Beveiligingsbewerkingen voor bevoegde accounts in Microsoft Entra-id
De beveiliging van bedrijfsassets is afhankelijk van de integriteit van de bevoegde accounts die uw IT-systemen beheren. Cyberaanvallers gebruiken aanvallen op referentiediefstal en andere middelen om bevoegde accounts te targeten en toegang te krijgen tot gevoelige gegevens.
Traditioneel is de beveiliging van de organisatie gericht op de ingangs- en uitgangspunten van een netwerk als de beveiligingsperimeter. SaaS-toepassingen (Software as a Service) en persoonlijke apparaten op internet hebben deze benadering echter minder effectief gemaakt.
Microsoft Entra ID maakt gebruik van identiteits- en toegangsbeheer (IAM) als besturingsvlak. In de identiteitslaag van uw organisatie hebben gebruikers die zijn toegewezen aan bevoorrechte beheerdersrollen de controle. De accounts die worden gebruikt voor toegang, moeten worden beveiligd, ongeacht of de omgeving on-premises, in de cloud of een hybride omgeving is.
U bent volledig verantwoordelijk voor alle beveiligingslagen voor uw on-premises IT-omgeving. Wanneer u Azure-services gebruikt, zijn preventie en reactie de gezamenlijke verantwoordelijkheden van Microsoft als cloudserviceprovider en u als klant.
- Zie Gedeelde verantwoordelijkheid in de cloud voor meer informatie over het model voor gedeelde verantwoordelijkheid.
- Zie Privileged Access beveiligen voor hybride en cloudimplementaties in Microsoft Entra ID voor meer informatie over het beveiligen van toegang voor bevoegde gebruikers.
- Zie de documentatie voor Privileged Identity Management voor een breed scala aan video's, instructiegidsen en inhoud van belangrijke concepten voor bevoorrechte identiteiten.
Logboekbestanden die moeten worden bewaakt
De logboekbestanden die u gebruikt voor onderzoek en bewaking zijn:
Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:
Microsoft Sentinel. Maakt intelligente beveiligingsanalyses op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor. Maakt geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
Azure Event Hubs geïntegreerd met een SIEM. Hiermee kunnen Microsoft Entra-logboeken worden gepusht naar andere SIEM's, zoals Splunk, ArcSight, QRadar en Sumo Logic via de integratie van Azure Event Hubs. Zie Stream Microsoft Entra-logboeken naar een Azure Event Hub voor meer informatie.
Microsoft Defender voor Cloud Apps. Hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.
Microsoft Graph. Hiermee kunt u gegevens exporteren en Microsoft Graph gebruiken om meer analyses uit te voeren. Zie Microsoft Graph PowerShell SDK en Microsoft Entra ID Protection voor meer informatie.
Microsoft Entra ID Protection. Hiermee worden drie belangrijke rapporten gegenereerd die u kunt gebruiken om u te helpen met uw onderzoek:
Riskante gebruikers. Bevat informatie over welke gebruikers risico lopen, details over detecties, geschiedenis van alle riskante aanmeldingen en risicogeschiedenis.
Riskante aanmeldingen. Bevat informatie over een aanmelding die kan duiden op verdachte omstandigheden. Zie Risico onderzoeken voor meer informatie over het onderzoeken van informatie uit dit rapport.
Risicodetecties. Bevat informatie over andere risico's die worden geactiveerd wanneer een risico wordt gedetecteerd en andere relevante informatie, zoals aanmeldingslocatie en eventuele details van Microsoft Defender voor Cloud Apps.
Workloadidentiteiten beveiligen met Microsoft Entra ID Protection. Gebruik dit om risico's op workloadidentiteiten te detecteren voor aanmeldingsgedrag en offline-indicatoren van inbreuk.
Hoewel we de praktijk ontmoedigen, kunnen bevoegde accounts vaste beheerrechten hebben. Als u ervoor kiest om permanente bevoegdheden te gebruiken en het account wordt aangetast, kan dit een sterk negatief effect hebben. U wordt aangeraden prioriteit te geven aan het bewaken van bevoegde accounts en de accounts in uw PIM-configuratie (Privileged Identity Management) op te nemen. Zie Aan de slag met Privileged Identity Management voor meer informatie over PIM. U wordt ook aangeraden om te valideren dat beheerdersaccounts:
- Zijn vereist.
- De minste bevoegdheid hebben om de vereiste activiteiten uit te voeren.
- Zijn minimaal beveiligd met meervoudige verificatie.
- Worden uitgevoerd vanaf PAW-apparaten (Privileged Access Workstation) of SECURE Admin Workstation (SAW).
In de rest van dit artikel wordt beschreven waar u het beste op kunt letten en waarschuwen. Het artikel is ingedeeld op basis van het type bedreiging. Als er specifieke vooraf gemaakte oplossingen zijn, koppelen we deze aan de hand van de tabel. Anders kunt u waarschuwingen maken met behulp van de hierboven beschreven hulpprogramma's.
Dit artikel bevat informatie over het instellen van basislijnen en het controleren van aanmeldingen en het gebruik van bevoegde accounts. Ook worden hulpprogramma's en resources besproken die u kunt gebruiken om de integriteit van uw bevoegde accounts te behouden. De inhoud is ingedeeld in de volgende onderwerpen:
- Accounts voor nood -break-glass
- Aanmelding met bevoegde account
- Wijzigingen in bevoegde accounts
- Bevoorrechte groepen
- Toewijzing en uitbreiding van bevoegdheden
Accounts voor toegang tot noodgevallen
Het is belangrijk dat u voorkomt dat uw Microsoft Entra-tenant per ongeluk wordt vergrendeld.
Microsoft raadt aan dat organisaties twee accounts voor alleen-cloudtoegang voor noodgevallen hebben toegewezen aan de rol Globale beheerder . Deze accounts zijn zeer bevoegd en worden niet toegewezen aan specifieke personen. De accounts zijn beperkt tot scenario's met nood- of onderbrekingsglas, waarbij normale accounts niet kunnen worden gebruikt of dat alle andere beheerders per ongeluk zijn vergrendeld. Deze accounts moeten worden gemaakt op basis van de aanbevelingen voor toegangsaccounts voor noodgevallen.
Verzend een waarschuwing met hoge prioriteit telkens wanneer een account voor toegang voor noodgevallen wordt gebruikt.
Ontdekking
Omdat break-glass-accounts alleen worden gebruikt als er een noodgeval is, moet uw bewaking geen accountactiviteit detecteren. Verzend een waarschuwing met hoge prioriteit telkens wanneer een account voor toegang voor noodgevallen wordt gebruikt of gewijzigd. Een van de volgende gebeurtenissen kan erop wijzen dat een slechte actor probeert uw omgevingen te misbruiken:
- Aanmelden.
- Wachtwoordwijziging van account.
- Accountmachtiging of rollen zijn gewijzigd.
- Referentie- of verificatiemethode toegevoegd of gewijzigd.
Zie Beheerdersaccounts voor noodtoegang beheren in Microsoft Entra ID voor meer informatie over het beheren van accounts voor toegang tot noodgevallen. Zie Een waarschuwingsregel maken voor gedetailleerde informatie over het maken van een waarschuwing voor een account voor noodgevallen.
Aanmelding met bevoegde account
Bewaak alle aanmeldingsactiviteiten van een bevoegd account met behulp van de aanmeldingslogboeken van Microsoft Entra als de gegevensbron. Naast aanmeldings- en foutinformatie bevatten de logboeken de volgende details:
- Interrupts
- Apparaat
- Plaats
- Risico
- Toepassing
- Datum en tijd
- Is het account uitgeschakeld
- Lockout
- MFA-fraude
- Fout met voorwaardelijke toegang
Dingen die moeten worden bewaakt
U kunt aanmeldingsgebeurtenissen voor bevoegde accounts bewaken in de aanmeldingslogboeken van Microsoft Entra. Waarschuw en onderzoek de volgende gebeurtenissen voor bevoegde accounts.
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Aanmeldingsfout, drempelwaarde voor ongeldig wachtwoord | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout -en- foutcode = 50126 |
Definieer een drempelwaarde voor een basislijn en bewaak en pas deze aan aan het gedrag van uw organisatie en beperk valse waarschuwingen die niet worden gegenereerd. Microsoft Sentinel-sjabloon Sigma-regels |
| Fout vanwege vereiste voor voorwaardelijke toegang | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout -en- foutcode = 53003 -en- Foutreden = Geblokkeerd door voorwaardelijke toegang |
Deze gebeurtenis kan een indicatie zijn dat een aanvaller in het account probeert te komen. Microsoft Sentinel-sjabloon Sigma-regels |
| Bevoegde accounts die geen naamgevingsbeleid volgen | Azure-abonnement | Azure-roltoewijzingen weergeven met behulp van Azure Portal | Lijst met roltoewijzingen voor abonnementen en waarschuwingen waarbij de aanmeldingsnaam niet overeenkomt met de indeling van uw organisatie. Een voorbeeld is het gebruik van ADM_ als voorvoegsel. | |
| Onderbreken | Hoog, gemiddeld | Microsoft Entra-aanmeldingen | Status = onderbroken -en- foutcode = 50074 -en- Foutreden = Sterke verificatie vereist Status = onderbroken -en- Foutcode = 500121 Foutreden = Verificatie is mislukt tijdens een sterke verificatieaanvraag |
Deze gebeurtenis kan een indicatie zijn dat een aanvaller het wachtwoord voor het account heeft, maar de meervoudige verificatievraag niet kan doorstaan. Microsoft Sentinel-sjabloon Sigma-regels |
| Bevoegde accounts die geen naamgevingsbeleid volgen | Hoog | Microsoft Entra-map | Microsoft Entra-roltoewijzingen vermelden | Geef roltoewijzingen weer voor Microsoft Entra-rollen en waarschuw wanneer de UPN niet overeenkomt met de indeling van uw organisatie. Een voorbeeld is het gebruik van ADM_ als voorvoegsel. |
| Bevoegde accounts detecteren die niet zijn geregistreerd voor meervoudige verificatie | Hoog | Microsoft Graph API | Voer een query uit voor IsMFARegistered eq false voor beheerdersaccounts. List credentialUserRegistrationDetails - Microsoft Graph beta | Controleer en onderzoek om te bepalen of de gebeurtenis opzettelijk of een toezicht is. |
| Accountvergrendeling | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout -en- foutcode = 50053 |
Definieer een drempelwaarde voor een basislijn en bewaak en pas deze vervolgens aan aan het gedrag van uw organisatie en beperk valse waarschuwingen van gegenereerde waarschuwingen. Microsoft Sentinel-sjabloon Sigma-regels |
| Account uitgeschakeld of geblokkeerd voor aanmeldingen | Laag | Aanmeldingslogboek van Microsoft Entra | Status = fout -en- Target = User UPN -en- foutcode = 50057 |
Met deze gebeurtenis kan worden aangegeven dat iemand toegang probeert te krijgen tot een account nadat deze de organisatie heeft verlaten. Hoewel het account is geblokkeerd, is het nog steeds belangrijk om u aan te melden en te waarschuwen voor deze activiteit. Microsoft Sentinel-sjabloon Sigma-regels |
| MFA-fraudewaarschuwing of -blokkering | Hoog | Aanmeldingslogboek van Microsoft Entra/Azure Log Analytics | Aanmeldingsverificatiedetails>Resultaatdetails = MFA geweigerd, fraudecode ingevoerd | Bevoegde gebruiker heeft aangegeven dat ze de multi-factor authentication-prompt niet hebben geïnstigeerd. Dit kan erop wijzen dat een aanvaller het wachtwoord voor het account heeft. Microsoft Sentinel-sjabloon Sigma-regels |
| MFA-fraudewaarschuwing of -blokkering | Hoog | Microsoft Entra-auditlogboek/Azure Log Analytics | Activiteitstype = Gerapporteerde fraude - Gebruiker wordt geblokkeerd voor MFA of fraude gerapporteerd - Geen actie ondernomen (op basis van instellingen op tenantniveau voor frauderapport) | Bevoegde gebruiker heeft aangegeven dat ze de multi-factor authentication-prompt niet hebben geïnstigeerd. Dit kan erop wijzen dat een aanvaller het wachtwoord voor het account heeft. Microsoft Sentinel-sjabloon Sigma-regels |
| Aanmeldingen van bevoegde accounts buiten de verwachte besturingselementen | Aanmeldingslogboek van Microsoft Entra | Status = fout UserPricipalName = <Beheerdersaccount> Locatie = <niet-goedgekeurde locatie> IP-adres = <niet-goedgekeurde IP> Apparaatgegevens = <niet-goedgekeurde browser, besturingssysteem> |
Controleer en waarschuw alle vermeldingen die u hebt gedefinieerd als niet-goedgekeurd. Microsoft Sentinel-sjabloon Sigma-regels |
|
| Buiten normale aanmeldingstijden | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd -en- Locatie = -en- Tijd = Buiten kantooruren |
Controleren en waarschuwen als aanmeldingen buiten de verwachte tijden plaatsvinden. Het is belangrijk om het normale werkpatroon voor elk bevoegd account te vinden en om te waarschuwen of er niet-geplande wijzigingen zijn buiten de normale werktijden. Aanmeldingen buiten normale werkuren kunnen duiden op inbreuk of mogelijke bedreigingen van insiders. Microsoft Sentinel-sjabloon Sigma-regels |
| Microsoft Entra ID Protection-risico | Hoog | Id-beveiligingslogboeken | Risicostatus = Risico -en- Risiconiveau = Laag, Gemiddeld, Hoog -en- Activiteit = Onbekende aanmelding/TOR, enzovoort |
Met deze gebeurtenis wordt aangegeven dat er een afwijking is gedetecteerd met de aanmelding voor het account en moet worden gewaarschuwd. |
| Wachtwoordwijziging | Hoog | Microsoft Entra-auditlogboeken | Activiteitsacteur = Beheerder/selfservice -en- Target = Gebruiker -en- Status = geslaagd of mislukt |
Waarschuwing wanneer het wachtwoord van een beheerdersaccount wordt gewijzigd. Schrijf een query voor bevoegde accounts. Microsoft Sentinel-sjabloon Sigma-regels |
| Wijziging in verouderd verificatieprotocol | Hoog | Aanmeldingslogboek van Microsoft Entra | Client-app = Andere client, IMAP, POP3, MAPI, SMTP, enzovoort -en- Gebruikersnaam = UPN -en- Toepassing = Exchange (voorbeeld) |
Veel aanvallen maken gebruik van verouderde verificatie, dus als er een wijziging in het verificatieprotocol voor de gebruiker is, kan dit een indicatie zijn van een aanval. Microsoft Sentinel-sjabloon Sigma-regels |
| Nieuw apparaat of nieuwe locatie | Hoog | Aanmeldingslogboek van Microsoft Entra | Apparaatgegevens = Apparaat-id -en- Browser -en- BESTURINGSSYSTEEM -en- Compatibel/beheerd -en- Target = Gebruiker -en- Plaats |
De meeste beheeractiviteiten moeten afkomstig zijn van apparaten met bevoorrechte toegang, vanaf een beperkt aantal locaties. Daarom waarschuwt u op nieuwe apparaten of locaties. Microsoft Sentinel-sjabloon Sigma-regels |
| Instelling voor controlewaarschuwingen is gewijzigd | Hoog | Microsoft Entra-auditlogboeken | Service = PIM -en- Categorie = Rolbeheer -en- Activiteit = PIM-waarschuwing uitschakelen -en- Status = Geslaagd |
Wijzigingen in een kernwaarschuwing moeten worden gewaarschuwd als dit onverwacht is. Microsoft Sentinel-sjabloon Sigma-regels |
| Beheerders verifiëren bij andere Microsoft Entra-tenants | Gemiddeld | Aanmeldingslogboek van Microsoft Entra | Status = geslaagd ResourcetenantID != Tenant-id thuis |
Wanneer het bereik is ingesteld op Bevoegde gebruikers, detecteert deze monitor wanneer een beheerder is geverifieerd bij een andere Microsoft Entra-tenant met een identiteit in de tenant van uw organisatie. Waarschuwing als resourcetenant-id niet gelijk is aan de tenant-id home Microsoft Sentinel-sjabloon Sigma-regels |
| De gebruikersstatus van de beheerder is gewijzigd van gast in lid | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker bijwerken Categorie: UserManagement UserType is gewijzigd van Gast in Lid |
Bewaak en waarschuw bij het wijzigen van het gebruikerstype van Gast naar Lid. Was deze wijziging verwacht? Microsoft Sentinel-sjabloon Sigma-regels |
| Gastgebruikers uitgenodigd voor tenant door niet-goedgekeurde genodigden | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Externe gebruiker uitnodigen Categorie: UserManagement Gestart door (actor): User Principal Name |
Bewaak en waarschuw niet-goedgekeurde actoren die externe gebruikers uitnodigen. Microsoft Sentinel-sjabloon Sigma-regels |
Wijzigingen per bevoegde accounts
Controleer alle voltooide en geprobeerde wijzigingen door een bevoegd account. Met deze gegevens kunt u bepalen wat de normale activiteit is voor elk bevoegde account en een waarschuwing over activiteit die afwijkt van de verwachte activiteit. De Auditlogboeken van Microsoft Entra worden gebruikt om dit type gebeurtenis vast te leggen. Zie Auditlogboeken in Microsoft Entra-id voor meer informatie over Microsoft Entra-auditlogboeken.
Microsoft Entra Domain Services
Bevoegde accounts waaraan machtigingen zijn toegewezen in Microsoft Entra Domain Services kunnen taken uitvoeren voor Microsoft Entra Domain Services die van invloed zijn op de beveiligingspostuur van uw door Azure gehoste virtuele machines die gebruikmaken van Microsoft Entra Domain Services. Schakel beveiligingscontroles in op virtuele machines en bewaak de logboeken. Zie de volgende bronnen voor meer informatie over het inschakelen van Microsoft Entra Domain Services-controles en een lijst met gevoelige bevoegdheden:
- Beveiligingscontroles inschakelen voor Microsoft Entra Domain Services
- Gebruik van gevoelige bevoegdheden controleren
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Geprobeerde en voltooide wijzigingen | Hoog | Microsoft Entra-auditlogboeken | Datum en tijd -en- Dienst -en- Categorie en naam van de activiteit (wat) -en- Status = geslaagd of mislukt -en- Doel -en- Initiator of actor (wie) |
Eventuele niet-geplande wijzigingen moeten onmiddellijk worden gewaarschuwd. Deze logboeken moeten worden bewaard om u te helpen bij elk onderzoek. Wijzigingen op tenantniveau moeten onmiddellijk worden onderzocht (koppeling naar Infra-document) die de beveiligingspostuur van uw tenant zouden verlagen. Een voorbeeld is het uitsluiten van accounts van meervoudige verificatie of voorwaardelijke toegang. Waarschuw bij eventuele toevoegingen of wijzigingen in toepassingen. Zie de Handleiding voor beveiligingsbewerkingen van Microsoft Entra voor toepassingen. |
| Voorbeeld Poging tot of voltooide wijziging van apps of services met hoge waarde |
Hoog | Auditlogboek | Dienst -en- Categorie en naam van de activiteit |
Datum en tijd, service, categorie en naam van de activiteit, status = geslaagd of mislukt, doel, initiator of actor (wie) |
| Bevoorrechte wijzigingen in Microsoft Entra Domain Services | Hoog | Microsoft Entra Domain Services | Zoeken naar gebeurtenis 4673 | Beveiligingscontroles inschakelen voor Microsoft Entra Domain Services Zie Het gebruik van gevoelige bevoegdheden controleren voor een lijst met alle bevoegde gebeurtenissen. |
Wijzigingen in bevoegde accounts
Onderzoek wijzigingen in de verificatieregels en bevoegdheden van bevoegde accounts, met name als de wijziging meer bevoegdheden biedt of de mogelijkheid om taken uit te voeren in uw Microsoft Entra-omgeving.
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Privileged account maken | Gemiddeld | Microsoft Entra-auditlogboeken | Service = Core Directory -en- Categorie = Gebruikersbeheer -en- Activiteitstype = Gebruiker toevoegen -correleren met- Categorietype = Rolbeheer -en- Activiteitstype = Lid toevoegen aan rol -en- Gewijzigde eigenschappen = Role.DisplayName |
Controleer het maken van bevoegde accounts. Zoek naar correlatie die een korte periode heeft tussen het maken en verwijderen van accounts. Microsoft Sentinel-sjabloon Sigma-regels |
| Wijzigingen in verificatiemethoden | Hoog | Microsoft Entra-auditlogboeken | Service = verificatiemethode -en- Activiteitstype = Door gebruiker geregistreerde beveiligingsgegevens -en- Categorie = Gebruikersbeheer |
Deze wijziging kan een indicatie zijn van een aanvaller die een verificatiemethode toevoegt aan het account, zodat deze toegang kan blijven krijgen. Microsoft Sentinel-sjabloon Sigma-regels |
| Waarschuwing over wijzigingen in bevoegde accountmachtigingen | Hoog | Microsoft Entra-auditlogboeken | Categorie = Rolbeheer -en- Activiteitstype = In aanmerking komend lid toevoegen (permanent) -of- Activiteitstype = In aanmerking komend lid toevoegen (in aanmerking komend) -en- Status = geslaagd of mislukt -en- Gewijzigde eigenschappen = Role.DisplayName |
Deze waarschuwing is met name bedoeld voor accounts waaraan rollen zijn toegewezen die niet bekend zijn of buiten hun normale verantwoordelijkheden vallen. Sigma-regels |
| Ongebruikte bevoegde accounts | Gemiddeld | Microsoft Entra-toegangsbeoordelingen | Voer een maandelijkse beoordeling uit voor inactieve gebruikersaccounts met bevoegdheden. Sigma-regels |
|
| Accounts die zijn vrijgesteld van voorwaardelijke toegang | Hoog | Azure Monitor-logboeken -of- Toegangsbeoordelingen |
Voorwaardelijke toegang = Inzichten en rapportage | Elk account dat is uitgesloten van voorwaardelijke toegang, slaat waarschijnlijk beveiligingscontroles over en is kwetsbaarder voor inbreuk. Break-glass accounts zijn vrijgesteld. Zie de informatie over het bewaken van break-glass-accounts verderop in dit artikel. |
| Toevoeging van een tijdelijke toegangspas aan een bevoegd account | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Geregistreerde beveiligingsgegevens van beheerder Reden van status: De beheerder heeft de tijdelijke toegangspasmethode geregistreerd voor de gebruiker Categorie: UserManagement Gestart door (actor): User Principal Name Doel: User Principal Name |
Controleer en waarschuw een tijdelijke toegangspas die wordt gemaakt voor een bevoegde gebruiker. Microsoft Sentinel-sjabloon Sigma-regels |
Zie Inzichten en rapportage voor voorwaardelijke toegang voor meer informatie over het bewaken van uitzonderingen op beleid voor voorwaardelijke toegang.
Zie Een toegangsbeoordeling maken van Microsoft Entra-rollen in Privileged Identity Management voor meer informatie over het detecteren van ongebruikte bevoegde accounts.
Toewijzing en benodigde bevoegdheden
Als u bevoegde accounts hebt die permanent zijn ingericht met verhoogde mogelijkheden, kunt u het kwetsbaarheid voor aanvallen en risico's voor uw beveiligingsgrens verhogen. Gebruik in plaats daarvan Just-In-Time-toegang met behulp van een uitbreidingsprocedure. Met dit type systeem kunt u geschiktheid toewijzen voor bevoorrechte rollen. Beheerders verhogen hun bevoegdheden alleen voor deze rollen wanneer ze taken uitvoeren waarvoor deze bevoegdheden nodig zijn. Met behulp van een uitbreidingsproces kunt u uitbreidingen en niet-gebruik van bevoegde accounts bewaken.
Een basislijn instellen
Als u wilt controleren op uitzonderingen, moet u eerst een basislijn maken. De volgende informatie voor deze elementen bepalen
Beheerdersaccounts
- Uw geprivilegieerde accountstrategie
- Gebruik van on-premises accounts voor het beheren van on-premises resources
- Gebruik van cloudaccounts voor het beheren van cloudresources
- Benadering van het scheiden en bewaken van beheermachtigingen voor on-premises en cloudresources
Beveiliging van bevoorrechte rollen
- Beveiligingsstrategie voor rollen met beheerdersbevoegdheden
- Organisatiebeleid voor het gebruik van bevoegde accounts
- Strategie en principes voor het handhaven van permanente bevoegdheden versus het bieden van tijdsgebonden en goedgekeurde toegang
De volgende concepten en informatie helpen bij het bepalen van beleid:
- Just-In-Time-beheerdersprincipes. Gebruik de Microsoft Entra-logboeken om informatie vast te leggen voor het uitvoeren van beheertaken die gebruikelijk zijn in uw omgeving. Bepaal de typische hoeveelheid tijd die nodig is om de taken te voltooien.
- Net genoeg beheerdersprincipes. Bepaal de minst bevoorrechte rol, die mogelijk een aangepaste rol is, die nodig is voor beheertaken. Zie Rollen met minimale bevoegdheden per taak in Microsoft Entra-id voor meer informatie.
- Een uitbreidingsbeleid tot stand brengen. Nadat u inzicht hebt in het type verhoogde bevoegdheden dat nodig is en hoe lang voor elke taak nodig is, maakt u beleidsregels die het gebruik met verhoogde bevoegdheden voor uw omgeving weerspiegelen. Definieer bijvoorbeeld een beleid om rolverhoging tot één uur te beperken.
Nadat u uw basislijn hebt ingesteld en beleid hebt ingesteld, kunt u bewaking configureren om het gebruik buiten het beleid te detecteren en te waarschuwen.
Ontdekking
Let met name op wijzigingen in toewijzing en uitbreiding van bevoegdheden en onderzoek deze.
Dingen die moeten worden bewaakt
U kunt bevoegde accountwijzigingen bewaken met behulp van Microsoft Entra-auditlogboeken en Azure Monitor-logboeken. Neem de volgende wijzigingen op in uw bewakingsproces.
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Toegevoegd aan in aanmerking komende bevoorrechte rol | Hoog | Microsoft Entra-auditlogboeken | Service = PIM -en- Categorie = Rolbeheer -en- Activiteitstype = Lid toevoegen aan rol voltooid (in aanmerking komend) -en- Status = geslaagd of mislukt -en- Gewijzigde eigenschappen = Role.DisplayName |
Elk account dat in aanmerking komt voor een rol krijgt nu bevoegde toegang. Als de toewijzing onverwacht is of in een rol die niet de verantwoordelijkheid van de rekeninghouder is, moet u dit onderzoeken. Microsoft Sentinel-sjabloon Sigma-regels |
| Rollen die zijn toegewezen uit PIM | Hoog | Microsoft Entra-auditlogboeken | Service = PIM -en- Categorie = Rolbeheer -en- Activiteitstype = Lid toevoegen aan rol (permanent) -en- Status = geslaagd of mislukt -en- Gewijzigde eigenschappen = Role.DisplayName |
Deze rollen moeten nauw worden bewaakt en gewaarschuwd. Gebruikers mogen waar mogelijk geen rollen toewijzen buiten PIM. Microsoft Sentinel-sjabloon Sigma-regels |
| Waterstand | Gemiddeld | Microsoft Entra-auditlogboeken | Service = PIM -en- Categorie = Rolbeheer -en- Activiteitstype = Lid toevoegen aan rol voltooid (PIM-activering) -en- Status = geslaagd of mislukt -en- Gewijzigde eigenschappen = Role.DisplayName |
Nadat een bevoegd account is verhoogd, kan het nu wijzigingen aanbrengen die van invloed kunnen zijn op de beveiliging van uw tenant. Alle uitbreidingen moeten worden geregistreerd en, als dit buiten het standaardpatroon voor die gebruiker gebeurt, moeten worden gewaarschuwd en onderzocht als dit niet is gepland. |
| Goedkeuringen en uitbreiding weigeren | Laag | Microsoft Entra-auditlogboeken | Service = Toegangsbeoordeling -en- Categorie = UserManagement -en- Activiteitstype = Aanvraag goedgekeurd of geweigerd -en- Geïnitieerde actor = UPN |
Bewaak alle uitbreidingen omdat deze een duidelijke indicatie kan geven van de tijdlijn voor een aanval. Microsoft Sentinel-sjabloon Sigma-regels |
| Wijzigingen in PIM-instellingen | Hoog | Microsoft Entra-auditlogboeken | Service = PIM -en- Categorie = Rolbeheer -en- Activiteitstype = Rolinstelling bijwerken in PIM -en- Statusreden = MFA bij activering uitgeschakeld (voorbeeld) |
Een van deze acties kan de beveiliging van de PIM-uitbreiding verminderen en het voor aanvallers gemakkelijker maken om een bevoegd account te verkrijgen. Microsoft Sentinel-sjabloon Sigma-regels |
| Hoogte niet opgetreden op SAW/PAW | Hoog | Aanmeldingslogboeken van Microsoft Entra | Apparaat-id -en- Browser -en- BESTURINGSSYSTEEM -en- Compatibel/beheerd Correleren met: Service = PIM -en- Categorie = Rolbeheer -en- Activiteitstype = Lid toevoegen aan rol voltooid (PIM-activering) -en- Status = geslaagd of mislukt -en- Gewijzigde eigenschappen = Role.DisplayName |
Als deze wijziging is geconfigureerd, moet een poging om een niet-PAW/SAW-apparaat te verhogen onmiddellijk worden onderzocht, omdat een aanvaller het account probeert te gebruiken. Sigma-regels |
| Uitbreiding voor het beheren van alle Azure-abonnementen | Hoog | Azure Monitor | Tabblad Activiteitenlogboek Tabblad Directory-activiteit Operations Name = Wijst de beller toe aan de beheerder van gebruikerstoegang -en- Gebeurteniscategorie = Beheer -en- Status = Geslaagd, starten, mislukken -en- Gebeurtenis geïnitieerd door |
Deze wijziging moet onmiddellijk worden onderzocht als deze niet is gepland. Met deze instelling kan een aanvaller toegang krijgen tot Azure-abonnementen in uw omgeving. |
Zie Toegang verhogen voor het beheren van alle Azure-abonnementen en -beheergroepen voor meer informatie over het beheren van benodigde bevoegdheden. Zie het Azure-activiteitenlogboek, dat deel uitmaakt van de Documentatie van Azure Monitor voor informatie over het bewaken van uitbreidingen met behulp van informatie die beschikbaar is in de Microsoft Entra-logboeken.
Zie Beveiligingswaarschuwingen configureren voor Azure-resourcerollen in Privileged Identity Management voor informatie over het configureren van waarschuwingen voor Azure-rollen.
Volgende stappen
Raadpleeg de volgende artikelen over beveiligingsbewerkingen:
Overzicht van Microsoft Entra-beveiligingsbewerkingen
Beveiligingsbewerkingen voor gebruikersaccounts
Beveiligingsbewerkingen voor consumentenaccounts
Beveiligingsbewerkingen voor Privileged Identity Management
Beveiligingsbewerkingen voor toepassingen