Операции безопасности Microsoft Entra для управление привилегированными пользователями
Безопасность бизнес-активов зависит от целостности привилегированных учетных записей, используемых для администрирования ваших ИТ-систем. Киберпреступники совершают атаки для хищения учетных данных администраторов и других учетных данных с привилегированным доступом, чтобы получить доступ к конфиденциальным данным.
Для облачных служб предотвращение и реагирование являются общими обязанностями клиента и поставщика облачных служб.
По сложившейся традиции меры по обеспечению безопасности организации направлены на точки входа и выхода сети, составляющие периметр безопасности. Однако наличие приложений SaaS и персональных устройств сделало этот подход менее эффективным. В идентификаторе Microsoft Entra мы заменим периметр безопасности сети проверкой подлинности на уровне удостоверений вашей организации. Когда пользователям назначаются привилегированные административные роли, необходимо обеспечить защиту их доступа в локальных, облачных и гибридных средах
Вы полностью отвечаете за все уровни безопасности для локальной ИТ-среды. При использовании облачных служб Azure предотвращение и реагирование являются совместными обязанностями корпорации Майкрософт как поставщика облачных служб и вас как клиента.
Дополнительные сведения об общей модели ответственности см. в разделе Общая ответственность в облаке.
Дополнительные сведения о защите доступа для привилегированных пользователей см. в разделе "Защита привилегированного доступа" для гибридных и облачных развертываний в идентификаторе Microsoft Entra ID.
Множество видеороликов, руководств и кратких справочных материалов по привилегированным удостоверениям можно найти в разделе Документация по Azure Active Directory Privileged Identity Management.
управление привилегированными пользователями (PIM) — это служба Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. К этим ресурсам относятся ресурсы в идентификаторе Microsoft Entra, Azure и других веб-службах Майкрософт, таких как Microsoft 365 или Microsoft Intune. Вы можете использовать PIM с целью минимизации следующих рисков.
Выявление и уменьшение числа пользователей, имеющих доступ к защищенным сведениям и ресурсам.
Обнаруживать чрезмерные, ненужные или неиспользуемые разрешения на доступ к конфиденциальным ресурсам.
Сократите шансы злоумышленника получить доступ к защищенным сведениям или ресурсам.
Сократите вероятность незаконного воздействия неавторизованного пользователя на конфиденциальные ресурсы.
В этой статье приводятся рекомендации по настройке базовых показателей, аудиту событий входа и использованию привилегированных учетных записей. Используйте источник журналов аудита, чтобы обеспечить целостность привилегированных учетных записей.
Где искать
Для исследования и мониторинга используйте файлы журнала:
В портал Azure просмотрите журналы аудита Microsoft Entra и скачайте их в виде файлов json с разделительными запятыми (CSV) или Нотации объектов JavaScript (JSON). Портал Azure имеет несколько способов интеграции журналов Microsoft Entra с другими средствами для автоматизации мониторинга и оповещений:
Microsoft Sentinel — включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor — включает автоматический мониторинг и оповещение о различных условиях. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.
Центры событий Azure integrated with a SIEM- Microsoft Entra logs can integration to other SIEMs, например Splunk, ArcSight, QRadar и Sumo Logic с помощью интеграции Центры событий Azure.
Microsoft Defender for Cloud Apps — позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои приложения на соответствие требованиям.
Защита удостоверений рабочих нагрузок с помощью предварительной версии защиты идентификации — используется для обнаружения рисков для удостоверений рабочих нагрузок в режиме входа и автономных индикаторов компрометации.
В оставшейся части этой статьи приводятся рекомендации по настройке базовых показателей для мониторинга и оповещений с использованием модели разделения по уровням. Ссылки на готовые решения отображаются после таблицы. Оповещения можно создавать с помощью описанных ранее средств. Содержимое упорядочено по следующим разделам:
Базовые показатели
Назначение ролей Microsoft Entra
Параметры оповещений роли Microsoft Entra
Назначение ролей ресурсов Azure
Управление доступом для ресурсов Azure
Повышение прав доступа для управления подписками Azure
Базовые показатели
Ниже приведены рекомендуемые параметры для базовых показателей.
| Что отслеживать | Уровень риска | Рекомендация | Роли | Примечания. |
|---|---|---|---|---|
| Назначение ролей Microsoft Entra | Высокая | Требуется обоснование для активации. Require approval to activate (Требовать утверждения для активации). Установка двухуровневого процесса утверждения. Для активации требуется многофакторная проверка подлинности Microsoft Entra. Установка максимальной длительности повышения прав до 8 часов. | Администратор привилегированных ролей, глобальный администратор | Администратор привилегированных ролей может настроить PIM в своей организации Microsoft Entra, включая изменение интерфейса для пользователей, активирующих соответствующее назначение ролей. |
| Настройка роли ресурсов Azure | Высокая | Требуется обоснование для активации. Require approval to activate (Требовать утверждения для активации). Установка двухуровневого процесса утверждения. Для активации требуется многофакторная проверка подлинности Microsoft Entra. Установка максимальной длительности повышения прав до 8 часов. | Владелец, ресурс Администратор istrator, Администратор istrator, global Администратор istrator, security Администратор istrator | Немедленное исследование, если происходит незапланированное изменение. Этот параметр может предоставить злоумышленнику доступ к подпискам Azure в вашей среде. |
Оповещения управление привилегированными пользователями
управление привилегированными пользователями (PIM) создает оповещения при подозрительном или небезопасном действии в вашей организации Microsoft Entra. Когда создается оповещение, оно отображается на панели мониторинга управление привилегированными пользователями. Вы также можете настроить уведомление по электронной почте или отправить в SIEM с помощью GraphAPI. Так как эти оповещения сосредоточены специально на административных ролях, следует внимательно следить за любыми оповещениями.
Назначение ролей Microsoft Entra
Администратор привилегированных ролей может настроить PIM в своей организации Microsoft Entra, которая включает изменение пользовательского интерфейса активации соответствующего назначения ролей:
Предотвратить удаление требований многофакторной проверки подлинности Microsoft Entra для активации привилегированного доступа.
Предотвращение обхода недобросовестными пользователями обоснования и утверждения для активации привилегированного доступа.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Предупреждение при добавлении данных в разрешения для привилегированных учетных записей | Высокая | Журналы аудита Microsoft Entra | Category = Role Management -и- Тип действия— добавление соответствующего члена (постоянный) -и- Тип действия— добавление подходящего члена (допустимого) -и- Status = Success/failure -и- Измененные свойства = Role.DisplayName |
Отслеживайте и всегда предупреждайте об изменениях для администратора привилегированных ролей и глобального администратора. Это может означать, что злоумышленник пытается получить права на изменение параметров назначения ролей. Если у вас нет определенного порогового значения, установите оповещение на 4 через каждые 60 минут для пользователей и 2 через каждые 60 минут для привилегированных пользователей. Sigma-правила |
| Оповещение о групповом удалении разрешений привилегированной учетной записи | Высокая | Журналы аудита Microsoft Entra | Category = Role Management -и- Тип действия— удаление подходящего члена (постоянный) -и- Тип действия— удаление соответствующего члена (допустимого) -и- Status = Success/failure -и- Измененные свойства = Role.DisplayName |
Немедленное исследование, если происходит незапланированное изменение. Этот параметр может предоставить злоумышленнику доступ к подпискам Azure в вашей среде. Шаблон Microsoft Sentinel Sigma-правила |
| Изменения параметров PIM | Высокая | Журнал аудита Microsoft Entra | Service = PIM -и- Category = Role Management -и- Activity Type = Update role setting in PIM -и- Status Reason = MFA on activation disabled (example) |
Отслеживайте и включите все оповещения об изменениях для администратора привилегированных ролей и глобального администратора. Это может означать, что злоумышленник получил права на изменение параметров назначения ролей. Одно из этих действий может снизить безопасность повышения прав PIM и упростить получение привилегированной учетной записи для злоумышленников. Шаблон Microsoft Sentinel Sigma-правила |
| Утверждение и запрет на повышение прав | Высокая | Журнал аудита Microsoft Entra | Служба = проверка доступа -и- Category = UserManagement -и- Activity Type = Request Approved/Denied -и- Инициированный субъект = UPN |
Необходимо отслеживать все случаи повышения прав. Заносите в журнал все повышения прав: это поможет четко определить время атаки. Шаблон Microsoft Sentinel Sigma-правила |
| Параметр оповещения изменяется на «Отключено». | Высокая | Журналы аудита Microsoft Entra | Служба = PIM -и- Category = Role Management -и- Тип действия = отключение оповещения PIM -и- Состояние = успешно / сбой |
Оповещения обо всех событиях. Помогает обнаруживать плохих субъектов удаление оповещений, связанных с требованиями многофакторной проверки подлинности Microsoft Entra для активации привилегированного доступа. Помогает обнаруживать подозрительные или небезопасные действия. Шаблон Microsoft Sentinel Sigma-правила |
Дополнительные сведения об определении изменений параметров ролей в журнале аудита Microsoft Entra см. в разделе "Просмотр журнала аудита" для ролей Microsoft Entra в управление привилегированными пользователями.
Назначение ролей ресурсов Azure
Мониторинг назначений ролей ресурсов Azure позволяет наблюдать за действиями и активациями для ролей ресурсов. Эти назначения могут быть использованы для создания направления атаки для ресурса. При наблюдении за этим типом действий попытайтесь обнаружить следующее:
Запрос назначений ролей в конкретных ресурсах
Назначения ролей для всех дочерних ресурсов
Все изменения активных и допустимых назначений ролей
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Журнал аудита ресурсов оповещения об аудите для действий привилегированной учетной записи | Высокая | В службе PIM в разделе ресурсов Azure выберите аудит ресурсов | Действие. Добавление соответствующего участника в роль в PIM завершено (ограничение времени) -и- Основной целевой объект -и- Тип «Пользователь» -и- Состояние = успешно |
Оповещения обо всех событиях. Помогает обнаруживать опасного субъекта, добавляющего допустимые роли для управления всеми ресурсами в Azure. |
| Аудит ресурсов оповещений об аудите для отключения предупреждения | Средняя | В службе PIM в разделе ресурсов Azure выберите аудит ресурсов | Действие: отключение оповещения -и- Основная цель: ресурсу назначено слишком много владельцев -и- Состояние = успешно |
Помогает обнаружить опасного субъекта, отключающего оповещения в области оповещений, что может позволить обойти исследование вредоносных действий |
| Аудит ресурсов оповещений об аудите для отключения предупреждения | Средняя | В службе PIM в разделе ресурсов Azure выберите аудит ресурсов | Действие: отключение оповещения -и- Основная цель: ресурсу назначено слишком много постоянных владельцев -и- Состояние = успешно |
Запрет опасному субъекту отключать оповещения в области оповещений, что может позволить обойти исследование вредоносных действий |
| Аудит ресурсов оповещений об аудите для отключения предупреждения | Средняя | В службе PIM в разделе ресурсов Azure выберите аудит ресурсов | Действие: отключение оповещения -и- Основная цель: создан дубликат роли -и- Состояние = успешно |
Запрет опасному субъекту отключать оповещения в области оповещений, что может позволить обойти исследование вредоносных действий |
Дополнительные сведения о настройке оповещений и аудите ролей ресурсов Azure см. в следующих статьях:
Управление доступом к ресурсам и подпискам Azure
Пользователи или члены группы, которым назначены роли "Владелец" или "Доступ пользователей" Администратор istrator, а также глобальные Администратор istratorы Microsoft Entra, которые включили управление подписками в идентификаторе Microsoft Entra ID, имеют разрешения Администратор istrator ресурсов по умолчанию. Эти администраторы назначают роли, настраивают параметры ролей и проверяют разрешения на доступ к ресурсам Azure с помощью службы Azure AD Privileged Identity Management (PIM).
Пользователь с разрешениями администратора ресурсов может управлять PIM для ресурсов. В этом случае необходимо отслеживать и минимизировать риски, так как эту возможность могут использовать опасные субъекты, чтобы получить привилегированный доступ к ресурсам подписки Azure, таким как виртуальные машины или учетные записи хранения.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Повышение прав | Высокая | Идентификатор Microsoft Entra, в разделе "Управление", "Свойства" | Периодическая проверка параметров. Управление доступом для ресурсов Azure |
Глобальные администраторы могут повысить уровень прав, включив управление доступом для ресурсов Azure. Убедитесь, что опасные субъекты не получили разрешения на назначение ролей во всех подписках и группах управления Azure, связанных с Active Directory. |
Дополнительные сведения см. в статье Назначение ролей для доступа к ресурсам Azure с помощью службы "Управление привилегированными пользователями".
Следующие шаги
Обзор операций безопасности Microsoft Entra
Операции безопасности для учетных записей пользователей
Операции безопасности для учетных записей потребителей
Операции безопасности для привилегированных учетных записей
Операции безопасности для приложений