwe besturingsvlak op basis van identiteit. Zie Wat is voorwaardelijke toegang?

• Microsoft Entra ID Protection : een hulpprogramma waarmee organisaties de detectie en herstel van identiteitsrisico's kunnen automatiseren, risico's kunnen onderzoeken met behulp van gegevens in de portal en risicodetectiegegevens kunnen exporteren naar uw SIEM. Zie Wat is Microsoft Entra ID Protection voor meer informatie.

• Licenties op basis van groepen: licenties kunnen worden toegewezen aan groepen in plaats van rechtstreeks aan gebruikers. Microsoft Entra ID slaat informatie op over licentietoewijzingsstatussen voor gebruikers.

• Provisioning Service : inrichten verwijst naar het maken van gebruikersidentiteiten en -rollen in de cloudtoepassingen waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en het verwijderen van gebruikersidentiteiten als status of rollen veranderen. Zie Hoe toepassingsinrichting werkt in Microsoft Entra-id voor meer informatie.

• Graph API - De Microsoft Graph API is een RESTful-web-API waarmee u toegang hebt tot Microsoft Cloud-serviceresources. Nadat u uw app hebt geregistreerd en verificatietokens voor een gebruiker of service hebt opgehaald, kunt u aanvragen indienen bij de Microsoft Graph API. Zie Overzicht van Microsoft Graph voor meer informatie.

• Domain Service - Microsoft Entra Domain Services (AD DS) biedt beheerde domeinservices zoals domeindeelname, groepsbeleid. Zie Wat is Microsoft Entra Domain Services voor meer informatie.

• Azure Resource Manager : Azure Resource Manager is de implementatie- en beheerservice voor Azure. Het biedt een beheerlaag waarmee u resources in uw Azure-account kunt maken, bijwerken en verwijderen. Zie Wat is Azure Resource Manager voor meer informatie.

• Beheerde identiteit : beheerde identiteiten elimineren de noodzaak voor ontwikkelaars om referenties te beheren. Beheerde identiteiten bieden een identiteit die toepassingen kunnen gebruiken bij het maken van verbinding met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Zie Wat zijn beheerde identiteiten voor Azure-resources voor meer informatie.

• Privileged Identity Management - PIM is een service in Microsoft Entra ID waarmee u de toegang tot belangrijke resources in uw organisatie kunt beheren, beheren en bewaken. Zie Wat is Microsoft Entra Privileged Identity Management voor meer informatie.

• Toegangsbeoordelingen - Met Microsoft Entra-toegangsbeoordelingen kunnen organisaties groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt beheren. De toegang van de gebruiker kan regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de juiste personen toegang hebben. Zie Wat zijn Microsoft Entra-toegangsbeoordelingen voor meer informatie.

• Rechtenbeheer - Microsoft Entra-rechtenbeheer is een functie voor identiteitsbeheer . Organisaties kunnen de levenscyclus van identiteiten en toegang op schaal beheren door werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en vervaldatum te automatiseren. Zie Wat is Microsoft Entra-rechtenbeheer voor meer informatie.

• Activiteitenlogboeken: het activiteitenlogboek is een Azure-platformlogboek dat inzicht biedt in gebeurtenissen op abonnementsniveau. Dit logboek bevat informatie zoals wanneer een resource wordt gewijzigd of wanneer een virtuele machine wordt gestart. Zie het Azure-activiteitenlogboek voor meer informatie.

• Selfservice voor wachtwoordherstel- Microsoft Entra selfservice voor wachtwoordherstel (SSPR) biedt gebruikers de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen. De beheerder of helpdesk is niet vereist. Zie Hoe het werkt: Selfservice voor wachtwoordherstel van Microsoft Entra voor meer informatie.

• Apparaatservices : apparaatidentiteitsbeheer vormt de basis voor voorwaardelijke toegang op basis van apparaten. Met beleid voor voorwaardelijke toegang op basis van apparaten kunt u ervoor zorgen dat toegang tot resources in uw omgeving alleen mogelijk is met beheerde apparaten. Zie Wat is een apparaat-id voor meer informatie.

• Selfservicegroepsbeheer : u kunt gebruikers in staat stellen hun eigen beveiligingsgroepen of Microsoft 365-groepen te maken en te beheren in Microsoft Entra ID. De eigenaar van de groep kan lidmaatschapsaanvragen goedkeuren of weigeren en kan het beheer van groepslidmaatschap delegeren. Selfservice groepsbeheerfuncties zijn niet beschikbaar voor beveiligingsgroepen of distributielijsten met e-mail. Zie Selfservicegroepsbeheer instellen in Microsoft Entra ID voor meer informatie.

• Risicodetectie: bevat informatie over andere risico's die worden geactiveerd wanneer een risico wordt gedetecteerd en andere relevante informatie, zoals aanmeldingslocatie en eventuele details van Microsoft Defender voor Cloud Apps.

Volgende stappen

Raadpleeg de volgende artikelen over beveiligingsbewerkingen:

Beveiligingsbewerkingen voor gebruikersaccounts

Beveiligingsbewerkingen voor consumentenaccounts

Beveiligingsbewerkingen voor bevoegde accounts

Beveiligingsbewerkingen voor Privileged Identity Management

Beveiligingsbewerkingen voor toepassingen

Beveiligingsbewerkingen voor apparaten

Beveiligingsbewerkingen voor infrastructuur