Operacje zabezpieczeń dla uprzywilejowanych kont w identyfikatorze Entra firmy Microsoft
Bezpieczeństwo zasobów biznesowych zależy od integralności uprzywilejowanych kont, które administrowają systemami IT. Cyberataki używają ataków kradzieży poświadczeń i innych środków, aby kierować uprzywilejowane konta i uzyskiwać dostęp do poufnych danych.
Tradycyjnie zabezpieczenia organizacji koncentrowały się na punktach wejścia i wyjścia sieci jako obwodu zabezpieczeń. Jednak aplikacje jako usługa (SaaS) i urządzenia osobiste w Internecie sprawiły, że takie podejście było mniej skuteczne.
Microsoft Entra ID używa tożsamości i zarządzania dostępem (IAM) jako płaszczyzny sterowania. W warstwie tożsamości organizacji użytkownicy przypisani do uprzywilejowanych ról administracyjnych mają kontrolę. Konta używane do uzyskiwania dostępu muszą być chronione, niezależnie od tego, czy środowisko jest lokalne, w chmurze, czy w środowisku hybrydowym.
Całkowicie odpowiadasz za wszystkie warstwy zabezpieczeń dla lokalnego środowiska IT. W przypadku korzystania z usług platformy Azure zapobieganie i reagowanie są wspólnymi obowiązkami firmy Microsoft jako dostawcy usług w chmurze i klientem.
- Aby uzyskać więcej informacji na temat modelu wspólnej odpowiedzialności, zobacz Wspólna odpowiedzialność w chmurze.
- Aby uzyskać więcej informacji na temat zabezpieczania dostępu dla uprzywilejowanych użytkowników, zobacz Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID.
- Aby zapoznać się z szeroką gamą filmów wideo, przewodników z instrukcjami i zawartością kluczowych pojęć dotyczących tożsamości uprzywilejowanej, zobacz dokumentację usługi Privileged Identity Management.
Pliki dziennika do monitorowania
Pliki dziennika używane do badania i monitorowania to:
W witrynie Azure Portal możesz wyświetlić dzienniki inspekcji firmy Microsoft Entra i pobrać je jako pliki wartości rozdzielane przecinkami (CSV) lub JavaScript Object Notation (JSON). Witryna Azure Portal oferuje kilka sposobów integracji dzienników firmy Microsoft z innymi narzędziami, które umożliwiają większą automatyzację monitorowania i zgłaszania alertów:
Microsoft Sentinel. Umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa, zapewniając funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Reguły Sigma — Sigma to rozwijający się otwarty standard pisania reguł i szablonów, za pomocą których zautomatyzowane narzędzia do zarządzania mogą służyć do analizowania plików dziennika. Gdzie szablony Sigma istnieją dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.
Azure Monitor. Umożliwia automatyczne monitorowanie i alerty różnych warunków. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.
Usługa Azure Event Hubs zintegrowana z rozwiązaniem SIEM. Umożliwia wypchnięcie dzienników firmy Microsoft do innych programów SIEM, takich jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji usługi Azure Event Hubs. Aby uzyskać więcej informacji, zobacz Stream Microsoft Entra logs to an Azure event hub (Przesyłanie dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure).
Microsoft Defender dla Chmury Apps. Umożliwia odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.
Microsoft Graph. Umożliwia eksportowanie danych i używanie programu Microsoft Graph do przeprowadzenia większej analizy. Aby uzyskać więcej informacji, zobacz Zestaw MICROSOFT Graph PowerShell SDK i Ochrona tożsamości Microsoft Entra.
Ochrona tożsamości Microsoft Entra. Generuje trzy kluczowe raporty, których można użyć, aby ułatwić badanie:
Ryzykowni użytkownicy. Zawiera informacje o zagrożonych użytkownikach, szczegółowe informacje o wykrywaniu, historii wszystkich ryzykownych logowania i historii ryzyka.
Ryzykowne logowania. Zawiera informacje o logowaniu, które mogą wskazywać podejrzane okoliczności. Aby uzyskać więcej informacji na temat badania informacji z tego raportu, zobacz Badanie ryzyka.
Wykrywanie ryzyka. Zawiera informacje o innych zagrożeniach wyzwalanych po wykryciu ryzyka i innych odpowiednich informacjach, takich jak lokalizacja logowania i wszelkie szczegóły z Microsoft Defender dla Chmury Apps.
Zabezpieczanie tożsamości obciążeń przy użyciu Ochrona tożsamości Microsoft Entra. Służy do wykrywania ryzyka związanego z tożsamościami obciążeń w zachowaniu logowania i wskaźnikach naruszenia bezpieczeństwa w trybie offline.
Chociaż zniechęcimy do praktyki, uprzywilejowane konta mogą mieć stałe prawa administracyjne. Jeśli zdecydujesz się używać stałych uprawnień, a konto zostanie naruszone, może to mieć silnie negatywny wpływ. Zalecamy określanie priorytetów monitorowania kont uprzywilejowanych i uwzględnianie kont w konfiguracji usługi Privileged Identity Management (PIM). Aby uzyskać więcej informacji na temat usługi PIM, zobacz Rozpoczynanie korzystania z usługi Privileged Identity Management. Zalecamy również zweryfikowanie kont administratorów:
- Są wymagane.
- Mieć najmniejsze uprawnienia do wykonywania działań wymagających.
- Są chronione przy użyciu uwierzytelniania wieloskładnikowego co najmniej.
- Są uruchamiane z urządzeń stacji roboczej z dostępem uprzywilejowanym (PAW) lub bezpiecznej stacji roboczej administratora (SAW).
W pozostałej części tego artykułu opisano, co zalecamy monitorowanie i zgłaszanie alertów. Artykuł jest zorganizowany według typu zagrożenia. Jeśli istnieją konkretne wstępnie utworzone rozwiązania, łączymy się z nimi po tabeli. W przeciwnym razie możesz tworzyć alerty przy użyciu narzędzi opisanych powyżej.
Ten artykuł zawiera szczegółowe informacje dotyczące ustawiania punktów odniesienia oraz inspekcji logowania i użycia uprzywilejowanych kont. W tym artykule omówiono również narzędzia i zasoby, których można użyć do utrzymania integralności kont uprzywilejowanych. Zawartość jest zorganizowana w następujące tematy:
- Konta awaryjne "break-glass"
- Logowanie do konta uprzywilejowanego
- Zmiany konta uprzywilejowanego
- Grupy uprzywilejowane
- Przypisanie uprawnień i podniesienie uprawnień
Konta dostępu awaryjnego
Ważne jest, aby zapobiec przypadkowemu zablokowaniu dzierżawy firmy Microsoft Entra.
Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.
Wysyłaj alert o wysokim priorytcie za każdym razem, gdy używane jest konto dostępu awaryjnego.
Odkrycie
Ponieważ konta ze szkła break-glass są używane tylko wtedy, gdy wystąpi sytuacja kryzysowa, monitorowanie powinno wykryć brak aktywności konta. Wysyłaj alert o wysokim priorytcie za każdym razem, gdy konto dostępu awaryjnego jest używane lub zmieniane. Dowolne z następujących zdarzeń może wskazywać, że zły aktor próbuje naruszyć bezpieczeństwo środowisk:
- Logowanie.
- Zmiana hasła konta.
- Zmieniono uprawnienia lub role konta.
- Dodano lub zmieniono metodę poświadczeń lub uwierzytelniania.
Aby uzyskać więcej informacji na temat zarządzania kontami dostępu awaryjnego, zobacz Zarządzanie kontami administratora dostępu awaryjnego w usłudze Microsoft Entra ID. Aby uzyskać szczegółowe informacje na temat tworzenia alertu dla konta awaryjnego, zobacz Tworzenie reguły alertu.
Logowanie do konta uprzywilejowanego
Monitoruj wszystkie działania logowania uprzywilejowanego konta przy użyciu dzienników logowania firmy Microsoft Entra jako źródła danych. Oprócz informacji o powodzeniu logowania i niepowodzeniu dzienniki zawierają następujące szczegóły:
- Przerwania
- Urządzenie
- Lokalizacja
- Ryzyko
- Aplikacja
- Data i godzina
- Czy konto jest wyłączone
- Blokady
- Oszustwa uwierzytelniania wieloskładnikowego
- Niepowodzenie dostępu warunkowego
Rzeczy do monitorowania
Zdarzenia logowania uprzywilejowanego konta można monitorować w dziennikach logowania firmy Microsoft Entra. Prześlij alert i zbadaj następujące zdarzenia dla kont uprzywilejowanych.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Notatki |
|---|---|---|---|---|
| Niepowodzenie logowania, nieprawidłowy próg hasła | Wysoki | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie -i- kod błędu = 50126 |
Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasuj je do zachowań organizacji oraz ogranicz generowanie fałszywych alertów. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Niepowodzenie z powodu wymagania dostępu warunkowego | Wysoki | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie -i- kod błędu = 53003 -i- Przyczyna błędu = Zablokowana przez dostęp warunkowy |
To zdarzenie może wskazywać, że osoba atakująca próbuje dostać się na konto. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Uprzywilejowane konta, które nie są zgodne z zasadami nazewnictwa | Subskrypcja platformy Azure | Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal | Wyświetlanie listy przypisań ról dla subskrypcji i alertów, w których nazwa logowania nie jest zgodna z formatem organizacji. Przykładem jest użycie ADM_ jako prefiksu. | |
| Przerwanie | Wysoki, średni | Microsoft Entra Sign-ins | Stan = przerwane -i- kod błędu = 50074 -i- Przyczyna błędu : wymagane silne uwierzytelnianie Stan = przerwane -i- Kod błędu = 500121 Przyczyna niepowodzenia = Uwierzytelnianie nie powiodło się podczas silnego żądania uwierzytelniania |
To zdarzenie może wskazywać, że osoba atakująca ma hasło do konta, ale nie może przekazać zadania uwierzytelniania wieloskładnikowego. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Uprzywilejowane konta, które nie są zgodne z zasadami nazewnictwa | Wysoki | Katalog Microsoft Entra | Wyświetlanie listy przypisań ról firmy Microsoft Entra | Wyświetlanie listy przypisań ról dla ról i alertów firmy Microsoft, w których nazwa UPN nie jest zgodna z formatem organizacji. Przykładem jest użycie ADM_ jako prefiksu. |
| Odnajdywanie kont uprzywilejowanych niezarejestrowanych na potrzeby uwierzytelniania wieloskładnikowego | Wysoki | Microsoft Graph API | Kwerenda isMFARegistered eq false dla kont administratorów. Wyświetlanie poświadczeńUserRegistrationDetails — Microsoft Graph beta | Przeprowadź inspekcję i zbadaj, czy zdarzenie jest zamierzone, czy nadzoru. |
| Blokada konta | Wysoki | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie -i- kod błędu = 50053 |
Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasuj je do swoich zachowań organizacyjnych oraz ograniczaj generowanie fałszywych alertów. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Konto jest wyłączone lub zablokowane na potrzeby logowania | Niski | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie -i- Target = nazwa UPN użytkownika -i- kod błędu = 50057 |
To zdarzenie może wskazywać, że ktoś próbuje uzyskać dostęp do konta po opuszczeniu organizacji. Mimo że konto jest zablokowane, nadal ważne jest rejestrowanie i zgłaszanie alertów dotyczących tego działania. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Alert o oszustwie lub blokuj uwierzytelnianie wieloskładnikowe | Wysoki | Dziennik logowania firmy Microsoft/Azure Log Analytics | Szczegóły uwierzytelniania logowania>Szczegóły wyników = odmowa uwierzytelniania wieloskładnikowego, wprowadzony kod oszustwa | Użytkownik uprzywilejowany wskazał, że nie podżegał do monitu uwierzytelniania wieloskładnikowego, co może wskazywać, że osoba atakująca ma hasło do konta. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Alert o oszustwie lub blokuj uwierzytelnianie wieloskładnikowe | Wysoki | Dziennik inspekcji firmy Microsoft/Azure Log Analytics | Typ działania = Zgłoszone oszustwa — użytkownik jest zablokowany w przypadku zgłoszonej uwierzytelniania wieloskładnikowego lub oszustwa — brak podejmowania akcji (na podstawie ustawień na poziomie dzierżawy dla raportu o oszustwie) | Użytkownik uprzywilejowany wskazał, że nie podżegał do monitu uwierzytelniania wieloskładnikowego, co może wskazywać, że osoba atakująca ma hasło do konta. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Logowania konta uprzywilejowanego poza oczekiwanymi kontrolkami | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie UserPricipalName = <konto administratora> Lokalizacja = <niezatwierdzona lokalizacja> Adres IP = <niezatwierdzony adres IP> Informacje o urządzeniu = <niezatwierdzona przeglądarka, system operacyjny> |
Monitoruj i alerty dotyczące wszystkich wpisów zdefiniowanych jako niezatwierdzone. Szablon usługi Microsoft Sentinel Reguły Sigma |
|
| Poza normalnymi godzinami logowania | Wysoki | Dziennik logowania firmy Microsoft Entra | Stan = powodzenie -i- Lokalizacja = -i- Czas = poza godzinami pracy |
Monitoruj i ostrzegaj, czy logowania występują poza oczekiwanymi godzinami. Ważne jest, aby znaleźć normalny wzorzec pracy dla każdego uprzywilejowanego konta i ostrzegać, jeśli nie ma zaplanowanych zmian poza normalnymi godzinami pracy. Logowania poza normalnymi godzinami pracy mogą wskazywać na naruszenie zabezpieczeń lub możliwe zagrożenia wewnętrzne. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Ochrona tożsamości Microsoft Entra ryzyko | Wysoki | Dzienniki ochrony identyfikatorów | Stan ryzyka = Ryzyko -i- Poziom ryzyka = niski, średni, wysoki -i- Działanie = nieznane logowanie/tor itd. |
To zdarzenie wskazuje, że wykryto pewne nieprawidłowości podczas logowania do konta i powinno zostać wyświetlone alerty. |
| Zmiana hasła | Wysoki | Dzienniki inspekcji firmy Microsoft Entra | Aktor działania = administrator/samoobsługa -i- Target = Użytkownik -i- Stan = powodzenie lub niepowodzenie |
Alert po zmianie hasła konta administratora. Napisz zapytanie dotyczące kont uprzywilejowanych. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zmiana w starszym protokole uwierzytelniania | Wysoki | Dziennik logowania firmy Microsoft Entra | Aplikacja kliencka = inny klient, IMAP, POP3, MAPI, SMTP itd. -i- Nazwa użytkownika = nazwa UPN -i- Aplikacja = Exchange (przykład) |
Wiele ataków używa starszego uwierzytelniania, więc jeśli dla użytkownika nastąpiła zmiana protokołu uwierzytelniania, może to być wskazaniem ataku. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Nowe urządzenie lub lokalizacja | Wysoki | Dziennik logowania firmy Microsoft Entra | Informacje o urządzeniu = identyfikator urządzenia -i- Przeglądarka -i- System operacyjny -i- Zgodne/zarządzane -i- Target = Użytkownik -i- Lokalizacja |
Większość działań administracyjnych powinna pochodzić z urządzeń z dostępem uprzywilejowanym z ograniczonej liczby lokalizacji. Z tego powodu alerty dotyczące nowych urządzeń lub lokalizacji. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zmieniono ustawienie alertu inspekcji | Wysoki | Dzienniki inspekcji firmy Microsoft Entra | Usługa = PIM -i- Kategoria = zarządzanie rolami -i- Działanie = Wyłączanie alertu PIM -i- Stan = powodzenie |
Zmiany w podstawowym alercie powinny być powiadamiane, jeśli nie jest to nieoczekiwane. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Administratorzy uwierzytelniający się w innych dzierżawach firmy Microsoft | Średni | Dziennik logowania firmy Microsoft Entra | Stan = powodzenie Identyfikator dzierżawy zasobu != identyfikator dzierżawy głównej |
W przypadku użytkowników uprzywilejowanych ten monitor wykrywa, kiedy administrator pomyślnie uwierzytelnił się w innej dzierżawie firmy Microsoft Entra przy użyciu tożsamości w dzierżawie organizacji. Alert, jeśli identyfikator dzierżawy zasobu nie jest równy identyfikatorowi dzierżawy głównej Szablon usługi Microsoft Sentinel Reguły Sigma |
| Stan użytkownika administratora został zmieniony z Gość na Członek | Średni | Dzienniki inspekcji firmy Microsoft Entra | Działanie: Aktualizowanie użytkownika Kategoria: UserManagement Typ użytkownika został zmieniony z Gość na Członek |
Monitoruj i ostrzegaj o zmianie typu użytkownika z gościa na członka. Czy ta zmiana była oczekiwana? Szablon usługi Microsoft Sentinel Reguły Sigma |
| Użytkownicy-goście zaproszeni do dzierżawy przez niezatwierdzonych osób zapraszających | Średni | Dzienniki inspekcji firmy Microsoft Entra | Działanie: Zapraszanie użytkownika zewnętrznego Kategoria: UserManagement Zainicjowane przez (aktor): główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów dla niezatwierdzonych podmiotów zapraszania użytkowników zewnętrznych. Szablon usługi Microsoft Sentinel Reguły Sigma |
Zmiany według kont uprzywilejowanych
Monitoruj wszystkie ukończone i podjęto próby wprowadzenia zmian przez uprzywilejowane konto. Te dane umożliwiają ustalenie normalnego działania dla każdego uprzywilejowanego konta i alerty dotyczące działań, które odbiegają od oczekiwanej wartości. Dzienniki inspekcji firmy Microsoft Entra są używane do rejestrowania tego typu zdarzenia. Aby uzyskać więcej informacji na temat dzienników inspekcji firmy Microsoft Entra, zobacz Dzienniki inspekcji w usłudze Microsoft Entra ID.
Microsoft Entra Domain Services
Uprzywilejowane konta, które zostały przypisane uprawnienia w usługach Microsoft Entra Domain Services, mogą wykonywać zadania dla usług Microsoft Entra Domain Services, które mają wpływ na stan zabezpieczeń maszyn wirtualnych hostowanych na platformie Azure korzystających z usług Microsoft Entra Domain Services. Włącz inspekcje zabezpieczeń na maszynach wirtualnych i monitoruj dzienniki. Aby uzyskać więcej informacji na temat włączania inspekcji usług Microsoft Entra Domain Services i listy poufnych uprawnień, zobacz następujące zasoby:
- Włączanie inspekcji zabezpieczeń dla usług Microsoft Entra Domain Services
- Inspekcja użycia poufnych uprawnień
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Notatki |
|---|---|---|---|---|
| Podjęto próbę i ukończono zmiany | Wysoki | Dzienniki inspekcji firmy Microsoft Entra | Data i godzina -i- Usługa -i- Kategoria i nazwa działania (co) -i- Stan = powodzenie lub niepowodzenie -i- Cel -i- Inicjator lub aktor (kto) |
Wszelkie nieplanowane zmiany powinny być natychmiast powiadamiane. Te dzienniki powinny być przechowywane, aby ułatwić badanie. Wszelkie zmiany na poziomie dzierżawy należy zbadać natychmiast (połączyć się z dokumentem infra), aby obniżyć stan zabezpieczeń dzierżawy. Przykładem jest wykluczenie kont z uwierzytelniania wieloskładnikowego lub dostępu warunkowego. Alert dotyczący wszelkich dodatków lub zmian w aplikacjach. Zobacz Przewodnik po operacjach zabezpieczeń usługi Microsoft Entra dla aplikacji. |
| Przykład Podjęto próbę lub ukończono zmianę w aplikacjach lub usługach o wysokiej wartości |
Wysoki | Dziennik inspekcji | Usługa -i- Kategoria i nazwa działania |
Data i godzina, Usługa, Kategoria i nazwa działania, Stan = Powodzenie lub niepowodzenie, Cel, Inicjator lub aktor (kto) |
| Zmiany uprzywilejowane w usługach Microsoft Entra Domain Services | Wysoki | Microsoft Entra Domain Services | Poszukaj zdarzenia 4673 | Włączanie inspekcji zabezpieczeń dla usług Microsoft Entra Domain Services Aby uzyskać listę wszystkich zdarzeń uprzywilejowanych, zobacz Inspekcja poufnego użycia uprawnień. |
Zmiany w kontach uprzywilejowanych
Zbadaj zmiany w regułach i uprawnieniach uwierzytelniania uprzywilejowanych kont, zwłaszcza jeśli zmiana zapewnia większe uprawnienia lub możliwość wykonywania zadań w środowisku Microsoft Entra.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Notatki |
|---|---|---|---|---|
| Tworzenie uprzywilejowanego konta | Średni | Dzienniki inspekcji firmy Microsoft Entra | Usługa = katalog podstawowy -i- Kategoria = Zarządzanie użytkownikami -i- Typ działania = Dodaj użytkownika -koreluj z- Typ kategorii = zarządzanie rolami -i- Typ działania = Dodawanie elementu członkowskiego do roli -i- Zmodyfikowane właściwości = Role.DisplayName |
Monitorowanie tworzenia kont uprzywilejowanych. Poszukaj korelacji, która ma krótki przedział czasu między tworzeniem i usuwaniem kont. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zmiany metod uwierzytelniania | Wysoki | Dzienniki inspekcji firmy Microsoft Entra | Service = Metoda uwierzytelniania -i- Typ działania = Informacje o zabezpieczeniach zarejestrowane przez użytkownika -i- Kategoria = Zarządzanie użytkownikami |
Ta zmiana może wskazywać, że osoba atakująca dodała metodę uwierzytelniania do konta, aby mogła mieć stały dostęp. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Alert dotyczący zmian uprawnień uprzywilejowanego konta | Wysoki | Dzienniki inspekcji firmy Microsoft Entra | Kategoria = zarządzanie rolami -i- Typ działania = Dodaj uprawniony element członkowski (stały) -lub- Typ działania = Dodaj kwalifikującego się członka (kwalifikującego się) -i- Stan = powodzenie lub niepowodzenie -i- Zmodyfikowane właściwości = Role.DisplayName |
Ten alert dotyczy zwłaszcza kont przypisanych ról, które nie są znane lub wykraczają poza ich normalne obowiązki. Reguły Sigma |
| Nieużywane konta uprzywilejowane | Średni | Przeglądy dostępu firmy Microsoft Entra | Przeprowadzanie miesięcznego przeglądu dla nieaktywnych kont uprzywilejowanych użytkowników. Reguły Sigma |
|
| Konta wykluczone z dostępu warunkowego | Wysoki | Dzienniki usługi Azure Monitor -lub- Przeglądy dostępu |
Dostęp warunkowy = szczegółowe informacje i raportowanie | Każde konto wykluczone z dostępu warunkowego najprawdopodobniej pomija mechanizmy kontroli zabezpieczeń i jest bardziej narażone na naruszenie zabezpieczeń. Konta ze szkła break-glass są zwolnione. Zapoznaj się z informacjami na temat monitorowania kont z break-glass w dalszej części tego artykułu. |
| Dodawanie dostępu tymczasowego dostępu do konta uprzywilejowanego | Wysoki | Dzienniki inspekcji firmy Microsoft Entra | Działanie: Informacje o zabezpieczeniach zarejestrowane przez administratora Przyczyna stanu: Metoda dostępu tymczasowego zarejestrowanego przez administratora dla użytkownika Kategoria: UserManagement Zainicjowane przez (aktor): główna nazwa użytkownika Element docelowy: główna nazwa użytkownika |
Monitoruj i alerty dotyczące tymczasowego dostępu przekazywanego tworzonego dla uprzywilejowanego użytkownika. Szablon usługi Microsoft Sentinel Reguły Sigma |
Aby uzyskać więcej informacji na temat monitorowania wyjątków zasad dostępu warunkowego, zobacz Szczegółowe informacje i raportowanie dostępu warunkowego.
Aby uzyskać więcej informacji na temat odnajdywania nieużywanych kont uprzywilejowanych, zobacz Tworzenie przeglądu dostępu ról usługi Microsoft Entra w usłudze Privileged Identity Management.
Przypisanie i podniesienie uprawnień
Posiadanie uprzywilejowanych kont, które są trwale aprowizowane z podwyższonym poziomem uprawnień, może zwiększyć obszar ataków i ryzyko dla granicy zabezpieczeń. Zamiast tego należy stosować dostęp just in time przy użyciu procedury podniesienia uprawnień. Ten typ systemu umożliwia przypisywanie uprawnień do ról uprzywilejowanych. Administratorzy podnieść swoje uprawnienia do tych ról tylko wtedy, gdy wykonują zadania, które wymagają tych uprawnień. Korzystanie z procesu podniesienia uprawnień umożliwia monitorowanie podniesienia uprawnień i nieużywanych kont uprzywilejowanych.
Ustanawianie punktu odniesienia
Aby monitorować wyjątki, należy najpierw utworzyć punkt odniesienia. Określ następujące informacje dotyczące tych elementów
Konta administratora
- Strategia uprzywilejowanego konta
- Używanie kont lokalnych do administrowania zasobami lokalnymi
- Używanie kont opartych na chmurze do administrowania zasobami opartymi na chmurze
- Podejście do oddzielania i monitorowania uprawnień administracyjnych dla zasobów lokalnych i w chmurze
Ochrona ról uprzywilejowanych
- Strategia ochrony ról z uprawnieniami administracyjnymi
- Zasady organizacyjne dotyczące używania kont uprzywilejowanych
- Strategia i zasady dotyczące utrzymywania stałych uprawnień w porównaniu z zapewnieniem dostępu ograniczonego czasowo i zatwierdzonego
Następujące pojęcia i informacje pomagają określić zasady:
- Zasady administratora just in time. Użyj dzienników firmy Microsoft Entra, aby przechwycić informacje dotyczące wykonywania zadań administracyjnych, które są wspólne w danym środowisku. Określ typowy czas potrzebny do wykonania zadań.
- Wystarczy zasady administratora. Określ rolę o najniższych uprawnieniach, która może być rolą niestandardową, która jest wymagana dla zadań administracyjnych. Aby uzyskać więcej informacji, zobacz Najmniej uprzywilejowane role według zadania w usłudze Microsoft Entra ID.
- Ustanów zasady podniesienia uprawnień. Po zapoznaniu się z wymaganym typem podwyższonego poziomu uprawnień i tym, jak długo jest potrzebny dla każdego zadania, utwórz zasady odzwierciedlające podwyższone użycie uprzywilejowane dla danego środowiska. Na przykład zdefiniuj zasady, aby ograniczyć podniesienie uprawnień roli do jednej godziny.
Po ustanowieniu planu bazowego i ustawieniu zasad można skonfigurować monitorowanie w celu wykrywania i zgłaszania alertów użycia poza zasadami.
Odkrycie
Zwróć szczególną uwagę na zmiany przypisania i podniesienia uprawnień oraz zbadaj je.
Rzeczy do monitorowania
Zmiany kont uprzywilejowanych można monitorować przy użyciu dzienników inspekcji firmy Microsoft Entra i dzienników usługi Azure Monitor. Uwzględnij następujące zmiany w procesie monitorowania.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Notatki |
|---|---|---|---|---|
| Dodano do kwalifikującej się roli uprzywilejowanej | Wysoki | Dzienniki inspekcji firmy Microsoft Entra | Usługa = PIM -i- Kategoria = zarządzanie rolami -i- Typ działania = Dodaj członka do ukończonej roli (kwalifikującej się) -i- Stan = powodzenie lub niepowodzenie -i- Zmodyfikowane właściwości = Role.DisplayName |
Każde konto kwalifikujące się do roli ma teraz dostęp uprzywilejowany. Jeśli przypisanie jest nieoczekiwane lub do roli, która nie jest obowiązkiem właściciela konta, zbadaj. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Role przypisane poza usługą PIM | Wysoki | Dzienniki inspekcji firmy Microsoft Entra | Usługa = PIM -i- Kategoria = zarządzanie rolami -i- Typ działania = Dodawanie elementu członkowskiego do roli (stałej) -i- Stan = powodzenie lub niepowodzenie -i- Zmodyfikowane właściwości = Role.DisplayName |
Te role powinny być ściśle monitorowane i powiadamiane. Jeśli to możliwe, użytkownicy nie powinni mieć przypisanych ról poza usługą PIM. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Elewacje | Średni | Dzienniki inspekcji firmy Microsoft Entra | Usługa = PIM -i- Kategoria = zarządzanie rolami -i- Typ działania = Dodawanie elementu członkowskiego do roli ukończonej (aktywacja usługi PIM) -i- Stan = powodzenie lub niepowodzenie -i- Zmodyfikowane właściwości = Role.DisplayName |
Po podwyższeniu poziomu uprawnień konta można teraz wprowadzać zmiany, które mogą mieć wpływ na bezpieczeństwo dzierżawy. Wszystkie podniesienia uprawnień powinny być rejestrowane i, jeśli wystąpi poza standardowym wzorcem dla tego użytkownika, należy otrzymywać alerty i badać je, jeśli nie jest to planowane. |
| Zatwierdzenia i odmowa podniesienia uprawnień | Niski | Dzienniki inspekcji firmy Microsoft Entra | Usługa = Przegląd dostępu -i- Kategoria = UserManagement -i- Typ działania = Żądanie zatwierdzone lub odrzucone -i- Zainicjowany aktor = NAZWA UPN |
Monitoruj wszystkie podniesienia uprawnień, ponieważ może to jasno wskazywać oś czasu ataku. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zmiany ustawień usługi PIM | Wysoki | Dzienniki inspekcji firmy Microsoft Entra | Usługa = PIM -i- Kategoria = zarządzanie rolami -i- Typ działania = Aktualizowanie ustawienia roli w usłudze PIM -i- Przyczyna stanu = uwierzytelnianie wieloskładnikowe w przypadku wyłączenia aktywacji (przykład) |
Jedna z tych akcji może zmniejszyć bezpieczeństwo podniesienia uprawnień usługi PIM i ułatwić osobom atakującym uzyskanie uprzywilejowanego konta. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Podniesienie uprawnień nie występuje w usłudze SAW/PAW | Wysoki | Dzienniki logowania w usłudze Microsoft Entra | Identyfikator urządzenia -i- Przeglądarka -i- System operacyjny -i- Zgodne/zarządzane Skoreluj z: Usługa = PIM -i- Kategoria = zarządzanie rolami -i- Typ działania = Dodawanie elementu członkowskiego do roli ukończonej (aktywacja usługi PIM) -i- Stan = powodzenie lub niepowodzenie -i- Zmodyfikowane właściwości = Role.DisplayName |
Jeśli ta zmiana jest skonfigurowana, wszelkie próby podniesienia poziomu na urządzeniu innym niż PAW/SAW powinny być badane natychmiast, ponieważ może to wskazywać, że osoba atakująca próbuje użyć konta. Reguły Sigma |
| Podniesienie uprawnień do zarządzania wszystkimi subskrypcjami platformy Azure | Wysoki | Azure Monitor | Karta Dziennik aktywności Karta Działanie katalogu Nazwa operacji = przypisuje obiekt wywołujący do administratora dostępu użytkownika -i- Kategoria zdarzenia = Administracja -i- Stan = Powodzenie, uruchomienie, niepowodzenie -i- Zdarzenie zainicjowane przez |
Ta zmiana powinna być badana natychmiast, jeśli nie jest planowana. To ustawienie może zezwalać atakującemu na dostęp do subskrypcji platformy Azure w danym środowisku. |
Aby uzyskać więcej informacji na temat zarządzania podniesieniem uprawnień, zobacz Podnoszenie poziomu dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania. Aby uzyskać informacje na temat monitorowania podniesienia uprawnień przy użyciu informacji dostępnych w dziennikach firmy Microsoft Entra, zobacz Dziennik aktywności platformy Azure, który jest częścią dokumentacji usługi Azure Monitor.
Aby uzyskać informacje na temat konfigurowania alertów dla ról platformy Azure, zobacz Konfigurowanie alertów zabezpieczeń dla ról zasobów platformy Azure w usłudze Privileged Identity Management.
Następne kroki
Zapoznaj się z następującymi artykułami w przewodniku po operacjach zabezpieczeń:
Omówienie operacji zabezpieczeń firmy Microsoft Entra
Operacje zabezpieczeń dla kont użytkowników
Operacje zabezpieczeń dla kont konsumentów
Operacje zabezpieczeń dla usługi Privileged Identity Management
Operacje zabezpieczeń dla aplikacji