Beveiligingsbewerkingen voor bevoegde accounts in Microsoft Entra-id

Artikel
23-11-2024

De beveiliging van bedrijfsassets is afhankelijk van de integriteit van de bevoegde accounts waarmee de IT-systemen worden beheerd. Cyberaanvallers gebruiken aanvallen met referentiediefstal en andere middelen om zich op bevoegde accounts te richten en toegang te krijgen tot gevoelige gegevens.

Normaal gesproken is de beveiliging van de organisatie gericht op de ingangs- en afsluitpunten van een netwerk als de beveiligingsperimeter. Software as a Service-toepassingen (SaaS) en persoonlijke apparaten op internet hebben deze aanpak echter minder effectief gemaakt.

Microsoft Entra ID maakt gebruik van identiteits- en toegangsbeheer (IAM) als besturingsvlak. In de identiteitslaag van uw organisatie hebben gebruikers die zijn toegewezen aan bevoorrechte beheerdersrollen de controle. De accounts die worden gebruikt voor toegang moeten worden beveiligd, ongeacht of de omgeving on-premises, in de cloud of een hybride omgeving is.

U bent volledig verantwoordelijk voor alle beveiligingslagen voor uw on-premises IT-omgeving. Wanneer u Azure-services gebruikt, zijn preventie en respons de gezamenlijke verantwoordelijkheden van Microsoft als cloudserviceprovider en u als klant.

Zie Gedeelde verantwoordelijkheid in de cloud voor meer informatie over het model voor gedeelde verantwoordelijkheid.
Zie Privileged Access beveiligen voor hybride en cloudimplementaties in Microsoft Entra ID voor meer informatie over het beveiligen van toegang voor bevoegde gebruikers.
Zie Documentatie over Privileged Identity Management voor een breed scala aan video's, instructiegidsen en inhoud van belangrijke concepten voor bevoegde identiteit.

Logboekbestanden die moeten worden bewaakt

De logboekbestanden die u gebruikt voor onderzoek en controle zijn:

Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:

Microsoft Sentinel. Maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor. Maakt geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
Azure Event Hubs geïntegreerd met een SIEM. Hiermee kunnen Microsoft Entra-logboeken worden gepusht naar andere SIEM's, zoals Splunk, ArcSight, QRadar en Sumo Logic via de integratie van Azure Event Hubs. Zie Stream Microsoft Entra-logboeken naar een Azure Event Hub voor meer informatie.
Microsoft Defender voor Cloud-apps. Hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.
Microsoft.Graph. Hiermee kunt u gegevens exporteren en Microsoft Graph gebruiken om meer analyses uit te voeren. Zie Microsoft Graph PowerShell SDK en Microsoft Entra ID Protection voor meer informatie.
Microsoft Entra ID Protection. Hiermee worden drie belangrijke rapporten gegenereerd die u kunt gebruiken om u te helpen met uw onderzoek:
- Riskante gebruikers. Bevat informatie over welke gebruikers risico lopen, details over detecties, geschiedenis van alle riskante aanmeldingen en risicogeschiedenis.
- Riskante aanmeldingen. Bevat informatie over een aanmelding die kan duiden op verdachte omstandigheden. Zie Risico onderzoeken voor meer informatie over het onderzoeken van informatie uit dit rapport.
- Risicodetectie. Bevat informatie over andere risico's die worden geactiveerd wanneer een risico wordt gedetecteerd en andere relevante informatie, zoals aanmeldingslocatie en eventuele details van Microsoft Defender voor Cloud-apps.
Workloadidentiteiten beveiligen met Microsoft Entra ID Protection. Gebruik dit om risico's op workloadidentiteiten te detecteren voor aanmeldingsgedrag en offline indicatoren van inbreuk.

Hoewel dit wordt ontmoedigd, kunnen bevoegde accounts permanente beheerrechten hebben. Als u ervoor kiest om permanente bevoegdheden te gebruiken en het account wordt gecompromitteerd, dan kan dit een sterk negatief effect hebben. Het wordt aanbevolen prioriteit te geven aan het bewaken van bevoegde accounts en de accounts op te nemen in uw PIM-configuratie (Privileged Identity Management). Zie Aan de slag met Privileged Identity Management voor meer informatie over PIM. Het wordt tevens aanbevolen om te valideren dat beheerdersaccounts:

Zijn vereist.
De minste bevoegdheid hebben om de vereiste activiteiten uit te voeren.
Minimaal worden beveiligd met meervoudige verificatie.
Worden uitgevoerd vanaf PAW-apparaten (Privileged Access Workstation) of SAW-apparaten (Secure Admin Workstation).

In de rest van dit artikel wordt beschreven waarop u wordt aangeraden te controleren en te waarschuwen. Het artikel is ingedeeld op het type bedreiging. Als er specifieke vooraf samengestelde oplossingen zijn, koppelen we deze aan de hand van de tabel. Anders kunt u waarschuwingen maken met behulp van de hierboven beschreven hulpprogramma's.

Dit artikel bevat informatie over het instellen van basislijnen, het controleren van aanmeldingen en het gebruik van bevoegde accounts. Ook worden hulpprogramma's en resources besproken die u kunt gebruiken om de integriteit van uw bevoegde accounts te behouden. De inhoud is ingedeeld in de volgende onderwerpen:

'Break-glass' noodaccounts
Aanmelden met bevoegd account
Wijzigingen in bevoegde accounts
Bevoegde groepen
Toewijzing en uitbreiding van bevoegdheden

Accounts voor noodtoegang

Het is belangrijk dat u voorkomt dat uw Microsoft Entra-tenant per ongeluk wordt vergrendeld.

Microsoft raadt aan dat organisaties twee accounts voor alleen-cloudtoegang voor noodgevallen hebben toegewezen aan de rol Globale beheerder . Deze accounts hebben hoge bevoegdheden en worden niet toegewezen aan specifieke personen. De accounts zijn beperkt tot scenario's met nood- of onderbrekingsglas, waarbij normale accounts niet kunnen worden gebruikt of dat alle andere beheerders per ongeluk zijn vergrendeld. Deze accounts moeten worden gemaakt op basis van de aanbevelingen voor toegangsaccounts voor noodgevallen.

Een waarschuwing met hoge prioriteit verzenden telkens wanneer een account voor noodtoegang wordt gebruikt.

Detectie

Omdat break-glass-accounts alleen worden gebruikt als er een noodgeval is, moet uw bewaking geen accountactiviteit detecteren. Verzend een waarschuwing met hoge prioriteit telkens wanneer een account voor noodtoegang wordt gebruikt of gewijzigd. Een van de volgende gebeurtenissen kan erop wijzen dat een slechte actor uw omgevingen probeert te compromitteren:

Aanmelden.
Wachtwoordwijziging van account.
Accountmachtiging of rollen gewijzigd.
Referentie- of verificatiemethode toegevoegd of gewijzigd.

Zie Beheerdersaccounts voor noodtoegang beheren in Microsoft Entra ID voor meer informatie over het beheren van accounts voor toegang tot noodgevallen. Zie Een waarschuwingsregel maken voor gedetailleerde informatie over het maken van een waarschuwing voor een noodaccount.

Bewaak alle aanmeldingsactiviteiten van een bevoegd account met behulp van de aanmeldingslogboeken van Microsoft Entra als de gegevensbron. Naast aanmeldings- en foutinformatie bevatten de logboeken de volgende details:

Onderbrekingen
Apparaat
Locatie
Risico
Toepassing
Datum en tijd
Is het account uitgeschakeld
Vergrendeling
MFA-fraude
Fout bij voorwaardelijke toegang

Zaken die moeten worden bewaakt

U kunt aanmeldingsgebeurtenissen voor bevoegde accounts bewaken in de aanmeldingslogboeken van Microsoft Entra. Waarschuw en onderzoek de volgende gebeurtenissen voor bevoegde accounts.

Wat moet er worden bewaakt	Risiconiveau	Waar	Filter/subfilter	Opmerkingen
Aanmeldingsfout, drempelwaarde voor ongeldig wachtwoord	Hoog	Aanmeldingslogboek van Microsoft Entra	Status = fout en foutcode = 50126	Definieer een drempelwaarde voor de basislijn en bewaak en pas deze aan om af te stemmen op het gedrag van uw organisatie en valse waarschuwingen die niet worden gegenereerd te beperken. Microsoft Sentinel-sjabloon Sigma-regels
Fout vanwege vereiste voor voorwaardelijke toegang	Hoog	Aanmeldingslogboek van Microsoft Entra	Status = fout en foutcode = 53003 en Reden van fout = Geblokkeerd door voorwaardelijke toegang	Deze gebeurtenis kan een indicatie zijn dat een aanvaller probeert in het account te komen. Microsoft Sentinel-sjabloon Sigma-regels
Bevoegde accounts die geen naamgevingsbeleid volgen		Azure-abonnement	Azure-roltoewijzingen vermelden met behulp van Azure Portal	Lijst met roltoewijzingen voor abonnementen en waarschuwingen waarbij de aanmeldingsnaam niet overeenkomt met de indeling van uw organisatie. Een voorbeeld is het gebruik van ADM_ als voorvoegsel.
Onderbreking	Hoog, gemiddeld	Microsoft Entra-aanmeldingen	Status = Onderbroken en foutcode = 50074 en Reden van fout = Sterke verificatie vereist Status = Onderbroken en Foutcode = 500121 Reden van fout = Verificatie is mislukt tijdens een aanvraag voor sterke verificatie	Deze gebeurtenis kan een indicatie zijn dat een aanvaller het wachtwoord voor het account heeft, maar de meervoudige verificatievraag niet kan doorstaan. Microsoft Sentinel-sjabloon Sigma-regels
Bevoegde accounts die geen naamgevingsbeleid volgen	Hoog	Microsoft Entra-map	Microsoft Entra-roltoewijzingen vermelden	Geef roltoewijzingen weer voor Microsoft Entra-rollen en waarschuw wanneer de UPN niet overeenkomt met de indeling van uw organisatie. Een voorbeeld is het gebruik van ADM_ als voorvoegsel.
Bevoegde accounts detecteren die niet zijn geregistreerd voor meervoudige verificatie	Hoog	Microsoft Graph API	Query uitvoeren op IsMFARegistered eq false voor beheerdersaccounts. List credentialUserRegistrationDetails - Microsoft Graph beta	Controleer en onderzoek om te bepalen of de gebeurtenis opzettelijk of per ongeluk is.
Accountvergrendeling	Hoog	Aanmeldingslogboek van Microsoft Entra	Status = fout en foutcode = 50053	Definieer een drempelwaarde voor de basislijn en bewaak en pas deze aan om af te stemmen op het gedrag van uw organisatie en het genereren van valse waarschuwingen te beperken. Microsoft Sentinel-sjabloon Sigma-regels
Account is uitgeschakeld of geblokkeerd voor aanmeldingen	Beperkt	Aanmeldingslogboek van Microsoft Entra	Status = fout en Target = UPN van gebruiker en foutcode = 50057	Met deze gebeurtenis kan worden aangegeven dat iemand toegang probeert te krijgen tot een account nadat deze persoon de organisatie heeft verlaten. Hoewel het account is geblokkeerd, is het nog steeds belangrijk om deze activiteit te noteren en er een waarschuwing voor te geven. Microsoft Sentinel-sjabloon Sigma-regels
Waarschuwing voor MFA-fraude of blokkeren	Hoog	Aanmeldingslogboek van Microsoft Entra/Azure Log Analytics	Aanmeldingsverificatiedetails>Resultaatdetails = MFA geweigerd, fraudecode ingevoerd	Bevoegde gebruiker heeft aangegeven dat hij de prompt voor meervoudige verificatie niet heeft veroorzaakt, wat kan aangeven dat een aanvaller het wachtwoord voor het account heeft. Microsoft Sentinel-sjabloon Sigma-regels
Waarschuwing voor MFA-fraude of blokkeren	Hoog	Microsoft Entra-auditlogboek/Azure Log Analytics	Activiteitstype = Gerapporteerde fraude - Gebruiker wordt geblokkeerd voor MFA of gerapporteerde fraude - Geen actie ondernomen (op basis van instellingen op tenantniveau voor frauderapport)	Bevoegde gebruiker heeft aangegeven dat hij de prompt voor meervoudige verificatie niet heeft veroorzaakt, wat kan aangeven dat een aanvaller het wachtwoord voor het account heeft. Microsoft Sentinel-sjabloon Sigma-regels
Aanmeldingen van bevoegde accounts buiten de verwachte besturingselementen		Aanmeldingslogboek van Microsoft Entra	Status = fout UserPricipalName = <Beheer-account> Locatie = <niet-goedgekeurde locatie> IP-adres = <niet-goedgekeurde IP> Apparaatgegevens = <niet-goedgekeurde browser, besturingssysteem>	Bewaak en waarschuw op alle vermeldingen die u hebt gedefinieerd als niet-goedgekeurd. Microsoft Sentinel-sjabloon Sigma-regels
Buiten normale aanmeldingstijden	Hoog	Aanmeldingslogboek van Microsoft Entra	Status = Geslaagd en Locatie = en Tijd = Buiten kantooruren	Bewaak en waarschuw als aanmeldingen buiten de verwachte tijden plaatsvinden. Het is belangrijk om het normale werkpatroon voor elk bevoegd account te vinden en om te waarschuwen of er niet-geplande wijzigingen buiten normale werktijden zijn. Aanmeldingen buiten normale werktijden kunnen duiden op inbreuk of mogelijke bedreigingen van insiders. Microsoft Sentinel-sjabloon Sigma-regels
Microsoft Entra ID Protection-risico	Hoog	Id-beveiligingslogboeken	Risicostatus = Risico en Risiconiveau = Laag, gemiddeld, hoog en Activiteit = Onbekende aanmelding/TOR, enzovoort	Met deze gebeurtenis wordt aangegeven dat er een abnormaliteit is gedetecteerd met de aanmelding voor het account waarvoor moet worden gewaarschuwd.
Wachtwoord wijzigen	Hoog	Microsoft Entra-auditlogboeken	Activiteitsacteur = Beheer/selfservice en Doel = Gebruiker en Status = Geslaagd of mislukt	Waarschuwing wanneer het wachtwoord van een beheerdersaccount wordt gewijzigd. Schrijf een query voor bevoegde accounts. Microsoft Sentinel-sjabloon Sigma-regels
Wijziging in verouderd verificatieprotocol	Hoog	Aanmeldingslogboek van Microsoft Entra	Client-app = Andere client, IMAP, POP3, MAPI, SMTP, enzovoort en Gebruikersnaam = UPN en Toepassing = Exchange (voorbeeld)	Veel aanvallen maken gebruik van verouderde verificatie, dus als er een wijziging in het verificatieprotocol voor de gebruiker is, kan dit een indicatie zijn van een aanval. Microsoft Sentinel-sjabloon Sigma-regels
Nieuw apparaat of nieuwe locatie	Hoog	Aanmeldingslogboek van Microsoft Entra	Apparaatgegevens = Apparaat-id en Browser en Besturingssysteem en Compatibel/beheerd en Doel = Gebruiker en Locatie	De meeste beheeractiviteiten moeten afkomstig zijn van bevoegde toegangsapparaten, vanaf een beperkt aantal locaties. Daarom ontvangt u een waarschuwing op nieuwe apparaten of locaties. Microsoft Sentinel-sjabloon Sigma-regels
Instelling voor controlewaarschuwingen is gewijzigd	Hoog	Microsoft Entra-auditlogboeken	Service = PIM en Categorie = Rolbeheer en Activiteit = PIM-waarschuwing uitschakelen en Status = Geslaagd	U krijgt een waarschuwing bij wijzigingen in een kernwaarschuwing als dit onverwacht is. Microsoft Sentinel-sjabloon Sigma-regels
Beheerders verifiëren bij andere Microsoft Entra-tenants	Gemiddeld	Aanmeldingslogboek van Microsoft Entra	Status = Geslaagd ResourcetenantID != Tenant-id voor thuisgebruik	Wanneer het bereik is ingesteld op Bevoegde gebruikers, detecteert deze monitor wanneer een beheerder is geverifieerd bij een andere Microsoft Entra-tenant met een identiteit in de tenant van uw organisatie. Waarschuwing als resourcetenantID niet gelijk is aan de tenant-id van de startpagina Microsoft Sentinel-sjabloon Sigma-regels
Beheerderstatus is gewijzigd van Gast naar Lid	Gemiddeld	Microsoft Entra-auditlogboeken	Activiteit: Gebruiker bijwerken Categorie: UserManagement UserType is gewijzigd van gast naar lid	Bewaak en waarschuw bij het wijzigen van het gebruikerstype van Gast naar Lid. Was deze wijziging verwacht? Microsoft Sentinel-sjabloon Sigma-regels
Gastgebruikers uitgenodigd voor tenant door niet-goedgekeurde uitnodigers	Gemiddeld	Microsoft Entra-auditlogboeken	Activiteit: Externe gebruiker uitnodigen Categorie: UserManagement Gestart door (actor): User Principal Name	Bewaak en waarschuw niet-goedgekeurde actoren die externe gebruikers uitnodigen. Microsoft Sentinel-sjabloon Sigma-regels

Wijzigingen door bevoegde accounts

Controleer alle voltooide wijzigingen en pogingen tot wijzigingen door een bevoegd account. Met deze gegevens kunt u bepalen wat de normale activiteit is voor elk bevoegd account en een waarschuwing krijgen over activiteiten die afwijken van de verwachte activiteit. De Auditlogboeken van Microsoft Entra worden gebruikt om dit type gebeurtenis vast te leggen. Zie Auditlogboeken in Microsoft Entra-id voor meer informatie over Microsoft Entra-auditlogboeken.

Microsoft Entra Domain Services.

Bevoegde accounts waaraan machtigingen zijn toegewezen in Microsoft Entra Domain Services kunnen taken uitvoeren voor Microsoft Entra Domain Services die van invloed zijn op de beveiligingspostuur van uw door Azure gehoste virtuele machines die gebruikmaken van Microsoft Entra Domain Services. Schakel beveiligingscontroles in op virtuele machines en bewaak de logboeken. Zie de volgende bronnen voor meer informatie over het inschakelen van Microsoft Entra Domain Services-controles en een lijst met gevoelige bevoegdheden:

Wat moet er worden bewaakt	Risiconiveau	Waar	Filter/subfilter	Opmerkingen
Pogingen tot en voltooide wijzigingen	Hoog	Microsoft Entra-auditlogboeken	Datum en tijd en Service en Categorie en naam van de activiteit (wat) en Status = Geslaagd of mislukt en Doel en Initiator of acteur (wie)	Niet-geplande wijzigingen moeten onmiddellijk worden gemeld. Deze logboeken moeten worden bewaard om te helpen bij een mogelijk onderzoek. Wijzigingen op tenantniveau waardoor de beveiligingspostuur van uw tenant wordt verlaagd moeten onmiddellijk worden onderzocht (koppeling naar Infra-document). Een voorbeeld is het uitsluiten van accounts van meervoudige verificatie of voorwaardelijke toegang. Waarschuw bij eventuele toevoegingen of wijzigingen in toepassingen. Zie de Handleiding voor beveiligingsbewerkingen van Microsoft Entra voor toepassingen.
Voorbeeld Poging tot of voltooide wijziging van apps of services met hoge waarde	Hoog	Auditlogboek	Service en Categorie en naam van de activiteit	Datum en tijd, service, categorie en naam van de activiteit, status = geslaagd of mislukt, doel, initiator of actor (wie)
Bevoorrechte wijzigingen in Microsoft Entra Domain Services	Hoog	Microsoft Entra Domain Services.	Zoek gebeurtenis 4673	Beveiligingscontroles inschakelen voor Microsoft Entra Domain Services Zie Het gebruik van gevoelige bevoegdheden controleren voor een lijst met alle bevoegde gebeurtenissen.

Wijzigingen in bevoegde accounts

Onderzoek wijzigingen in de verificatieregels en bevoegdheden van bevoegde accounts, met name als de wijziging meer bevoegdheden biedt of de mogelijkheid om taken uit te voeren in uw Microsoft Entra-omgeving.

Wat moet er worden bewaakt	Risiconiveau	Waar	Filter/subfilter	Opmerkingen
Account met bevoegdheden maken	Gemiddeld	Microsoft Entra-auditlogboeken	Service = Core Directory en Categorie = Gebruikersbeheer en Activiteitstype = Gebruiker toevoegen -correleren met- Categorietype = Rolbeheer en Activiteitstype = Lid toevoegen aan rol en Gewijzigde eigenschappen = Role.DisplayName	Controleer het maken van bevoegde accounts. Zoek naar correlatie tussen het maken en verwijderen van accounts. Microsoft Sentinel-sjabloon Sigma-regels
Wijzigingen in verificatiemethoden	Hoog	Microsoft Entra-auditlogboeken	Service = Verificatiemethode en Activiteitstype = Door de gebruiker geregistreerde beveiligingsgegevens en Categorie = Gebruikersbeheer	Deze wijziging kan een indicatie zijn van een aanvaller die een verificatiemethode toevoegt aan het account, zodat deze de toegang kan blijven behouden. Microsoft Sentinel-sjabloon Sigma-regels
Waarschuwing over wijzigingen in machtigingen voor bevoegde accounts	Hoog	Microsoft Entra-auditlogboeken	Categorie = Rolbeheer en Activiteitstype = In aanmerking komend lid toevoegen (permanent) – of – Activiteitstype = In aanmerking komend lid toevoegen (in aanmerking komend) en Status = Geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName	Deze waarschuwing is met name bedoeld voor accounts waaraan rollen worden toegewezen die niet bekend zijn of zich buiten hun normale verantwoordelijkheden bevinden. Sigma-regels
Ongebruikte bevoegde accounts	Gemiddeld	Microsoft Entra-toegangsbeoordelingen		Voer een maandelijkse beoordeling uit voor inactieve gebruikersaccounts met bevoegdheden. Sigma-regels
Accounts die zijn vrijgesteld van voorwaardelijke toegang	Hoog	Azure Monitor-logboeken – of – Toegangsbeoordelingen	Voorwaardelijke toegang = Insights en Reporting	Elk account dat is vrijgesteld van voorwaardelijke toegang, omzeilt waarschijnlijk beveiligingscontroles en is kwetsbaarder voor inbreuk. Break-glass-accounts zijn vrijgesteld. Zie informatie over het bewaken van break-glass-accounts verderop in dit artikel.
Toevoeging van een Tijdelijke toegangspas aan een bevoegd account	Hoog	Microsoft Entra-auditlogboeken	Activiteit: Beheer geregistreerde beveiligingsgegevens Reden van status: Beheer geregistreerde tijdelijke toegangspasmethode voor gebruiker Categorie: UserManagement Gestart door (actor): User Principal Name Doel: User Principal Name	Bewaak en waarschuw bij een Tijdelijke toegangspas die wordt gemaakt voor een bevoegde gebruiker. Microsoft Sentinel-sjabloon Sigma-regels

Zie Inzichten en rapportage voor voorwaardelijke toegang voor meer informatie over het bewaken van uitzonderingen op beleid voor voorwaardelijke toegang.

Zie Een toegangsbeoordeling maken van Microsoft Entra-rollen in Privileged Identity Management voor meer informatie over het detecteren van ongebruikte bevoegde accounts.

Toewijzing en uitbreiding

Als u bevoegde accounts hebt die permanent zijn ingericht met verhoogde mogelijkheden, kunt u kwetsbaarheid voor aanvallen en risico's voor uw beveiligingsgrens verhogen. Gebruik in plaats daarvan Just-In-Time-toegang met behulp van een verhogingsprocedure. Met dit type systeem kunt u geschiktheid toewijzen voor bevoegde rollen. Beheerders verhogen hun bevoegdheden alleen voor deze rollen wanneer ze taken uitvoeren waarvoor deze bevoegdheden nodig zijn. Met behulp van een uitbreidingsproces kunt u uitbreidingen en niet-gebruik van bevoegde accounts bewaken.

Een basislijn samenstellen

Als u wilt controleren op uitzonderingen, moet u eerst een basislijn maken. Bepaal de volgende informatie voor deze elementen

Beheerdersaccounts
- Uw strategie voor bevoegde accounts
- Gebruik van on-premises accounts voor het beheren van on-premises resources
- Gebruik van cloudaccounts voor het beheren van cloudresources
- Aanpak voor het scheiden en bewaken van beheerdersmachtigingen voor on-premises- en cloudresources
Beveiliging van bevoorrechte rollen
- Beveiligingsstrategie voor rollen met beheerdersbevoegdheden
- Organisatiebeleid voor het gebruik van bevoegde accounts
- Strategie en principes voor het handhaven van permanente bevoegdheden tegenover het bieden van tijdgebonden en goedgekeurde toegang

De volgende concepten en informatie helpen bij het bepalen van beleidsregels:

Just-In-Time-beheerdersprincipes. Gebruik de Microsoft Entra-logboeken om informatie vast te leggen voor het uitvoeren van beheertaken die gebruikelijk zijn in uw omgeving. Bepaal de gebruikelijke hoeveelheid tijd die nodig is om de taken te voltooien.
Precies genoeg beheerdersprincipes. Bepaal de minst bevoegde rol, die mogelijk een aangepaste rol is, die nodig is voor beheertaken. Zie Rollen met minimale bevoegdheden per taak in Microsoft Entra-id voor meer informatie.
Stel een uitbreidingsbeleid in. Nadat u inzicht hebt verkregen in het type verhoogde bevoegdheden dat nodig is en hoe lang dit voor elke taak nodig is, maakt u beleidsregels die het gebruik met verhoogde bevoegdheden voor uw omgeving weerspiegelen. Definieer bijvoorbeeld een beleid om rolverhoging tot één uur te beperken.

Nadat u uw basislijn en het beleid hebt ingesteld, kunt u bewaking configureren om het gebruik buiten het beleid te detecteren en te waarschuwen.

Detectie

Let met name op wijzigingen in toewijzing en uitbreiding van bevoegdheden.

Zaken die moeten worden bewaakt

U kunt bevoegde accountwijzigingen bewaken met behulp van Microsoft Entra-auditlogboeken en Azure Monitor-logboeken. Neem de volgende wijzigingen op in uw bewakingsproces.

Wat moet er worden bewaakt	Risiconiveau	Waar	Filter/subfilter	Opmerkingen
Toegevoegd aan in aanmerking komende bevoorrechte rol	Hoog	Microsoft Entra-auditlogboeken	Service = PIM en Categorie = Rolbeheer en Activiteitstype = Lid toevoegen aan rol voltooid (in aanmerking komend) en Status = Geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName	Elk account dat in aanmerking komt voor een rol krijgt nu bevoegde toegang. Als de toewijzing onverwacht of in een rol zit die niet de verantwoordelijkheid van de accounthouder is, onderzoekt u dit. Microsoft Sentinel-sjabloon Sigma-regels
Rollen die zijn toegewezen buiten PIM	Hoog	Microsoft Entra-auditlogboeken	Service = PIM en Categorie = Rolbeheer en Activiteitstype = Lid toevoegen aan rol (permanent) en Status = Geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName	Deze rollen moeten nauwkeurig worden bewaakt en meldingen moeten zijn ingeschakeld. Gebruikers mogen waar mogelijk geen rollen toewijzen buiten PIM. Microsoft Sentinel-sjabloon Sigma-regels
Hoogtetoenames	Gemiddeld	Microsoft Entra-auditlogboeken	Service = PIM en Categorie = Rolbeheer en Activiteitstype = Lid toevoegen aan voltooide rol (PIM-activering) en Status = geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName	Nadat een bevoegd account is verhoogd, kunnen hiermee wijzigingen worden aangebracht die van invloed kunnen zijn op de beveiliging van uw tenant. Alle uitbreidingen moeten worden geregistreerd. Als deze zich buiten het standaardpatroon voor die gebruiker voordoen, moet er een waarschuwing worden uitgestuurd en moet het worden onderzocht, indien niet gepland.
Goedkeuringen en uitbreiding weigeren	Beperkt	Microsoft Entra-auditlogboeken	Service = Toegangsbeoordeling en Categorie = UserManagement en Activiteitstype = Aanvraag goedgekeurd of geweigerd en Geïnitieerde actor = UPN	Bewaak alle uitbreidingen omdat de tijdlijn voor een aanval duidelijk kan worden aangegeven. Microsoft Sentinel-sjabloon Sigma-regels
Wijzigingen in PIM-instellingen	Hoog	Microsoft Entra-auditlogboeken	Service = PIM en Categorie = Rolbeheer en Activiteitstype = Rolinstelling bijwerken in PIM en Statusreden = MFA bij activering uitgeschakeld (voorbeeld)	Een van deze acties kan de beveiliging van de PIM-uitbreiding verminderen en het voor aanvallers gemakkelijker maken om een bevoegd account te verkrijgen. Microsoft Sentinel-sjabloon Sigma-regels
Uitbreiding niet opgetreden op SAW/PAW	Hoog	Aanmeldingslogboeken van Microsoft Entra	Apparaat-id en Browser en Besturingssysteem en Compatibel/beheerd Correleren met: Service = PIM en Categorie = Rolbeheer en Activiteitstype = Lid toevoegen aan voltooide rol (PIM-activering) en Status = Geslaagd of mislukt en Gewijzigde eigenschappen = Role.DisplayName	Als deze wijziging is geconfigureerd, moet elke poging om een niet-PAW/SAW-apparaat te verhogen onmiddellijk worden onderzocht omdat het kan aangeven dat een aanvaller het account probeert te gebruiken. Sigma-regels
Uitbreiding van bevoegdheden voor het beheren van alle Azure-abonnementen	Hoog	Azure Monitor	Tabblad Activiteitenlogboek Tabblad Directory-activiteit Operations Name = Wijst de beller toe aan de beheerder van gebruikerstoegang -en- Gebeurteniscategorie = Beheer en Status = Geslaagd, starten, mislukken en Gebeurtenis gestart door	Deze wijziging moet onmiddellijk worden onderzocht als deze niet is gepland. Met deze instelling kan een aanvaller toegang krijgen tot Azure-abonnementen in uw omgeving.