Руководство по операциям безопасности Microsoft Entra

Корпорация Майкрософт предлагает работающий и зарекомендовавший себя подход к защите по модели "Никому не доверяй" с использованием принципов углубленной защиты, которые применяют удостоверение в качестве уровня управления. Организации продолжают внедрять гибридные рабочие нагрузки, чтобы обеспечить большой масштаб, экономию и безопасность. Идентификатор Microsoft Entra играет ключевую роль в стратегии управления удостоверениями. В последнее время новости, касающиеся удостоверений и нарушений функционирования системы безопасности, все чаще заставляют ИТ-отделы корпораций рассматривать состояние безопасности удостоверений как показатель успеха оборонительной безопасности.

Все больше организаций вынуждено использовать комбинацию локальных и облачных приложений, доступ к которым пользователи получают с помощью как локальных, так и облачных учетных записей. Управление пользователями, приложениями и устройствами и в локальной среде, и в облаке — непростая задача.

Интеграция локальных каталогов с Azure Active Directory

Идентификатор Microsoft Entra создает общее удостоверение пользователя для проверки подлинности и авторизации для всех ресурсов независимо от расположения. Это называется гибридной идентификацией.

Для достижения гибридного удостоверения с помощью идентификатора Microsoft Entra можно использовать один из трех методов проверки подлинности в зависимости от ваших сценариев. Доступны следующие методы:

• синхронизация хэша паролей;
• Сквозная проверка подлинности (PTA)
• федерация AD FS.

При аудите текущих операций безопасности или установке операций безопасности для среды Azure рекомендуется выполнить следующие действия.

• Ознакомиться с конкретными частями руководства по безопасности Майкрософт, чтобы овладеть базовыми сведениями о защите облачной или гибридной среды Azure.
• Провести аудит стратегии использования учетных записей и паролей, а также методов проверки подлинности для противодействия наиболее распространенным векторам атаки.
• Создать стратегию непрерывного мониторинга и оповещения о действиях, которые могут указывать на угрозу безопасности.

Аудитория

Руководство По Microsoft Entra SecOps предназначено для корпоративных ит-удостоверений и групп операций безопасности и управляемых поставщиков служб, которые должны противостоять угрозам с помощью более эффективной конфигурации безопасности удостоверений и профилей мониторинга. Это руководство особенно актуально для ИТ-администраторов и архитекторов удостоверений, которые консультируют команды центра информационной безопасности по защите и тестированию на проникновение на предмет улучшения и поддержания состояния безопасности удостоверений.

Область

Это введение содержит рекомендации по аудиту паролей и стратегии работы с ними. В этой статье также представлен обзор средств, доступных для гибридных сред Azure, и полностью облачных сред Azure. Наконец, мы предоставляем список источников данных, которые можно использовать для мониторинга и оповещения, а также для настройки стратегии и среды управления сведениями о безопасности и событиями безопасности (SIEM). В остальной части руководства представлены стратегии мониторинга и оповещения в следующих областях.

• Учетные записи пользователей. Рекомендации по непривилегированным учетным записям пользователей без прав администратора, в том числе по аномальному созданию и использованию учетной записи, а также необычных входах в систему.

• Привилегированные учетные записи. Рекомендации по привилегированным учетным записям пользователей, которые имеют повышенные права для выполнения административных задач. К задачам относятся назначения ролей Microsoft Entra, назначения ролей ресурсов Azure и управление доступом для ресурсов и подписок Azure.

• Управление привилегированными пользователями (PIM). Рекомендации по использованию PIM для управления доступом к ресурсам, а также для его контроля и мониторинга.

• Приложения. Рекомендации по учетным записям, используемым для аутентификации в приложениях.

• Устройства. Рекомендации по мониторингу и оповещению для устройств, зарегистрированных или присоединенных за пределами политик, информация по несоответствующему использованию, управлению ролями администрирования устройств и входами на виртуальные машины.

• Инфраструктура. Рекомендации по мониторингу угроз для гибридных и исключительно облачных сред и по оповещениям для них.

Важные справочные материалы

Корпорация Майкрософт предлагает множество продуктов и услуг, которые позволяют настроить ИТ-среду в соответствии с вашими потребностями. Мы рекомендуем изучить следующие рекомендации для операционной среды:

• Операционные системы Windows

  • Базовые показатели безопасности (ИТОГОВАЯ ВЕРСИЯ) для Windows 10 версии 1909 и Windows Server версии 1909
  • Базовые средства безопасности для Windows 11
  • Базовые средства безопасности для Windows Server 2022

• Локальные среды

  • архитектура Microsoft Defender для удостоверений
  • краткое руководство по Подключение Microsoft Defender для удостоверений в Active Directory
  • Базовые показатели безопасности Azure Microsoft Defender для удостоверений
  • Мониторинг Active Directory для обнаружения признаков компрометации

• Облачные среды Azure

  • Мониторинг входов с помощью журнала входа Microsoft Entra
  • Отчеты об активности аудита в портал Azure
  • Изучение риска с помощью Защита идентификации Microsoft Entra
  • Подключение Защита идентификации Microsoft Entra данные в Microsoft Sentinel

• Доменные службы Active Directory (AD DS)

  • Рекомендации по настройке политик аудита

• Службы федерации Active Directory (AD FS)

  • Устранение неполадок AD FS — события аудита и ведение журналов

Источники данных

Для исследования и мониторинга используйте файлы журнала:

• Журналы аудита Microsoft Entra
• Журналы действий входа
• Журналы аудита Microsoft 365
• Журналы Azure Key Vault

В портал Azure можно просмотреть журналы аудита Microsoft Entra. Вы можете скачать журналы в виде файлов CSV (с разделенными запятыми значениями) или файлов JSON. В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:

• Microsoft Sentinel включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).

• Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.

• Azure Monitor — включает автоматизированный мониторинг и оповещения по разным условиям. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.

• Центры событий Azure, интегрированные с SIEM. Журналы Microsoft Entra можно интегрировать с другими SIEMs, такими как Splunk, ArcSight, QRadar и Sumo Logic с помощью интеграции Центры событий Azure. Дополнительные сведения см. в журналах Microsoft Entra Stream в концентратор событий Azure.

• Microsoft Defender для облачных приложений — позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои облачные приложения на соответствие требованиям.

• Защита удостоверений рабочих нагрузок с помощью предварительной версии защиты идентификации — используется для обнаружения рисков для удостоверений рабочих нагрузок в режиме входа и автономных индикаторов компрометации.

Большая часть того, что вы будете отслеживать и оповещать, — это эффекты действия политик условного доступа. Используйте книгу аналитических данных и отчетов для условного доступа для проверки влияния одной или нескольких политик условного доступа на входы, а также результатов применения политик, включая состояние устройств. Эта книга позволяет просматривать сводку по влиянию и выявляет влияние за определенный период времени. Кроме того, книгу можно использовать для исследования попыток входа конкретного пользователя. Дополнительные сведения см. в статье Аналитика и отчеты условного доступа.

В оставшейся части этой статьи описывается, для чего мы рекомендуем реализовать мониторинг и создание оповещений. Если существуют конкретные готовые решения, мы приводим ссылки на них или предоставляем примеры после таблицы. В противном случае можно создавать оповещения с помощью предыдущих средств.

• Защита идентификации создает три ключевых отчета, которые можно использовать для проведения исследования:

• Рискованные пользователи — содержит сведения о том, какие пользователи подвергаются риску, сведения об обнаружении, журнал всех рискованных входов и журнал рисков.

• Рискованные входы — содержит сведения, связанные с условиями входа, которые могут указывать на подозрительные обстоятельства. Дополнительные сведения об исследовании информации из этого отчета см. в статье Практическое руководство. Анализ риска.

• Обнаружения рисков содержат сведения о сигналах риска, обнаруженных Защита идентификации Microsoft Entra, которые сообщают о входе и риске пользователя. Дополнительные сведения см. в руководстве по операциям безопасности Microsoft Entra для учетных записей пользователей.

Дополнительные сведения см. в статье Общие сведения о защите идентификации.

Источники данных для наблюдения за контроллерами домена

Для достижения наилучших результатов рекомендуется наблюдать за контроллерами домена с помощью Microsoft Defender для удостоверений. Этот подход обеспечивает доступ к наилучшим возможностям обнаружения и автоматизации. Воспользуйтесь рекомендациями из таких ресурсов:

• архитектура Microsoft Defender для удостоверений
• краткое руководство по Подключение Microsoft Defender для удостоверений в Active Directory

Если вы не планируете использовать Microsoft Defender для удостоверений, обеспечьте мониторинг контроллеров доменов одним из следующих способов:

• Сообщения журнала событий. См. статью Мониторинг Active Directory для обнаружения признаков компрометации.
• Командлеты PowerShell См. статью Устранение неполадок развертывания контроллера домена.

Компоненты гибридной проверки подлинности

В рамках гибридной среды Azure следующие компоненты необходимо добавить в число базовых показателей и включить в стратегию мониторинга и оповещения.

• Агент PTA — агент сквозной проверки подлинности используется для включения сквозной проверки подлинности и устанавливается в локальной среде. Сведения о проверке версии и дальнейших шагах см . в агенте сквозной проверки подлинности Microsoft Entra: журнал выпусков версий агента.

• AD FS/WAP — службы федерации Active Directory (AD FS) (Azure AD FS) и прокси-сервер веб-приложения (WAP) обеспечивают безопасный общий доступ к цифровым удостоверениям и правам прав на права в пределах безопасности и корпоративных границ. Сведения о рекомендациях по обеспечению безопасности см. в статье Рекомендации по защите служб федерации Active Directory (AD FS).

• Microsoft Entra Подключение Health Agent — агент, используемый для предоставления связи связи для Microsoft Entra Подключение Health. Сведения об установке агента см. в разделе Microsoft Entra Подключение Установка агента работоспособности.

• Модуль синхронизации Microsoft Entra Подключение — локальный компонент, также называемый подсистемой синхронизации. Дополнительные сведения о функции см. в разделе Microsoft Entra Подключение Службы синхронизации.

• Агент контроллера домена для защиты паролем — агент контроллера домена для защиты паролем Azure помогает организовать мониторинг и создание отчетов по сообщениям журнала событий. Дополнительные сведения см. в разделе "Принудительное применение локальной защиты паролей Microsoft Entra" для служб домен Active Directory.

• Библиотека DLL фильтра паролей — библиотека DLL фильтра паролей агента контроллера домена получает запросы проверки пароля пользователя от операционной системы. Фильтр перенаправляет их в службу агента контроллера домена, которая работает локально на контроллере домена. Сведения об использовании библиотеки DLL см. в статье "Принудительное применение локальной защиты паролей Microsoft Entra Password Protection для служб домен Active Directory".

• Агент обратной записи паролей — обратная запись паролей включена с помощью Microsoft Entra Подключение, которая позволяет записывать изменения паролей в облаке в существующий локальный каталог в режиме реального времени. Дополнительные сведения об этой функции см. в разделе "Как работает обратная запись самостоятельного сброса пароля" в идентификаторе Microsoft Entra.

• Соединитель частной сети Microsoft Entra — упрощенные агенты, которые сидят в локальной среде и упрощают исходящее подключение к службе прокси приложения. Дополнительные сведения см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".

Компоненты облачной проверки подлинности

В рамках облачной среды Azure следующие компоненты необходимо добавить в число базовых показателей и включить в стратегию мониторинга и оповещения.

• Прокси приложения Microsoft Entra — эта облачная служба обеспечивает безопасный удаленный доступ к локальным веб-приложениям. Дополнительные сведения см. в статье "Удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra".

• Microsoft Entra Подключение — службы, используемые для решения Microsoft Entra Подключение. Дополнительные сведения см. в статье "Что такое Microsoft Entra Подключение".

• Microsoft Entra Подключение Health — Работоспособность служб предоставляет настраиваемую панель мониторинга, которая отслеживает работоспособность служб Azure в регионах, где они используются. Дополнительные сведения см. в статье Microsoft Entra Подключение Health.

• Многофакторная проверка подлинности Microsoft Entra — многофакторная проверка подлинности требует, чтобы пользователь предоставил несколько форм проверки подлинности. Такой подход обеспечивает упреждающие первые шаги по защите среды. Дополнительные сведения см. в разделе Многофакторная проверка подлинности Microsoft Entra.

• Динамические группы . Динамическая конфигурация членства в группах безопасности для microsoft Entra Администратор istrators может задавать правила для заполнения групп, созданных в идентификаторе Microsoft Entra на основе атрибутов пользователей. Дополнительные сведения см. в разделе "Динамические группы" и совместной работы Microsoft Entra B2B.

• Условный доступ — условный доступ — это средство, используемое идентификатором Microsoft Entra ID для объединения сигналов, принятия решений и применения политик организации. Условный доступ становится новой основой для уровня управления, управляемого удостоверениями. Дополнительные сведения см. в разделе Что такое условный доступ.

• Защита идентификации — средство, которое позволяет организациям автоматизировать обнаружение и устранение рисков на основе удостоверений, анализировать риски с помощью данных на портале и экспортировать данные об обнаружении рисков в SIEM. Дополнительные сведения см. в статье Общие сведения о защите идентификации.

• Лицензирование на основе групп — лицензии можно назначать группам, а не напрямую пользователям. Идентификатор Microsoft Entra хранит сведения о состояниях назначения лицензий для пользователей.

• Служба подготовки — отвечает за создание удостоверений и ролей пользователей в облачных приложениях, к которым пользователям требуется доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Дополнительные сведения см. в статье о работе подготовки приложений в идентификаторе Microsoft Entra.

• API Microsoft Graph — это веб-API RESTful, который позволяет получать доступ к ресурсам службы Microsoft Cloud. После регистрации приложения и получения токена проверки подлинности для пользователя или службы можно выполнять запросы к API Microsoft Graph. Дополнительные сведения см. в статье Обзор Microsoft Graph.

• Доменная служба — доменные службы Microsoft Entra (AD DS) предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика. Дополнительные сведения см. в разделе "Что такое доменные службы Microsoft Entra".

• Azure Resource Manager — это служба развертывания и управления для Azure. Она обеспечивает уровень управления для создания, обновления и удаления ресурсов в учетной записи Azure. Дополнительные сведения см. в статье Azure Resource Manager.

• Управляемые удостоверения позволяют разработчикам обойтись без управления учетными данными. Управляемые удостоверения предоставляют удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?.

• управление привилегированными пользователями . PIM — это служба в идентификаторе Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. Дополнительные сведения см. в статье "Что такое Microsoft Entra управление привилегированными пользователями".

• Проверки доступа . Проверки доступа Microsoft Entra позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ. Дополнительные сведения см. в разделе "Что такое проверки доступа Microsoft Entra".

• Управление правами . Управление правами Microsoft Entra — это функция управления удостоверениями . Организации могут управлять жизненным циклом удостоверений и доступа в большом масштабе, автоматизировав рабочие процессы запросов на доступ, назначения доступа, проверки и обработку завершения срока действия. Дополнительные сведения см. в разделе "Что такое управление правами Microsoft Entra".

• Журналы действий — журнал действий в Azure выполняет роль платформы журналов, которая предоставляет аналитические сведения о событиях уровня подписки. Этот журнал включает информацию о том, когда ресурс был изменен или когда была запущена виртуальная машина. Дополнительные сведения см. в разделе Журнал действий Azure.

• Служба самостоятельного сброса пароля . Microsoft Entra самообслуживания сброс пароля (SSPR) дает пользователям возможность изменять или сбрасывать пароль. При этом не требуется помощь администратора или службы технической поддержки. Дополнительные сведения см. в статье о том, как это работает: самостоятельный сброс пароля Microsoft Entra.

• Службы устройств — управление удостоверениями устройств лежит в основе условного доступа на основе устройств. Используя политику условного доступа на основе устройств, можно разрешать доступ к ресурсам в своей среде только управляемым устройствам. Дополнительные сведения см. в статье Что такое удостоверение устройства?.

• Самостоятельное управление группами . Вы можете разрешить пользователям создавать собственные группы безопасности или группы Microsoft 365 в идентификаторе Microsoft Entra ID и управлять ими. Владелец группы может утверждать или отклонять запросы на членство, а также делегировать управление членством в группе. Функции самостоятельного управления группами недоступны для групп безопасности и списков рассылки с поддержкой электронной почты. Дополнительные сведения см. в разделе "Настройка самостоятельного управления группами" в идентификаторе Microsoft Entra ID.

• Обнаружение рисков — содержит сведения о прочих рисках, регистрируемые при обнаружении риска, и другие соответствующие сведения, такие как расположение входа и другие данные из Microsoft Defender для облачных приложений.

Следующие шаги

См. следующие статьи с указаниями по обеспечению безопасности.

Операции безопасности для учетных записей пользователей

Операции безопасности для учетных записей потребителей

Операции безопасности для привилегированных учетных записей

Операции по обеспечению безопасности службы Azure Active Directory Privileged Identity Management

Операции безопасности для приложений

Операции безопасности для устройств

Операции безопасности для инфраструктуры