Udostępnij za pośrednictwem


Microsoft Entra security operations for devices (Operacje zabezpieczeń firmy Microsoft dla urządzeń)

Urządzenia nie są często celem ataków opartych na tożsamościach, ale mogą służyć do zaspokojenia i podszywania się pod mechanizmy kontroli zabezpieczeń lub personifikacji użytkowników. Urządzenia mogą mieć jedną z czterech relacji z identyfikatorem Entra firmy Microsoft:

Zarejestrowane i przyłączone urządzenia są wystawiane podstawowy token odświeżania (PRT), który może być używany jako podstawowy artefakt uwierzytelniania, a w niektórych przypadkach jako artefakt uwierzytelniania wieloskładnikowego. Osoby atakujące mogą próbować zarejestrować własne urządzenia, użyć żądań ściągnięcia na legalnych urządzeniach, aby uzyskać dostęp do danych biznesowych, ukraść tokeny oparte na prT z legalnych urządzeń lub znaleźć błędy konfiguracji w kontrolkach opartych na urządzeniach w identyfikatorze Entra firmy Microsoft. W przypadku urządzeń dołączonych hybrydowo do firmy Microsoft proces sprzężenia jest inicjowany i kontrolowany przez administratorów, zmniejszając dostępne metody ataku.

Aby uzyskać więcej informacji na temat metod integracji urządzeń, zobacz Wybieranie metod integracji w artykule Planowanie wdrożenia urządzenia Firmy Microsoft Entra.

Aby zmniejszyć ryzyko ataków infrastruktury przez złe podmioty za pośrednictwem urządzeń, monitoruj

  • Rejestrowanie urządzenia i dołączanie do firmy Microsoft Entra

  • Niezgodne urządzenia uzyskują dostęp do aplikacji

  • Pobieranie klucza funkcji BitLocker

  • Role administratora urządzenia

  • Logowania do maszyn wirtualnych

Gdzie szukać

Pliki dziennika używane do badania i monitorowania to:

W witrynie Azure Portal możesz wyświetlić dzienniki inspekcji firmy Microsoft Entra i pobrać je jako pliki wartości rozdzielane przecinkami (CSV) lub JavaScript Object Notation (JSON). Witryna Azure Portal oferuje kilka sposobów integracji dzienników firmy Microsoft z innymi narzędziami, które umożliwiają większą automatyzację monitorowania i zgłaszania alertów:

  • Microsoft Sentinel — umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa, zapewniając funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

  • Reguły Sigma — Sigma to rozwijający się otwarty standard pisania reguł i szablonów, za pomocą których zautomatyzowane narzędzia do zarządzania mogą służyć do analizowania plików dziennika. Gdzie szablony Sigma istnieją dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.

  • Azure Monitor — umożliwia automatyczne monitorowanie i zgłaszanie alertów o różnych warunkach. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.

  • Usługa Azure Event Hubs — zintegrowana z dziennikami SIEM- firmy Microsoft Entra może być zintegrowana z innymi rozwiązaniami SIEM, takimi jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji z usługą Azure Event Hubs.

  • aplikacje Microsoft Defender dla Chmury — umożliwia odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.

  • Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection w wersji zapoznawczej — służy do wykrywania ryzyka związanego z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia zabezpieczeń w trybie offline.

Większość tego, co będziesz monitorować i otrzymywać alerty, to skutki zasad dostępu warunkowego. Możesz użyć skoroszytu szczegółowych informacji o dostępie warunkowym i raportowania , aby sprawdzić wpływ co najmniej jednej zasady dostępu warunkowego na logowania oraz wyniki zasad, w tym stanu urządzenia. Ten skoroszyt umożliwia wyświetlenie podsumowania i zidentyfikowanie efektów w określonym przedziale czasu. Możesz również użyć skoroszytu, aby zbadać logowania określonego użytkownika.

W pozostałej części tego artykułu opisano, co zalecamy monitorowanie i zgłaszanie alertów oraz jest zorganizowane według typu zagrożenia. Gdzie istnieją konkretne wstępnie utworzone rozwiązania, łączymy się z nimi lub udostępniamy przykłady poniżej tabeli. W przeciwnym razie można tworzyć alerty przy użyciu poprzednich narzędzi.

Rejestracje urządzeń i dołączanie do zasad zewnętrznych

Zarejestrowane urządzenia firmy Microsoft Entra i urządzenia dołączone do firmy Microsoft mają podstawowe tokeny odświeżania (PRT), które są odpowiednikiem pojedynczego współczynnika uwierzytelniania. Te urządzenia mogą czasami zawierać oświadczenia silnego uwierzytelniania. Aby uzyskać więcej informacji na temat tego, kiedy żądania ściągnięcia zawierają oświadczenia silnego uwierzytelniania, zobacz Kiedy żądanie PRT otrzymuje oświadczenie uwierzytelniania wieloskładnikowego? Aby uniemożliwić nieprawidłowym aktorom rejestrowanie lub dołączanie urządzeń, należy wymagać uwierzytelniania wieloskładnikowego (MFA) w celu rejestrowania lub dołączania urządzeń. Następnie monitoruj wszystkie urządzenia zarejestrowane lub przyłączone bez uwierzytelniania wieloskładnikowego. Należy również obserwować zmiany ustawień i zasad uwierzytelniania wieloskładnikowego oraz zasad zgodności urządzeń.

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Rejestracja urządzenia lub przyłączanie do urządzenia zostało ukończone bez uwierzytelniania wieloskładnikowego Śred. Dzienniki logowania Działanie: pomyślne uwierzytelnianie w usłudze rejestracji urządzeń.
And
Brak wymaganego uwierzytelniania wieloskładnikowego
Alert, gdy: każde urządzenie zarejestrowane lub przyłączone bez uwierzytelniania wieloskładnikowego
Szablon usługi Microsoft Sentinel
Reguły Sigma
Zmiany przełącznika uwierzytelniania wieloskładnikowego rejestracji urządzeń w usłudze Microsoft Entra ID Wys. Dziennik inspekcji Działanie: Ustawianie zasad rejestracji urządzeń Poszukaj: przełącznik jest wyłączony. Nie ma wpisu dziennika inspekcji. Zaplanuj okresowe kontrole.
Reguły Sigma
Zmiany zasad dostępu warunkowego wymagające przyłączenia do domeny lub zgodnego urządzenia. Wys. Dziennik inspekcji Zmiany zasad dostępu warunkowego
Alert, gdy: Zmień na wszelkie zasady wymagające przyłączenia do domeny lub zgodności, zmiany w zaufanych lokalizacjach lub kontach lub urządzeniach dodanych do wyjątków zasad uwierzytelniania wieloskładnikowego.

Możesz utworzyć alert, który powiadamia odpowiednich administratorów o zarejestrowaniu lub dołączeniu urządzenia bez uwierzytelniania wieloskładnikowego przy użyciu usługi Microsoft Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Możesz również użyć usługi Microsoft Intune do ustawiania i monitorowania zasad zgodności urządzeń.

Niezgodne logowanie urządzenia

Może nie być możliwe zablokowanie dostępu do wszystkich aplikacji w chmurze i oprogramowania jako usługi przy użyciu zasad dostępu warunkowego wymagających zgodnych urządzeń.

Zarządzanie urządzeniami przenośnymi (MDM) ułatwia zapewnienie zgodności urządzeń z systemem Windows 10. W systemie Windows w wersji 1809 opublikowaliśmy punkt odniesienia zabezpieczeń zasad. Identyfikator entra firmy Microsoft może integrować się z rozwiązaniem MDM w celu wymuszania zgodności urządzeń z zasadami firmowymi i może zgłaszać stan zgodności urządzenia.

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Logowania według niezgodnych urządzeń Wys. Dzienniki logowania DeviceDetail.isCompliant == false Jeśli wymagasz logowania ze zgodnych urządzeń, ostrzegaj, gdy: dowolne logowanie za pomocą niezgodnych urządzeń lub dostęp bez uwierzytelniania wieloskładnikowego lub zaufanej lokalizacji.

Jeśli praca w kierunku wymagania urządzeń, monitoruj podejrzane logowania.

Reguły Sigma

Logowania według nieznanych urządzeń Niski Dzienniki logowania DeviceDetail jest pusta, uwierzytelnianie jednoskładnikowe lub z innej niż zaufana lokalizacja Wyszukaj: dowolny dostęp z urządzeń zgodności, dostęp bez uwierzytelniania wieloskładnikowego lub zaufanej lokalizacji
Szablon usługi Microsoft Sentinel

Reguły Sigma

Wykonywanie zapytań za pomocą usługi LogAnalytics

Logowania według niezgodnych urządzeń

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Logowania według nieznanych urządzeń


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Nieaktywne urządzenia

Nieaktywne urządzenia obejmują urządzenia, które nie zostały zalogowane przez określony czas. Urządzenia mogą stać się nieaktualne, gdy użytkownik otrzyma nowe urządzenie lub utraci urządzenie albo gdy urządzenie dołączone do firmy Microsoft Entra zostanie wyczyszczone lub ponownie aprowizowane. Urządzenia mogą również pozostać zarejestrowane lub dołączone, gdy użytkownik nie jest już skojarzony z dzierżawą. Nieaktywne urządzenia powinny zostać usunięte, aby nie można było używać podstawowych tokenów odświeżania (PRT).

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Data ostatniego logowania Niski Interfejs API programu Graph approximateLastSignInDateTime Użyj interfejsu API programu Graph lub programu PowerShell, aby zidentyfikować i usunąć nieaktywne urządzenia.

Pobieranie klucza funkcji BitLocker

Osoby atakujące, które naruszyły bezpieczeństwo urządzenia użytkownika, mogą pobrać klucze funkcji BitLocker w identyfikatorze Entra firmy Microsoft. Rzadko zdarza się, aby użytkownicy pobierali klucze i powinni być monitorowani i badani.

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Pobieranie klucza Śred. Dzienniki inspekcji OperationName == "Odczyt klucza funkcji BitLocker" Poszukaj: pobieranie klucza, inne nietypowe zachowanie użytkowników podczas pobierania kluczy.
Szablon usługi Microsoft Sentinel

Reguły Sigma

W usłudze LogAnalytics utwórz zapytanie, takie jak

AuditLogs
| where OperationName == "Read BitLocker key" 

Role administratora urządzenia

Rola Administratora lokalnego urządzenia dołączonego do firmy Microsoft i administratora globalnego automatycznie uzyskuje uprawnienia administratora lokalnego na wszystkich urządzeniach dołączonych do firmy Microsoft. Ważne jest, aby monitorować, kto ma te prawa, aby zapewnić bezpieczeństwo środowiska.

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Użytkownicy dodani do ról administratora globalnego lub urządzenia Wys. Dzienniki inspekcji Typ działania = Dodaj członka do roli. Wyszukaj: nowi użytkownicy dodani do tych ról firmy Microsoft Entra, kolejne nietypowe zachowanie maszyn lub użytkowników.
Szablon usługi Microsoft Sentinel

Reguły Sigma

Logowania spoza usługi Azure AD do maszyn wirtualnych

Logowania do maszyn wirtualnych z systemem Windows lub LINUX powinny być monitorowane pod kątem logowania się przy użyciu kont innych niż konta Microsoft Entra.

Logowanie microsoft Entra dla systemu LINUX

Logowanie microsoft Entra dla systemu LINUX umożliwia organizacjom logowanie się do maszyn wirtualnych z systemem Linux platformy Azure przy użyciu kont Microsoft Entra za pośrednictwem protokołu SSH (Secure Shell Protocol).

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Logowanie konta spoza usługi Azure AD, zwłaszcza za pośrednictwem protokołu SSH Wys. Dzienniki uwierzytelniania lokalnego Ubuntu:
monitorowanie /var/log/auth.log na potrzeby korzystania z protokołu SSH
RedHat:
monitor /var/log/sssd/ for SSH use
Wyszukaj: wpisy , w których konta spoza usługi Azure AD pomyślnie łączą się z maszynami wirtualnymi. Zobacz poniższy przykład.

Przykład systemu Ubuntu:

9 maja 23:49:39 ubuntu1804 aad_certhandler[3915]: Wersja: 1.0.015570001; użytkownik: localusertest01

9 maja 23:49:39 ubuntu1804 aad_certhandler[3915]: Użytkownik "localusertest01" nie jest użytkownikiem firmy Microsoft Entra; zwraca pusty wynik.

9 maja 23:49:43 ubuntu1804 aad_certhandler[3916]: Wersja: 1.0.015570001; użytkownik: localusertest01

9 maja 23:49:43 ubuntu1804 aad_certhandler[3916]: Użytkownik "localusertest01" nie jest użytkownikiem firmy Microsoft Entra; zwraca pusty wynik.

9 maja 23:49:43 ubuntu1804 sshd[3909]: Zaakceptowano publicznie dla localusertest01 z portu 192.168.0.15 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

9 maja 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sesja otwarta dla użytkownika localusertest01 przez (uid=0).

Możesz ustawić zasady dla logowania maszyn wirtualnych z systemem LINUX oraz wykrywać i flagować maszyny wirtualne z systemem Linux, które nie zostały dodane zatwierdzone konta lokalne. Aby dowiedzieć się więcej, zobacz korzystanie z usługi Azure Policy w celu zapewnienia standardów i oceny zgodności.

Logowania microsoft Entra dla systemu Windows Server

Logowanie microsoft Entra dla systemu Windows umożliwia organizacji logowanie się do maszyn wirtualnych z systemem Windows 2019 i nowszych platformy Azure przy użyciu kont Microsoft Entra za pośrednictwem protokołu RDP (Remote Desktop Protocol).

Co monitorować Poziom ryzyka Gdzie Filtr/filtr podrzędny Uwagi
Logowanie do konta spoza usługi Azure AD, szczególnie za pośrednictwem protokołu RDP Wys. Dzienniki zdarzeń systemu Windows Server Logowanie interakcyjne do maszyny wirtualnej z systemem Windows Zdarzenie 528, typ logowania 10 (RemoteInteractive).
Pokazuje, kiedy użytkownik loguje się za pośrednictwem usług terminalowych lub pulpitu zdalnego.

Następne kroki

Omówienie operacji zabezpieczeń firmy Microsoft Entra

Operacje zabezpieczeń dla kont użytkowników

Operacje zabezpieczeń dla kont konsumentów

Operacje zabezpieczeń dla kont uprzywilejowanych

Operacje zabezpieczeń dla usługi Privileged Identity Management

Operacje zabezpieczeń dla aplikacji

Operacje zabezpieczeń dla infrastruktury