Microsoft Entra security operations for devices (Operacje zabezpieczeń firmy Microsoft dla urządzeń)
Urządzenia nie są często celem ataków opartych na tożsamościach, ale mogą służyć do zaspokojenia i podszywania się pod mechanizmy kontroli zabezpieczeń lub personifikacji użytkowników. Urządzenia mogą mieć jedną z czterech relacji z identyfikatorem Entra firmy Microsoft:
Niezarejestrowanych
Zarejestrowane i przyłączone urządzenia są wystawiane podstawowy token odświeżania (PRT), który może być używany jako podstawowy artefakt uwierzytelniania, a w niektórych przypadkach jako artefakt uwierzytelniania wieloskładnikowego. Osoby atakujące mogą próbować zarejestrować własne urządzenia, użyć żądań ściągnięcia na legalnych urządzeniach, aby uzyskać dostęp do danych biznesowych, ukraść tokeny oparte na prT z legalnych urządzeń lub znaleźć błędy konfiguracji w kontrolkach opartych na urządzeniach w identyfikatorze Entra firmy Microsoft. W przypadku urządzeń dołączonych hybrydowo do firmy Microsoft proces sprzężenia jest inicjowany i kontrolowany przez administratorów, zmniejszając dostępne metody ataku.
Aby uzyskać więcej informacji na temat metod integracji urządzeń, zobacz Wybieranie metod integracji w artykule Planowanie wdrożenia urządzenia Firmy Microsoft Entra.
Aby zmniejszyć ryzyko ataków infrastruktury przez złe podmioty za pośrednictwem urządzeń, monitoruj
Rejestrowanie urządzenia i dołączanie do firmy Microsoft Entra
Niezgodne urządzenia uzyskują dostęp do aplikacji
Pobieranie klucza funkcji BitLocker
Role administratora urządzenia
Logowania do maszyn wirtualnych
Gdzie szukać
Pliki dziennika używane do badania i monitorowania to:
W witrynie Azure Portal możesz wyświetlić dzienniki inspekcji firmy Microsoft Entra i pobrać je jako pliki wartości rozdzielane przecinkami (CSV) lub JavaScript Object Notation (JSON). Witryna Azure Portal oferuje kilka sposobów integracji dzienników firmy Microsoft z innymi narzędziami, które umożliwiają większą automatyzację monitorowania i zgłaszania alertów:
Microsoft Sentinel — umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa, zapewniając funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Reguły Sigma — Sigma to rozwijający się otwarty standard pisania reguł i szablonów, za pomocą których zautomatyzowane narzędzia do zarządzania mogą służyć do analizowania plików dziennika. Gdzie szablony Sigma istnieją dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.
Azure Monitor — umożliwia automatyczne monitorowanie i zgłaszanie alertów o różnych warunkach. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.
Usługa Azure Event Hubs — zintegrowana z dziennikami SIEM- firmy Microsoft Entra może być zintegrowana z innymi rozwiązaniami SIEM, takimi jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji z usługą Azure Event Hubs.
aplikacje Microsoft Defender dla Chmury — umożliwia odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.
Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection w wersji zapoznawczej — służy do wykrywania ryzyka związanego z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia zabezpieczeń w trybie offline.
Większość tego, co będziesz monitorować i otrzymywać alerty, to skutki zasad dostępu warunkowego. Możesz użyć skoroszytu szczegółowych informacji o dostępie warunkowym i raportowania , aby sprawdzić wpływ co najmniej jednej zasady dostępu warunkowego na logowania oraz wyniki zasad, w tym stanu urządzenia. Ten skoroszyt umożliwia wyświetlenie podsumowania i zidentyfikowanie efektów w określonym przedziale czasu. Możesz również użyć skoroszytu, aby zbadać logowania określonego użytkownika.
W pozostałej części tego artykułu opisano, co zalecamy monitorowanie i zgłaszanie alertów oraz jest zorganizowane według typu zagrożenia. Gdzie istnieją konkretne wstępnie utworzone rozwiązania, łączymy się z nimi lub udostępniamy przykłady poniżej tabeli. W przeciwnym razie można tworzyć alerty przy użyciu poprzednich narzędzi.
Rejestracje urządzeń i dołączanie do zasad zewnętrznych
Zarejestrowane urządzenia firmy Microsoft Entra i urządzenia dołączone do firmy Microsoft mają podstawowe tokeny odświeżania (PRT), które są odpowiednikiem pojedynczego współczynnika uwierzytelniania. Te urządzenia mogą czasami zawierać oświadczenia silnego uwierzytelniania. Aby uzyskać więcej informacji na temat tego, kiedy żądania ściągnięcia zawierają oświadczenia silnego uwierzytelniania, zobacz Kiedy żądanie PRT otrzymuje oświadczenie uwierzytelniania wieloskładnikowego? Aby uniemożliwić nieprawidłowym aktorom rejestrowanie lub dołączanie urządzeń, należy wymagać uwierzytelniania wieloskładnikowego (MFA) w celu rejestrowania lub dołączania urządzeń. Następnie monitoruj wszystkie urządzenia zarejestrowane lub przyłączone bez uwierzytelniania wieloskładnikowego. Należy również obserwować zmiany ustawień i zasad uwierzytelniania wieloskładnikowego oraz zasad zgodności urządzeń.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Rejestracja urządzenia lub przyłączanie do urządzenia zostało ukończone bez uwierzytelniania wieloskładnikowego | Śred. | Dzienniki logowania | Działanie: pomyślne uwierzytelnianie w usłudze rejestracji urządzeń. And Brak wymaganego uwierzytelniania wieloskładnikowego |
Alert, gdy: każde urządzenie zarejestrowane lub przyłączone bez uwierzytelniania wieloskładnikowego Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zmiany przełącznika uwierzytelniania wieloskładnikowego rejestracji urządzeń w usłudze Microsoft Entra ID | Wys. | Dziennik inspekcji | Działanie: Ustawianie zasad rejestracji urządzeń | Poszukaj: przełącznik jest wyłączony. Nie ma wpisu dziennika inspekcji. Zaplanuj okresowe kontrole. Reguły Sigma |
| Zmiany zasad dostępu warunkowego wymagające przyłączenia do domeny lub zgodnego urządzenia. | Wys. | Dziennik inspekcji | Zmiany zasad dostępu warunkowego |
Alert, gdy: Zmień na wszelkie zasady wymagające przyłączenia do domeny lub zgodności, zmiany w zaufanych lokalizacjach lub kontach lub urządzeniach dodanych do wyjątków zasad uwierzytelniania wieloskładnikowego. |
Możesz utworzyć alert, który powiadamia odpowiednich administratorów o zarejestrowaniu lub dołączeniu urządzenia bez uwierzytelniania wieloskładnikowego przy użyciu usługi Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Możesz również użyć usługi Microsoft Intune do ustawiania i monitorowania zasad zgodności urządzeń.
Niezgodne logowanie urządzenia
Może nie być możliwe zablokowanie dostępu do wszystkich aplikacji w chmurze i oprogramowania jako usługi przy użyciu zasad dostępu warunkowego wymagających zgodnych urządzeń.
Zarządzanie urządzeniami przenośnymi (MDM) ułatwia zapewnienie zgodności urządzeń z systemem Windows 10. W systemie Windows w wersji 1809 opublikowaliśmy punkt odniesienia zabezpieczeń zasad. Identyfikator entra firmy Microsoft może integrować się z rozwiązaniem MDM w celu wymuszania zgodności urządzeń z zasadami firmowymi i może zgłaszać stan zgodności urządzenia.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Logowania według niezgodnych urządzeń | Wys. | Dzienniki logowania | DeviceDetail.isCompliant == false | Jeśli wymagasz logowania ze zgodnych urządzeń, ostrzegaj, gdy: dowolne logowanie za pomocą niezgodnych urządzeń lub dostęp bez uwierzytelniania wieloskładnikowego lub zaufanej lokalizacji. Jeśli praca w kierunku wymagania urządzeń, monitoruj podejrzane logowania. |
| Logowania według nieznanych urządzeń | Niski | Dzienniki logowania | DeviceDetail jest pusta, uwierzytelnianie jednoskładnikowe lub z innej niż zaufana lokalizacja | Wyszukaj: dowolny dostęp z urządzeń zgodności, dostęp bez uwierzytelniania wieloskładnikowego lub zaufanej lokalizacji Szablon usługi Microsoft Sentinel Reguły Sigma |
Wykonywanie zapytań za pomocą usługi LogAnalytics
Logowania według niezgodnych urządzeń
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Logowania według nieznanych urządzeń
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Nieaktywne urządzenia
Nieaktywne urządzenia obejmują urządzenia, które nie zostały zalogowane przez określony czas. Urządzenia mogą stać się nieaktualne, gdy użytkownik otrzyma nowe urządzenie lub utraci urządzenie albo gdy urządzenie dołączone do firmy Microsoft Entra zostanie wyczyszczone lub ponownie aprowizowane. Urządzenia mogą również pozostać zarejestrowane lub dołączone, gdy użytkownik nie jest już skojarzony z dzierżawą. Nieaktywne urządzenia powinny zostać usunięte, aby nie można było używać podstawowych tokenów odświeżania (PRT).
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Data ostatniego logowania | Niski | Interfejs API programu Graph | approximateLastSignInDateTime | Użyj interfejsu API programu Graph lub programu PowerShell, aby zidentyfikować i usunąć nieaktywne urządzenia. |
Pobieranie klucza funkcji BitLocker
Osoby atakujące, które naruszyły bezpieczeństwo urządzenia użytkownika, mogą pobrać klucze funkcji BitLocker w identyfikatorze Entra firmy Microsoft. Rzadko zdarza się, aby użytkownicy pobierali klucze i powinni być monitorowani i badani.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Pobieranie klucza | Śred. | Dzienniki inspekcji | OperationName == "Odczyt klucza funkcji BitLocker" | Poszukaj: pobieranie klucza, inne nietypowe zachowanie użytkowników podczas pobierania kluczy. Szablon usługi Microsoft Sentinel Reguły Sigma |
W usłudze LogAnalytics utwórz zapytanie, takie jak
AuditLogs
| where OperationName == "Read BitLocker key"
Role administratora urządzenia
Lokalne Administracja istrator urządzenia dołączonego do firmy Microsoft i role globalnego Administracja istratora automatycznie uzyskują uprawnienia administratora lokalnego na wszystkich urządzeniach dołączonych do firmy Microsoft. Ważne jest, aby monitorować, kto ma te prawa, aby zapewnić bezpieczeństwo środowiska.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Użytkownicy dodani do ról administratora globalnego lub urządzenia | Wys. | Dzienniki inspekcji | Typ działania = Dodaj członka do roli. | Wyszukaj: nowi użytkownicy dodani do tych ról firmy Microsoft Entra, kolejne nietypowe zachowanie maszyn lub użytkowników. Szablon usługi Microsoft Sentinel Reguły Sigma |
Logowania spoza usługi Azure AD do maszyn wirtualnych
Logowania do maszyn wirtualnych z systemem Windows lub LINUX powinny być monitorowane pod kątem logowania się przy użyciu kont innych niż konta Microsoft Entra.
Logowanie microsoft Entra dla systemu LINUX
Logowanie microsoft Entra dla systemu LINUX umożliwia organizacjom logowanie się do maszyn wirtualnych z systemem Linux platformy Azure przy użyciu kont Microsoft Entra za pośrednictwem protokołu SSH (Secure Shell Protocol).
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Logowanie konta spoza usługi Azure AD, zwłaszcza za pośrednictwem protokołu SSH | Wys. | Dzienniki uwierzytelniania lokalnego | Ubuntu: monitorowanie /var/log/auth.log na potrzeby korzystania z protokołu SSH Redhat: monitor /var/log/sssd/ for SSH use |
Wyszukaj: wpisy , w których konta spoza usługi Azure AD pomyślnie łączą się z maszynami wirtualnymi. Zobacz poniższy przykład. |
Przykład systemu Ubuntu:
9 maja 23:49:39 ubuntu1804 aad_certhandler[3915]: Wersja: 1.0.015570001; użytkownik: localusertest01
9 maja 23:49:39 ubuntu1804 aad_certhandler[3915]: Użytkownik "localusertest01" nie jest użytkownikiem firmy Microsoft Entra; zwraca pusty wynik.
9 maja 23:49:43 ubuntu1804 aad_certhandler[3916]: Wersja: 1.0.015570001; użytkownik: localusertest01
9 maja 23:49:43 ubuntu1804 aad_certhandler[3916]: Użytkownik "localusertest01" nie jest użytkownikiem firmy Microsoft Entra; zwraca pusty wynik.
9 maja 23:49:43 ubuntu1804 sshd[3909]: Zaakceptowano publicznie dla localusertest01 z portu 192.168.0.15 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9 maja 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sesja otwarta dla użytkownika localusertest01 przez (uid=0).
Możesz ustawić zasady dla logowania maszyn wirtualnych z systemem LINUX oraz wykrywać i flagować maszyny wirtualne z systemem Linux, które nie zostały dodane zatwierdzone konta lokalne. Aby dowiedzieć się więcej, zobacz korzystanie z usługi Azure Policy w celu zapewnienia standardów i oceny zgodności.
Logowania microsoft Entra dla systemu Windows Server
Logowanie microsoft Entra dla systemu Windows umożliwia organizacji logowanie się do maszyn wirtualnych z systemem Windows 2019 i nowszych platformy Azure przy użyciu kont Microsoft Entra za pośrednictwem protokołu RDP (Remote Desktop Protocol).
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Logowanie do konta spoza usługi Azure AD, szczególnie za pośrednictwem protokołu RDP | Wys. | Dzienniki zdarzeń systemu Windows Server | Logowanie interakcyjne do maszyny wirtualnej z systemem Windows | Zdarzenie 528, typ logowania 10 (RemoteInteractive). Pokazuje, kiedy użytkownik loguje się za pośrednictwem usług terminalowych lub pulpitu zdalnego. |
Następne kroki
Omówienie operacji zabezpieczeń firmy Microsoft Entra
Operacje zabezpieczeń dla kont użytkowników
Operacje zabezpieczeń dla kont konsumentów
Operacje zabezpieczeń dla kont uprzywilejowanych
Operacje zabezpieczeń dla usługi Privileged Identity Management