Операции по обеспечению безопасности для привилегированных учетных записей в Azure Active Directory
Безопасность бизнес-активов зависит от целостности привилегированных учетных записей, используемых для администрирования ваших ИТ-систем. Киберпреступники похищают учетные данные и совершают другие атаки на привилегированные учетные записи, чтобы получить доступ к конфиденциальным данным.
По сложившейся традиции меры по обеспечению безопасности организации направлены на точки входа и выхода сети, составляющие периметр безопасности. Однако приложения SaaS (программное обеспечение как услуга) и персональные устройства в Интернете сделали этот подход менее эффективным.
Служба Azure Active Directory (Azure AD) использует управление удостоверениями и доступом (IAM) в качестве плоскости управления. На уровне удостоверений вашей организации пользователям назначаются привилегированные административные роли, используемые для управления. Учетные записи, используемые для такого доступа, должны быть защищены независимо от того, в какой среде они размещены — локальной, облачной или гибридной.
Вы полностью отвечаете за все уровни безопасности для локальной ИТ-среды. При использовании служб Azure предотвращение и реагирование являются совместными обязанностями корпорации Майкрософт, как поставщика облачных служб, и вас, как клиента.
- Дополнительные сведения об общей модели ответственности см. в разделе Общая ответственность в облаке.
- Дополнительные сведения о защите доступа для привилегированных пользователей см. в статье Защита привилегированного доступа для гибридных и облачных развертываний в Azure Active Directory.
- Множество видеороликов, руководств и кратких справочных материалов по привилегированным удостоверениям можно найти в статье Документация по PIM.
Файлы журналов для мониторинга
Для исследования и мониторинга используйте файлы журналов.
На портале Azure можно просмотреть журналы аудита Azure AD и загрузить их в виде файлов данных с разделителями запятыми (CSV) или нотации объектов JavaScript (JSON). На портале Azure предлагается несколько способов интеграции журналов Azure AD с другими инструментами и средствами, что обеспечивает большую степень автоматизации мониторинга и формирования оповещений:
Microsoft Sentinel. Включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor. Включает автоматический мониторинг и оповещения о различных условиях. Может создавать или использовать книги для объединения данных из разных источников.
Центры событий Azure, интегрированные с SIEM. Включает журналы Azure AD, которые должны быть переданы в другие SIEM, такими как Splunk, ArcSight, QRadar и Sumo Logic, с помощью интеграции с Центрами событий Azure. Дополнительные сведения см. в статье Потоковая передача журналов Azure Active Directory в концентратор событий Azure.
Microsoft Defender for Cloud Apps. Позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, а также проверять облачные приложения на соответствие требованиям.
Microsoft Graph. Позволяет экспортировать данные и использовать Microsoft Graph для подробного анализа. Дополнительные сведения см. в статье Защита идентификации Azure Active Directory и пакет SDK Microsoft Graph для PowerShell.
Защита идентификации. Создает три ключевых отчета, которые можно использовать для проведения исследования:
Рискованные пользователи. Содержит сведения о том, какие пользователи подвергаются риску, сведения об обнаружении, журнал всех рискованных входов и журнал рисков.
Рискованные входы. Содержит сведения, связанные с условиями входа, которые могут указывать на подозрительные обстоятельства. Дополнительные сведения об исследовании информации из этого отчета см. в статье Практическое руководство. Анализ риска.
Обнаружения рисков. Содержит сведения о прочих рисках, регистрируемые при обнаружении риска, и другие соответствующие сведения, такие как расположение входа и другие данные из Microsoft Defender для облачных приложений.
Защита удостоверений рабочей нагрузки с помощью предварительной версии службы защиты идентификации. Используется для обнаружения рисков в удостоверениях рабочей нагрузки в отношении поведения входа и автономных индикаторов компрометации.
Хотя мы не рекомендуем подобную практику, привилегированные учетные записи могут иметь постоянные права администратора. Если вы решили использовать постоянные привилегии для учетной записи, которая затем будет скомпрометирована, это может иметь значительные негативные последствия. Мы рекомендуем приоритизировать мониторинг привилегированных учетных записей и добавить их в конфигурацию Privileged Identity Management (PIM). Дополнительные сведения о PIM см. в разделе Начало использования Privileged Identity Management. Кроме того, рекомендуется проверить учетные записи администратора и убедиться что:
- они действительно необходимы;
- они имеют минимальные привилегии для выполнения необходимых действий;
- защищены как минимум с помощью многофакторной проверки подлинности;
- они выполняются на рабочей станции с привилегированным доступом (PAW) или безопасной рабочей станции администратора (SAW).
В оставшейся части этой статьи описывается, для чего мы рекомендуем реализовать мониторинг и создание оповещений. Эта статья организована по типу угрозы. Если существуют конкретные готовые решения, мы приводим ссылки на них после таблицы. В противном случае можно создавать оповещения с помощью указанных выше средств.
В этой статье приводятся сведения о настройке базовых показателей, аудите входа и использовании привилегированных учетных записей. Здесь также рассматриваются средства и ресурсы, которые можно использовать для обеспечения целостности привилегированных учетных записей. Содержимое организовано по следующим разделам:
- аварийные учетные записи;
- вход привилегированных учетных записей;
- изменения привилегированных учетных записей;
- привилегированные группы;
- назначение привилегий и повышение прав.
Учетные записи для аварийного доступа
Важно предотвратить случайную блокировку арендатора Azure AD. Можно уменьшить ущерб от случайной блокировки, создав в организации учетные записи для аварийного доступа. Учетные записи для аварийного доступа также называются аварийными учетными записями.
Учетные записи для аварийного доступа имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи для аварийного доступа используются только в непредвиденных ситуациях, в которых невозможно использовать обычные привилегированные учетные записи. Например, когда политика условного доступа настроена неправильно и блокирует все обычные учетные записи администратора. Используйте учетные записи для аварийного доступа только в случаях явной необходимости.
Также ознакомьтесь с нашими инструкциями по действиям в аварийной ситуации в статье Защита привилегированного доступа для гибридных и облачных развертываний в Azure AD.
Отправляйте оповещение с высоким приоритетом при каждом использовании учетной записи для аварийного доступа.
Обнаружение
Так как аварийные учетные записи используются только в случае аварийной ситуации, мониторинг не должен обнаруживать операции учетной записи. Отправляйте оповещение с высоким приоритетом при каждом использовании или изменении учетной записи для аварийного доступа. Любое из приведенных ниже событий может указывать на то, что недопустимый субъект пытается скомпрометировать ваши среды:
- Вход.
- изменение пароля учетной записи;
- изменение разрешений или ролей учетной записи;
- добавление или изменение учетных данных или способа аутентификации.
Дополнительные сведения об управлении учетными записями для аварийного доступа см. в разделе Управление учетными записями для аварийного доступа в Azure AD. Подробные сведения о создании оповещений для аварийной учетной записи см. в статье Управление учетными записями для аварийного доступа в Azure AD.
вход привилегированных учетных записей;
Отслеживайте действия входа привилегированных учетных записей, используя журналы входа Azure AD в качестве источника данных. Помимо сведений об успешном или неудачном входе, журналы содержат следующие сведения:
- Прерывания
- Устройство
- Расположение
- Риск
- Развертывание
- Дата и время
- отключена ли учетная запись;
- Блокирование
- мошеннические операции MFA;
- Сбой условного доступа
Отслеживаемые области
Вы можете отслеживать события входа привилегированных учетных записей в журналах входа Azure AD. Включите оповещение и изучайте приведенные ниже события для привилегированных учетных записей.
| Объекты наблюдения | Уровень риска | Where | Фильтр/субфильтр | Примечания |
|---|---|---|---|---|
| Сбой при входе, превышение порога ввода неправильного пароля | Высок. | Журнал входа Azure AD | Status = Failure - и - error code = 50126 |
Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| Сбой из-за требования условного доступа | Высок. | Журнал входа Azure AD | Status = Failure - и - error code = 53003 - и - Причина сбоя = блокировка условным доступом |
Это событие может означать, что злоумышленник пытается взломать учетную запись. Шаблон Microsoft Sentinel Sigma-правила |
| Привилегированные учетные записи, которые не соответствуют политике именования | Подписка Azure. | Вывод списка назначений ролей Azure с помощью портала Azure. | Выведите список назначений ролей для подписок и отправляйте оповещение, если имя входа не соответствует формату, принятому в вашей организации. Пример: использование ADM_ в качестве префикса. | |
| Прервать | Высокий, средний | Входы Azure AD | Status = Interrupted - и - error code = 50074 - и - Причина сбоя = требуется строгая авторизация Status = Interrupted - и - Error code = 500121 Причина сбоя = сбой аутентификации из-за запроса строгой аутентификации |
Это событие может означать, что злоумышленник получил пароль для учетной записи, но не может выполнить запрос многофакторной проверки подлинности. Шаблон Microsoft Sentinel Sigma-правила |
| Привилегированные учетные записи, которые не соответствуют политике именования | Высок. | Каталог Azure AD | Список назначений ролей Azure AD | Выведите список назначений ролей для оповещений о ролях Azure AD, в которых имя участника-пользователя не соответствует формату, принятому в вашей организации. Пример: использование ADM_ в качестве префикса. |
| Обнаружение привилегированных учетных записей, не зарегистрированных для многофакторной проверки подлинности | Высокий | API Microsoft Graph | Выполните запрос IsMFARegistered eq false для учетных записей администратора. Выведите список credentialUserRegistrationDetails. | Выполните аудит и проведите исследование, чтобы определить, было ли событие вызвано намеренно или по ошибке. |
| Блокировка учетной записи | Высок. | Журнал входа Azure AD | Status = Failure - и - error code = 50053 |
Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| Учетная запись отключена или заблокирована для входа | Низкий | Журнал входа Azure AD | Status = Failure - и - Цель = имя участника-пользователя - и - error code = 50057 |
Это событие может означать, что кто-то пытается получить доступ к учетной записи после ее удаления из организации. Несмотря на то, что учетная запись заблокирована, все равно важно регистрировать это действие и оповещать о нем. Шаблон Microsoft Sentinel Sigma-правила |
| Оповещение о мошеннических операциях MFA или блокировка MFA | Высокий | Журнал входа Azure AD или Azure Log Anaylitics | Вход в систему>Детали аутентификации Детали результата = MFA отклонена, код защиты от мошенничества введен | Привилегированный пользователь указал, что он не вызывал запрос многофакторной проверки подлинности, что может означать, что у злоумышленника есть пароль для его учетной записи. Шаблон Microsoft Sentinel Sigma-правила |
| Оповещение о мошеннических операциях MFA или блокировка MFA | Высокий | Журнал аудита Azure AD или Azure Log Analytics | Тип действий = сообщение о мошенничестве "пользователь заблокирован для MFA" или сообщение о мошенничестве "никакие действия не выполняются" (на основе параметров уровня арендатора для отчета о мошенничестве) | Привилегированный пользователь указал, что он не вызывал запрос многофакторной проверки подлинности, что может означать, что у злоумышленника есть пароль для его учетной записи. Шаблон Microsoft Sentinel Sigma-правила |
| Входы привилегированной учетной записи выполняются посредством неожиданных элементов управления | Журнал входа Azure AD | Status = Failure Имя участника-пользователя = <учетная запись администратора> Расположение = <неутвержденное расположение> IP-адрес = <неутвержденный IP-адрес> Сведения об устройстве = <неутвержденный браузер,операционная система> |
Отслеживайте все записи, которые вы определили как неутвержденные, и создавайте оповещения о них. Шаблон Microsoft Sentinel Sigma-правила |
|
| Входы в необычное время | Высок. | Журнал событий входа Azure AD | Status = Success - и - Location = - и - Время = в нерабочее время |
Отслеживайте входы, которые выполняются в нерабочее время, и создавайте оповещения о них. Важно определить обычный рабочий шаблон для каждой привилегированной учетной записи и создавать оповещение при обнаружении незапланированных изменений, выходящих за пределы привычного рабочего времени. Входы в систему в нерабочее время могут означать компрометацию или возможную внутреннюю угрозу. Шаблон Microsoft Sentinel Sigma-правила |
| Риск, обнаруженный Защитой идентификации | Высок. | Журналы Защиты идентификации | Состояние риска = риск - и - Уровень риска = низкий/средний/высокий - и - Действие = незнакомый вход/TOR и т. д. |
Это событие означает, что обнаружена определенная аномалия при входе для учетной записи, о которой следует создать оповещение. |
| Изменение пароля | Высок. | Журналы аудита Azure AD | Субъект действия = администратор/самообслуживание - и - Цель = пользователь - и - Состояние = успех или сбой |
Создавайте оповещения об изменениях пароля учетной записи администратора, особенно для глобальных администраторов, администраторов пользователей, администраторов подписок и учетных записей для аварийного доступа. Напишите запрос, нацеленный на все привилегированные учетные записи. Шаблон Microsoft Sentinel Sigma-правила |
| Переключение на устаревший протокол проверки подлинности | Высок. | Журнал событий входа Azure AD | Клиентское приложение = другой клиент, IMAP, POP3, MAPI, SMTP и т. д. - и - Username = <имя субъекта-пользователя> - и - Application = Exchange (например) |
Многие атаки используют устаревшую аутентификацию, поэтому, если для пользователя изменился протокол аутентификации, это может быть признаком атаки. Шаблон Microsoft Sentinel Sigma-правила |
| Новое устройство или расположение | Высок. | Журнал событий входа Azure AD | Сведения об устройстве = ИД устройства - и - Браузер - и - ОС - и - Compliant/Managed - и - Цель = пользователь - и - Расположение |
Большинство действий администратора должно поступать с устройств с привилегированным доступом, размещенных в ограниченном числе расположений. По этой причине создавайте оповещения для новых устройств или расположений. Шаблон Microsoft Sentinel Sigma-правила |
| Параметр оповещения об аудите изменен | Высок. | Журналы аудита Azure AD | Service = PIM - и - Категория = управление ролями - и - Действие = отключение оповещения PIM - и - Status = Success |
Следует создавать оповещения обо всех неожиданных изменениях в параметрах основных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| Проверка подлинности администраторов в других клиентах Azure AD | Средн. | Журнал входа Azure AD | Состояние = "успешно" Resource tenantID != Home Tenant ID |
Если определена область действия "Привилегированные пользователи", этот монитор показывает, успешно ли администратор прошел проверку подлинности в другом клиенте Azure AD с удостоверением в клиенте вашей организации. Если Resource TenantID (идентификатор клиента ресурса) отличается от Home Tenant ID (идентификатор домашнего клиента), направляется оповещение Шаблон Microsoft Sentinel Sigma-правила |
| Состояние администратора изменилось с гостя на участника | Средн. | Журналы аудита Azure AD | Действие: обновление пользователя Категория: UserManagement UserType изменен с гостя на участника |
Мониторинг и оповещение об изменении типа пользователя с гостя на участника. Ожидалось ли это изменение? Шаблон Microsoft Sentinel Sigma-правила |
| Гостевые пользователи, приглашенные в клиент не утвержденными приглашающими | Средн. | Журналы аудита Azure AD | Действие: приглашение внешнего пользователя Категория: UserManagement Кем инициировано (субъект): имя субъекта-пользователя |
Мониторинг и оповещение о неутвержденных субъектах, приглашающих внешних пользователей. Шаблон Microsoft Sentinel Sigma-правила |
Изменения, внесенные привилегированными учетными записями
Отслеживайте все выполненные изменения и попытки внести изменения, осуществленные привилегированной учетной записью. Эти данные позволяют определить нормальные действия для каждой привилегированной учетной записи и оповещать обо всех неожиданных действиях. Для записи этого типа событий используются журналы аудита Azure AD. Дополнительные сведения о журналах аудита Azure AD см. в разделе Журналы аудита в Azure Active Directory.
Доменные службы Azure Active Directory
Привилегированные учетные записи, которым назначены разрешения в доменных службах Azure AD, могут выполнять задачи для доменных служб Azure AD, которые влияют на уровень безопасности виртуальных машин, размещенных в Azure и использующих доменные службы Azure AD. Включите аудит безопасности на виртуальных машинах и отслеживайте журналы. Дополнительные сведения о включении аудита доменных служб Azure AD и о том, как получить список привилегий, которые считаются конфиденциальными, см. в следующих ресурсах:
- Включение аудита безопасности для доменных служб Azure Active Directory
- Аудит использования привилегий, затрагивающих конфиденциальные данные
| Объекты наблюдения | Уровень риска | Where | Фильтр/субфильтр | Примечания |
|---|---|---|---|---|
| Попытки внести изменения и выполненные изменения | Высок. | Журналы аудита Azure AD | Дата и время - и - Служба - и - категория и имя действия (что?); - и - Состояние = успех или сбой - и - Целевой объект - и - Инициатор или субъект (кто) |
Следует создавать оповещения о любых незапланированных изменениях. Эти журналы следует хранить для упрощения исследований. Все изменения на уровне арендатора следует исследовать немедленно (связать с документом инфраструктуры). Это изменения, которые могут ухудшить состояние безопасности арендатора. Например: исключение учетных записей из многофакторной проверки подлинности или условного доступа. Создавайте оповещения о любых добавлениях или изменениях в приложениях. См. раздел Руководство по операциям по обеспечению безопасности приложений Azure Active Directory. |
| Пример Попытки изменения или выполненные изменения для важных приложений или служб |
Высок. | Журнал аудита | Служба - и - <категория и имя действия> |
Дата и время, служба, категория и имя действия, состояние (успех или сбой), целевой объект, инициатор или субъект (кто выполнял) |
| Привилегированные изменения в доменных службах Azure AD | Высокий | Доменные службы Azure AD | Ищите событие 4673 | Включение аудита безопасности для доменных служб Azure Active Directory Список всех привилегированных событий см. в разделе Аудит использования привилегий, затрагивающих конфиденциальные данные. |
Изменения привилегированных учетных записей
Исследуйте изменения правил аутентификации и привилегий привилегированных учетных записей, особенно в случае, если изменение обеспечивает более высокий уровень привилегий или возможность выполнения задач в среде Azure AD.
| Объекты наблюдения | Уровень риска | Where | Фильтр/субфильтр | Примечания |
|---|---|---|---|---|
| Создание привилегированной учетной записи | Средн. | Журналы аудита Azure AD | Service = <основной каталог> - и - Категория = управление пользователями - и - Тип действий = добавление пользователя Сопоставляются с: Тип категории = управление ролями - и - Тип действия = добавление члена в роль - и - Modified properties = Role.DisplayName |
Отслеживайте создание привилегированных учетных записей. Ищите корреляцию с коротким интервалом времени между созданием и удалением учетных записей. Шаблон Microsoft Sentinel Sigma-правила |
| Изменения способов аутентификации | Высок. | Журналы аудита Azure AD | Service = <способ проверки подлинности> - и - Тип действий = зарегистрированные пользователем сведения о безопасности - и - Категория = управление пользователями |
Это изменение может быть признаком того, что злоумышленник добавляет способ аутентификации для учетной записи, чтобы получить доступ. Шаблон Microsoft Sentinel Sigma-правила |
| Оповещение об изменении разрешений привилегированных учетных записей | Высок. | Журналы аудита Azure AD | Категория = управление ролями - и - Тип действий = добавление допустимого члена (постоянного) -или- Тип действий = добавление допустимого члена (допустимый) - и - Состояние = успех или сбой - и - Измененные свойства = Role.DisplayName |
Это оповещение особенно касается учетных записей с назначаемыми ролями, которые неизвестны или выходят за пределы их обычных обязанностей. Шаблон Microsoft Sentinel Sigma-правила |
| Неиспользуемые привилегированные учетные записи | Средн. | Проверки доступа Azure AD | Выполняйте ежемесячную проверку неактивных привилегированных учетных записей пользователей. Sigma-правила |
|
| Исключение учетных записей из условного доступа | Высок. | Журналы Azure Monitor -или- Проверки доступа |
Условный доступ = аналитика и отчетность | Все учетные записи, исключенные из условного доступа, с большой вероятностью обходят элементы управления безопасностью и более уязвимы для взлома. Исключением являются аварийные учетные записи. Ознакомьтесь со сведениями о мониторинге аварийных учетных записей в последующем разделе этой статьи. |
| Добавление временного секретного кода к привилегированной учетной записи | Высок. | Журналы аудита Azure AD | Действие: регистрация администратором сведений о безопасности Причина состояния: администратор зарегистрировал метод временного секретного кода для пользователя Категория: UserManagement Кем инициировано (субъект): имя субъекта-пользователя Целевой объект: имя субъекта-пользователя |
Мониторинг и оповещение о временном секретном коде, создаваемом для привилегированного пользователя. Шаблон Microsoft Sentinel Sigma-правила |
Дополнительные сведения о мониторинге исключений в политиках условного доступа см. в разделе Аналитика и отчеты условного доступа.
Дополнительные сведения об обнаружении неиспользуемых привилегированных учетных записей см. в статье Создание проверки доступа для ресурса Azure и ролей Azure AD в PIM.
Назначение и повышение прав
Наличие привилегированных учетных записей, которые подготавливаются с постоянными повышенными правами, может повысить вероятность атаки и риск нарушения границы безопасности. Вместо этого следует использовать JIT-доступ с процедурой повышения прав. Такой тип системы позволяет назначать права доступа привилегированным ролям. Администраторы получают привилегии таких ролей только при выполнении задач, которым требуются такие привилегии. Использование процесса повышения прав позволяет отслеживать повышение прав и неактивность привилегированных учетных записей.
Определение базовых показателей
Чтобы отслеживать исключения, необходимо сначала создать базовые показатели. Определите следующие сведения для следующих элементов
Учетные записи администратора
- стратегия привилегированных учетных записей;
- использование локальных учетных записей для администрирования локальных ресурсов;
- использование облачных учетных записей для администрирования облачных ресурсов;
- подход к разделению и мониторингу административных разрешений для локальных и облачных ресурсов.
Защита привилегированных ролей
- стратегия защиты для ролей с правами администратора;
- политика организации в отношении использования привилегированных учетных записей;
- стратегия и принципы применения постоянной привилегии по сравнению с предоставлением временного и подтверждаемого доступа.
Приведенные ниже принципы и сведения помогут вам определить политики.
- Принципы JIT-администрирования. Используйте журналы Azure AD для записи сведений о выполнении административных задач, характерных для вашей среды. Определите типичный период времени, необходимый для выполнения этих задач.
- Принципы достаточных прав администратора. Определите роль с наименьшими привилегиями (это может быть настраиваемая роль), необходимыми для выполнения административных задач. Дополнительные сведения см. в разделе Роли с минимальными правами по задачам в Azure Active Directory.
- Установите политику повышения прав. Получив полезные сведения о типе повышенных привилегий и времени, необходимом для выполнения каждой задачи, создайте политики, отражающие использование повышенных привилегий в своей среде. Например, определите политику, чтобы ограничить доступ глобального администратора одним часом.
После установки базовых показателей и настройки политики можно настроить мониторинг для обнаружения использования, не соответствующего политике, и создания оповещений об этом.
Обнаружение
Уделяйте особое внимание изменениям назначений и повышениям привилегий, а также исследуйте эти случаи.
Отслеживаемые области
Вы можете отслеживать изменения привилегированных учетных записей с помощью журналов аудита Azure AD и журналов Azure Monitor. Включите в процесс мониторинга следующие изменения.
| Объекты наблюдения | Уровень риска | Where | Фильтр/субфильтр | Примечания |
|---|---|---|---|---|
| Добавление в соответствующую привилегированную роль | Высок. | Журналы аудита Azure AD | Service = PIM - и - Категория = управление ролями - и - Тип действий = добавление члена в роль завершено (соответствующего) - и - Состояние = успех или сбой - и - Modified properties = Role.DisplayName |
Теперь любой учетной записи, соответствующей роли, предоставляется привилегированный доступ. Если назначение является неожиданным или нацелено на роль, которая не соответствует обязанностям владельца учетной записи, проведите исследование. Шаблон Microsoft Sentinel Sigma-правила |
| Назначение ролей извне PIM | Высок. | Журналы аудита Azure AD | Service = PIM - и - Категория = управление ролями - и - Тип действий = добавление члена в роль (постоянного) - и - Состояние = успех или сбой - и - Измененные свойства = Role.DisplayName |
Такие роли должны тщательно отслеживаться, и для них необходимо создавать оповещения. Пользователям не следует назначать роли извне PIM, если это возможно. Шаблон Microsoft Sentinel Sigma-правила |
| Повышение прав | Средн. | Журналы аудита Azure AD | Service = PIM - и - Категория = управление ролями - и - Тип действий = добавление члена в роль завершено (активация PIM) - и - Состояние = успех или сбой - и - Измененные свойства = Role.DisplayName |
После повышения прав привилегированная учетная запись может вносить изменения, которые могут повлиять на безопасность арендатора. Необходимо записывать в журнал все повышения прав, и если повышение прав выходит за рамки стандартного шаблона для пользователя, необходимо создать оповещение и исследовать это повышение в случае незапланированности. Шаблон Microsoft Sentinel |
| Утверждение и запрет на повышение прав | Низкий | Журналы аудита Azure AD | Service = Access Review - и - Category = UserManagement - и - Тип действий = запрос утвержден или отклонен - и - Инициированный субъект = UPN |
Отслеживайте все повышения прав, так как это поможет четко определить временную шкалу атаки. Шаблон Microsoft Sentinel Sigma-правила |
| Изменения в параметрах PIM | Высок. | Журналы аудита Azure AD | Service = PIM - и - Категория = управление ролями - и - Тип действий = обновление параметров ролей в PIM - и - Причина состояния = MFA при активации отключена (пример) |
Одно из этих действий может снизить безопасность повышения прав PIM и упростить взлом привилегированной учетной записи для злоумышленников. Шаблон Microsoft Sentinel Sigma-правила |
| Повышение прав не на устройстве SAW или PAW | Высок. | Журналы входа в Azure AD | Идентификатор устройства - и - Браузер - и - ОС - и - Compliant/Managed Сопоставляются с: Service = PIM - и - Категория = управление ролями - и - Тип действий = добавление члена в роль завершено (активация PIM) - и - Состояние = успех или сбой - и - Измененные свойства = Role.DisplayName |
Если это изменение настроено, любая попытка повышения прав не на устройстве PAW или SAW должна быть немедленно исследована, так как она может означать, что злоумышленник пытается использовать учетную запись. Sigma-правила |
| Повышение прав для управления всеми подписками Azure | Высок. | Azure Monitor | Вкладка "Журнал действий" Вкладка "Действия с каталогом" Имена операций = назначает вызывающему роль администратора доступа пользователей - и - Категория событий = administrative - и - Состояние = успешно, запуск, сбой - и - Инициатор события |
Это изменение следует исследовать немедленно, если оно не запланировано. Этот параметр может предоставить злоумышленнику доступ к подпискам Azure в вашей среде. |
Дополнительные сведения об управлении повышением прав см. в разделе Повышение прав доступа для управления всеми подписками Azure и группами управления. Дополнительные сведения о мониторинге повышения прав с помощью сведений в журналах Azure AD см. в статье Журнал действий Azure, который входит в состав документации по Azure Monitor.
Сведения о настройке оповещений для ролей Azure см. в статье Настройка предупреждений безопасности для ролей ресурсов Azure в Privileged Identity Management.
Следующие шаги
Изучите следующие статьи с указаниями по обеспечению безопасности:
Обзор операций безопасности Azure AD
Операции безопасности для учетных записей пользователей
Операции безопасности для учетных записей потребителей
Операции безопасности для управления привилегированными пользователями
Операции безопасности для приложений