Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор пользователя является одним из наиболее важных аспектов защиты организации и данных. В этой статье приводятся рекомендации по отслеживанию создания, удаления и использования учетной записи. В первой части описано, как отслеживать необычное создание и удаление учетных записей. Во второй части рассматривается мониторинг необычного использования учетной записи.
Если вы еще не прочитали обзор операций безопасности Microsoft Entra, рекомендуется сделать это, прежде чем продолжить.
В этой статье описываются учетные записи обычных пользователей. Для учетных записей с привилегированным доступом см. статью "Операции по обеспечению безопасности — привилегированные учетные записи".
Определение базовых показателей
Чтобы выявить аномальное поведение, прежде всего нужно определить, что считается нормальным и ожидаемым поведением. Определение того, что считается ожидаемым поведением для организации, позволяет выявить непредусмотренное поведение. Определение также помогает снизить уровень помех от ложноположительных результатов при выполнении мониторинга и оповещения.
После определения того, что вы ожидаете, выполните мониторинг базовых показателей, чтобы проверить свои ожидания. С помощью этих сведений можно отслеживать журналы на наличие событий, выходящих за пределы заданных отклонений.
Используйте журналы аудита Microsoft Entra, журналы входа Microsoft Entra и атрибуты каталога в качестве источников данных для учетных записей, созданных за пределами обычных процессов. Следующие рекомендации помогут вам обдумать и определить, что является нормальным для вашей организации.
Создание учетной записи пользователя — оцените следующее
Стратегия и принципы для инструментов и процессов, используемых для создания учетных записей пользователей и управления ими. Например, существуют ли стандартные атрибуты, форматы, применяемые к атрибутам учетной записи пользователя.
Утвержденные источники для создания учетной записи. Например, если данные исходят из Active Directory (AD), Microsoft Entra ID или систем управления персоналом таких, как Workday.
Стратегия оповещения для учетных записей, созданных за пределами утвержденных источников. Существует ли контрольный список организаций, с которыми взаимодействует ваша организация?
Подготовка гостевых учетных записей и параметры оповещений для учетных записей, созданных вне управления правами или других обычных процессов.
Стратегия и параметры оповещений для учетных записей, созданных, измененных или отключенных учетной записью, которая не является утвержденным администратором пользователей.
Стратегия мониторинга и оповещения для учетных записей, в которых отсутствуют стандартные атрибуты, такие как идентификатор сотрудника, или не соблюдаются организационные соглашения об именовании.
Стратегия, принципы и процесс удаления и хранения учетных записей.
Локальные учетные записи пользователей — оцените следующие учетные записи , синхронизированные с Microsoft Entra Connect:
Леса, домены и организационные единицы (ОЕ), которые подлежат синхронизации. Кто является утвержденными администраторами, имеющими право изменять эти параметры? Как часто выполняется проверка области?
Типы синхронизируемых учетных записей. Например, учетные записи пользователей и (или) учетные записи служб.
Процесс создания привилегированных локальных учетных записей и контроль за синхронизацией учетной записи этого типа.
Процесс создания локальных учетных записей и управление синхронизацией для этого типа учетной записи.
Дополнительные сведения об обеспечении безопасности и мониторингу локальных учетных записей см. в статье Защита Microsoft 365 от локальных атак.
Облачные учетные записи пользователей — оцените следующее
Процесс подготовки облачных учетных записей и управления ими непосредственно в идентификаторе Microsoft Entra.
Процесс определения типов пользователей, предоставленных как облачные учетные записи Microsoft Entra. Например, вы разрешаете использовать только привилегированные учетные записи или также допускаете учетные записи пользователей?
Процесс создания и ведения списка доверенных лиц и (или) процессов, предполагающих создание облачных учетных записей пользователей и управление ими.
Процесс создания и соблюдения стратегии оповещения для неутвержденных облачных учетных записей.
Где искать
Для исследования и мониторинга используйте файлы журнала:
В портале Azure можно просмотреть журналы аудита Microsoft Entra и загрузить в формате CSV (значения, разделенные запятыми) или JSON (нотация объектов JavaScript). В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:
Microsoft Sentinel — включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor — включает автоматический мониторинг и оповещение о различных условиях. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.
Центры событий Azure интегрированы с SIEM - журналы Microsoft Entra можно интегрировать с другими SIEM-системами, такими как Splunk, ArcSight, QRadar и Sumo Logic через интеграцию с Центрами событий Azure.
Microsoft Defender for Cloud Apps — позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои приложения на соответствие требованиям.
Защита удостоверений ресурсов с помощью Microsoft Entra ID Protection. Используется для обнаружения риска для удостоверений ресурсов в поведении при входе и офлайн индикаторах компрометации.
Большая часть того, что вы будете отслеживать и оповещать, — это эффекты действия политик условного доступа. Используйте книгу аналитики и отчетности по условному доступу для проверки влияния одной или нескольких политик условного доступа на входы в систему и результатов их применения, включая состояние устройств. Эта книга позволяет просматривать сводные данные и оценивать влияние за определенный период времени. Кроме того, книгу можно использовать для исследования попыток входа конкретного пользователя.
В оставшейся части статьи описывается, что мы рекомендуем отслеживать и о чем создавать оповещения, и изложенный материал упорядочен по типам угроз. Если существуют конкретные готовые решения, мы приводим ссылки на них или предоставляем примеры после таблицы. В противном случае можно создавать оповещения с помощью предыдущих средств.
Создание учетной записи
Аномальное создание учетной записи может указывать на проблему безопасности. Краткосрочные учетные записи, учетные записи, не соответствующие стандартам именования, а также учетные записи, созданные вне обычных процессов, следует исследовать.
Краткосрочные учетные записи
Создание и удаление учетных записей вне стандартных процессов управления идентичностью следует контролировать в Microsoft Entra ID. Краткосрочные учетные записи — это учетные записи, которые создаются на очень короткий период времени, а затем быстро удаляются. Этот тип создания учетной записи и быстрое удаление могут означать, что злоумышленник пытается избежать обнаружения путем создания учетных записей, их использования и последующего удаления.
Шаблоны краткосрочных учетных записей могут указывать на то, что неодобренные люди или процессы могут иметь право создавать и удалять учетные записи, выходящие за пределы установленных процессов и политик. Такой тип поведения удаляет видимые метки из каталога.
Если полный отчет о создании и удалении учетной записи не удается быстро обнаружить, то сведения, необходимые для исследования инцидента, могут перестать существовать. Например, учетные записи могут быть удалены, а затем окончательно удалены из корзины. Журналы аудита сохраняются в течение 30 дней. Но вы можете экспортировать свои журналы в Azure Monitor или в решение для управления информационной безопасностью и событиями безопасности (SIEM) для более длительного хранения.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| События создания и удаления учетной записи в течение короткого интервала времени. | Высокая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" -и- Действие: удаление пользователя Состояние = "успешно" |
Ищите события основного имени пользователя (UPN). Ищите учетные записи, созданные и удаленные в течение 24 часов. Шаблон Microsoft Sentinel |
| Учетные записи, созданные и удаленные неодобренными пользователями или процессами. | Средняя | Журналы аудита Microsoft Entra | Кем инициировано (субъект) — USER PRINCIPAL NAME -и- Действие: добавление пользователя Состояние = "успешно" и (или) Действие: удаление пользователя Состояние = "успешно" |
Настройте отправку оповещения, если субъектом является неодобренный пользователь. Шаблон Microsoft Sentinel |
| Учетные записи из неодобренных источников. | Средняя | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" Цель(и) = ИМЯ ПОЛЬЗОВАТЕЛЯ ИЛИ ГЛАВНОЕ ИМЯ ПОЛЬЗОВАТЕЛЯ |
Настройте отправку оповещения, если запись не относится к одобренному домену или относится к заблокированному домену. Шаблон Microsoft Sentinel |
| Учетные записи, назначенные для привилегированной роли. | Высокая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" -и- Действие: удаление пользователя Состояние = "успешно" -и- Действие: добавление участника в роль Состояние = "успешно" |
Если учетная запись назначена на роль Microsoft Entra, роль Azure или входит в привилегированную группу, следует оповестить и приоритизировать расследование. Шаблон Microsoft Sentinel Sigma-правила |
Следует отслеживать и получать оповещения как для привилегированных, так и для непривилегированных учетных записей. Но, учитывая, что привилегированные учетные записи имеют права доступа администратора, они должны иметь более высокий приоритет в процессах отслеживания, оповещения и реагирования.
Учетные записи, не соответствующие правилам именования
Учетные записи пользователей, не соответствующие политике именования, могут быть созданы вне политик организации.
Рекомендуется использовать политику именования для объектов-пользователей. Политика именования упрощает управление и обеспечивает согласованность. Политика также может помочь обнаружить случаи создания пользователей вне утвержденных процессов. Злоумышленник может не знать о ваших стандартах именования, что упростит обнаружение учетной записи, подготовленной вне ваших организационных процессов.
Организации обычно имеют определенные форматы и атрибуты, которые используются для создания учетных записей пользователей и привилегированных пользователей. Например:
UPN учетной записи администратора = ADM_firstname.lastname@tenant.onmicrosoft.com
Имя пользователя учетной записи (UPN) = Firstname.Lastname@contoso.com
Учетные записи пользователей часто имеют атрибут, идентифицирующий реального пользователя. Например, EMPID = XXXNNN. Следующие рекомендации помогут вам определить нормальные условия для вашей организации и установить базовые показатели для записей журнала, если учетные записи не соответствуют соглашению об именовании:
Учетные записи, не соответствующие соглашению об именовании. Например, сравните
nnnnnnn@contoso.comиfirstname.lastname@contoso.com.Учетные записи, у которых стандартные атрибуты не заполнены или имеют неправильный формат. Например, отсутствует допустимый идентификатор сотрудника.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Учетные записи пользователей, для которых не определены ожидаемые атрибуты. | Низкая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" |
Ищите учетные записи, у которых стандартные атрибуты или аннулированы, или в неправильном формате. Например, EmployeeID Шаблон Microsoft Sentinel |
| Учетные записи пользователей, созданные с использованием неправильного формата именования. | Низкая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" |
Ищите учетные записи с UPN, которое не соответствует вашей политике именования. Шаблон Microsoft Sentinel |
| Привилегированные учетные записи, которые не соответствуют политике именования | Высокая | Подписка на Azure | Вывод списка назначений ролей Azure с помощью портала Azure — Azure RBAC | Составьте список назначений ролей для подписок и отправьте оповещение, если имя пользователя для входа не соответствует формату вашей организации. Например, ADM_ в качестве префикса. |
| Привилегированные учетные записи, не соблюдающие политику именования. | Высокая | Каталог Microsoft Entra | Вывод списка назначений ролей Microsoft Entra | Вывод списка назначений для оповещений о ролях Microsoft Entra, где UPN не соответствует формату вашей организации. Например, ADM_ в качестве префикса. |
Дополнительные сведения по анализу см. в статьях:
Журналы аудита Microsoft Entra — анализ текстовых данных в журналах Azure Monitor
для Подписок Azure — Составление списка назначений ролей Azure с помощью Azure PowerShell;
Идентификатор Microsoft Entra — перечисление назначений ролей Microsoft Entra
Учетные записи, созданные вне нормальных процессов
Наличие стандартных процессов для создания пользователей и привилегированных учетных записей важно для безопасного управления жизненным циклом идентификаторов. Если подготовка пользователей осуществляется или отменяется вне установленных процессов, то это может привести к возникновению угроз безопасности. Работа вне установленных процессов может также создать проблемы для управления идентификацией. К потенциальным рискам относятся
Невозможность управления учетными записями пользователей и привилегированными учетными записями в соответствии с политиками организации. Это может привести к более широкой уязвимости учетных записей, управление которыми осуществляется ненадлежащим образом.
Становится труднее обнаружить учетные записи, создаваемые злоумышленниками для вредоносных целей. Наличие действительных учетных записей, созданных вне установленных процедур, затрудняет обнаружение создания учетных записей или изменения разрешений для вредоносных целей.
Учетные записи пользователей и привилегированные учетные записи рекомендуется создавать только в соответствии с политиками организации. Например, учетная запись должна быть создана в соответствии с правильными стандартами именования, сведениями об организации и в рамках области действия соответствующего управления удостоверениями. В организации должны действовать строгие процедуры контроля за тем, кто имеет права на создание, управление и удаление идентичностей. Роли для создания этих учетных записей должны жестко контролироваться, а права должны предоставляться только после выполнения установленного рабочего процесса утверждения и получения таких разрешений.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Учетные записи пользователей, созданные или удаленные неодобренными пользователями или процессами. | Средняя | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" и (или) Действие: удаление пользователя Состояние = "успешно" -и- Кем инициировано (актор) = USER PRINCIPAL NAME |
Оповестите об учетных записях, созданных неодобренными пользователями или процессами. Первоочередное внимание уделите созданным учетным записям с расширенными привилегиями. Шаблон Microsoft Sentinel |
| Учетные записи пользователей, созданные или удаленные из неутвержденных источников. | Средняя | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" –или– Действие: удаление пользователя Состояние = "успешно" -и- Цель(и) = ИМЯ ПОЛЬЗОВАТЕЛЯ ИЛИ ГЛАВНОЕ ИМЯ ПОЛЬЗОВАТЕЛЯ |
Оповестите, если домен не утвержден или известно, что домен был заблокирован. |
Необычные операции входа
Возникновение сбоев при проверке подлинности пользователей является нормальным. Обнаружение шаблонов или участков сбоев может быть индикатором того, что с идентификацией пользователя что-то не так. Например, во время атак методом массового подбора или грубой силы, или компрометации учетной записи пользователя. Критически важно отслеживать возникновение закономерностей и создавать оповещения о них. Это помогает обеспечить защиту данных пользователя и организации.
Сообщение "Успех" указывает на то, что все в порядке. Но это также может означать, что злоумышленник успешно получил доступ к службе. Отслеживание успешного входа позволяет обнаруживать учетные записи пользователей, которые получают доступ, который им не должен предоставляться. Успешное выполнение проверки подлинности пользователей — это обычные записи в журналах входа Microsoft Entra. Мы рекомендуем отслеживать и оповещать, чтобы обнаружить возникновение шаблонов. Это помогает обеспечить защиту учетных записей пользователей и данных организации.
При проектировании и применении мониторинга журнала и стратегии оповещения рассмотрите средства, доступные на портале Azure. Microsoft Entra ID Protection позволяет автоматизировать обнаружение, защиту и устранение идентификационных рисков. Защита идентификаторов использует машинное обучение и эвристические системы для обнаружения риска и назначения оценки риска для пользователей и входа. Клиенты могут настраивать политики на основе уровня риска, когда разрешать или запрещать доступ или разрешать пользователю безопасно самостоятельно устранять риск. Следующие обнаружения рисков защиты идентификаторов сообщают о уровнях риска сегодня:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Обнаружение риска для пользователя из-за утечки учетных данных | Высокая | Журналы обнаружения рисков Microsoft Entra | UX: утечка учетных данных API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Обнаружение пользовательских рисков в Microsoft Entra Threat Intelligence | Высокая | Журналы обнаружения рисков Microsoft Entra | UX: Аналитика угроз Microsoft Entra API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Обнаружение рисков анонимного IP-адреса при входе в систему | Разные | Журналы обнаружения рисков Microsoft Entra | UX: анонимный IP-адрес API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Необычный вход — выявление рисков при входе | Разные | Журналы обнаружения рисков Microsoft Entra | UX: нетипичное путешествие API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Аномальный токен | Разные | Журналы обнаружения рисков Microsoft Entra | UX: аномальный токен API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| IP-адрес, связанный с вредоносным ПО: обнаружение рисков при входе в систему | Разные | Журналы обнаружения рисков Microsoft Entra | UX: IP-адрес, связанный с вредоносным ПО API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Обнаружение риска подозрительных входов в браузер | Разные | Журналы обнаружения рисков Microsoft Entra | UX: подозрительный браузер API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Необычные свойства входа — обнаружение риска при входе | Разные | Журналы обнаружения рисков Microsoft Entra | UX: незнакомые свойства входа API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита ID Microsoft Entra Sigma-правила |
| Обнаружение риска входа с вредоносного IP-адреса | Разные | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: вредоносный IP-адрес API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra ID Sigma-правила |
| Подозрительные правила обработки входящих сообщений — обнаружение риска при входе | Разные | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: подозрительные правила обработки входящих сообщений API: См. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Обнаружение рисков при атаке с использованием распыления паролей | Высокая | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: распыление пароля API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Microsoft Entra ID Protection Sigma-правила |
| Неосуществимое перемещение — обнаружение риска при входе | Разные | Журналы обнаружения рисков Microsoft Entra | Пользовательский опыт: невозможное перемещение API: См. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Обнаружение рисков входа в новую страну или регион | Разные | Журналы обнаружения рисков Microsoft Entra | UX: новая страна или регион API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Действия, выполняемые с анонимного IP-адреса — обнаружение риска при входе | Разные | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: действия, выполняемые с анонимного IP-адреса API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Подозрительная пересылка входящих сообщений — обнаружение риска при входе | Разные | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: подозрительная пересылка входящих сообщений API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
| Обнаружение рисков входа с помощью Microsoft Entra Threat Intelligence | Высокая | Журналы обнаружения рисков Microsoft Entra | UX: Аналитика угроз Microsoft Entra API: см. тип ресурса riskDetection — Microsoft Graph |
См. Что такое риск? Защита идентификации Microsoft Entra Sigma-правила |
Дополнительные сведения см. в разделе "Что такое защита идентификаторов".
Что искать
Настройте мониторинг данных в журналах входа Microsoft Entra, чтобы убедиться, что оповещения возникают и соответствуют политикам безопасности вашей организации. Ниже приведены некоторые примеры.
Неудачные проверки подлинности: будучи людьми, мы все иногда ошибаемся при вводе паролей. Но большое количество неудачных проверок подлинности может указывать на то, что злоумышленник пытается получить доступ. Атаки отличаются по агрессивности, но их количество может варьировать от нескольких попыток в час до более частых. Например, атака Password Spray обычно нацелена на более простые пароли для множества учетных записей, в то время как атака Brute Force использует множество паролей для конкретных целевых учетных записей.
Прерванная проверка подлинности: прерывание в идентификаторе Microsoft Entra представляет внедрение процесса для удовлетворения проверки подлинности, например при применении элемента управления в политике условного доступа. Это обычное событие, которое может произойти при неправильной настройке приложений. Но если вы видите большое количество прерываний для учетной записи пользователя, это может указывать на то, что с этой учетной записью что-то происходит.
- Например, если вы сортируете пользователей в журналах входа и видите, что большой объем входных данных имеет состояние входа = "Прервано" и Условный доступ = "Сбой". При углубленном анализе в сведениях о проверке подлинности можно увидеть, что пароль правильный, но требуется строгая проверка подлинности. Это может означать, что пользователь не выполняет многофакторную проверку подлинности (MFA), что может свидетельствовать о том, что пароль пользователя скомпрометирован, а злоумышленник не может выполнить MFA.
Умная блокировка: Microsoft Entra ID предоставляет интеллектуальную службу блокировки, которая внедряет концепцию знакомых и незнакомых расположений в процесс аутентификации. Учетная запись пользователя, посещающего знакомое место, может успешно пройти аутентификацию, тогда как злоумышленник, незнакомый с тем же местом, будет заблокирован после нескольких попыток. Найдите учетные записи, которые были заблокированы, и проанализируйте их.
Изменения IP-адресов: вполне нормально, если пользователи заходят с разных IP-адресов. Но политика "Никому не доверяй" предполагает никогда не доверять и всегда проверять. Большое количество IP-адресов и неудачных входов в систему может быть признаком вторжения. Найдите шаблон многих неудачных попыток проверки подлинности, которые выполняются из нескольких IP-адресов. Обратите внимание, что подключения виртуальной частной сети (VPN) могут привести к ложноположительным результатам. Независимо от проблем, рекомендуется отслеживать изменения IP-адресов и, если это возможно, использовать Защита идентификации Microsoft Entra для автоматического обнаружения и устранения этих рисков.
Расположения: как правило, предполагается, что учетная запись пользователя находится в том же географическом расположении. Вы также ожидаете, что пользователи будут входить из тех расположений, где есть ваши сотрудники или деловые партнеры. Если учетная запись пользователя поступает из другой страны быстрее, чем занимает перелет, это может означать, что учетная запись пользователя подверглась злоупотреблению. Обратите внимание, что VPN может привести к ложным срабатываниям; рекомендуется отслеживать входы в учетные записи пользователей из географически удаленных расположений и, по возможности, использовать Microsoft Entra ID Protection для автоматического обнаружения и устранения этих рисков.
Для этой области риска мы рекомендуем отслеживать учетные записи обычных пользователей и привилегированные учетные записи, но первоочередное внимание уделяйте исследованию привилегированных учетных записей. Привилегированные учетные записи — это наиболее важные учетные записи в любом клиенте Microsoft Entra. Специальные рекомендации для привилегированных учетных записей см. в статье "Операции по обеспечению безопасности — привилегированные учетные записи".
Как обнаружить
Вы используете Защита идентификации Microsoft Entra и журналы входа Microsoft Entra для обнаружения угроз, указанных необычными характеристиками входа. Дополнительные сведения см. в статье "Что такое защита идентификаторов". Можно также реплицировать данные в Azure Monitor или SIEM для целей мониторинга и оповещения. Чтобы определить нормальную среду и задать базовые показатели, определите следующее:
параметры, которые будут считаться нормальными для вашей пользовательской базы;
среднее количество попыток ввода пароля в течение промежутка времени, по истечении которого пользователь вызывает службу поддержки или выполняет самостоятельный сброс пароля;
разрешенное количество неудачных попыток до оповещения, будет ли оно различаться для учетных записей пользователей и привилегированных учетных записей;
разрешенное количество неудачных попыток многофакторной проверки подлинности до оповещения, будет ли оно различаться для учетных записей пользователей и привилегированных учетных записей;
включена ли проверка подлинности прежних версий и стратегия прекращения использования;
известные IP-адреса исходящего трафика, предназначенные для вашей организации;
страны или регионы, из которых работают пользователи.
Существуют ли группы пользователей, которые остаются стационарными в сетевом расположении или регионе.
Определите любые другие индикаторы для необычных входов, характерных для вашей организации. Например, дни недели или время в течение недели или года, в которые ваша организация не работает.
После того как вы определите, что является нормой для учетных записей в вашей среде, рассмотрите следующий список факторов, которые помогут определить, какие сценарии вы хотите отслеживать и на какие оповещения стоит обратить внимание, а также корректировать их с вашей стороны.
Необходимо ли отслеживать и оповещать, если настроена Защита идентификации Microsoft Entra?
Существуют ли более жесткие условия, применяемые к привилегированным учетным записям, которые можно использовать для мониторинга и оповещения? Например, требуется использовать привилегированные учетные записи только из доверенных IP-адресов.
Вы действительно установили слишком агрессивные базовые показатели? Наличие слишком большого количества оповещений может привести к игнорированию или пропуску оповещений.
Настройте защиту идентификаторов, чтобы обеспечить защиту, которая поддерживает политики базовых показателей безопасности. Например, блокируйте пользователей, если риск = "высокий". Этот уровень риска указывает на высокий уровень уверенности в компрометации учетной записи пользователя. Для получения дополнительной информации о настройке политик риска для входа и пользователей, посетите Политики защиты идентификаторов.
Ниже перечислены риски в порядке важности в зависимости от влияния и степени серьезности записей.
Мониторинг входов внешних пользователей
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Пользователи, проходящие аутентификацию в других арендаторах Microsoft Entra. | Низкая | Журнал входа Microsoft Entra | Состояние = "успешно" Идентификатор арендатора ресурсов != идентификатор домашнего арендатора |
Определяет, когда пользователь успешно прошел проверку подлинности в другом клиенте Microsoft Entra с удостоверением в клиенте вашей организации. Оповещение, если идентификатор клиента ресурса не равен идентификатору домашнего клиента Шаблон Microsoft Sentinel Sigma-правила |
| Состояние пользователя изменилось с гостя на участника | Средняя | Журналы аудита Microsoft Entra | Действие: обновление пользователя Категория: управление пользователями UserType изменен с гостя на участника |
Мониторинг и оповещение об изменении типа пользователя с гостя на участника. Это было ожидаемо? Шаблон Microsoft Sentinel Sigma-правила |
| Гостевые пользователи, приглашенные неуполномоченными лицами в арендатора. | Средняя | Журналы аудита Microsoft Entra | Действие: приглашение внешнего пользователя Категория: Управление пользователями Инициатор действия (субъект): основное имя пользователя |
Мониторинг и оповещение о неутвержденных субъектах, приглашающих внешних пользователей. Шаблон Microsoft Sentinel Sigma-правила |
Мониторинг сбоев при необычных попытках входа
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Неудачные попытки входа. | Средний — при изолированном инциденте Высокий — если определенный шаблон повторяется для многих учетных записей или касается VIP. |
Журнал входа Microsoft Entra | Состояние = "сбой" -и- Код ошибки входа 50126 — Ошибка проверки учетных данных: недопустимое имя пользователя или пароль. |
Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| События умной блокировки. | Средний — при изолированном инциденте Высокий — если многие учетные записи сталкиваются с одной и той же проблемой или если это касается важного клиента. |
Журнал входа Microsoft Entra | Состояние = "сбой" -и- Код ошибки входа = 50053 – IdsLocked |
Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| Прерывания | Средний — при изолированном инциденте Уровень высокий — если многие учетные записи сталкиваются с одной и той же проблемой или если это касается VIP-клиента. |
Журнал входа Microsoft Entra | 500121 — ошибка аутентификации возникла при выполнении запроса на строгую проверку подлинности. –или– 50097 — требуется проверка подлинности устройства, или 50074 — требуется строгая проверка подлинности. –или– 50155, Ошибка аутентификации устройства –или– 50158, ExternalSecurityChallenge — внешняя проверка безопасности не пройдена –или– 53003 и причина сбоя = условный доступ заблокирован |
Отслеживание и создание оповещений о прерываниях. Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
Ниже перечислены риски в порядке важности в зависимости от влияния и степени серьезности записей.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Оповещения о мошенничестве в многофакторной проверке подлинности (MFA). | Высокая | Журнал входа Microsoft Entra | Состояние = "сбой" -и- Сведения = "MFA отклонена" |
Уведомляйте о любом входе и отслеживайте его. Шаблон Microsoft Sentinel Sigma-правила |
| Неудачные попытки аутентификации из стран/регионов, в которых вы не ведете деятельность. | Средняя | Журнал входа Microsoft Entra | Расположение = <неутвержденное расположение> | Отслеживайте и оповещайте о любых записях. Шаблон Microsoft Sentinel Sigma-правила |
| Неудачные проверки подлинности для устаревших или неиспользуемых протоколов. | Средняя | Журнал входа Microsoft Entra | Состояние = сбой -и- Клиентское приложение = "другие клиенты", POP, IMAP, MAPI, SMTP, ActiveSync |
Отслеживание и оповещение о любых записях. Шаблон Microsoft Sentinel Sigma-правила |
| Сбои, заблокированные условным доступом. | Средняя | Журнал входа Microsoft Entra | Код ошибки = 53003 -и- Причина сбоя = заблокирован условный доступ |
Отслеживайте и оповещайте о любых записях. Шаблон Microsoft Sentinel Sigma-правила |
| Увеличение количества неудачных проверок подлинности любого типа. | Средняя | Журнал входа Microsoft Entra | Регистрируется общее увеличение случаев сбоя. Т. е. общее количество сбоев за сегодня увеличилось на > 10 % по сравнению с этим же днем прошлой недели. | Если вы не установили пороговое значение, отслеживайте случаи увеличения количества ошибок на 10 % или более и оповещайте об этом. Шаблон Microsoft Sentinel |
| Проверка подлинности происходит время от времени и дней недели, когда страны или регионы не проводят обычные бизнес-операции. | Низкая | Журнал входа Microsoft Entra | Запись интерактивной проверки подлинности вне обычных рабочих дней или времени. Состояние = "успешно" -и- Расположение = <расположение> -и- Дата\время = <вне обычного рабочего времени> |
Отслеживайте и оповещайте о любых записях. Шаблон Microsoft Sentinel |
| Учетная запись отключена или заблокирована для входа | Низкая | Журнал входа Microsoft Entra | Состояние = сбой -и- код ошибки = 50057, учетная запись пользователя отключена. |
Это может означать, что кто-то пытается получить доступ к учетной записи после того, как сотрудник ушел с рабочего места. Несмотря на то, что учетная запись заблокирована, в этой ситуации важно регистрировать это действие и оповещать о нем. Шаблон Microsoft Sentinel Sigma-правила |
Мониторинг успешных необычных входов в систему
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Проверка подлинности привилегированных учетных записей вне ожидаемых элементов управления. | Высокая | Журнал входа Microsoft Entra | Состояние = "успешно" -и- UserPrincipalName = <учетная запись администратора> -и- Расположение = <неутвержденное расположение> -и- IP-адрес = <неутвержденный IP-адрес> Сведения об устройстве = <неутвержденный браузер, операционная система> |
Следите и оповещайте об успешной аутентификации для привилегированных учетных записей вне ожидаемых мер контроля. В списке перечислены три стандартных элемента управления. Шаблон Microsoft Sentinel Sigma-правила |
| Если требуется только однофакторная проверка подлинности. | Низкая | Журнал входа Microsoft Entra | Состояние = "успешно" Требование проверки подлинности = "однофакторная проверка подлинности" |
Периодически отслеживайте это и проверяйте, что поведение является ожидаемым. Sigma-правила |
| Обнаружение привилегированных учетных записей, не зарегистрированных для MFA. | Высокая | Graph API Azure | Сделайте запрос IsMFARegistered eq false для учетных записей администратора. Список credentialUserRegistrationDetails - Microsoft Graph beta. |
Выполните аудит и проведите исследование, чтобы определить, было ли это сделано намеренно или по ошибке. |
| Успешные аутентификации из стран или регионов, в которых ваша организация не осуществляет свою деятельность. | Средняя | Журнал входа Microsoft Entra | Состояние = "успешно" Location = <неутвержденная страна или регион> |
Отслеживайте и предупреждайте о любых записях, которые не равны названиям городов, заданных вами. Sigma-правила |
| Успешная проверка подлинности, сеанс заблокирован условным доступом. | Средняя | Журнал входа Microsoft Entra | Состояние = "успешно" -и- код ошибки = 53003 — причина сбоя, заблокированная условным доступом |
Отслеживайте и изучайте, когда проверка подлинности выполнена успешно, но сеанс блокируется условным доступом. Шаблон Microsoft Sentinel Sigma-правила |
| Аутентификация прошла успешно после отключения устаревшей аутентификации. | Средняя | Журнал входа Microsoft Entra | статус = успех -и- Клиентское приложение = "другие клиенты", POP, IMAP, MAPI, SMTP, ActiveSync |
Если в вашей организации отключена проверка подлинности прежних версий, отслеживайте и оповещайте об успешной проверке подлинности, имевшей место. Шаблон Microsoft Sentinel Sigma-правила |
Мы рекомендуем периодически анализировать проверки подлинности в приложениях со средним и высоким влиянием на бизнес, где требуется только однофакторная проверка подлинности. Для каждого приложения необходимо определить, ожидается ли однофакторная проверка подлинности. Дополнительно проанализируйте увеличение успешных попыток проверки подлинности или успешного входа в неожиданное время в зависимости от расположения.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Аутентификация в приложениях MBI и HBI с использованием однофакторной аутентификации. | Низкая | Журнал входа Microsoft Entra | Состояние = "успешно" -и- ИД приложения = <приложение HBI> -и- Требование проверки подлинности = "однофакторная проверка подлинности" |
Просматривайте и проверяйте, что эта настройка выполнена намеренно. Sigma-правила |
| Проверки подлинности в те дни и часы недели или периоды года, когда страны или регионы не осуществляют обычную деловую деятельность. | Низкая | Журнал входа Microsoft Entra | Запись интерактивной проверки подлинности вне обычных рабочих дней или времени. Состояние = "успешно" Расположение = <расположение> Дата\время = <вне обычного рабочего времени> |
Мониторинг и оповещение о днях и времени проверок подлинности в те дни недели или периоды года, когда страны или регионы не осуществляют обычные бизнес-операции. Sigma-правила |
| Измеряемое увеличение количество успешных попыток входа. | Низкая | Журнал входа Microsoft Entra | Фиксируется повсеместное увеличение количества успешных аутентификаций. То есть количество успешных попыток за сегодняшний день увеличилось на > 10% по сравнению с тем же днем на предыдущей неделе. | Если вы не установили порог, отслеживайте случаи увеличения успешных проверок подлинности на 10 % или более и оповещайте об этом. Шаблон Microsoft Sentinel Sigma-правила |
Следующие шаги
См. следующие статьи с указаниями по обеспечению безопасности.
Обзор операций безопасности Microsoft Entra
Операции безопасности для учетных записей потребителей
Операции безопасности для привилегированных учетных записей
Операции безопасности для управления привилегированными идентичностями
Операции безопасности для приложений