Microsoft Entra security operations for user accounts (Operacje zabezpieczeń firmy Microsoft dla kont użytkowników)
Tożsamość użytkownika jest jednym z najważniejszych aspektów ochrony organizacji i danych. Ten artykuł zawiera wskazówki dotyczące monitorowania tworzenia, usuwania i użycia konta. Pierwsza część obejmuje monitorowanie nietypowego tworzenia i usuwania konta. Druga część obejmuje monitorowanie nietypowego użycia konta.
Jeśli nie znasz jeszcze przeglądu operacji zabezpieczeń firmy Microsoft Entra, zalecamy wykonanie tej czynności przed kontynuowaniem.
W tym artykule opisano ogólne konta użytkowników. W przypadku kont uprzywilejowanych zobacz Operacje zabezpieczeń — konta uprzywilejowane.
Definiowanie punktu odniesienia
Aby odkryć nietypowe zachowanie, należy najpierw zdefiniować normalne i oczekiwane zachowanie. Definiowanie oczekiwanego zachowania organizacji pomaga określić, kiedy wystąpi nieoczekiwane zachowanie. Definicja pomaga również zmniejszyć poziom szumu wyników fałszywie dodatnich podczas monitorowania i zgłaszania alertów.
Po zdefiniowaniu oczekiwań należy przeprowadzić monitorowanie linii bazowej w celu zweryfikowania oczekiwań. Dzięki tym informacjom można monitorować dzienniki pod kątem wszystkich elementów, które wykraczają poza zdefiniowane tolerancje.
Użyj dzienników inspekcji firmy Microsoft Entra, dzienników logowania firmy Microsoft i atrybutów katalogu jako źródeł danych dla kont utworzonych poza normalnymi procesami. Poniżej przedstawiono sugestie ułatwiające przemyślenie i zdefiniowanie, co jest normalne dla organizacji.
Tworzenie konta użytkowników — oceń następujące kwestie:
Strategia i zasady dotyczące narzędzi i procesów używanych do tworzenia kont użytkowników i zarządzania nimi. Na przykład istnieją standardowe atrybuty, formaty stosowane do atrybutów konta użytkownika.
Zatwierdzone źródła do tworzenia konta. Na przykład pochodzące z usługi Active Directory (AD), microsoft Entra ID lub systemów HR, takich jak Workday.
Strategia alertów dla kont utworzonych poza zatwierdzonymi źródłami. Czy istnieje kontrolowana lista organizacji, z którymi współpracuje Twoja organizacja?
Aprowizowanie kont gości i parametrów alertów dla kont utworzonych poza zarządzaniem upoważnieniami lub innymi normalnymi procesami.
Parametry strategii i alertu dla kont utworzonych, zmodyfikowanych lub wyłączonych przez konto, które nie jest zatwierdzonym administratorem użytkowników.
Strategia monitorowania i alertów dla kont brak standardowych atrybutów, takich jak identyfikator pracownika lub brak przestrzegania konwencji nazewnictwa organizacji.
Strategia, zasady i proces usuwania i przechowywania kont.
Lokalne konta użytkowników — oceń następujące informacje dotyczące kont zsynchronizowanych z firmą Microsoft Entra Połączenie:
Lasy, domeny i jednostki organizacyjne w zakresie synchronizacji. KtoTo są zatwierdzonymi administratorami, którzy mogą zmienić te ustawienia i jak często sprawdzany jest zakres?
Typy kont, które są synchronizowane. Na przykład konta użytkowników i konta usług.
Proces tworzenia uprzywilejowanych kont lokalnych i sposobu kontrolowania synchronizacji tego typu konta.
Proces tworzenia lokalnych kont użytkowników i sposobu zarządzania synchronizacją tego typu konta.
Aby uzyskać więcej informacji na temat zabezpieczania i monitorowania kont lokalnych, zobacz Ochrona platformy Microsoft 365 przed atakami lokalnymi.
Konta użytkowników w chmurze — oceń następujące kwestie:
Proces aprowizacji kont w chmurze i zarządzania nimi bezpośrednio w usłudze Microsoft Entra ID.
Proces określania typów użytkowników aprowizowania jako kont microsoft Entra w chmurze. Czy na przykład zezwalasz tylko na konta uprzywilejowane, czy też zezwalasz na konta użytkowników?
Proces tworzenia i obsługi listy zaufanych osób i procesów, które powinny tworzyć konta użytkowników w chmurze i zarządzać nimi.
Proces tworzenia i obsługi strategii alertów dla kont opartych na chmurze, które nie zostały zatwierdzone.
Gdzie szukać
Pliki dziennika używane do badania i monitorowania to:
W witrynie Azure Portal możesz wyświetlić dzienniki inspekcji firmy Microsoft Entra i pobrać jako pliki z wartością rozdzielaną przecinkami (CSV) lub JavaScript Object Notation (JSON). Witryna Azure Portal oferuje kilka sposobów integracji dzienników firmy Microsoft z innymi narzędziami, które umożliwiają większą automatyzację monitorowania i zgłaszania alertów:
Microsoft Sentinel — umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa, zapewniając funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Reguły Sigma — Sigma to rozwijający się otwarty standard pisania reguł i szablonów, za pomocą których zautomatyzowane narzędzia do zarządzania mogą służyć do analizowania plików dziennika. Gdzie szablony Sigma istnieją dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.
Azure Monitor — umożliwia automatyczne monitorowanie i zgłaszanie alertów o różnych warunkach. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.
Usługa Azure Event Hubs zintegrowana z rozwiązaniem SIEM — dzienniki entra firmy Microsoft można zintegrować z innymi rozwiązaniami SIEM, takimi jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji z usługą Azure Event Hubs.
aplikacje Microsoft Defender dla Chmury — umożliwia odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.
Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection w wersji zapoznawczej — służy do wykrywania ryzyka związanego z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia zabezpieczeń w trybie offline.
Wiele z tego, co będziesz monitorować i otrzymywać alerty, to skutki zasad dostępu warunkowego. Możesz użyć skoroszytu szczegółowych informacji o dostępie warunkowym i raportowania , aby sprawdzić wpływ co najmniej jednej zasady dostępu warunkowego na logowania oraz wyniki zasad, w tym stanu urządzenia. Ten skoroszyt umożliwia wyświetlenie podsumowania i zidentyfikowanie efektów w określonym przedziale czasu. Możesz również użyć skoroszytu, aby zbadać logowania określonego użytkownika.
W pozostałej części tego artykułu opisano, co zalecamy monitorowanie i zgłaszanie alertów oraz jest zorganizowane według typu zagrożenia. Gdzie istnieją konkretne wstępnie utworzone rozwiązania, łączymy się z nimi lub udostępniamy przykłady poniżej tabeli. W przeciwnym razie można tworzyć alerty przy użyciu poprzednich narzędzi.
Tworzenie konta
Nietypowe tworzenie konta może wskazywać na problem z zabezpieczeniami. Należy zbadać konta krótkotrwałe, konta, które nie są zgodne ze standardami nazewnictwa, a konta utworzone poza normalnymi procesami.
Konta krótkotrwałe
Tworzenie i usuwanie konta poza normalnymi procesami zarządzania tożsamościami powinno być monitorowane w identyfikatorze Entra firmy Microsoft. Konta krótkotrwałe to konta utworzone i usunięte w krótkim czasie. Ten typ tworzenia konta i szybkie usuwanie może oznaczać, że złośliwy aktor próbuje uniknąć wykrywania, tworząc konta, używając ich, a następnie usuwając konto.
Krótkotrwałe wzorce kont mogą wskazywać osoby lub procesy, które nie zostały zatwierdzone, mogą mieć prawo do tworzenia i usuwania kont, które wykraczają poza ustalone procesy i zasady. Ten typ zachowania usuwa widoczne znaczniki z katalogu.
Jeśli ślad danych tworzenia i usuwania konta nie zostanie szybko odnaleziony, informacje wymagane do zbadania zdarzenia mogą już nie istnieć. Na przykład konta mogą zostać usunięte, a następnie przeczyszczone z kosza. Dzienniki inspekcji są przechowywane przez 30 dni. Można jednak wyeksportować dzienniki do usługi Azure Monitor lub rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) na potrzeby długoterminowego przechowywania.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Zdarzenia tworzenia i usuwania konta w ramach bliskiego przedziału czasu. | Maksimum | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie użytkownika Stan = powodzenie — i — Działanie: Usuwanie użytkownika Stan = powodzenie |
Wyszukaj zdarzenia głównej nazwy użytkownika (UPN). Poszukaj utworzonych kont, a następnie usuniętych w mniej niż 24 godziny. Szablon usługi Microsoft Sentinel |
| Konta utworzone i usunięte przez niezatwierdzonych użytkowników lub procesów. | Średnia | Dzienniki inspekcji usługi Microsoft Entra | Zainicjowane przez (aktor) — GŁÓWNA NAZWA UŻYTKOWNIKA — i — Działanie: Dodawanie użytkownika Stan = powodzenie i-or Działanie: Usuwanie użytkownika Stan = powodzenie |
Jeśli aktorzy nie są zatwierdzonymi użytkownikami, skonfiguruj opcję wysyłania alertu. Szablon usługi Microsoft Sentinel |
| Konta z niezatwierdzonych źródeł. | Średnia | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie użytkownika Stan = powodzenie Target(s) = GŁÓWNA NAZWA UŻYTKOWNIKA |
Jeśli wpis nie pochodzi z zatwierdzonej domeny lub jest znaną zablokowaną domeną, skonfiguruj opcję wysyłania alertu. Szablon usługi Microsoft Sentinel |
| Konta przypisane do roli uprzywilejowanej. | Maksimum | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie użytkownika Stan = powodzenie — i — Działanie: Usuwanie użytkownika Stan = powodzenie — i — Działanie: Dodawanie członka do roli Stan = powodzenie |
Jeśli konto jest przypisane do roli Microsoft Entra, roli platformy Azure lub uprzywilejowanego członkostwa w grupach, alertuj i nadaj im priorytety badania. Szablon usługi Microsoft Sentinel Reguły Sigma |
Zarówno konta uprzywilejowane, jak i nieuprzywilejowane powinny być monitorowane i powiadamiane. Jednak ponieważ uprzywilejowane konta mają uprawnienia administracyjne, powinny mieć wyższy priorytet w procesach monitorowania, alertu i reagowania.
Konta nie są zgodnie z zasadami nazewnictwa
Konta użytkowników, które nie są zgodnie z zasadami nazewnictwa, mogły zostać utworzone poza zasadami organizacji.
Najlepszym rozwiązaniem jest posiadanie zasad nazewnictwa dla obiektów użytkownika. Posiadanie zasad nazewnictwa ułatwia zarządzanie i pomaga zapewnić spójność. Zasady mogą również pomóc w wykryciu, kiedy użytkownicy zostali utworzeni poza zatwierdzonymi procesami. Nieprawidłowy aktor może nie być świadomy standardów nazewnictwa i może ułatwić wykrywanie konta aprowizowanego poza procesami organizacyjnymi.
Organizacje zwykle mają określone formaty i atrybuty używane do tworzenia kont użytkowników i uprzywilejowanych. Na przykład:
nazwa UPN konta Administracja =ADM_firstname.lastname@tenant.onmicrosoft.com
Nazwa UPN konta użytkownika = Firstname.Lastname@contoso.com
Często konta użytkowników mają atrybut identyfikujący rzeczywistego użytkownika. Na przykład EMPID = XXXNNN. Skorzystaj z poniższych sugestii, aby ułatwić zdefiniowanie normalnego punktu dla organizacji oraz podczas definiowania punktu odniesienia dla wpisów dziennika, gdy konta nie są zgodne z konwencją nazewnictwa:
Konta, które nie są zgodne z konwencją nazewnictwa. Na przykład w
nnnnnnn@contoso.comporównaniu zfirstname.lastname@contoso.com.Konta, które nie mają wypełnionych atrybutów standardowych lub nie mają poprawnego formatu. Na przykład nie ma prawidłowego identyfikatora pracownika.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Konta użytkowników, które nie mają zdefiniowanych oczekiwanych atrybutów. | Minimum | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie użytkownika Stan = powodzenie |
Poszukaj kont ze standardowymi atrybutami o wartości null lub w niewłaściwym formacie. Na przykład Identyfikator pracownika Szablon usługi Microsoft Sentinel |
| Konta użytkowników utworzone przy użyciu niepoprawnego formatu nazewnictwa. | Minimum | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie użytkownika Stan = powodzenie |
Wyszukaj konta z nazwą UPN, które nie są zgodne z zasadami nazewnictwa. Szablon usługi Microsoft Sentinel |
| Uprzywilejowane konta, które nie są zgodne z zasadami nazewnictwa. | Maksimum | Subskrypcja platformy Azure | Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal — Kontrola dostępu oparta na rolach platformy Azure | Wyświetlanie listy przypisań ról dla subskrypcji i alertów, w których nazwa logowania nie jest zgodna z formatem organizacji. Na przykład ADM_ jako prefiks. |
| Uprzywilejowane konta, które nie są zgodne z zasadami nazewnictwa. | Maksimum | Katalog Microsoft Entra | Wyświetlanie listy przypisań ról w usłudze Microsoft Entra | Wyświetlanie listy przypisań ról dla ról firmy Microsoft Entra alertu, w którym nazwa UPN nie jest zgodna z formatem organizacji. Na przykład ADM_ jako prefiks. |
Aby uzyskać więcej informacji na temat analizowania, zobacz:
Dzienniki inspekcji firmy Microsoft Entra — analizowanie danych tekstowych w dziennikach usługi Azure Monitor
Subskrypcje platformy Azure — wyświetlanie listy przypisań ról platformy Azure przy użyciu programu Azure PowerShell
Microsoft Entra ID — wyświetlanie listy przypisań ról firmy Microsoft
Konta utworzone poza normalnymi procesami
Posiadanie standardowych procesów tworzenia użytkowników i kont uprzywilejowanych jest ważne, dzięki czemu można bezpiecznie kontrolować cykl życia tożsamości. Jeśli użytkownicy są aprowizowani i anulowani poza ustalonymi procesami, może to powodować zagrożenia bezpieczeństwa. Działanie poza ustalonymi procesami może również powodować problemy z zarządzaniem tożsamościami. Potencjalne zagrożenia obejmują:
Konta użytkowników i uprzywilejowanych mogą nie podlegać zasadom organizacji. Może to prowadzić do szerszego obszaru ataków na kontach, które nie są prawidłowo zarządzane.
Coraz trudniej jest wykryć, kiedy złe podmioty tworzą konta do złośliwych celów. Posiadanie prawidłowych kont utworzonych poza ustalonymi procedurami staje się trudniejsze do wykrycia, kiedy konta są tworzone lub uprawnienia zmodyfikowane w złośliwych celach.
Zalecamy utworzenie kont użytkowników i uprzywilejowanych tylko zgodnie z zasadami organizacji. Na przykład konto powinno zostać utworzone przy użyciu prawidłowych standardów nazewnictwa, informacji organizacyjnych i w zakresie odpowiedniego ładu tożsamości. Organizacje powinny mieć rygorystyczne mechanizmy kontroli dotyczące tego, kto ma uprawnienia do tworzenia tożsamości, zarządzania nimi i usuwania ich. Role do tworzenia tych kont powinny być ściśle zarządzane i prawa dostępne tylko po wykonaniu ustalonego przepływu pracy w celu zatwierdzenia i uzyskania tych uprawnień.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Konta użytkowników utworzone lub usunięte przez niezatwierdzonych użytkowników lub procesów. | Średnia | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie użytkownika Stan = powodzenie i-or- Działanie: Usuwanie użytkownika Stan = powodzenie — i — Zainicjowane przez (aktor) = GŁÓWNA NAZWA UŻYTKOWNIKA |
Alert dotyczący kont utworzonych przez niezatwierdzonych użytkowników lub procesów. Określanie priorytetów kont utworzonych przy użyciu podwyższonych uprawnień. Szablon usługi Microsoft Sentinel |
| Konta użytkowników utworzone lub usunięte z niezatwierdzonych źródeł. | Średnia | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie użytkownika Stan = powodzenie — lub — Działanie: Usuwanie użytkownika Stan = powodzenie — i — Target(s) = GŁÓWNA NAZWA UŻYTKOWNIKA |
Alert, gdy domena nie jest zatwierdzona lub znana zablokowana domena. |
Nietypowe logowania
Występują błędy uwierzytelniania użytkowników są normalne. Jednak wyświetlanie wzorców lub bloków błędów może być wskaźnikiem, że coś dzieje się z tożsamością użytkownika. Na przykład podczas ataków typu spray hasła lub ataków siłowych albo naruszenia zabezpieczeń konta użytkownika. Ważne jest, aby monitorować i otrzymywać alerty po pojawieniu się wzorców. Pomaga to zapewnić ochronę danych użytkownika i organizacji.
Sukces wydaje się powiedzieć, że wszystko jest dobrze. Ale może to oznaczać, że zły aktor pomyślnie uzyskał dostęp do usługi. Monitorowanie pomyślnych logowań ułatwia wykrywanie kont użytkowników, które uzyskują dostęp, ale nie są kontami użytkowników, które powinny mieć dostęp. Powodzenie uwierzytelniania użytkownika to normalne wpisy w dziennikach logowania firmy Microsoft Entra. Zalecamy monitorowanie i alerty w celu wykrycia, kiedy pojawiają się wzorce. Dzięki temu można chronić konta użytkowników i dane organizacji.
Podczas projektowania i operacjonalizacji strategii monitorowania i zgłaszania alertów dzienników należy wziąć pod uwagę narzędzia dostępne w witrynie Azure Portal. Usługa Identity Protection umożliwia zautomatyzowanie wykrywania, ochrony i korygowania zagrożeń opartych na tożsamościach. Usługa Identity Protection używa uczenia maszynowego i systemów heurystycznych fed do wykrywania ryzyka i przypisywania oceny ryzyka dla użytkowników i logów. Klienci mogą konfigurować zasady na podstawie poziomu ryzyka dla tego, kiedy zezwolić na dostęp lub zezwolić użytkownikowi na bezpieczne korygowanie ryzyka. Następujące wykrycia ryzyka usługi Identity Protection informują dziś o poziomach ryzyka:
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Wykrywanie ryzyka związanego z wyciekiem poświadczeń użytkownika | Maksimum | Dzienniki wykrywania ryzyka firmy Microsoft | UX: Ujawnione poświadczenia Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Microsoft Entra Threat Intelligence — wykrywanie ryzyka związanego z użytkownikiem | Maksimum | Dzienniki wykrywania ryzyka firmy Microsoft | Środowisko użytkownika: Microsoft Entra Threat Intelligence Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka logowania anonimowego adresu IP | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | Interfejs użytkownika: anonimowy adres IP Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Nietypowe wykrywanie ryzyka związanego z logowaniem do podróży | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | UX: Nietypowe podróże Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Nietypowy token | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | Interfejs użytkownika: nietypowy token Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka związanego ze złośliwym oprogramowaniem połączonego adresu IP | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | UX: połączony adres IP złośliwego oprogramowania Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka związanego z podejrzanym logowaniem w przeglądarce | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | UX: Podejrzana przeglądarka Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka związanego z nieznanymi właściwościami logowania | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | Środowisko użytkownika: nieznane właściwości logowania Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka związanego ze złośliwym adresem IP | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | UX: złośliwy adres IP Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka związanego z podejrzanymi regułami manipulowania skrzynką odbiorczą | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | UX: Podejrzane reguły manipulowania skrzynką odbiorczą Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka związanego z logowaniem do sprayu haseł | Maksimum | Dzienniki wykrywania ryzyka firmy Microsoft | UX: Spray haseł Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka związanego z niemożliwym logowaniem | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | UX: Niemożliwa podróż Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka związanego z logowaniem w nowym kraju/regionie | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | Środowisko użytkownika: nowy kraj/region Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Działanie z anonimowego wykrywania ryzyka związanego z logowaniem przy użyciu adresu IP | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | UX: Działanie z anonimowego adresu IP Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Podejrzane przekazywanie skrzynki odbiorczej do wykrywania ryzyka związanego z logowaniem | Różne wartości | Dzienniki wykrywania ryzyka firmy Microsoft | UX: Podejrzane przekazywanie skrzynki odbiorczej Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
| Wykrywanie ryzyka związanego z logowaniem do analizy zagrożeń firmy Microsoft | Maksimum | Dzienniki wykrywania ryzyka firmy Microsoft | Środowisko użytkownika: Microsoft Entra Threat Intelligence Interfejs API: Zobacz typ zasobu riskDetection — Microsoft Graph |
Zobacz Co to jest ryzyko? Ochrona tożsamości Microsoft Entra Reguły Sigma |
Aby uzyskać więcej informacji, odwiedź stronę Co to jest usługa Identity Protection.
Czego szukać
Skonfiguruj monitorowanie danych w dziennikach logowania firmy Microsoft Entra, aby upewnić się, że alerty występują i są zgodne z zasadami zabezpieczeń organizacji. Oto kilka przykładów:
Uwierzytelnianie nie powiodło się: ponieważ wszyscy ludzie otrzymują nasze hasła od czasu do czasu nieprawidłowe. Jednak wiele nieudanych uwierzytelnień może wskazywać, że zły aktor próbuje uzyskać dostęp. Ataki różnią się okrucieństwem, ale mogą wahać się od kilku prób na godzinę do znacznie wyższego wskaźnika. Na przykład spray haseł zwykle ofiaruje łatwiejsze hasła na wielu kontach, podczas gdy atak siłowy próbuje wiele haseł na kontach docelowych.
Przerwane uwierzytelnianie: przerwanie w identyfikatorze Entra firmy Microsoft reprezentuje iniekcję procesu w celu spełnienia uwierzytelniania, na przykład podczas wymuszania kontroli w zasadach dostępu warunkowego. Jest to normalne zdarzenie i może wystąpić, gdy aplikacje nie są poprawnie skonfigurowane. Jeśli jednak widzisz wiele przerwań dla konta użytkownika, może to wskazywać, że coś się dzieje z tym kontem.
- Na przykład w przypadku filtrowania w dziennikach logowania użytkownika i wyświetlenia dużej liczby stanu logowania = Przerwany i Dostęp warunkowy = Niepowodzenie. Szczegółowe informacje mogą być widoczne w szczegółach uwierzytelniania, że hasło jest poprawne, ale wymagane jest silne uwierzytelnianie. Może to oznaczać, że użytkownik nie wykonuje uwierzytelniania wieloskładnikowego (MFA), co może wskazywać, że hasło użytkownika zostało naruszone, a nieprawidłowy aktor nie może spełnić uwierzytelniania wieloskładnikowego.
Inteligentne blokowanie: identyfikator Entra firmy Microsoft udostępnia inteligentną usługę blokady, która wprowadza koncepcję znanych i nieznajomionych lokalizacji procesu uwierzytelniania. Konto użytkownika odwiedzające znajomą lokalizację może zostać pomyślnie uwierzytelnione, gdy nietrafiony aktor nieznajdujący się w tej samej lokalizacji zostanie zablokowany po kilku próbach. Poszukaj kont, które zostały zablokowane i zbadaj je dalej.
Zmiany adresów IP: zwykle użytkownicy pochodzą z różnych adresów IP. Jednak stany Zero Trust nigdy nie ufają i zawsze weryfikują. Wyświetlanie dużej liczby adresów IP i nieudanych logowania może być wskaźnikiem włamań. Poszukaj wzorca wielu nieudanych uwierzytelnień pochodzących z wielu adresów IP. Należy pamiętać, że połączenia wirtualnej sieci prywatnej (VPN) mogą powodować fałszywie dodatnie wyniki. Niezależnie od wyzwań zalecamy monitorowanie zmian adresów IP i, jeśli to możliwe, użycie Ochrona tożsamości Microsoft Entra w celu automatycznego wykrywania i ograniczania tych zagrożeń.
Lokalizacje: zazwyczaj oczekuje się, że konto użytkownika będzie znajdować się w tej samej lokalizacji geograficznej. Oczekujesz również logowania z lokalizacji, w których masz pracowników lub relacje biznesowe. Gdy konto użytkownika pochodzi z innej lokalizacji międzynarodowej w krótszym czasie, niż zajęłoby to podróż, może wskazywać, że konto użytkownika jest nadużywane. Należy pamiętać, że sieci VPN mogą powodować fałszywie dodatnie wyniki. Zalecamy monitorowanie kont użytkowników logując się z odległych geograficznie lokalizacji, a jeśli to możliwe, użyj Ochrona tożsamości Microsoft Entra, aby automatycznie wykrywać i ograniczać te zagrożenia.
W przypadku tego obszaru ryzyka zalecamy monitorowanie kont użytkowników standardowych i kont uprzywilejowanych, ale określanie priorytetów badań kont uprzywilejowanych. Konta uprzywilejowane to najważniejsze konta w dowolnej dzierżawie firmy Microsoft Entra. Aby uzyskać szczegółowe wskazówki dotyczące kont uprzywilejowanych, zobacz Operacje zabezpieczeń — konta uprzywilejowane.
Jak wykryć
Używasz Ochrona tożsamości Microsoft Entra i dzienników logowania firmy Microsoft Entra, aby ułatwić odnajdywanie zagrożeń wskazywanych przez nietypowe cechy logowania. Informacje o usłudze Identity Protection są dostępne w temacie Co to jest usługa Identity Protection. Dane można również replikować do usługi Azure Monitor lub rozwiązania SIEM na potrzeby monitorowania i zgłaszania alertów. Aby zdefiniować normalne środowisko i ustawić punkt odniesienia, określ:
parametry, które uważasz za normalne dla bazy użytkowników.
średnia liczba prób hasła w czasie, zanim użytkownik zadzwoni do działu pomocy technicznej lub wykona samoobsługowe resetowanie hasła.
ile nie powiodło się prób, które chcesz zezwolić przed alertem, a jeśli będzie inaczej w przypadku kont użytkowników i uprzywilejowanych kont.
ile prób uwierzytelniania wieloskładnikowego ma być dozwolonych przed alertem, a jeśli będzie inaczej w przypadku kont użytkowników i kont uprzywilejowanych.
jeśli starsze uwierzytelnianie jest włączone, a harmonogram działania dotyczący zaprzestania użycia.
znane adresy IP ruchu wychodzącego są przeznaczone dla Twojej organizacji.
krajów/regionów, z których korzystają użytkownicy.
czy istnieją grupy użytkowników, które pozostają nieruchome w lokalizacji sieciowej lub kraju/regionie.
Zidentyfikuj inne wskaźniki dotyczące nietypowych logów specyficznych dla twojej organizacji. Na przykład dni lub godziny tygodnia lub roku, których organizacja nie obsługuje.
Po określeniu zakresu normalnego dla kont w danym środowisku należy wziąć pod uwagę poniższą listę, aby ułatwić określenie scenariuszy, w których chcesz monitorować i otrzymywać alerty, oraz dostosować alerty.
Czy musisz monitorować i otrzymywać alerty, jeśli usługa Identity Protection jest skonfigurowana?
Czy istnieją bardziej rygorystyczne warunki stosowane do uprzywilejowanych kont, których można użyć do monitorowania i zgłaszania alertów? Na przykład wymaganie używania kont uprzywilejowanych tylko z zaufanych adresów IP.
Czy punkty odniesienia ustawione są zbyt agresywne? Zbyt wiele alertów może spowodować zignorowanie lub pominięcie alertów.
Skonfiguruj usługę Identity Protection, aby zapewnić ochronę, która obsługuje zasady punktu odniesienia zabezpieczeń. Na przykład blokowanie użytkowników, jeśli ryzyko = wysokie. Ten poziom ryzyka wskazuje wysoki stopień pewności, że bezpieczeństwo konta użytkownika zostało naruszone. Aby uzyskać więcej informacji na temat konfigurowania zasad ryzyka związanego z logowaniem i zasad ryzyka użytkowników, odwiedź stronę Zasady usługi Identity Protection. Aby uzyskać więcej informacji na temat konfigurowania dostępu warunkowego, odwiedź stronę Dostęp warunkowy: dostęp warunkowy oparty na ryzyku.
Poniżej przedstawiono kolejność ważności na podstawie wpływu i ważności wpisów.
Monitorowanie logów użytkowników zewnętrznych
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Użytkownicy uwierzytelniający się w innych dzierżawach firmy Microsoft Entra. | Minimum | Dziennik logowania firmy Microsoft Entra | Stan = powodzenie Identyfikator dzierżawy zasobu != identyfikator dzierżawy głównej |
Wykrywa, kiedy użytkownik pomyślnie uwierzytelnił się w innej dzierżawie firmy Microsoft Entra przy użyciu tożsamości w dzierżawie organizacji. Alert, jeśli identyfikator dzierżawy zasobu nie jest równy identyfikatorowi dzierżawy głównej Szablon usługi Microsoft Sentinel Reguły Sigma |
| Stan użytkownika został zmieniony z Gość na Członek | Średnia | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Aktualizowanie użytkownika Kategoria: UserManagement Typ użytkownika został zmieniony z Gość na Członek |
Monitoruj i ostrzegaj o zmianie typu użytkownika z gościa na członka. Czy było to oczekiwane? Szablon usługi Microsoft Sentinel Reguły Sigma |
| Użytkownicy-goście zaproszeni do dzierżawy przez niezatwierdzonych osób zapraszających | Średnia | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Zapraszanie użytkownika zewnętrznego Kategoria: UserManagement Zainicjowane przez (aktor): główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów dla niezatwierdzonych podmiotów zapraszania użytkowników zewnętrznych. Szablon usługi Microsoft Sentinel Reguły Sigma |
Monitorowanie nietypowych logów
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Nieudane próby logowania. | Średni — jeśli zdarzenie izolowane Wysoki — jeśli wiele kont ma ten sam wzorzec lub adres VIP. |
Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — Kod błędu logowania 50126 — Błąd podczas sprawdzania poprawności poświadczeń z powodu nieprawidłowej nazwy użytkownika lub hasła. |
Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasowuj je, aby dopasować zachowania organizacji i ograniczyć generowanie fałszywych alertów. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zdarzenia blokady inteligentnej. | Średni — jeśli zdarzenie izolowane Wysoki — jeśli wiele kont ma ten sam wzorzec lub adres VIP. |
Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — Kod błędu logowania = 50053 — IdsLocked |
Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasowuj je, aby dopasować zachowania organizacji i ograniczyć generowanie fałszywych alertów. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Przerwania | Średni — jeśli zdarzenie izolowane Wysoki — jeśli wiele kont ma ten sam wzorzec lub adres VIP. |
Dziennik logowania firmy Microsoft Entra | 500121 uwierzytelnianie nie powiodło się podczas silnego żądania uwierzytelniania. — lub — 50097, wymagane jest uwierzytelnianie urządzenia lub 50074, wymagane jest silne uwierzytelnianie. — lub — 50155, DeviceAuthenticationFailed — lub — 50158, ExternalSecurityChallenge — wyzwanie bezpieczeństwa zewnętrznego nie zostało spełnione — lub — 53003 i przyczyna niepowodzenia = zablokowana przez dostęp warunkowy |
Monitoruj i ostrzegaj o przerwaniach. Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasowuj je, aby dopasować zachowania organizacji i ograniczyć generowanie fałszywych alertów. Szablon usługi Microsoft Sentinel Reguły Sigma |
Poniżej przedstawiono kolejność ważności na podstawie wpływu i ważności wpisów.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Alerty o oszustwie uwierzytelniania wieloskładnikowego (MFA). | Maksimum | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — Szczegóły = odmowa uwierzytelniania wieloskładnikowego |
Monitoruj i alerty dotyczące dowolnego wpisu. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Nieudane uwierzytelnianie z krajów/regionów, z których nie działasz. | Średnia | Dziennik logowania firmy Microsoft Entra | Lokalizacja = <niezatwierdzona lokalizacja> | Monitoruj i alerty dotyczące wszystkich wpisów. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Nieudane uwierzytelnianie dla starszych protokołów lub protokołów, które nie są używane. | Średnia | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — Aplikacja kliencka = inni klienci, POP, IMAP, MAPI, SMTP, ActiveSync |
Monitoruj i alerty dotyczące wszystkich wpisów. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Błędy zablokowane przez dostęp warunkowy. | Średnia | Dziennik logowania firmy Microsoft Entra | Kod błędu = 53003 — i — Przyczyna błędu = zablokowana przez dostęp warunkowy |
Monitoruj i alerty dotyczące wszystkich wpisów. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zwiększone nieudane uwierzytelnianie dowolnego typu. | Średnia | Dziennik logowania firmy Microsoft Entra | Przechwyć wzrost liczby niepowodzeń na całej tablicy. Oznacza to, że łączna liczba niepowodzeń dla dzisiaj wynosi >10% w tym samym dniu, w poprzednim tygodniu. | Jeśli nie masz ustawionego progu, monitoruj i ostrzegaj, jeśli błędy wzrosną o 10% lub więcej. Szablon usługi Microsoft Sentinel |
| Uwierzytelnianie występujące w godzinach i dniach tygodnia, gdy kraje/regiony nie prowadzą normalnych operacji biznesowych. | Minimum | Dziennik logowania firmy Microsoft Entra | Przechwyć uwierzytelnianie interakcyjne występujące poza normalnymi dniami działania\godzinami. Stan = powodzenie — i — Lokalizacja = <lokalizacja> — i — Dzień\Godzina = <nie normalne godziny pracy> |
Monitoruj i alerty dotyczące wszystkich wpisów. Szablon usługi Microsoft Sentinel |
| Konto wyłączone/zablokowane na potrzeby logowania | Minimum | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — kod błędu = 50057, Konto użytkownika jest wyłączone. |
Może to oznaczać, że ktoś próbuje uzyskać dostęp do konta po opuszczeniu organizacji. Mimo że konto jest zablokowane, ważne jest, aby rejestrować i powiadamiać o tym działaniu. Szablon usługi Microsoft Sentinel Reguły Sigma |
Monitorowanie pomyślnych nietypowych logów
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Uwierzytelnianie kont uprzywilejowanych poza oczekiwanymi kontrolkami. | Maksimum | Dziennik logowania firmy Microsoft Entra | Stan = powodzenie — i — UserPricipalName = <konto Administracja> — i — Lokalizacja = <niezatwierdzona lokalizacja> — i — Adres IP = <niezatwierdzony adres IP> Informacje o urządzeniu = <niezatwierdzona przeglądarka, system operacyjny> |
Monitoruj i ostrzegaj o pomyślnym uwierzytelnianiu kont uprzywilejowanych spoza oczekiwanych kontrolek. Wymieniono trzy typowe kontrolki. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Jeśli wymagane jest tylko uwierzytelnianie jednoskładnikowe. | Minimum | Dziennik logowania firmy Microsoft Entra | Stan = powodzenie Wymaganie uwierzytelniania = uwierzytelnianie jednoskładnikowe |
Okresowo monitoruj i upewnij się, że oczekiwane zachowanie. Reguły Sigma |
| Odnajdywanie kont uprzywilejowanych, które nie zostały zarejestrowane dla uwierzytelniania wieloskładnikowego. | Maksimum | Azure Graph API | Kwerenda isMFARegistered eq false dla kont administratorów. Wyświetlanie poświadczeńUserRegistrationDetails — Microsoft Graph beta |
Przeprowadź inspekcję i zbadaj, czy celowe lub niedopatrzenie. |
| Pomyślne uwierzytelnianie z krajów/regionów, z których organizacja nie działa. | Średnia | Dziennik logowania firmy Microsoft Entra | Stan = powodzenie Lokalizacja = <niezatwierdzony kraj/region> |
Monitoruj i alerty dotyczące wszystkich wpisów, które nie są takie same jak podane nazwy miast. Reguły Sigma |
| Pomyślne uwierzytelnienie, sesja zablokowana przez dostęp warunkowy. | Średnia | Dziennik logowania firmy Microsoft Entra | Stan = powodzenie — i — kod błędu = 53003 — przyczyna błędu zablokowana przez dostęp warunkowy |
Monitoruj i sprawdzaj, czy uwierzytelnianie zakończyło się pomyślnie, ale sesja jest blokowana przez dostęp warunkowy. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Pomyślne uwierzytelnianie po wyłączeniu starszego uwierzytelniania. | Średnia | Dziennik logowania firmy Microsoft Entra | status = powodzenie — i — Aplikacja kliencka = inni klienci, POP, IMAP, MAPI, SMTP, ActiveSync |
Jeśli Twoja organizacja wyłączyła starsze uwierzytelnianie, monitoruj i ostrzegaj po pomyślnym uwierzytelnieniu w starszej wersji. Szablon usługi Microsoft Sentinel Reguły Sigma |
Zalecamy okresowe przeglądanie uwierzytelniania do średnich zastosowań biznesowych (MBI) i aplikacji o dużym wpływie na działalność biznesową (HBI), w których wymagane jest tylko uwierzytelnianie jednoskładnikowe. Dla każdego z nich chcesz określić, czy uwierzytelnianie jednoskładnikowe było oczekiwane, czy nie. Ponadto sprawdź, czy pomyślne uwierzytelnianie zwiększa się lub w nieoczekiwanym czasie, na podstawie lokalizacji.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Uwierzytelnianie do MBI i aplikacji HBI przy użyciu uwierzytelniania jednoskładnikowego. | Minimum | Dziennik logowania firmy Microsoft Entra | status = powodzenie — i — Identyfikator aplikacji = <aplikacja HBI> — i — Wymaganie uwierzytelniania = uwierzytelnianie jednoskładnikowe. |
Przejrzyj i zweryfikuj, czy ta konfiguracja jest celowa. Reguły Sigma |
| Uwierzytelnianie w dniach i godzinach tygodnia lub roku, w których kraje/regiony nie prowadzą normalnych operacji biznesowych. | Minimum | Dziennik logowania firmy Microsoft Entra | Przechwyć uwierzytelnianie interakcyjne występujące poza normalnymi dniami działania\godzinami. Stan = powodzenie Lokalizacja = <lokalizacja> Data\godzina = <nie normalne godziny pracy> |
Monitoruj i ostrzegaj o dniach i godzinach uwierzytelniania w tygodniu lub roku, w których kraje/regiony nie prowadzą normalnych operacji biznesowych. Reguły Sigma |
| Wymierny wzrost pomyślnego logowania. | Minimum | Dziennik logowania firmy Microsoft Entra | Przechwyć wzrost pomyślnego uwierzytelniania na całej tablicy. Oznacza to, że suma sukcesu dla dzisiaj wynosi >10% w tym samym dniu, w poprzednim tygodniu. | Jeśli nie masz ustawionego progu, monitoruj i ostrzegaj, jeśli pomyślne uwierzytelnianie zwiększy się o 10% lub więcej. Szablon usługi Microsoft Sentinel Reguły Sigma |
Następne kroki
Zapoznaj się z następującymi artykułami w przewodniku po operacjach zabezpieczeń:
Omówienie operacji zabezpieczeń firmy Microsoft Entra
Operacje zabezpieczeń dla kont konsumentów
Operacje zabezpieczeń dla kont uprzywilejowanych
Operacje zabezpieczeń dla usługi Privileged Identity Management
Operacje zabezpieczeń dla aplikacji