Przewodnik dotyczący operacji zabezpieczeń usługi Azure Active Directory

Firma Microsoft ma udane i sprawdzone podejście do Zero Trust zabezpieczeń przy użyciu zasad ochrony w głębi systemu, które używają tożsamości jako płaszczyzny sterowania. Organizacje nadal przyjmują hybrydowy świat obciążeń na potrzeby skalowania, oszczędności kosztów i zabezpieczeń. Usługa Azure Active Directory (Azure AD) odgrywa kluczową rolę w strategii zarządzania tożsamościami. Ostatnio wiadomości dotyczące naruszenia bezpieczeństwa i tożsamości coraz częściej skłoniły przedsiębiorstwa IT do rozważenia stanu zabezpieczeń tożsamości jako miary sukcesu w zakresie bezpieczeństwa obronnego.

Coraz częściej organizacje muszą korzystać z kombinacji aplikacji lokalnych i w chmurze, do których użytkownicy uzyskują dostęp zarówno na kontach lokalnych, jak i tylko w chmurze. Zarządzanie użytkownikami, aplikacjami i urządzeniami zarówno lokalnie, jak i w chmurze stanowi trudne scenariusze.

Tożsamość hybrydowa

Usługa Azure Active Directory tworzy wspólną tożsamość użytkownika na potrzeby uwierzytelniania i autoryzacji dla wszystkich zasobów, niezależnie od lokalizacji. Nazywamy tę tożsamość hybrydową.

Aby osiągnąć tożsamość hybrydową za pomocą Azure AD, można użyć jednej z trzech metod uwierzytelniania, w zależności od scenariuszy. Te trzy metody to:

Podczas inspekcji bieżących operacji zabezpieczeń lub ustanawiania operacji zabezpieczeń dla środowiska platformy Azure zalecamy:

  • Przeczytaj konkretne części wskazówek dotyczących zabezpieczeń firmy Microsoft, aby ustanowić punkt odniesienia wiedzy na temat zabezpieczania środowiska platformy Azure opartego na chmurze lub hybrydowego.
  • Przeprowadź inspekcję strategii konta i haseł oraz metod uwierzytelniania, aby ułatwić odstraszanie najbardziej typowych wektorów ataków.
  • Utwórz strategię ciągłego monitorowania i zgłaszania alertów dotyczących działań, które mogą wskazywać na zagrożenie bezpieczeństwa.

Grupy odbiorców

Przewodnik Azure AD SecOps jest przeznaczony dla zespołów ds. obsługi tożsamości i zabezpieczeń przedsiębiorstwa oraz zarządzanych dostawców usług, którzy muszą przeciwdziałać zagrożeniom dzięki lepszej konfiguracji zabezpieczeń tożsamości i profilom monitorowania. Ten przewodnik jest szczególnie istotny dla administratorów IT i architektów tożsamości doradzających zespołom ds. testów obronnych i penetracyjnych usługi Security Operations Center (SOC) w celu poprawy i utrzymania stanu zabezpieczeń tożsamości.

Zakres

To wprowadzenie zawiera sugerowane zalecenia dotyczące wstępnego odczytywania i inspekcji haseł oraz strategii. Ten artykuł zawiera również omówienie narzędzi dostępnych dla hybrydowych środowisk platformy Azure i w pełni opartych na chmurze środowisk platformy Azure. Na koniec udostępniamy listę źródeł danych, których można użyć do monitorowania i zgłaszania alertów oraz konfigurowania strategii i środowiska zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Pozostałe wskazówki przedstawiają strategie monitorowania i zgłaszania alertów w następujących obszarach:

  • Konta użytkowników. Wskazówki specyficzne dla kont użytkowników niebędących uprzywilejowanymi bez uprawnień administracyjnych, w tym nietypowe tworzenie i użycie konta oraz nietypowe logowania.

  • Konta uprzywilejowane. Wskazówki specyficzne dla uprzywilejowanych kont użytkowników z podwyższonym poziomem uprawnień do wykonywania zadań administracyjnych. Zadania obejmują Azure AD przypisań ról, przypisań ról zasobów platformy Azure oraz zarządzanie dostępem dla zasobów i subskrypcji platformy Azure.

  • Privileged Identity Management (PIM). Wskazówki dotyczące używania usługi PIM do zarządzania, kontrolowania i monitorowania dostępu do zasobów.

  • Aplikacje. Wskazówki dotyczące kont używanych do uwierzytelniania aplikacji.

  • Urządzenia. Wskazówki dotyczące monitorowania i zgłaszania alertów dla urządzeń zarejestrowanych lub przyłączonych poza zasadami, niezgodnego użycia, zarządzania rolami administrowania urządzeniami i logowania do maszyn wirtualnych.

  • Infrastruktura. Wskazówki specyficzne dla monitorowania i zgłaszania alertów dotyczących zagrożeń w środowiskach hybrydowych i czysto opartych na chmurze.

Ważna zawartość referencyjna

Firma Microsoft oferuje wiele produktów i usług, które umożliwiają dostosowanie środowiska IT do własnych potrzeb. Zalecamy zapoznanie się z następującymi wskazówkami dotyczącymi środowiska operacyjnego:

Źródła danych

Pliki dziennika używane do badania i monitorowania to:

W Azure Portal można wyświetlić dzienniki inspekcji Azure AD. Pobierz dzienniki jako pliki z wartościami rozdzielaną przecinkami (CSV) lub JavaScript Object Notation (JSON). Azure Portal oferuje kilka sposobów integracji dzienników Azure AD z innymi narzędziami, które umożliwiają większą automatyzację monitorowania i zgłaszania alertów:

  • Microsoft Sentinel — umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa, zapewniając możliwości zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

  • Sigma rules - Sigma to ewoluujący otwarty standard pisania reguł i szablonów, których zautomatyzowane narzędzia do zarządzania mogą używać do analizowania plików dziennika. W przypadku, gdy szablony Sigma istnieją dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.

  • Azure Monitor — umożliwia automatyczne monitorowanie i zgłaszanie alertów o różnych warunkach. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.

  • Azure Event Hubs zintegrowane z rozwiązaniem SIEM. Azure AD dzienniki można zintegrować z innymi rozwiązaniami SIEM, takimi jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji Azure Event Hubs. Aby uzyskać więcej informacji, zobacz Przesyłanie strumieniowe dzienników usługi Azure Active Directory do centrum zdarzeń platformy Azure.

  • Microsoft Defender for Cloud Apps — umożliwia odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.

  • Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection w wersji zapoznawczej — służy do wykrywania ryzyka związanego z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia zabezpieczeń w trybie offline.

Większość czynności, które będziesz monitorować i ostrzegać, to wpływ zasad dostępu warunkowego. Możesz użyć skoroszytu szczegółowego dostępu warunkowego i raportowania, aby sprawdzić wpływ co najmniej jednej zasady dostępu warunkowego na logowania i wyniki zasad, w tym stanu urządzenia. Ten skoroszyt umożliwia wyświetlenie podsumowania wpływu i zidentyfikowanie wpływu w określonym przedziale czasu. Możesz również użyć skoroszytu, aby zbadać logowania określonego użytkownika. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje i raportowanie dostępu warunkowego.

W pozostałej części tego artykułu opisano, co należy monitorować i otrzymywać alerty. W przypadku określonych wstępnie utworzonych rozwiązań łączymy się z nimi lub udostępniamy przykłady poniżej tabeli. W przeciwnym razie możesz tworzyć alerty przy użyciu powyższych narzędzi.

  • Usługa Identity Protection generuje trzy kluczowe raporty, których można użyć do ułatwienia badania:

  • Ryzykowni użytkownicy zawierają informacje o tym, którzy użytkownicy są zagrożeni, szczegółowe informacje o wykrywaniu, historii wszystkich ryzykownych logowaniu i historii ryzyka.

  • Ryzykowne logowania zawierają informacje dotyczące okoliczności logowania, które mogą wskazywać na podejrzane okoliczności. Aby uzyskać więcej informacji na temat badania informacji z tego raportu, zobacz How To: Investigate risk (Instrukcje: badanie ryzyka).

  • Wykrywanie ryzyka zawiera informacje na temat sygnałów ryzyka wykrytych przez usługę Azure AD Identity Protection, która informuje o ryzyku logowania i użytkownika. Aby uzyskać więcej informacji, zobacz przewodnik dotyczący operacji zabezpieczeń Azure AD dla kont użytkowników.

Aby uzyskać więcej informacji, zobacz Co to jest usługa Identity Protection.

Źródła danych monitorowania kontrolera domeny

Aby uzyskać najlepsze wyniki, zalecamy monitorowanie kontrolerów domeny przy użyciu Microsoft Defender for Identity. Takie podejście umożliwia najlepsze możliwości wykrywania i automatyzacji. Postępuj zgodnie ze wskazówkami z tych zasobów:

Jeśli nie planujesz używania Microsoft Defender for Identity, monitoruj kontrolery domeny przy użyciu jednego z następujących metod:

Składniki uwierzytelniania hybrydowego

W ramach środowiska hybrydowego platformy Azure następujące elementy powinny być według planu bazowego i uwzględnione w strategii monitorowania i zgłaszania alertów.

Składniki uwierzytelniania opartego na chmurze

W ramach środowiska opartego na chmurze platformy Azure następujące elementy powinny być punktami odniesienia i uwzględnione w strategii monitorowania i zgłaszania alertów.

  • Azure AD serwer proxy aplikacji — ta usługa w chmurze zapewnia bezpieczny dostęp zdalny do lokalnych aplikacji internetowych. Aby uzyskać więcej informacji, zobacz Dostęp zdalny do aplikacji lokalnych za pośrednictwem Azure AD serwer proxy aplikacji.

  • Azure AD Connect — usługi używane na potrzeby rozwiązania Azure AD Connect. Aby uzyskać więcej informacji, zobacz Co to jest Azure AD Connect.

  • Azure AD Connect Health — usługa Service Health udostępnia dostosowywalny pulpit nawigacyjny, który śledzi kondycję usług platformy Azure w regionach, w których są używane. Aby uzyskać więcej informacji, zobacz Azure AD Connect Health.

  • Azure AD uwierzytelnianie wieloskładnikowe — uwierzytelnianie wieloskładnikowe wymaga od użytkownika podania więcej niż jednej formy weryfikacji uwierzytelniania. Takie podejście może zapewnić proaktywny pierwszy krok w celu zabezpieczenia środowiska. Aby uzyskać więcej informacji, zobacz Azure AD uwierzytelnianie wieloskładnikowe.

  • Grupy dynamiczne — dynamiczna konfiguracja członkostwa w grupie zabezpieczeń dla Azure AD Administratorzy mogą ustawiać reguły wypełniania grup utworzonych w Azure AD na podstawie atrybutów użytkownika. Aby uzyskać więcej informacji, zobacz Dynamiczne grupy i współpraca B2B w usłudze Azure Active Directory.

  • Dostęp warunkowy — dostęp warunkowy to narzędzie używane przez usługę Azure Active Directory do łączenia sygnałów, podejmowania decyzji i wymuszania zasad organizacji. Dostęp warunkowy znajduje się w centrum nowej płaszczyzny sterowania sterowanej tożsamością. Aby uzyskać więcej informacji, zobacz Co to jest dostęp warunkowy.

  • Identity Protection — narzędzie, które umożliwia organizacjom automatyzowanie wykrywania i korygowania zagrożeń opartych na tożsamościach, badanie ryzyka przy użyciu danych w portalu i eksportowanie danych wykrywania ryzyka do rozwiązania SIEM. Aby uzyskać więcej informacji, zobacz Co to jest usługa Identity Protection.

  • Licencjonowanie oparte na grupach — licencje można przypisać do grup, a nie bezpośrednio do użytkowników. Usługa Azure AD przechowuje informacje o stanach przypisania licencji dla użytkowników.

  • Provisioning Service — aprowizowanie odnosi się do tworzenia tożsamości użytkowników i ról w aplikacjach w chmurze, do których użytkownicy potrzebują dostępu. Oprócz tworzenia tożsamości użytkowników automatyczna aprowizacja obejmuje konserwację i usuwanie tożsamości użytkowników w miarę zmiany stanu lub ról. Aby uzyskać więcej informacji, zobacz Jak działa aprowizowanie aplikacji w usłudze Azure Active Directory.

  • interfejs Graph API — microsoft interfejs Graph API to internetowy interfejs API RESTful, który umożliwia uzyskiwanie dostępu do zasobów usługi Microsoft Cloud. Po zarejestrowaniu aplikacji i pobraniu tokenów uwierzytelniania dla użytkownika lub usługi możesz wysyłać żądania do interfejs Graph API firmy Microsoft. Aby uzyskać więcej informacji, zobacz Omówienie programu Microsoft Graph.

  • Usługa domenowa — usługa Azure Active Directory Domain Services (AD DS) udostępnia zarządzane usługi domenowe, takie jak przyłączanie do domeny, zasady grupy. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Active Directory Domain Services.

  • Azure Resource Manager — azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Zapewnia warstwę zarządzania, która umożliwia tworzenie, aktualizowanie i usuwanie zasobów na koncie platformy Azure. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Resource Manager.

  • Tożsamość zarządzana — tożsamości zarządzane eliminują potrzebę zarządzania poświadczeniami przez deweloperów. Tożsamości zarządzane zapewniają tożsamość aplikacji do użycia podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie Azure AD. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure.

  • Privileged Identity Management — PIM to usługa w Azure AD, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji. Aby uzyskać więcej informacji, zobacz Co to jest Azure AD Privileged Identity Management.

  • Przeglądy dostępu — Azure AD przeglądy dostępu umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkownika można regularnie przeglądać, aby upewnić się, że tylko odpowiednie osoby mają stały dostęp. Aby uzyskać więcej informacji, zobacz Co to są Azure AD przeglądy dostępu.

  • Zarządzanie upoważnieniami — Azure AD zarządzanie upoważnieniami to funkcja zapewniania ładu tożsamości. Organizacje mogą zarządzać cyklem życia tożsamości i dostępu na dużą skalę, automatyzując przepływy pracy żądań dostępu, przypisania dostępu, przeglądy i wygaśnięcie. Aby uzyskać więcej informacji, zobacz Co to jest Azure AD zarządzanie upoważnieniami.

  • Dzienniki aktywności — dziennik aktywności to dziennik platformy Azure, który zapewnia wgląd w zdarzenia na poziomie subskrypcji. Ten dziennik zawiera takie informacje, jak podczas modyfikowania zasobu lub uruchamiania maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Dziennik aktywności platformy Azure.

  • Samoobsługowa usługa resetowania haseł — Azure AD samoobsługowego resetowania hasła (SSPR) daje użytkownikom możliwość zmiany lub zresetowania hasła. Administrator lub dział pomocy technicznej nie jest wymagany. Aby uzyskać więcej informacji, zobacz Jak to działa: Azure AD samoobsługowego resetowania hasła.

  • Usługi urządzeń — zarządzanie tożsamościami urządzeń jest podstawą dostępu warunkowego opartego na urządzeniach. Dzięki zasadom dostępu warunkowego opartego na urządzeniach można upewnić się, że dostęp do zasobów w środowisku jest możliwy tylko w przypadku zarządzanych urządzeń. Aby uzyskać więcej informacji, zobacz Co to jest tożsamość urządzenia.

  • Samoobsługowe zarządzanie grupami — możesz umożliwić użytkownikom tworzenie własnych grup zabezpieczeń lub grup platformy Microsoft 365 i zarządzanie nimi w Azure AD. Właściciel grupy może zatwierdzać lub odrzucać żądania członkostwa i delegować kontrolę nad członkostwem w grupie. Funkcje samoobsługowego zarządzania grupami nie są dostępne dla grup zabezpieczeń lub list dystrybucyjnych z obsługą poczty. Aby uzyskać więcej informacji, zobacz Konfigurowanie samoobsługowego zarządzania grupami w usłudze Azure Active Directory.

  • Wykrywanie ryzyka — zawiera informacje o innych czynnikach ryzyka wyzwalanych po wykryciu ryzyka i innych istotnych informacjach, takich jak lokalizacja logowania i wszelkie szczegóły z Microsoft Defender for Cloud Apps.

Następne kroki

Zapoznaj się z następującymi artykułami po przewodniku po operacjach zabezpieczeń:

Operacje zabezpieczeń dla kont użytkowników

Operacje zabezpieczeń dla kont użytkowników

Operacje zabezpieczeń dla kont uprzywilejowanych

Operacje zabezpieczeń dla Privileged Identity Management

Operacje zabezpieczeń dla aplikacji

Operacje zabezpieczeń dla urządzeń

Operacje zabezpieczeń dla infrastruktury