Операции безопасности Microsoft Entra для учетных записей пользователей
Идентификатор пользователя является одним из наиболее важных аспектов защиты организации и данных. В этой статье приводятся рекомендации по отслеживанию создания, удаления и использования учетной записи. В первой части описано, как отслеживать необычное создание и удаление учетных записей. Во второй части рассматривается мониторинг необычного использования учетной записи.
Если вы еще не прочитали обзор операций безопасности Microsoft Entra, рекомендуется сделать это, прежде чем продолжить.
В этой статье описываются учетные записи обычных пользователей. Для учетных записей с привилегированным доступом см. статью "Операции по обеспечению безопасности — привилегированные учетные записи".
Определение базовых показателей
Чтобы выявить аномальное поведение, прежде всего нужно определить, что считается нормальным и ожидаемым поведением. Определение того, что считается ожидаемым поведением для организации, позволяет выявить непредусмотренное поведение. Определение также помогает снизить уровень помех от ложноположительных результатов при выполнении мониторинга и оповещения.
После определения того, что вы ожидаете, выполните мониторинг базовых показателей, чтобы проверить свои ожидания. С помощью этих сведений можно отслеживать журналы на наличие событий, выходящих за пределы заданных отклонений.
Используйте журналы аудита Microsoft Entra, журналы входа Microsoft Entra и атрибуты каталога в качестве источников данных для учетных записей, созданных за пределами обычных процессов. Следующие рекомендации помогут вам обдумать и определить, что является нормальным для вашей организации.
Создание учетной записи пользователя — оцените следующее
Стратегия и принципы для инструментов и процессов, используемых для создания учетных записей пользователей и управления ими. Например, существуют ли стандартные атрибуты, форматы, применяемые к атрибутам учетной записи пользователя.
Утвержденные источники для создания учетной записи. Например, при происхождении в Active Directory (AD), идентификаторе Microsoft Entra или системах управления персоналом, таких как Workday.
Стратегия оповещения для учетных записей, созданных за пределами утвержденных источников. Существует ли контрольный список организаций, с которыми взаимодействует ваша организация?
Подготовка гостевых учетных записей и параметры оповещений для учетных записей, созданных вне управления правами или других обычных процессов.
Стратегия и параметры оповещений для учетных записей, созданных, измененных или отключенных учетной записью, которая не является утвержденным администратором пользователей.
Стратегия мониторинга и оповещения для учетных записей, в которых отсутствуют стандартные атрибуты, такие как идентификатор сотрудника, или не соблюдаются организационные соглашения об именовании.
Стратегия, принципы и процесс удаления и хранения учетных записей.
Локальные учетные записи пользователей — оцените следующие учетные записи, синхронизированные с Microsoft Entra Подключение:
Леса, домены и подразделения в области синхронизации. Кто является утвержденными администраторами, имеющими право изменять эти параметры? Как часто выполняется проверка области?
Типы синхронизируемых учетных записей. Например, учетные записи пользователей и (или) учетные записи служб.
Процесс создания привилегированных локальных учетных записей и контроль за синхронизацией учетной записи этого типа.
Процесс создания привилегированных локальных учетных записей и управление синхронизацией учетной записи этого типа.
Дополнительные сведения об обеспечении безопасности и мониторингу локальных учетных записей см. в статье Защита Microsoft 365 от локальных атак.
Облачные учетные записи пользователей — оцените следующее
Процесс подготовки облачных учетных записей и управления ими непосредственно в идентификаторе Microsoft Entra.
Процесс определения типов пользователей, подготовленных в качестве облачных учетных записей Microsoft Entra. Например, вы разрешаете использовать только привилегированные учетные записи или также допускаете учетные записи пользователей?
Процесс создания и ведения списка доверенных лиц и (или) процессов, предполагающих создание облачных учетных записей пользователей и управление ими.
Процесс создания и соблюдения стратегии оповещения для неутвержденных облачных учетных записей.
Где искать
Для исследования и мониторинга используйте файлы журнала:
В портал Azure можно просмотреть журналы аудита Microsoft Entra и скачать как файлы с разделительными запятыми (CSV) или нотацией объектов JavaScript (JSON). В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:
Microsoft Sentinel — включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor — включает автоматический мониторинг и оповещение о различных условиях. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.
Центры событий Azure интеграции с SIEM — журналы Microsoft Entra можно интегрировать с другими SIEMs, такими как Splunk, ArcSight, QRadar и Sumo Logic с помощью интеграции Центры событий Azure.
Microsoft Defender for Cloud Apps — позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои приложения на соответствие требованиям.
Защита удостоверений рабочих нагрузок с помощью предварительной версии защиты идентификации — используется для обнаружения рисков для удостоверений рабочих нагрузок в режиме входа и автономных индикаторов компрометации.
Большая часть того, что вы будете отслеживать и оповещать, — это эффекты действия политик условного доступа. Используйте книгу аналитических данных и отчетов для условного доступа для проверки влияния одной или нескольких политик условного доступа на входы в вашей среде, и анализа результатов применения политик, включая состояние устройств. Эта книга позволяет просматривать сводные данные и оценивать влияние за определенный период времени. Кроме того, книгу можно использовать для исследования попыток входа конкретного пользователя.
В оставшейся части статьи описывается, что мы рекомендуем отслеживать и о чем создавать оповещения, и изложенный материал упорядочен по типам угроз. Если существуют конкретные готовые решения, мы приводим ссылки на них или предоставляем примеры после таблицы. В противном случае можно создавать оповещения с помощью предыдущих средств.
Создание учетной записи
Аномальное создание учетной записи может указывать на проблему безопасности. Краткосрочные учетные записи, учетные записи, не соответствующие стандартам именования, а также учетные записи, созданные вне обычных процессов, следует исследовать.
Краткосрочные учетные записи
Создание и удаление учетной записи за пределами обычных процессов управления удостоверениями следует отслеживать в идентификаторе Microsoft Entra. Краткосрочные учетные записи — это учетные записи, которые создаются на очень короткий период времени, а затем быстро удаляются. Этот тип создания учетной записи и быстрое удаление могут означать, что злоумышленник пытается избежать обнаружения путем создания учетных записей, их использования и последующего удаления.
Шаблоны краткосрочных учетных записей могут указывать на то, что неодобренные люди или процессы могут иметь право создавать и удалять учетные записи, выходящие за пределы установленных процессов и политик. Такой тип поведения удаляет видимые метки из каталога.
Если полный отчет о создании и удалении учетной записи не удается быстро обнаружить, то сведения, необходимые для исследования инцидента, могут перестать существовать. Например, учетные записи могут быть удалены, а корзина затем очищена. Журналы аудита сохраняются в течение 30 дней. Но вы можете экспортировать свои журналы в Azure Monitor или в решение для управления информационной безопасностью и событиями безопасности (SIEM) для более длительного хранения.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| События создания и удаления учетной записи в течение короткого интервала времени. | Высокая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" -и- Действие: удаление пользователя Состояние = "успешно" |
Ищите события имени участника-пользователя. Ищите учетные записи, созданные и удаленные в течение 24 часов. Шаблон Microsoft Sentinel |
| Учетные записи, созданные и удаленные неодобренными пользователями или процессами. | Средняя | Журналы аудита Microsoft Entra | Кем инициировано (субъект) — USER PRINCIPAL NAME -и- Действие: добавление пользователя Состояние = "успешно" и (или) Действие: удаление пользователя Состояние = "успешно" |
Настройте отправку оповещения, если субъектом является неодобренный пользователь. Шаблон Microsoft Sentinel |
| Учетные записи из неодобренных источников. | Средняя | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" Цель(и) = USER PRINCIPAL NAME |
Настройте отправку оповещения, если запись не относится к одобренному домену или относится к заблокированному домену. Шаблон Microsoft Sentinel |
| Учетные записи, назначенные для привилегированной роли. | Высокая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" -и- Действие: удаление пользователя Состояние = "успешно" -и- Действие: добавление участника в роль Состояние = "успешно" |
Если учетная запись назначена роли Microsoft Entra, роли Azure или привилегированным членством в группах, оповещением и приоритетом исследования. Шаблон Microsoft Sentinel Sigma-правила |
Следует отслеживать и получать оповещения как для привилегированных, так и для непривилегированных учетных записей. Но, учитывая, что привилегированные учетные записи имеют права доступа администратора, они должны иметь более высокий приоритет в процессах отслеживания, оповещения и реагирования.
Учетные записи, не соответствующие политике именования
Учетные записи пользователей, не соответствующие политике именования, могут быть созданы вне политик организации.
Рекомендуется использовать политику именования для объектов-пользователей. Политика именования упрощает управление и обеспечивает согласованность. Политика также может помочь обнаружить создание пользователей вне утвержденных процессов. Злоумышленник может не знать о ваших стандартах именования, что упростит обнаружение учетной записи, подготовленной вне ваших организационных процессов.
Организации обычно имеют определенные форматы и атрибуты, которые используются для создания учетных записей пользователей и привилегированных пользователей. Например:
Имя участника-пользователя учетной записи администратора = ADM_firstname.lastname@tenant.onmicrosoft.com
Имя участника-пользователя учетной записи пользователя = Firstname.Lastname@contoso.com
Учетные записи пользователей часто имеют атрибут, идентифицирующий реального пользователя. Например, EMPID = XXXNNN. Следующие рекомендации помогут вам определить нормальные условия для вашей организации и установить базовые показатели для записей журнала, если учетные записи не соответствуют соглашению об именовании:
Учетные записи, не соответствующие соглашению об именовании. Например, сравните
nnnnnnn@contoso.comиfirstname.lastname@contoso.com.Учетные записи, у которых стандартные атрибуты не заполнены или имеют неправильный формат. Например, отсутствует допустимый идентификатор сотрудника.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Учетные записи пользователей, для которых не определены ожидаемые атрибуты. | Низкая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" |
Ищите учетные записи, у которых стандартные атрибуты или аннулированы, или в неправильном формате. Например, EmployeeID Шаблон Microsoft Sentinel |
| Учетные записи пользователей, созданные с использованием неправильного формата именования. | Низкая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" |
Ищите учетные записи с именем участника-пользователя, которое не соответствует вашей политике именования. Шаблон Microsoft Sentinel |
| Привилегированные учетные записи, которые не соответствуют политике именования | Высокая | Подписка на Azure | Вывод списка назначений ролей Azure с помощью портал Azure — Azure RBAC | Составьте список назначений ролей для подписок и отправляйте оповещение, если имя не соответствует стандарту вашей организации. Например, ADM_ в качестве префикса. |
| Привилегированные учетные записи, которые не соответствуют политике именования | Высокая | Каталог Microsoft Entra | Вывод списка назначений ролей Microsoft Entra | Вывод списка назначений ролей для оповещений ролей Microsoft Entra, где имя участника-пользователя не соответствует формату организации. Например, ADM_ в качестве префикса. |
Дополнительные сведения по анализу см. в статьях:
Журналы аудита Microsoft Entra — анализ текстовых данных в журналах Azure Monitor
для Подписок Azure — Составление списка назначений ролей Azure с помощью Azure PowerShell;
Идентификатор Microsoft Entra — перечисление назначений ролей Microsoft Entra
Учетные записи, созданные вне нормальных процессов
Наличие стандартных процессов для создания пользователей и привилегированных учетных записей важно для безопасного управления жизненным циклом удостоверений. Если подготовка пользователей осуществляется или отменяется вне установленных процессов, то это может привести к возникновению угроз безопасности. Работа вне установленных процессов может также создать проблемы для управления удостоверениями. К потенциальным рискам относятся
Невозможность управления учетными записями пользователей и привилегированными учетными записями в соответствии с политиками организации. Это может привести к более широкой уязвимости учетных записей, управление которыми осуществляется ненадлежащим образом.
Становится труднее обнаружить учетные записи, создаваемые злоумышленниками для вредоносных целей. Наличие действительных учетных записей, созданных вне установленных процедур, затрудняет обнаружение создания учетных записей или изменения разрешений для вредоносных целей.
Учетные записи пользователей и привилегированные учетные записи рекомендуется создавать только в соответствии с политиками организации. Например, учетная запись должна быть создана в соответствии с правильными стандартами именования, сведениями об организации и в рамках области действия соответствующего управления удостоверениями. В организации должны действовать строгие процедуры контроля за тем, кто имеет права на создание, управление и удаление удостоверений. Роли для создания этих учетных записей должны жестко контролироваться, а права должны предоставляться только после выполнения установленного рабочего процесса утверждения и получения таких разрешений.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Учетные записи пользователей, созданные или удаленные неодобренными пользователями или процессами. | Средняя | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" и (или) Действие: удаление пользователя Состояние = "успешно" -и- Кем инициировано (субъект) = USER PRINCIPAL NAME |
Оповестите об учетных записях, созданных неодобренными пользователями или процессами. Первоочередное внимание уделите созданным учетным записям с расширенными привилегиями. Шаблон Microsoft Sentinel |
| Учетные записи пользователей, созданные или удаленные из неутвержденных источников. | Средняя | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" –или– Действие: удаление пользователя Состояние = "успешно" -и- Цель(и) = USER PRINCIPAL NAME |
Оповестите, если домен не утвержден или известно, что домен был заблокирован. |
Необычные операции входа
Возникновение сбоев при проверке подлинности пользователей является нормальным. Но выявление шаблонов или блоков сбоев может быть индикатором того, что с удостоверением пользователя что-то происходит. Например, во время атак, совершаемых путем Распыления пароля или методом подбора, или если учетная запись пользователя была скомпрометирована. Критически важно отслеживать возникновение закономерностей и создавать оповещения о них. Это помогает обеспечить защиту данных пользователя и организации.
Отображение сообщения "Успешно" указывает на то, что все в порядке. Но это также может означать, что злоумышленник успешно получил доступ к службе. Отслеживание успешного входа позволяет обнаруживать учетные записи пользователей, которые получают доступ, который им не должен предоставляться. Успешное выполнение проверки подлинности пользователей — это обычные записи в журналах входа Microsoft Entra. Мы рекомендуем отслеживать и оповещать, чтобы обнаружить возникновение шаблонов. Это помогает обеспечить защиту учетных записей пользователей и данных организации.
При проектировании и применении мониторинга журнала и стратегии оповещения рассмотрите средства, доступные на портале Azure. Защита идентификации позволяет автоматизировать обнаружение, защиту и исправление рисков, связанных с идентификацией. Защита идентификации использует машинное обучение и эвристические системы аналитики для обнаружения рисков, оценки степени риска для пользователей и операций входа. Клиенты могут настраивать политики на основе уровня риска, чтобы определять, когда разрешить или запретить доступ пользователю, или разрешить ему безопасно исправлять риск самостоятельно. Следующие обнаружения рисков защиты идентификации сообщают об уровнях риска:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Утечка учетных данных — обнаружение риска для пользователя | Высокая | Журналы обнаружения рисков Microsoft Entra | UX: утечка учетных данных API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Обнаружение рисков пользователей Microsoft Entra Threat Intelligence | Высокая | Журналы обнаружения рисков Microsoft Entra | UX: Аналитика угроз Microsoft Entra API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Анонимный IP-адрес — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | UX: анонимный IP-адрес API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Необычное перемещение — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | UX: нетипичное путешествие API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Аномальный маркер | Различается | Журналы обнаружения рисков Microsoft Entra | UX: аномальный маркер API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| IP-адрес, связанный с вредоносным ПО — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | UX: связанный с вредоносным IP-адресом API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Подозрительный браузер — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | UX: подозрительный браузер API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Необычные свойства входа — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | UX: незнакомые свойства входа API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Вредоносный IP-адрес — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: вредоносный IP-адрес API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Подозрительные правила обработки входящих сообщений — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: подозрительные правила обработки входящих сообщений API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Распыление пароля — обнаружение риска при входе | Высокая | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: распыление пароля API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Неосуществимое перемещение — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: неосуществимое перемещение API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Обнаружение рисков входа в новую страну или регион | Различается | Журналы обнаружения рисков Microsoft Entra | UX: новая страна или регион API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Действия, выполняемые с анонимного IP-адреса — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: действия, выполняемые с анонимного IP-адреса API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Подозрительная пересылка входящих сообщений — обнаружение риска при входе | Различается | Журналы обнаружения рисков Microsoft Entra | Пользовательский интерфейс: подозрительная пересылка входящих сообщений API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
| Обнаружение рисков для входа в microsoft Entra Threat Intelligence | Высокая | Журналы обнаружения рисков Microsoft Entra | UX: Аналитика угроз Microsoft Entra API: см. тип ресурса riskDetection — Microsoft Graph |
См. сведения о риске? Защита идентификации Microsoft Entra Sigma-правила |
Дополнительные сведения см. в статье Что такое защита идентификации.
Что искать
Настройте мониторинг данных в журналах входа Microsoft Entra, чтобы убедиться, что оповещения возникают и соответствуют политикам безопасности вашей организации. Ниже приведены некоторые примеры.
Неудачные проверки подлинности: будучи людьми, мы все иногда ошибаемся при вводе паролей. Но большое количество неудачных проверок подлинности может указывать на то, что злоумышленник пытается получить доступ. Атаки отличаются по агрессивности, но их количество может варьировать от нескольких попыток в час до более частых. Например, атака путем распыления пароля, как правило, рассчитана на более простые пароли, используемые для многих учетных записей, тогда как атака методом подбора применяется, когда для целевых учетных записей используется несколько паролей.
Прерванная проверка подлинности: прерывание в идентификаторе Microsoft Entra представляет внедрение процесса для удовлетворения проверки подлинности, например при применении элемента управления в политике условного доступа. Это обычное событие, которое может произойти при неправильной настройке приложений. Но если вы видите большое количество прерываний для учетной записи пользователя, это может указывать на то, что с этой учетной записью что-то происходит.
- Например, если вы сортируете пользователей в журналах входа и видите, что большой объем входных данных имеет состояние входа = "Прервано" и Условный доступ = "Сбой". При углубленном анализе в сведениях о проверке подлинности можно увидеть, что пароль правильный, но требуется строгая проверка подлинности. Это может означать, что пользователь не выполняет многофакторную проверку подлинности (MFA), что может свидетельствовать о том, что пароль пользователя скомпрометирован, а злоумышленник не может выполнить MFA.
Смарт-блокировка: Идентификатор Microsoft Entra предоставляет интеллектуальную службу блокировки, которая представляет концепцию знакомых и не знакомых расположений для процесса проверки подлинности. Учетная запись пользователя, используемая для известного расположения, может успешно пройти проверку подлинности, в то время, как злоумышленник, незнакомый с тем же расположением, блокируется после нескольких попыток. Найдите учетные записи, которые были заблокированы, и проанализируйте их.
Изменения IP-адресов: вполне нормально, если пользователи заходят с разных IP-адресов. Но политика "Никому не доверяй" предполагает никогда не доверять и всегда проверять. Большое количество исходящих IP-адресов и неудачных проверок подлинности может быть признаком вторжения. Найдите шаблон многих неудачных попыток проверки подлинности, которые выполняются из нескольких IP-адресов. Обратите внимание, что подключения виртуальной частной сети (VPN) могут привести к ложноположительным результатам. Независимо от проблем, рекомендуется отслеживать изменения IP-адресов и, если это возможно, использовать Защита идентификации Microsoft Entra для автоматического обнаружения и устранения этих рисков.
Расположения: как правило, предполагается, что учетная запись пользователя находится в том же географическом расположении. Вы также ожидаете, что пользователи будут входить из тех расположений, где есть ваши сотрудники или деловые партнеры. Если учетная запись пользователя поступает из другого международного расположения за меньшее время, чем занимает путешествие, это может означать, что учетная запись пользователя подверглась нападению. Обратите внимание, что виртуальные сети могут привести к ложным срабатываниям, рекомендуется отслеживать вход учетных записей пользователей из географически удаленных расположений и по возможности использовать Защита идентификации Microsoft Entra для автоматического обнаружения и устранения этих рисков.
Для этой области риска мы рекомендуем отслеживать учетные записи обычных пользователей и привилегированные учетные записи, но первоочередное внимание уделяйте исследованию привилегированных учетных записей. Привилегированные учетные записи — это наиболее важные учетные записи в любом клиенте Microsoft Entra. Специальные рекомендации для привилегированных учетных записей см. в статье "Операции по обеспечению безопасности — привилегированные учетные записи".
Определение
Вы используете Защита идентификации Microsoft Entra и журналы входа Microsoft Entra для обнаружения угроз, указанных необычными характеристиками входа. Сведения о Защите идентификации доступны в статье Что такое защита идентификации. Можно также реплицировать данные в Azure Monitor или SIEM для целей мониторинга и оповещения. Чтобы определить нормальную среду и задать базовые показатели, определите следующее:
параметры, которые будут считаться нормальными для вашей пользовательской базы;
среднее количество попыток ввода пароля в течение промежутка времени, по истечении которого пользователь вызывает службу поддержки или выполняет самостоятельный сброс пароля;
разрешенное количество неудачных попыток до оповещения, будет ли оно различаться для учетных записей пользователей и привилегированных учетных записей;
разрешенное количество неудачных попыток многофакторной проверки подлинности до оповещения, будет ли оно различаться для учетных записей пользователей и привилегированных учетных записей;
включена ли проверка подлинности прежних версий и стратегия прекращения использования;
известные IP-адреса исходящего трафика, предназначенные для вашей организации;
страны или регионы, из которых работают пользователи.
Существуют ли группы пользователей, которые остаются стационарными в сетевом расположении или регионе.
любые другие индикаторы, которые вы определите для нестандартных входов, характерных для вашей организации. Например, дни недели или время в течение недели или года, в которые ваша организация не работает.
Определив нормальное поведение для учетных записей в вашей среде, изучите факторы из следующего списка. Они помогут вам определить, какие сценарии вам нужно отслеживать и какие оповещения должны быть настроены, а также детально настроить оповещения.
Нужно ли отслеживать и оповещать, если настроена Защита идентификации?
Существуют ли более жесткие условия, применяемые к привилегированным учетным записям, которые можно использовать для мониторинга и оповещения? Например, требуется использовать привилегированные учетные записи только из доверенных IP-адресов.
Установлены ли слишком агрессивные базовые показатели? Наличие слишком большого количества оповещений может привести к игнорированию или пропуску оповещений.
Настройка Защиты идентификации для обеспечения защиты, которая поддерживает базовые политики безопасности. Например, блокируйте пользователей, если риск = "высокий". Этот уровень риска указывает на высокий уровень уверенности в компрометации учетной записи пользователя. Дополнительные сведения о настройке политик риска при входе и политик риска для пользователей см. на странице Политики защиты идентификации. Дополнительные сведения о настройке условного доступа см. в статье условного доступа на основе входа.
Ниже перечислены риски в порядке важности в зависимости от влияния и степени серьезности записей.
Мониторинг входов внешних пользователей
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Пользователи, проверяющие подлинность в других клиентах Microsoft Entra. | Низкая | Журнал входа Microsoft Entra | Состояние = "успешно" Resource tenantID != Home Tenant ID |
Определяет, когда пользователь успешно прошел проверку подлинности в другом клиенте Microsoft Entra с удостоверением в клиенте вашей организации. Оповещение, если идентификатор клиента ресурса не равен идентификатору домашнего клиента Шаблон Microsoft Sentinel Sigma-правила |
| Состояние пользователя изменилось с гостя на участника | Средняя | Журналы аудита Microsoft Entra | Действие: обновление пользователя Категория: UserManagement UserType изменен с гостя на участника |
Мониторинг и оповещение об изменении типа пользователя с гостя на участника. Это было ожидаемо? Шаблон Microsoft Sentinel Sigma-правила |
| Гостевые пользователи, приглашенные в клиент неутвержденными приглашающими | Средняя | Журналы аудита Microsoft Entra | Действие: приглашение внешнего пользователя Категория: UserManagement Кем инициировано (субъект): имя субъекта-пользователя |
Мониторинг и оповещение о неутвержденных субъектах, приглашающих внешних пользователей. Шаблон Microsoft Sentinel Sigma-правила |
Мониторинг сбоев при необычных попытках входа
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Неудачные попытки входа. | Средний — при изолированном инциденте Высокий — если одна проблема повторяется для многих учетных записей или виртуальных IP-адресов. |
Журнал входа Microsoft Entra | Состояние = "сбой" -и- Код ошибки входа 50126 — Ошибка проверки учетных данных: недопустимое имя пользователя или пароль. |
Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| События интеллектуальной блокировки. | Средний — при изолированном инциденте Высокий — если одна проблема повторяется для многих учетных записей или виртуальных IP-адресов. |
Журнал входа Microsoft Entra | Состояние = "сбой" -и- Код ошибки входа = 50053 – IdsLocked |
Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| Прерывания | Средний — при изолированном инциденте Высокий — если одна проблема повторяется для многих учетных записей или виртуальных IP-адресов. |
Журнал входа Microsoft Entra | 500121 — ошибка аутентификации возникла при выполнении запроса на строгую проверку подлинности. –или– 50097 — требуется проверка подлинности устройства, или 50074 — требуется строгая проверка подлинности. –или– 50155, DeviceAuthenticationFailed –или– 50158, ExternalSecurityChallenge — не пройдена проверка с внешним запросом защиты –или– 53003 и причина сбоя = заблокирован условный доступ |
Отслеживание и создание оповещений о прерываниях. Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
Ниже перечислены риски в порядке важности в зависимости от влияния и степени серьезности записей.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Оповещение о попытке обхода многофакторной проверка подлинности (MFA). | Высокая | Журнал входа Microsoft Entra | Состояние = "сбой" -и- Сведения = "MFA отклонена" |
Отслеживание и оповещение о любом входе. Шаблон Microsoft Sentinel Sigma-правила |
| Не удалось выполнить проверку подлинности из стран или регионов, из которых вы не работаете. | Средняя | Журнал входа Microsoft Entra | Расположение = <неутвержденное расположение> | Отслеживание и оповещение о любом входе. Шаблон Microsoft Sentinel Sigma-правила |
| Неудачные проверки подлинности для устаревших или неиспользуемых протоколов. | Средняя | Журнал входа Microsoft Entra | Status = failure -и- Клиентское приложение = "другие клиенты", POP, IMAP, MAPI, SMTP, ActiveSync |
Отслеживание и оповещение о любом входе. Шаблон Microsoft Sentinel Sigma-правила |
| Сбои, заблокированные условным доступом. | Средняя | Журнал входа Microsoft Entra | Код ошибки = 53003 -и- Причина сбоя = заблокирован условный доступ |
Отслеживание и оповещение о любом входе. Шаблон Microsoft Sentinel Sigma-правила |
| Увеличение количества неудачных проверок подлинности любого типа. | Средняя | Журнал входа Microsoft Entra | Регистрируется общее увеличение случаев сбоя. Т. е. общее количество сбоев за сегодня увеличилось на > 10 % по сравнению с этим же днем прошлой недели. | Если вы не установили пороговое значение, отслеживайте случаи увеличения количества ошибок на 10 % или более и оповещайте об этом. Шаблон Microsoft Sentinel |
| Проверка подлинности происходит время от времени и дней недели, когда страны или регионы не проводят обычные бизнес-операции. | Низкая | Журнал входа Microsoft Entra | Запись интерактивной проверки подлинности вне обычных рабочих дней или времени. Состояние = "успешно" -и- Расположение = <расположение> -и- Дата\время = <вне обычного рабочего времени> |
Отслеживание и оповещение о любом входе. Шаблон Microsoft Sentinel |
| Учетная запись отключена или заблокирована для входа | Низкая | Журнал входа Microsoft Entra | Status = Failure -и- код ошибки = 50057, учетная запись пользователя отключена. |
Это может означать, что кто-то пытается получить доступ к учетной записи после того, как сотрудник ушел с рабочего места. Несмотря на то, что учетная запись заблокирована, в этой ситуации важно регистрировать это действие и оповещать о нем. Шаблон Microsoft Sentinel Sigma-правила |
Мониторинг успешных необычных входов
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Проверка подлинности привилегированных учетных записей вне ожидаемых элементов управления. | Высокая | Журнал входа Microsoft Entra | Состояние = "успешно" -и- UserPricipalName = <Учетная запись администратора> -и- Расположение = <неутвержденное расположение> -и- IP-адрес = <неутвержденный IP-адрес> Сведения об устройстве = <неутвержденный браузер, операционная система> |
Мониторинг и оповещение об успешной аутентификации для привилегированных учетных записей вне ожидаемых элементов управления. В списке перечислены три стандартных элемента управления. Шаблон Microsoft Sentinel Sigma-правила |
| Если требуется только однофакторная проверка подлинности. | Низкая | Журнал входа Microsoft Entra | Состояние = "успешно" Требование проверки подлинности = "однофакторная проверка подлинности" |
Периодически отслеживайте это и проверяйте, что поведение является ожидаемым. Sigma-правила |
| Обнаружение привилегированных учетных записей, не зарегистрированных для MFA. | Высокая | API Graph Azure | Выполните запрос IsMFARegistered eq false для учетных записей администратора. Выведите список credentialUserRegistrationDetails. |
Выполните аудит и проведите исследование, чтобы определить, было ли это сделано намеренно или по ошибке. |
| Успешные проверки подлинности из стран или регионов, из которых ваша организация не работает. | Средняя | Журнал входа Microsoft Entra | Состояние = "успешно" Location = <неутвержденная страна или регион> |
Отслеживайте и предупреждайте любые входы в системы, не совпадающие с заданными вами названиями городов. Sigma-правила |
| Успешная проверка подлинности, сеанс заблокирован условным доступом. | Средняя | Журнал входа Microsoft Entra | Состояние = "успешно" -и- код ошибки = 53003 — причина сбоя, заблокированная условным доступом |
Отслеживайте и изучайте, когда проверка подлинности выполнена успешно, но сеанс блокируется условным доступом. Шаблон Microsoft Sentinel Sigma-правила |
| Проверка подлинности прошла успешно после отключения проверки подлинности прежних версий. | Средняя | Журнал входа Microsoft Entra | status = success -и- Клиентское приложение = "другие клиенты", POP, IMAP, MAPI, SMTP, ActiveSync |
Если в вашей организации отключена проверка подлинности прежних версий, отслеживайте и оповещайте при успешной проверке подлинности. Шаблон Microsoft Sentinel Sigma-правила |
Мы рекомендуем периодически анализировать проверки подлинности в приложениях со средним и высоким влиянием на бизнес, где требуется только однофакторная проверка подлинности. Для каждого приложения необходимо определить, ожидается ли однофакторная проверка подлинности. Дополнительно проанализируйте увеличение успешных попыток проверки подлинности или успешного входа в неожиданное время в зависимости от расположения.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Проверка подлинности в приложениях среднего и высокого влияния на бизнес с использованием однофакторной проверки подлинности. | Низкая | Журнал входа Microsoft Entra | Состояние = "успешно" -и- ИД приложения = <приложение HBI> -и- Требование проверки подлинности = "однофакторная проверка подлинности" |
Просматривайте и проверяйте, что эта настройка выполнена намеренно. Sigma-правила |
| Проверки подлинности в днях и времени недели или годах, которые страны или регионы не проводят обычные бизнес-операции. | Низкая | Журнал входа Microsoft Entra | Запись интерактивной проверки подлинности вне обычных рабочих дней или времени. Состояние = "успешно" Расположение = <расположение> Дата\время = <вне обычного рабочего времени> |
Мониторинг и оповещение о днях проверки подлинности и времени недели или годах, которые страны или регионы не проводят обычные бизнес-операции. Sigma-правила |
| Измеряемое увеличение количество успешных попыток входа. | Низкая | Журнал входа Microsoft Entra | Регистрируется увеличение общего количества успешных проверок подлинности. То есть количество успешных попыток за сегодняшний день увеличилось на > 10% по сравнению с тем же днем на предыдущей неделе. | Если вы не установили порог, отслеживайте случаи увеличения успешных проверок подлинности на 10 % или более и оповещайте об этом. Шаблон Microsoft Sentinel Sigma-правила |
Следующие шаги
См. следующие статьи с указаниями по обеспечению безопасности.
Обзор операций безопасности Microsoft Entra
Операции безопасности для учетных записей потребителей
Операции безопасности для привилегированных учетных записей
Операции по обеспечению безопасности службы Azure Active Directory Privileged Identity Management
Операции безопасности для приложений