Operacje zabezpieczeń dla uprzywilejowanych kont w identyfikatorze Entra firmy Microsoft

  • Artykuł

Bezpieczeństwo zasobów biznesowych zależy od integralności uprzywilejowanych kont, które administrowają systemami IT. Cyberataki używają ataków kradzieży poświadczeń i innych środków, aby kierować uprzywilejowane konta i uzyskiwać dostęp do poufnych danych.

Tradycyjnie zabezpieczenia organizacji koncentrowały się na punktach wejścia i wyjścia sieci jako obwodu zabezpieczeń. Jednak aplikacje jako usługa (SaaS) i urządzenia osobiste w Internecie sprawiły, że takie podejście było mniej skuteczne.

Microsoft Entra ID używa tożsamości i zarządzania dostępem (IAM) jako płaszczyzny sterowania. W warstwie tożsamości organizacji użytkownicy przypisani do uprzywilejowanych ról administracyjnych mają kontrolę. Konta używane do uzyskiwania dostępu muszą być chronione, niezależnie od tego, czy środowisko jest lokalne, w chmurze, czy w środowisku hybrydowym.

Całkowicie odpowiadasz za wszystkie warstwy zabezpieczeń dla lokalnego środowiska IT. W przypadku korzystania z usług platformy Azure zapobieganie i reagowanie są wspólnymi obowiązkami firmy Microsoft jako dostawcy usług w chmurze i klientem.

Pliki dziennika do monitorowania

Pliki dziennika używane do badania i monitorowania to:

W witrynie Azure Portal możesz wyświetlić dzienniki inspekcji firmy Microsoft Entra i pobrać je jako pliki wartości rozdzielane przecinkami (CSV) lub JavaScript Object Notation (JSON). Witryna Azure Portal oferuje kilka sposobów integracji dzienników firmy Microsoft z innymi narzędziami, które umożliwiają większą automatyzację monitorowania i zgłaszania alertów:

  • Microsoft Sentinel. Umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa, zapewniając funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

  • Reguły Sigma — Sigma to rozwijający się otwarty standard pisania reguł i szablonów, za pomocą których zautomatyzowane narzędzia do zarządzania mogą służyć do analizowania plików dziennika. Gdzie szablony Sigma istnieją dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.

  • Azure Monitor. Umożliwia automatyczne monitorowanie i alerty różnych warunków. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.

  • Usługa Azure Event Hubs zintegrowana z rozwiązaniem SIEM. Umożliwia wypchnięcie dzienników firmy Microsoft do innych programów SIEM, takich jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji usługi Azure Event Hubs. Aby uzyskać więcej informacji, zobacz Stream Microsoft Entra logs to an Azure event hub (Przesyłanie dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure).

  • Microsoft Defender dla Chmury Apps. Umożliwia odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.

  • Microsoft Graph. Umożliwia eksportowanie danych i używanie programu Microsoft Graph do przeprowadzenia większej analizy. Aby uzyskać więcej informacji, zobacz Zestaw MICROSOFT Graph PowerShell SDK i Ochrona tożsamości Microsoft Entra.

  • Ochrona tożsamości. Generuje trzy kluczowe raporty, których można użyć, aby ułatwić badanie:

    • Ryzykowni użytkownicy. Zawiera informacje o zagrożonych użytkownikach, szczegółowe informacje o wykrywaniu, historii wszystkich ryzykownych logowania i historii ryzyka.

    • Ryzykowne logowania. Zawiera informacje o logowaniu, które mogą wskazywać podejrzane okoliczności. Aby uzyskać więcej informacji na temat badania informacji z tego raportu, zobacz Badanie ryzyka.

    • Wykrywanie ryzyka. Zawiera informacje o innych zagrożeniach wyzwalanych po wykryciu ryzyka i innych odpowiednich informacjach, takich jak lokalizacja logowania i wszelkie szczegóły z Microsoft Defender dla Chmury Apps.

  • Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection w wersji zapoznawczej. Służy do wykrywania ryzyka związanego z tożsamościami obciążeń w zachowaniu logowania i wskaźnikach naruszenia bezpieczeństwa w trybie offline.

Chociaż zniechęcimy do praktyki, uprzywilejowane konta mogą mieć stałe prawa administracyjne. Jeśli zdecydujesz się używać stałych uprawnień, a konto zostanie naruszone, może to mieć silnie negatywny wpływ. Zalecamy określanie priorytetów monitorowania kont uprzywilejowanych i uwzględnianie kont w konfiguracji usługi Privileged Identity Management (PIM). Aby uzyskać więcej informacji na temat usługi PIM, zobacz Rozpoczynanie korzystania z usługi Privileged Identity Management. Zalecamy również zweryfikowanie kont administratorów:

  • Są wymagane.
  • Mieć najmniejsze uprawnienia do wykonywania działań wymagających.
  • Są chronione przy użyciu uwierzytelniania wieloskładnikowego co najmniej.
  • Są uruchamiane z urządzeń stacji roboczej z dostępem uprzywilejowanym (PAW) lub bezpiecznej stacji roboczej administratora (SAW).

W pozostałej części tego artykułu opisano, co zalecamy monitorowanie i zgłaszanie alertów. Artykuł jest zorganizowany według typu zagrożenia. Jeśli istnieją konkretne wstępnie utworzone rozwiązania, łączymy się z nimi po tabeli. W przeciwnym razie możesz tworzyć alerty przy użyciu narzędzi opisanych powyżej.

Ten artykuł zawiera szczegółowe informacje dotyczące ustawiania punktów odniesienia oraz inspekcji logowania i użycia uprzywilejowanych kont. W tym artykule omówiono również narzędzia i zasoby, których można użyć do utrzymania integralności kont uprzywilejowanych. Zawartość jest zorganizowana w następujące tematy:

  • Konta awaryjne "break-glass"
  • Logowanie do konta uprzywilejowanego
  • Zmiany konta uprzywilejowanego
  • Grupy uprzywilejowane
  • Przypisanie uprawnień i podniesienie uprawnień

Konta dostępu awaryjnego

Ważne jest, aby zapobiec przypadkowemu zablokowaniu dzierżawy firmy Microsoft Entra. Możesz ograniczyć efekt przypadkowej blokady, tworząc konta dostępu awaryjnego w organizacji. Konta dostępu awaryjnego są również znane jako konta break-glass, jak w "break glass in case of emergency" wiadomości znalezione na fizycznym sprzęcie bezpieczeństwa, takich jak alarmy pożarowe.

Konta dostępu awaryjnego są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta dostępu awaryjnego są ograniczone do scenariuszy awaryjnych lub break-glass, w których nie można używać normalnych uprzywilejowanych kont. Przykładem jest to, że zasady dostępu warunkowego są nieprawidłowo skonfigurowane i blokuje wszystkie normalne konta administracyjne. Ogranicz użycie konta awaryjnego tylko wtedy, gdy jest to absolutnie konieczne.

Aby uzyskać wskazówki dotyczące działań w nagłych wypadkach, zobacz Secure access practices for administrators in Microsoft Entra ID (Praktyki bezpiecznego dostępu dla administratorów w usłudze Microsoft Entra ID).

Wysyłaj alert o wysokim priorytcie za każdym razem, gdy używane jest konto dostępu awaryjnego.

Odnajdowanie

Ponieważ konta ze szkła break-glass są używane tylko wtedy, gdy wystąpi sytuacja kryzysowa, monitorowanie powinno wykryć brak aktywności konta. Wysyłaj alert o wysokim priorytcie za każdym razem, gdy konto dostępu awaryjnego jest używane lub zmieniane. Dowolne z następujących zdarzeń może wskazywać, że zły aktor próbuje naruszyć bezpieczeństwo środowisk:

  • Logowanie.
  • Zmiana hasła konta.
  • Zmieniono uprawnienia lub role konta.
  • Dodano lub zmieniono metodę poświadczeń lub uwierzytelniania.

Aby uzyskać więcej informacji na temat zarządzania kontami dostępu awaryjnego, zobacz Zarządzanie kontami administratora dostępu awaryjnego w usłudze Microsoft Entra ID. Aby uzyskać szczegółowe informacje na temat tworzenia alertu dla konta awaryjnego, zobacz Tworzenie reguły alertu.

Logowanie do konta uprzywilejowanego

Monitoruj wszystkie działania logowania uprzywilejowanego konta przy użyciu dzienników logowania firmy Microsoft Entra jako źródła danych. Oprócz informacji o powodzeniu logowania i niepowodzeniu dzienniki zawierają następujące szczegóły:

  • Przerwania
  • Urządzenie
  • Lokalizacja
  • Ryzyko
  • Aplikacja
  • Data i godzina
  • Czy konto jest wyłączone
  • Blokady
  • Oszustwa uwierzytelniania wieloskładnikowego
  • Niepowodzenie dostępu warunkowego

Rzeczy do monitorowania

Zdarzenia logowania uprzywilejowanego konta można monitorować w dziennikach logowania firmy Microsoft Entra. Prześlij alert i zbadaj następujące zdarzenia dla kont uprzywilejowanych.

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Niepowodzenie logowania, nieprawidłowy próg hasła Maksimum Dziennik logowania firmy Microsoft Entra Stan = niepowodzenie
— i —
kod błędu = 50126		 Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasuj je do zachowań organizacji oraz ogranicz generowanie fałszywych alertów.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Niepowodzenie z powodu wymagania dostępu warunkowego Maksimum Dziennik logowania firmy Microsoft Entra Stan = niepowodzenie
— i —
kod błędu = 53003
— i —
Przyczyna błędu = Zablokowana przez dostęp warunkowy		 To zdarzenie może wskazywać, że osoba atakująca próbuje dostać się na konto.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Uprzywilejowane konta, które nie są zgodne z zasadami nazewnictwa Subskrypcja platformy Azure Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal Wyświetlanie listy przypisań ról dla subskrypcji i alertów, w których nazwa logowania nie jest zgodna z formatem organizacji. Przykładem jest użycie ADM_ jako prefiksu.
Przerwania Wysoki, średni Microsoft Entra Sign-ins Stan = przerwane
— i —
kod błędu = 50074
— i —
Przyczyna błędu : wymagane silne uwierzytelnianie
Stan = przerwane
— i —
Kod błędu = 500121
Przyczyna niepowodzenia = Uwierzytelnianie nie powiodło się podczas silnego żądania uwierzytelniania		 To zdarzenie może wskazywać, że osoba atakująca ma hasło do konta, ale nie może przekazać zadania uwierzytelniania wieloskładnikowego.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Uprzywilejowane konta, które nie są zgodne z zasadami nazewnictwa Maksimum Katalog Microsoft Entra Wyświetlanie listy przypisań ról w usłudze Microsoft Entra Wyświetlanie listy przypisań ról dla ról i alertów firmy Microsoft, w których nazwa UPN nie jest zgodna z formatem organizacji. Przykładem jest użycie ADM_ jako prefiksu.
Odnajdywanie kont uprzywilejowanych niezarejestrowanych na potrzeby uwierzytelniania wieloskładnikowego Maksimum Interfejsu API programu Microsoft Graph Kwerenda isMFARegistered eq false dla kont administratorów. Wyświetlanie poświadczeńUserRegistrationDetails — Microsoft Graph beta Przeprowadź inspekcję i zbadaj, czy zdarzenie jest zamierzone, czy nadzoru.
Blokada konta Maksimum Dziennik logowania firmy Microsoft Entra Stan = niepowodzenie
— i —
kod błędu = 50053		 Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasuj je do swoich zachowań organizacyjnych oraz ograniczaj generowanie fałszywych alertów.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Konto jest wyłączone lub zablokowane na potrzeby logowania Minimum Dziennik logowania firmy Microsoft Entra Stan = niepowodzenie
— i —
Target = nazwa UPN użytkownika
— i —
kod błędu = 50057		 To zdarzenie może wskazywać, że ktoś próbuje uzyskać dostęp do konta po opuszczeniu organizacji. Mimo że konto jest zablokowane, nadal ważne jest rejestrowanie i zgłaszanie alertów dotyczących tego działania.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Alert o oszustwie lub blokuj uwierzytelnianie wieloskładnikowe Maksimum Dziennik logowania firmy Microsoft/Azure Log Analytics Szczegóły uwierzytelniania logowania>Szczegóły wyników = odmowa uwierzytelniania wieloskładnikowego, wprowadzony kod oszustwa Użytkownik uprzywilejowany wskazał, że nie podżegał do monitu uwierzytelniania wieloskładnikowego, co może wskazywać, że osoba atakująca ma hasło do konta.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Alert o oszustwie lub blokuj uwierzytelnianie wieloskładnikowe Maksimum Dziennik inspekcji firmy Microsoft/Azure Log Analytics Typ działania = Zgłoszone oszustwa — użytkownik jest zablokowany w przypadku zgłoszonej uwierzytelniania wieloskładnikowego lub oszustwa — brak podejmowania akcji (na podstawie ustawień na poziomie dzierżawy dla raportu o oszustwie) Użytkownik uprzywilejowany wskazał, że nie podżegał do monitu uwierzytelniania wieloskładnikowego, co może wskazywać, że osoba atakująca ma hasło do konta.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Logowania konta uprzywilejowanego poza oczekiwanymi kontrolkami Dziennik logowania firmy Microsoft Entra Stan = niepowodzenie
UserPricipalName = <konto Administracja>
Lokalizacja = <niezatwierdzona lokalizacja>
Adres IP = <niezatwierdzony adres IP>
Informacje o urządzeniu = <niezatwierdzona przeglądarka, system operacyjny>		 Monitoruj i alerty dotyczące wszystkich wpisów zdefiniowanych jako niezatwierdzone.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Poza normalnymi godzinami logowania Maksimum Dziennik logowania firmy Microsoft Entra Stan = powodzenie
— i —
Lokalizacja =
— i —
Czas = poza godzinami pracy		 Monitoruj i ostrzegaj, czy logowania występują poza oczekiwanymi godzinami. Ważne jest, aby znaleźć normalny wzorzec pracy dla każdego uprzywilejowanego konta i ostrzegać, jeśli nie ma zaplanowanych zmian poza normalnymi godzinami pracy. Logowania poza normalnymi godzinami pracy mogą wskazywać na naruszenie zabezpieczeń lub możliwe zagrożenia wewnętrzne.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Ryzyko związane z ochroną tożsamości Maksimum Dzienniki usługi Identity Protection Stan ryzyka = Ryzyko
— i —
Poziom ryzyka = niski, średni, wysoki
— i —
Działanie = nieznane logowanie/tor itd.		 To zdarzenie wskazuje, że wykryto pewne nieprawidłowości podczas logowania do konta i powinno zostać wyświetlone alerty.
Zmiana hasła Maksimum Dzienniki inspekcji usługi Microsoft Entra Aktor działania = Administracja/samoobsługa
— i —
Target = Użytkownik
— i —
Stan = powodzenie lub niepowodzenie		 Alert dotyczący wszelkich zmian haseł konta administratora, zwłaszcza dla administratorów globalnych, administratorów użytkowników, administratorów subskrypcji i kont dostępu awaryjnego. Napisz zapytanie przeznaczone dla wszystkich uprzywilejowanych kont.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Zmiana w starszym protokole uwierzytelniania Maksimum Dziennik logowania firmy Microsoft Entra Aplikacja kliencka = inny klient, IMAP, POP3, MAPI, SMTP itd.
— i —
Nazwa użytkownika = nazwa UPN
— i —
Aplikacja = Exchange (przykład)		 Wiele ataków używa starszego uwierzytelniania, więc jeśli dla użytkownika nastąpiła zmiana protokołu uwierzytelniania, może to być wskazaniem ataku.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Nowe urządzenie lub lokalizacja Maksimum Dziennik logowania firmy Microsoft Entra Informacje o urządzeniu = identyfikator urządzenia
— i —
Przeglądarka
— i —
System operacyjny
— i —
Zgodne/zarządzane
— i —
Target = Użytkownik
— i —
Lokalizacja		 Większość działań administracyjnych powinna pochodzić z urządzeń z dostępem uprzywilejowanym z ograniczonej liczby lokalizacji. Z tego powodu alerty dotyczące nowych urządzeń lub lokalizacji.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Zmieniono ustawienie alertu inspekcji Maksimum Dzienniki inspekcji usługi Microsoft Entra Usługa = PIM
— i —
Kategoria = zarządzanie rolami
— i —
Działanie = Wyłączanie alertu PIM
— i —
Stan = powodzenie		 Zmiany w podstawowym alercie powinny być powiadamiane, jeśli nie jest to nieoczekiwane.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Administracja istratory uwierzytelniające się w innych dzierżawach firmy Microsoft Entra Średnia Dziennik logowania firmy Microsoft Entra Stan = powodzenie

Identyfikator dzierżawy zasobu != identyfikator dzierżawy głównej		 W przypadku użytkowników uprzywilejowanych ten monitor wykrywa, kiedy administrator pomyślnie uwierzytelnił się w innej dzierżawie firmy Microsoft Entra przy użyciu tożsamości w dzierżawie organizacji.

Alert, jeśli identyfikator dzierżawy zasobu nie jest równy identyfikatorowi dzierżawy głównej
Szablon usługi Microsoft Sentinel

Reguły Sigma
Administracja Stan użytkownika został zmieniony z Gość na Członek Średnia Dzienniki inspekcji usługi Microsoft Entra Działanie: Aktualizowanie użytkownika

Kategoria: UserManagement

Typ użytkownika został zmieniony z Gość na Członek		 Monitoruj i ostrzegaj o zmianie typu użytkownika z gościa na członka.

Czy ta zmiana była oczekiwana?
Szablon usługi Microsoft Sentinel

Reguły Sigma
Użytkownicy-goście zaproszeni do dzierżawy przez niezatwierdzonych osób zapraszających Średnia Dzienniki inspekcji usługi Microsoft Entra Działanie: Zapraszanie użytkownika zewnętrznego

Kategoria: UserManagement

Zainicjowane przez (aktor): główna nazwa użytkownika		 Monitorowanie i zgłaszanie alertów dla niezatwierdzonych podmiotów zapraszania użytkowników zewnętrznych.
Szablon usługi Microsoft Sentinel

Reguły Sigma

Zmiany według kont uprzywilejowanych

Monitoruj wszystkie ukończone i podjęto próby wprowadzenia zmian przez uprzywilejowane konto. Te dane umożliwiają ustalenie normalnego działania dla każdego uprzywilejowanego konta i alerty dotyczące działań, które odbiegają od oczekiwanej wartości. Dzienniki inspekcji firmy Microsoft Entra są używane do rejestrowania tego typu zdarzenia. Aby uzyskać więcej informacji na temat dzienników inspekcji firmy Microsoft Entra, zobacz Dzienniki inspekcji w usłudze Microsoft Entra ID.

Usługi domenowe Microsoft Entra

Uprzywilejowane konta, które zostały przypisane uprawnienia w usługach Microsoft Entra Domain Services, mogą wykonywać zadania dla usług Microsoft Entra Domain Services, które mają wpływ na stan zabezpieczeń maszyn wirtualnych hostowanych na platformie Azure korzystających z usług Microsoft Entra Domain Services. Włącz inspekcje zabezpieczeń na maszynach wirtualnych i monitoruj dzienniki. Aby uzyskać więcej informacji na temat włączania inspekcji usług Microsoft Entra Domain Services i listy poufnych uprawnień, zobacz następujące zasoby:

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Podjęto próbę i ukończono zmiany Maksimum Dzienniki inspekcji usługi Microsoft Entra Data i godzina
— i —
Usługa
— i —
Kategoria i nazwa działania (co)
— i —
Stan = powodzenie lub niepowodzenie
— i —
Obiekt docelowy
— i —
Inicjator lub aktor (kto)		 Wszelkie nieplanowane zmiany powinny być natychmiast powiadamiane. Te dzienniki powinny być przechowywane, aby ułatwić badanie. Wszelkie zmiany na poziomie dzierżawy należy zbadać natychmiast (połączyć się z dokumentem infra), aby obniżyć stan zabezpieczeń dzierżawy. Przykładem jest wykluczenie kont z uwierzytelniania wieloskładnikowego lub dostępu warunkowego. Alert dotyczący wszelkich dodatków lub zmian w aplikacjach. Zobacz Przewodnik po operacjach zabezpieczeń usługi Microsoft Entra dla aplikacji.
Przykład
Podjęto próbę lub ukończono zmianę w aplikacjach lub usługach o wysokiej wartości		 Maksimum Dziennik inspekcji Usługa
— i —
Kategoria i nazwa działania		 Data i godzina, Usługa, Kategoria i nazwa działania, Stan = Powodzenie lub niepowodzenie, Cel, Inicjator lub aktor (kto)
Zmiany uprzywilejowane w usługach Microsoft Entra Domain Services Maksimum Usługi domenowe Microsoft Entra Poszukaj zdarzenia 4673 Włączanie inspekcji zabezpieczeń dla usług Microsoft Entra Domain Services
Aby uzyskać listę wszystkich zdarzeń uprzywilejowanych, zobacz Inspekcja poufnego użycia uprawnień.

Zmiany w kontach uprzywilejowanych

Zbadaj zmiany w regułach i uprawnieniach uwierzytelniania uprzywilejowanych kont, zwłaszcza jeśli zmiana zapewnia większe uprawnienia lub możliwość wykonywania zadań w środowisku Microsoft Entra.

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Tworzenie uprzywilejowanego konta Średnia Dzienniki inspekcji usługi Microsoft Entra Usługa = katalog podstawowy
— i —
Kategoria = Zarządzanie użytkownikami
— i —
Typ działania = Dodaj użytkownika
-koreluj z-
Typ kategorii = zarządzanie rolami
— i —
Typ działania = Dodawanie elementu członkowskiego do roli
— i —
Zmodyfikowane właściwości = Role.DisplayName		 Monitorowanie tworzenia kont uprzywilejowanych. Poszukaj korelacji, która ma krótki przedział czasu między tworzeniem i usuwaniem kont.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Zmiany metod uwierzytelniania Maksimum Dzienniki inspekcji usługi Microsoft Entra Service = Metoda uwierzytelniania
— i —
Typ działania = Informacje o zabezpieczeniach zarejestrowane przez użytkownika
— i —
Kategoria = Zarządzanie użytkownikami		 Ta zmiana może wskazywać, że osoba atakująca dodała metodę uwierzytelniania do konta, aby mogła mieć stały dostęp.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Alert dotyczący zmian uprawnień uprzywilejowanego konta Maksimum Dzienniki inspekcji usługi Microsoft Entra Kategoria = zarządzanie rolami
— i —
Typ działania = Dodaj uprawniony element członkowski (stały)
— lub —
Typ działania = Dodaj kwalifikującego się członka (kwalifikującego się)
— i —
Stan = powodzenie lub niepowodzenie
— i —
Zmodyfikowane właściwości = Role.DisplayName		 Ten alert dotyczy zwłaszcza kont przypisanych ról, które nie są znane lub wykraczają poza ich normalne obowiązki.

Reguły Sigma
Nieużywane konta uprzywilejowane Średnia Przeglądy dostępu firmy Microsoft Entra Przeprowadzanie miesięcznego przeglądu dla nieaktywnych kont uprzywilejowanych użytkowników.
Reguły Sigma
Konta wykluczone z dostępu warunkowego Maksimum Dzienniki usługi Azure Monitor
— lub —
Przeglądy dostępu		 Dostęp warunkowy = Szczegółowe informacje i raportowanie Każde konto wykluczone z dostępu warunkowego najprawdopodobniej pomija mechanizmy kontroli zabezpieczeń i jest bardziej narażone na naruszenie zabezpieczeń. Konta ze szkła break-glass są zwolnione. Zapoznaj się z informacjami na temat monitorowania kont z break-glass w dalszej części tego artykułu.
Dodawanie dostępu tymczasowego dostępu do konta uprzywilejowanego Maksimum Dzienniki inspekcji usługi Microsoft Entra Działanie: Administracja zarejestrowanych informacji zabezpieczających

Przyczyna stanu: Administracja zarejestrowanej tymczasowej metody przekazywania dostępu dla użytkownika

Kategoria: UserManagement

Zainicjowane przez (aktor): główna nazwa użytkownika

Element docelowy: główna nazwa użytkownika		 Monitoruj i alerty dotyczące tymczasowego dostępu przekazywanego tworzonego dla uprzywilejowanego użytkownika.
Szablon usługi Microsoft Sentinel

Reguły Sigma

Aby uzyskać więcej informacji na temat monitorowania wyjątków zasad dostępu warunkowego, zobacz Szczegółowe informacje i raportowanie dostępu warunkowego.

Aby uzyskać więcej informacji na temat odnajdywania nieużywanych kont uprzywilejowanych, zobacz Tworzenie przeglądu dostępu ról usługi Microsoft Entra w usłudze Privileged Identity Management.

Przypisanie i podniesienie uprawnień

Posiadanie uprzywilejowanych kont, które są trwale aprowizowane z podwyższonym poziomem uprawnień, może zwiększyć obszar ataków i ryzyko dla granicy zabezpieczeń. Zamiast tego należy stosować dostęp just in time przy użyciu procedury podniesienia uprawnień. Ten typ systemu umożliwia przypisywanie uprawnień do ról uprzywilejowanych. Administracja podnieść ich uprawnienia do tych ról tylko wtedy, gdy wykonują zadania, które wymagają tych uprawnień. Korzystanie z procesu podniesienia uprawnień umożliwia monitorowanie podniesienia uprawnień i nieużywanych kont uprzywilejowanych.

Ustanawianie punktu odniesienia

Aby monitorować wyjątki, należy najpierw utworzyć punkt odniesienia. Określ następujące informacje dotyczące tych elementów

  • konta Administracja

    • Strategia uprzywilejowanego konta
    • Używanie kont lokalnych do administrowania zasobami lokalnymi
    • Używanie kont opartych na chmurze do administrowania zasobami opartymi na chmurze
    • Podejście do oddzielania i monitorowania uprawnień administracyjnych dla zasobów lokalnych i w chmurze

  • Ochrona ról uprzywilejowanych

    • Strategia ochrony ról z uprawnieniami administracyjnymi
    • Zasady organizacyjne dotyczące używania kont uprzywilejowanych
    • Strategia i zasady dotyczące utrzymywania stałych uprawnień w porównaniu z zapewnieniem dostępu ograniczonego czasowo i zatwierdzonego

Następujące pojęcia i informacje pomagają określić zasady:

  • Zasady administratora just in time. Użyj dzienników firmy Microsoft Entra, aby przechwycić informacje dotyczące wykonywania zadań administracyjnych, które są wspólne w danym środowisku. Określ typowy czas potrzebny do wykonania zadań.
  • Wystarczy zasady administratora. Określ rolę o najniższych uprawnieniach, która może być rolą niestandardową, która jest wymagana dla zadań administracyjnych. Aby uzyskać więcej informacji, zobacz Najmniej uprzywilejowane role według zadania w usłudze Microsoft Entra ID.
  • Ustanów zasady podniesienia uprawnień. Po zapoznaniu się z wymaganym typem podwyższonego poziomu uprawnień i tym, jak długo jest potrzebny dla każdego zadania, utwórz zasady odzwierciedlające podwyższone użycie uprzywilejowane dla danego środowiska. Na przykład zdefiniuj zasady w celu ograniczenia dostępu globalnego Administracja istratora do jednej godziny.

Po ustanowieniu planu bazowego i ustawieniu zasad można skonfigurować monitorowanie w celu wykrywania i zgłaszania alertów użycia poza zasadami.

Odnajdowanie

Zwróć szczególną uwagę na zmiany przypisania i podniesienia uprawnień oraz zbadaj je.

Rzeczy do monitorowania

Zmiany kont uprzywilejowanych można monitorować przy użyciu dzienników inspekcji firmy Microsoft Entra i dzienników usługi Azure Monitor. Uwzględnij następujące zmiany w procesie monitorowania.

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Dodano do kwalifikującej się roli uprzywilejowanej Maksimum Dzienniki inspekcji usługi Microsoft Entra Usługa = PIM
— i —
Kategoria = zarządzanie rolami
— i —
Typ działania = Dodaj członka do ukończonej roli (kwalifikującej się)
— i —
Stan = powodzenie lub niepowodzenie
— i —
Zmodyfikowane właściwości = Role.DisplayName		 Każde konto kwalifikujące się do roli ma teraz dostęp uprzywilejowany. Jeśli przypisanie jest nieoczekiwane lub do roli, która nie jest obowiązkiem właściciela konta, zbadaj.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Role przypisane poza usługą PIM Maksimum Dzienniki inspekcji usługi Microsoft Entra Usługa = PIM
— i —
Kategoria = zarządzanie rolami
— i —
Typ działania = Dodawanie elementu członkowskiego do roli (stałej)
— i —
Stan = powodzenie lub niepowodzenie
— i —
Zmodyfikowane właściwości = Role.DisplayName		 Te role powinny być ściśle monitorowane i powiadamiane. Jeśli to możliwe, użytkownicy nie powinni mieć przypisanych ról poza usługą PIM.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Elewacje Średnia Dzienniki inspekcji usługi Microsoft Entra Usługa = PIM
— i —
Kategoria = zarządzanie rolami
— i —
Typ działania = Dodawanie elementu członkowskiego do roli ukończonej (aktywacja usługi PIM)
— i —
Stan = powodzenie lub niepowodzenie
— i —
Zmodyfikowane właściwości = Role.DisplayName		 Po podwyższeniu poziomu uprawnień konta można teraz wprowadzać zmiany, które mogą mieć wpływ na bezpieczeństwo dzierżawy. Wszystkie podniesienia uprawnień powinny być rejestrowane i, jeśli wystąpi poza standardowym wzorcem dla tego użytkownika, należy otrzymywać alerty i badać je, jeśli nie jest to planowane.
Zatwierdzenia i odmów podniesienia uprawnień Minimum Dzienniki inspekcji usługi Microsoft Entra Usługa = Przegląd dostępu
— i —
Kategoria = UserManagement
— i —
Typ działania = Żądanie zatwierdzone lub odrzucone
— i —
Zainicjowany aktor = NAZWA UPN		 Monitoruj wszystkie podniesienia uprawnień, ponieważ może to jasno wskazywać oś czasu ataku.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Zmiany ustawień usługi PIM Maksimum Dzienniki inspekcji usługi Microsoft Entra Usługa = PIM
— i —
Kategoria = zarządzanie rolami
— i —
Typ działania = Aktualizowanie ustawienia roli w usłudze PIM
— i —
Przyczyna stanu = uwierzytelnianie wieloskładnikowe w przypadku wyłączenia aktywacji (przykład)		 Jedna z tych akcji może zmniejszyć bezpieczeństwo podniesienia uprawnień usługi PIM i ułatwić osobom atakującym uzyskanie uprzywilejowanego konta.
Szablon usługi Microsoft Sentinel

Reguły Sigma
Podniesienie uprawnień nie występuje w usłudze SAW/PAW Maksimum Dzienniki logowania w usłudze Microsoft Entra Identyfikator urządzenia
— i —
Przeglądarka
— i —
System operacyjny
— i —
Zgodne/zarządzane
Skoreluj z:
Usługa = PIM
— i —
Kategoria = zarządzanie rolami
— i —
Typ działania = Dodawanie elementu członkowskiego do roli ukończonej (aktywacja usługi PIM)
— i —
Stan = powodzenie lub niepowodzenie
— i —
Zmodyfikowane właściwości = Role.DisplayName		 Jeśli ta zmiana jest skonfigurowana, wszelkie próby podniesienia poziomu na urządzeniu innym niż PAW/SAW powinny być badane natychmiast, ponieważ może to wskazywać, że osoba atakująca próbuje użyć konta.
Reguły Sigma
Podniesienie uprawnień do zarządzania wszystkimi subskrypcjami platformy Azure Maksimum Azure Monitor Karta Dziennik aktywności
Karta Działanie katalogu
Nazwa operacji = przypisuje obiekt wywołujący do administratora dostępu użytkownika
-I-
Kategoria zdarzeń = Administracja istrative
— i —
Stan = Powodzenie, uruchomienie, niepowodzenie
— i —
Zdarzenie zainicjowane przez		 Ta zmiana powinna być badana natychmiast, jeśli nie jest planowana. To ustawienie może zezwalać atakującemu na dostęp do subskrypcji platformy Azure w danym środowisku.

Aby uzyskać więcej informacji na temat zarządzania podniesieniem uprawnień, zobacz Podnoszenie poziomu dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania. Aby uzyskać informacje na temat monitorowania podniesienia uprawnień przy użyciu informacji dostępnych w dziennikach firmy Microsoft Entra, zobacz Dziennik aktywności platformy Azure, który jest częścią dokumentacji usługi Azure Monitor.

Aby uzyskać informacje na temat konfigurowania alertów dla ról platformy Azure, zobacz Konfigurowanie alertów zabezpieczeń dla ról zasobów platformy Azure w usłudze Privileged Identity Management.

Następne kroki

Zapoznaj się z następującymi artykułami w przewodniku po operacjach zabezpieczeń:

Omówienie operacji zabezpieczeń firmy Microsoft Entra

Operacje zabezpieczeń dla kont użytkowników

Operacje zabezpieczeń dla kont konsumentów

Operacje zabezpieczeń dla usługi Privileged Identity Management

Operacje zabezpieczeń dla aplikacji

Operacje zabezpieczeń dla urządzeń

Operacje zabezpieczeń dla infrastruktury