Настройка оповещений системы безопасности для ролей Microsoft Entra в управление привилегированными пользователями
управление привилегированными пользователями (PIM) создает оповещения, когда в вашей организации есть подозрительные или небезопасные действия в идентификаторе Microsoft Entra. При запуске оповещение отображается на панели мониторинга PIM. Выберите оповещение, чтобы просмотреть список пользователей или ролей, активировавших предупреждение.
Примечание.
Одно событие в управление привилегированными пользователями может создавать Уведомления по электронной почте для нескольких получателей— назначателей, утверждающих или администраторов. Максимальное количество уведомлений, отправленных на одно событие, равно 1000. Если число получателей превышает 1000, то только первые 1000 получателей получат уведомление по электронной почте. Это не препятствует другим назначателям, администраторам или утверждавшим использовать их разрешения в идентификаторе Microsoft Entra и управление привилегированными пользователями.
Требования к лицензиям
Для использования управление привилегированными пользователями требуются лицензии. Дополнительные сведения о лицензировании см. в Управление идентификацией Microsoft Entra основах лицензирования.
Оповещения безопасности
В этом разделе перечислены все оповещения системы безопасности для ролей Microsoft Entra, а также способы исправления и предотвращения. Серьезность означает следующее:
- Высокий: требуется немедленное действие из-за нарушения политики.
- Средний: немедленное действие не требуется, но обнаружено потенциальное нарушение политики.
- Низкий: немедленное действие не требуется, но предлагается рекомендуемое изменение политики.
Примечание.
Только следующие роли могут считывать оповещения системы безопасности PIM для ролей Microsoft Entra: Global Администратор istrator, Privileged Role Администратор istrator, Global Reader, Security Администратор istrator и Security Reader.
Администраторы не используют свои привилегированные роли
Уровень серьезности: низкий
| Description | |
|---|---|
| Почему появилось это оповещение? | Если пользователям назначены привилегированные роли, которые им не нужны, это увеличивает вероятность атаки. Это также позволяет злоумышленникам оставаться незамеченными в учетными записях, которые не используются активно. |
| Как устранить? | Просмотрите пользователей в списке и удалите привилегированные роли, которые им не нужны. |
| Предотвращение | Назначайте привилегированные роли пользователям, у которых для этого есть коммерческое обоснование. Запланируйте регулярные проверки доступа, чтобы убедиться, что пользователям по прежнему требуется доступ. |
| Действие по устранению рисков на портале | Удаляет учетную запись из привилегированной роли. |
| Триггер | Срабатывает, если пользователь не активировал роль в течение определенного количества дней. |
| Число дней | Этот параметр задает максимальное число дней (от 0 до 100), на протяжении которых пользователь может не активировать роль. |
Роли не требуют многофакторной проверки подлинности для активации
Уровень серьезности: низкий
| Description | |
|---|---|
| Почему появилось это оповещение? | Без многофакторной проверки подлинности скомпрометированные пользователи могут активировать привилегированные роли. |
| Как устранить? | Просмотрите список ролей и требует многофакторной проверки подлинности для каждой роли. |
| Предотвращение | Настройте принудительное выполнение MFA для каждой роли. |
| Действие по устранению рисков на портале | Выполняет многофакторную проверку подлинности, необходимую для активации привилегированной роли. |
У организации нет идентификатора Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra
Уровень серьезности: низкий
| Description | |
|---|---|
| Почему появилось это оповещение? | В текущей организации Microsoft Entra нет идентификатора Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra. |
| Как устранить? | Просмотрите сведения о выпусках Microsoft Entra. Обновление до идентификатора Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra. |
Потенциальные устаревшие учетные записи с привилегированной ролью
Уровень серьезности: средний
| Description | |
|---|---|
| Почему появилось это оповещение? | Это оповещение больше не активируется на основе даты последнего изменения пароля для учетной записи. Это оповещение предназначено для учетных записей в привилегированной роли, которая не выполнила вход в течение последних n дней, где n составляет много дней, которые можно настроить в диапазоне от 1 до 365 дней. Это могут быть неиспользуемые учетные записи служб или общие учетные записи, которые уязвимы к атакам злоумышленников. |
| Как устранить? | Просмотрите учетные записи в списке. Если им больше не нужен доступ, удалите их из привилегированных ролей. |
| Предотвращение | Убедитесь, что при изменении пользователей, которым известен пароль, для общих учетных записей сменяются надежные пароли. Регулярно просматривайте учетные записи с привилегированными ролями с применением проверок доступа и удаляйте ненужные назначения ролей. |
| Действие по устранению рисков на портале | Удаляет учетную запись из привилегированной роли. |
| Рекомендации | Для учетных записей общего доступа, службы и аварийного доступа, которые проходят проверку подлинности с использованием пароля и назначаются привилегированным ролям администратора, таким как глобальный администратор или администратор безопасности, необходимо сменить пароли в следующих случаях:
|
Роли назначаются за пределами PIM
Уровень серьезности: высокий
| Description | |
|---|---|
| Почему появилось это оповещение? | Назначения привилегированных ролей за пределами PIM не отслеживаются надлежащим образом и могут свидетельствовать об активной атаке. |
| Как устранить? | Просмотрите пользователей в списке и удалите их из привилегированных ролей, назначенных за пределами PIM. В параметрах оповещений можно включить или отключить как оповещение, так и сопутствующее уведомление, отправляемое по электронной почте. |
| Предотвращение | Найдите, где за пределами PIM пользователи получают привилегированные роли, и запретите будущие назначения оттуда. |
| Действие по устранению рисков на портале | Удаляет пользователя из привилегированной роли. |
Примечание.
PIM отправляет Уведомления по электронной почте для роли, назначенной за пределами оповещения PIM, когда оповещение включено из параметров оповещений для ролей Microsoft Entra в PIM, сообщения электронной почты отправляются в привилегированные роли Администратор istrators, security Администратор istrator и Global Администраторistrator, которые включили управление привилегированными пользователями. Для ресурсов Azure в PIM сообщения электронной почты отправляются владельцам и пользователям Администратор istrator.
Слишком много глобальных администраторов
Уровень серьезности: низкий
| Description | |
|---|---|
| Почему появилось это оповещение? | Глобальный администратор является высшей привилегированной ролью. Если глобальный Администратор istrator скомпрометирован, злоумышленник получает доступ ко всем своим разрешениям, что ставит под угрозу всю систему. |
| Как устранить? | Просмотрите список пользователей и удалите всех, для кого роль глобального администратора вовсе не обязательна. Вместо этого назначьте более низкие привилегированные роли этим пользователям. |
| Предотвращение | Назначайте пользователям привилегированные роли с минимально возможными правами. |
| Действие по устранению рисков на портале | Удаляет учетную запись из привилегированной роли. |
| Триггер | Активируется, если выполняются два условия, каждое из которых можно настроить. Во-первых, количество назначений роли "Глобальный администратор" должно достичь определенного порогового значения. Во-вторых, в общем числе назначенных ролей должен быть определенный процент глобальных администраторов. Если выполняется только одно из условий, оповещение не отображается. |
| Минимальное число глобальных администраторов | Этот параметр задает количество назначений ролей глобального Администратор istrator от 2 до 100, которое вы считаете слишком мало для вашей организации Microsoft Entra. |
| Процентная доля глобальных администраторов | Этот параметр задает минимальный процент администраторов, которые являются глобальными администраторами, от 0 до 100 %, ниже которых не требуется, чтобы ваша организация Microsoft Entra опустился. |
Роли активируются слишком часто
Уровень серьезности: низкий
| Description | |
|---|---|
| Почему появилось это оповещение? | Множественные активации одной привилегированной роли тем же пользователем являются признаком атаки. |
| Как устранить? | Просмотрите пользователей в списке и убедитесь, что для привилегированной роли задана достаточная длительность активации для выполнения задач пользователя. |
| Предотвращение | Убедитесь, что длительность активации привилегированных ролей достаточно длинна, чтобы пользователи могли выполнять свои задачи.Требовать многофакторную проверку подлинности для привилегированных ролей с учетными записями, общими для нескольких администраторов. |
| Действие по устранению рисков на портале | Н/П |
| Триггер | Активируется, если пользователь активирует одну и ту же привилегированную роль несколько раз в течение указанного периода времени. Можно настроить как период времени, так и количество активаций. |
| Временной интервал обновления активации | Этот параметр указывает период времени в днях, часах, минутах и секундах. Он будет использоваться для отслеживания подозрительных обновлений. |
| Число обновлений активации | Этот параметр определяет количество активаций (от 2 до 100), о которых вы хотите получать уведомления, в течение выбранного периода. Чтобы изменить значение, переместите ползунок или введите число в текстовое поле. |
Настройка параметров оповещений системы безопасности
Выполните следующие действия, чтобы настроить оповещения системы безопасности для ролей Microsoft Entra в управление привилегированными пользователями:
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к управлению удостоверениями> управление привилегированными пользователями> Параметр оповещений о ролях>>ЗаписейMicrosoft. Сведения о том, как добавить плитку "Управление привилегированными пользователями" на панель мониторинга, см. в статье Начало работы с управлением привилегированными пользователями.
Настройте для оповещений параметры, которые подходят для вашей среды и целей безопасности.
