Поделиться через


Защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra

Безопасность бизнес-ресурсов зависит от целостности привилегированных учетных записей, которые управляют ИТ-системами. Злоумышленники используют атаки кражи учетных данных для целевых учетных записей администратора и других привилегированных доступа, чтобы попытаться получить доступ к конфиденциальным данным.

Для облачных служб предотвращение и реагирование являются совместными обязанностями поставщика облачных служб и клиента. Дополнительные сведения о последних угрозах для конечных точек и облака см. в отчете портал для обнаружения угроз (Microsoft). Эта статья поможет вам разработать план по закрытию пробелов между текущими планами и инструкциями, описанными здесь.

Заметка

Корпорация Майкрософт стремится к самым высоким уровням доверия, прозрачности, соответствия стандартам и соответствия нормативным требованиям. Узнайте больше о том, как глобальная группа реагирования на инциденты Майкрософт устраняет последствия атак на облачные службы, а также о том, как безопасность встроена в бизнес-продукты и облачные службы Майкрософт в Центре управления безопасностью и соответствием Майкрософт в Центре управления безопасностью Майкрософт — соответствие требованиям.

Традиционно безопасность организации была сосредоточена на точках входа и выхода сети в качестве периметра безопасности. Однако приложения SaaS и личные устройства в Интернете сделали этот подход менее эффективным. В идентификаторе Microsoft Entra мы заменим периметр безопасности сети проверкой подлинности на уровне удостоверений вашей организации, а пользователи, назначенные привилегированным административным ролям в элементе управления. Их доступ должен быть защищен, независимо от того, является ли среда локальной, облачной или гибридной.

Для защиты привилегированного доступа требуются изменения:

  • Процессы, административные практики и управление знаниями
  • Технические компоненты, такие как защита узлов, защита учетных записей и управление удостоверениями

Защитите привилегированный доступ таким образом, который управляется и сообщается в службы Майкрософт, о чем вы заботитесь. Если у вас есть локальные учетные записи администратора, ознакомьтесь с рекомендациями по локальному и гибридному привилегированным доступу в Active Directory при защите привилегированного доступа.

Заметка

Руководство в этой статье относится в первую очередь к функциям идентификатора Microsoft Entra, включенным в Microsoft Entra ID P1 и P2. Идентификатор Microsoft Entra ID P2 входит в набор EMS E5 и набор Microsoft 365 E5. В этом руководстве предполагается, что у вашей организации уже есть лицензии Microsoft Entra ID P2, приобретенные для пользователей. Если у вас нет этих лицензий, некоторые рекомендации могут не применяться к вашей организации. Кроме того, в этой статье термин "Глобальный администратор" означает то же самое, что и "администратор компании" или "администратор клиента".

Разработка стратегии

Корпорация Майкрософт рекомендует разрабатывать и следовать стратегии защиты привилегированного доступа к кибер-злоумышленникам. Вы всегда можете настроить свою стратегию для удовлетворения существующих возможностей и конкретных требований в вашей организации. Каждый этап стратегии должен повысить затраты и трудности для злоумышленников, чтобы атаковать привилегированный доступ к локальным, облачным и гибридным ресурсам. Корпорация Майкрософт рекомендует следующие четыре этапа стратегии. Запланируйте наиболее эффективные и быстрые реализации. Эта статья может быть вашим руководством, основанным на опыте Корпорации Майкрософт в реализации инцидентов и реагирования на кибератаки. Временные шкалы для этой стратегии являются приблизиниями.

Этапы плана с временными линиями

  • Этап 1 (24-48 часов): критически важные элементы, которые мы рекомендуем сделать сразу

  • Этап 2 (2–4 недели): устранение наиболее часто используемых методов атаки

  • Этап 3 (1–3 месяца): создание видимости и создание полного контроля над действиями администратора

  • Этап 4 (шесть месяцев и далее): продолжайте создавать защиту для дальнейшего укрепления платформы безопасности.

Эта платформа стратегии предназначена для максимально эффективного использования технологий Майкрософт, которые, возможно, уже развернуты. Рассмотрите возможность связывания с любыми средствами безопасности от других поставщиков, которые вы уже развернули или рассматриваете возможность развертывания.

Этап 1. Критически важные элементы, которые нужно сделать прямо сейчас

Этап 1 Критически важные элементы для первого выполнения

Этап 1 стратегии ориентирован на критически важные задачи, которые быстро и легко реализуются. Мы рекомендуем выполнить эти несколько элементов сразу в течение первых 24–48 часов, чтобы обеспечить базовый уровень защищенного привилегированного доступа. На этом этапе стратегии безопасного привилегированного доступа приведены следующие действия:

Общая подготовка

Использование microsoft Entra управление привилегированными пользователями

Рекомендуется начать использовать Microsoft Entra управление привилегированными пользователями (PIM) в рабочей среде Microsoft Entra. После начала использования PIM вы получите сообщения электронной почты для изменения роли привилегированного доступа. Уведомления предоставляют раннее предупреждение при добавлении дополнительных пользователей в роли с высоким уровнем привилегий.

Microsoft Entra управление привилегированными пользователями входит в состав Microsoft Entra ID P2 или EMS E5. Чтобы защитить доступ к приложениям и ресурсам в локальной среде и в облаке, зарегистрируйтесь на бесплатную пробную версию Enterprise Mobility + Security с 90-дневной версией. Microsoft Entra управление привилегированными пользователями и Защита идентификации Microsoft Entra отслеживать действия безопасности с помощью отчетов, аудита и оповещений Microsoft Entra ID.

После начала работы с Microsoft Entra управление привилегированными пользователями:

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Чтобы переключить каталоги, в которых вы хотите использовать управление привилегированными пользователями, выберите имя пользователя в правом верхнем углу Центра администрирования Microsoft Entra.

  3. Перейдите к управлению удостоверениями> управление привилегированными пользователями.

Убедитесь, что первый пользователь, который будет использовать PIM в организации, назначен ролям администратора безопасности и привилегированных ролей. Только администраторы привилегированных ролей могут управлять назначениями ролей каталога Microsoft Entra пользователей. Мастер безопасности PIM поможет вам выполнить первоначальное обнаружение и назначение. Вы можете выйти из мастера без внесения дополнительных изменений в это время.

Определение и классификация учетных записей, которые находятся в ролях с высоким уровнем привилегий

После начала использования Microsoft Entra управление привилегированными пользователями просмотрите пользователей, которые находятся в следующих ролях Microsoft Entra:

  • Глобальный администратор
  • Администратор привилегированных ролей
  • Администратор Exchange
  • Администратор SharePoint

Если у вас нет microsoft Entra управление привилегированными пользователями в организации, можно использовать Microsoft Graph PowerShell. Начните с роли глобального администратора, так как глобальный администратор имеет одинаковые разрешения во всех облачных службах, для которых подписана ваша организация. Эти разрешения предоставляются независимо от того, где они были назначены: в Центр администрирования Microsoft 365, Центре администрирования Microsoft Entra или с помощью Microsoft Graph PowerShell.

Удалите все учетные записи, которые больше не нужны в этих ролях. Затем классифицируйте оставшиеся учетные записи, назначенные ролям администратора:

  • Назначены администраторам, но также используются для не администрирования (например, личные сообщения электронной почты)
  • Назначены администраторам и используются только для административных целей
  • Общий доступ для нескольких пользователей
  • Сценарии аварийного доступа для аварийного доступа
  • Для автоматизированных сценариев
  • Для внешних пользователей

Определение по крайней мере двух учетных записей аварийного доступа

Корпорация Майкрософт рекомендует организациям постоянно назначать роль глобального администратора двум учетным записям доступа только в облаке. Эти учетные записи имеют высокий уровень привилегий и не назначаются определенным лицам. Учетные записи ограничены сценариями аварийного реагирования или "разбиения", когда обычные учетные записи не могут использоваться или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы после рекомендаций учетной записи аварийного доступа.

Включение многофакторной проверки подлинности и регистрация всех других учетных записей без федеративных администраторов с высоким уровнем привилегий

Требовать многофакторную проверку подлинности Microsoft Entra при входе для всех отдельных пользователей, которые постоянно назначены одной или нескольким ролям администратора Microsoft Entra: глобальный администратор, администратор привилегированных ролей, администратор Exchange и администратор SharePoint. Используйте инструкции по принудительной многофакторной проверке подлинности для администраторов и убедитесь, что все эти пользователи зарегистрированы по https://aka.ms/mfasetupадресу. Дополнительные сведения см. на шаге 2 и шаге 3 руководства по защите доступа пользователей и устройств в Microsoft 365.

Этап 2. Устранение часто используемых атак

Этап 2. Устранение часто используемых атак

Этап 2 стратегии направлен на устранение наиболее часто используемых методов атак на кражу учетных данных и злоупотреблений и может быть реализовано примерно через 2–4 недели. На этом этапе стратегии безопасного привилегированного доступа приведены следующие действия.

Общая подготовка

Проведение инвентаризации служб, владельцев и администраторов

Увеличение "принести собственное устройство" и работать с домашними политиками и ростом беспроводного подключения делает его критически важным для наблюдения за тем, кто подключается к вашей сети. Аудит безопасности может выявить устройства, приложения и программы в сети, которые не поддерживаются вашей организацией и которые представляют высокий риск. Дополнительные сведения см. в разделе "Управление безопасностью Azure" и "Мониторинг". Убедитесь, что в процесс инвентаризации включены все перечисленные ниже задачи.

  • Определите пользователей, имеющих административные роли и службы, которыми они могут управлять.

  • Используйте Microsoft Entra PIM, чтобы узнать, какие пользователи в вашей организации имеют доступ к идентификатору Microsoft Entra ID.

  • Помимо ролей, определенных в идентификаторе Microsoft Entra, Microsoft 365 поставляется с набором ролей администратора, которые можно назначать пользователям в вашей организации. Каждая роль администратора сопоставляется с общими бизнес-функциями и предоставляет пользователям в организации разрешения на выполнение определенных задач в Центр администрирования Microsoft 365. Используйте Центр администрирования Microsoft 365, чтобы узнать, какие пользователи в вашей организации имеют доступ администратора к Microsoft 365, включая роли, не управляемые в идентификаторе Microsoft Entra. Дополнительные сведения см. в статье о ролях администраторах Microsoft 365 и рекомендациях по безопасности для Office 365.

  • Инвентаризация в службах организации зависит от таких служб, как Azure, Intune или Dynamics 365.

  • Убедитесь, что учетные записи, используемые для администрирования:

    • Подключены к ним рабочие адреса электронной почты
    • Зарегистрированы для многофакторной проверки подлинности Microsoft Entra или используют локальную MFA
  • Попросите пользователей о своем бизнес-оправдании для административного доступа.

  • Удалите доступ администратора для тех пользователей и служб, которые не нуждаются в нем.

Определение учетных записей Майкрософт в административных ролях, которые необходимо переключить на рабочие или учебные учетные записи.

Если первоначальные глобальные администраторы повторно используют имеющиеся учетные данные учетной записи Майкрософт при начале использования идентификатора Microsoft Entra, замените учетные записи Майкрософт отдельными облачными или синхронизированными учетными записями.

Обеспечение отдельных учетных записей пользователей и пересылки почты для учетных записей глобального администратора

Личные учетные записи электронной почты регулярно фишингируются кибер-злоумышленниками, риск того, что личные адреса электронной почты неприемлемы для учетных записей глобального администратора. Чтобы отделить риски интернета от административных привилегий, создайте выделенные учетные записи для каждого пользователя с правами администратора.

  • Не забудьте создать отдельные учетные записи для пользователей, выполняя задачи глобального администратора.
  • Убедитесь, что глобальные администраторы не случайно открывают сообщения электронной почты или запускают программы с учетными записями администратора.
  • Убедитесь, что эти учетные записи переадресованы в рабочий почтовый ящик.
  • Учетные записи глобального администратора (и других привилегированных групп) должны быть облачными учетными записями без связи с локальная служба Active Directory.

Убедитесь, что пароли учетных записей администратора недавно изменились

Убедитесь, что все пользователи вошли в свои административные учетные записи и изменили пароли по крайней мере один раз за последние 90 дней. Кроме того, убедитесь, что у всех общих учетных записей были изменены пароли.

Включение синхронизации хэша паролей

Microsoft Entra Connect синхронизирует хэш хэша пароля пользователя из локальная служба Active Directory в облачную организацию Microsoft Entra. Синхронизацию хэша паролей можно использовать в качестве резервной копии, если вы используете федерацию с службы федерации Active Directory (AD FS) (AD FS). Эта резервная копия может быть полезна, если серверы локальная служба Active Directory или AD FS временно недоступны.

Синхронизация хэша паролей позволяет пользователям входить в службу с помощью того же пароля, который они используют для входа в свой локальная служба Active Directory экземпляр. Синхронизация хэша паролей позволяет Защита идентификации Microsoft Entra обнаруживать скомпрометированные учетные данные, сравнивая хэши паролей с паролями, известными как скомпрометированные. Дополнительные сведения см. в разделе "Реализация синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect".

Требовать многофакторную проверку подлинности для пользователей в привилегированных ролях и предоставленных пользователей

Идентификатор Microsoft Entra рекомендует требовать многофакторную проверку подлинности для всех пользователей. Не забудьте рассмотреть пользователей, которые будут иметь значительное влияние, если их учетная запись была скомпрометирована (например, финансовые сотрудники). MFA снижает риск атаки из-за скомпрометированного пароля.

Включать:

Если вы используете Windows Hello для бизнеса, требование MFA можно выполнить с помощью интерфейса входа в Windows Hello. Дополнительные сведения см. в разделе Windows Hello.

Защита идентификации Microsoft Entra

Защита идентификации Microsoft Entra — это средство мониторинга и создания отчетов на основе алгоритма, которое обнаруживает потенциальные уязвимости, влияющие на удостоверения вашей организации. Вы можете настроить автоматические ответы на обнаруженные подозрительные действия и принять соответствующие меры для их устранения. Дополнительные сведения см. в Защита идентификации Microsoft Entra.

Получите оценку безопасности Microsoft 365 (при использовании Microsoft 365)

Оценка безопасности проверяет параметры и действия для служб Microsoft 365, которые вы используете, и сравнивает их с базовыми показателями, установленными корпорацией Майкрософт. Вы получите оценку на основе того, насколько вы соответствуете рекомендациям по безопасности. Любой пользователь, имеющий разрешения администратора для Microsoft 365 бизнес стандарт или корпоративной подписки, может получить доступ к оценке безопасности по адресуhttps://security.microsoft.com/securescore.

Ознакомьтесь с рекомендациями по безопасности и соответствию требованиям Microsoft 365 (при использовании Microsoft 365)

План безопасности и соответствия описывает подход клиента Office 365 для настройки Office 365 и включения других возможностей EMS. Затем просмотрите шаги 3-6 о защите доступа к данным и службам в Microsoft 365 и руководстве по мониторингу безопасности и соответствия требованиям в Microsoft 365.

Настройка мониторинга активности Microsoft 365 (при использовании Microsoft 365)

Отслеживайте организацию для пользователей, использующих Microsoft 365, чтобы определить сотрудников, у которых есть учетная запись администратора, но может не потребоваться доступ к Microsoft 365, так как они не входят на эти порталы. Дополнительные сведения см. в отчетах о действиях в Центр администрирования Microsoft 365.

Создание владельцев плана реагирования на инциденты и чрезвычайные ситуации

Для создания успешной возможности реагирования на инциденты требуется значительное планирование и ресурсы. Необходимо постоянно отслеживать кибератаки и устанавливать приоритеты для обработки инцидентов. Сбор, анализ и отчет данных об инцидентах для создания связей и установления связи с другими внутренними группами и владельцами планов. Дополнительные сведения см. в Центре реагирования майкрософт по безопасности.

Защита локальных привилегированных учетных записей администратора, если она еще не выполнена

Если ваша организация Microsoft Entra синхронизирована с локальная служба Active Directory, следуйте инструкциям в статье "Стратегия привилегированного доступа безопасности": этот этап включает:

  • Создание отдельных учетных записей администратора для пользователей, которым необходимо выполнять локальные административные задачи
  • Развертывание рабочих станций привилегированного доступа для администраторов Active Directory
  • Создание уникальных паролей локального администратора для рабочих станций и серверов

Дополнительные шаги для организаций, управляющих доступом к Azure

Завершение инвентаризации подписок

Используйте корпоративный портал и портал Azure для идентификации подписок в организации, в которых размещаются рабочие приложения.

Удаление учетных записей Майкрософт из ролей администратора

Учетные записи Майкрософт из других программ, таких как Xbox, Live и Outlook, не должны использоваться в качестве учетных записей администратора для подписок вашей организации. Удалите состояние администратора из всех учетных записей Майкрософт и замените идентификатором Microsoft Entra (например, chris@contoso.com) рабочими или учебными учетными записями. В целях администратора зависит от учетных записей, прошедших проверку подлинности в идентификаторе Microsoft Entra, а не в других службах.

Мониторинг действий Azure

Журнал действий Azure предоставляет журнал событий уровня подписки в Azure. Он предлагает сведения о том, кто создал, обновил и удалил ресурсы, а также о том, какие события произошли. Дополнительные сведения см. в статье "Аудит и получение уведомлений о важных действиях в подписке Azure".

Дополнительные шаги для организаций, управляющих доступом к другим облачным приложениям с помощью идентификатора Microsoft Entra

Настройка политик условного доступа

Подготовьте политики условного доступа для локальных и облачных приложений. Если у вас есть устройства, присоединенные к рабочему месту, получите дополнительные сведения о настройке локального условного доступа с помощью регистрации устройства Microsoft Entra.

Этап 3. Контроль над действиями администратора

Этап 3. Контроль над действиями администратора

Этап 3 основан на устранении рисков с этапа 2 и должен быть реализован примерно через 1–3 месяца. Этот этап стратегии защищенного привилегированного доступа включает следующие компоненты.

Общая подготовка

Завершение проверки доступа пользователей в ролях администратора

Более корпоративные пользователи получают привилегированный доступ через облачные службы, что может привести к неуправляемому доступу. Пользователи сегодня могут стать глобальными администраторами для Microsoft 365, администраторов подписок Azure или иметь доступ администратора к виртуальным машинам или через приложения SaaS.

У вашей организации должны быть все сотрудники, обрабатываемые обычными бизнес-транзакциями, как непривилегированные пользователи, а затем предоставлять права администратора только по мере необходимости. Полные проверки доступа для выявления и подтверждения пользователей, которые имеют право активировать права администратора.

Рекомендуется:

  1. Определите, какие пользователи являются администраторами Microsoft Entra, включите по запросу, JIT-доступ администратора и элементы управления безопасностью на основе ролей.
  2. Преобразуйте пользователей, у которых нет четкого обоснования привилегированного доступа администратора к другой роли (если нет соответствующей роли, удалите их).

Продолжение развертывания более надежной проверки подлинности для всех пользователей

Требовать наличия современной, строгой проверки подлинности, такой как многофакторная проверка подлинности Microsoft Entra или Windows Hello. Ниже приведены примеры пользователей с высоким уровнем доступности:

  • Руководители C-suite
  • Высокоуровневые руководители
  • Критически важные ИТ-специалисты и сотрудники по обеспечению безопасности

Использование выделенных рабочих станций для администрирования для идентификатора Microsoft Entra

Злоумышленники могут попытаться нацелиться на привилегированные учетные записи, чтобы они могли нарушить целостность и подлинность данных. Они часто используют вредоносный код, который изменяет логику программы или отслеживает администратора, вводя учетные данные. Привилегированные рабочие станции доступа (PAW) предоставляют выделенную операционную систему для конфиденциальных задач, защищенных от атак Интернета и векторов угроз. Разделение этих конфиденциальных задач и учетных записей от рабочих станций и устройств ежедневного использования обеспечивает надежную защиту от:

  • Фишинговые атаки
  • Уязвимости приложений и операционной системы
  • Атаки олицетворения
  • Атаки кражи учетных данных, такие как ведение журнала нажатия клавиш, pass-the-Hash и Pass-The-Ticket

Развернув рабочие станции с привилегированным доступом, вы можете снизить риск, который администраторы вводят свои учетные данные в классической среде, которая не была затвердена. Дополнительные сведения см. в разделе "Рабочие станции привилегированного доступа".

Обзор рекомендаций Национального института стандартов и технологий по обработке инцидентов

Национальный институт стандартов и технологий (NIST) предоставляет рекомендации по обработке инцидентов, особенно для анализа данных, связанных с инцидентами, и определения соответствующего ответа на каждый инцидент. Дополнительные сведения см . в руководстве по обработке инцидентов безопасности компьютеров (SP 800-61, редакция 2).

Реализация управление привилегированными пользователями (PIM) для JIT для дополнительных административных ролей

Для идентификатора Microsoft Entra используйте функцию Microsoft Entra управление привилегированными пользователями. Ограниченная временем активация привилегированных ролей обеспечивает следующие возможности:

  • Активация прав администратора для выполнения определенной задачи

  • Принудительное применение MFA во время процесса активации

  • Использование оповещений для информирования администраторов об изменениях вне диапазона

  • Разрешить пользователям сохранять привилегированный доступ в течение предварительно настроенного периода времени

  • Разрешить администраторам безопасности:

    • Обнаружение всех привилегированных удостоверений
    • Просмотр отчетов аудита
    • Создание проверок доступа для идентификации каждого пользователя, которому разрешено активировать права администратора

Если вы уже используете Microsoft Entra управление привилегированными пользователями, настройте интервалы времени для привилегий, связанных с временем (например, периоды обслуживания).

Определение уязвимости протоколов входа на основе паролей (при использовании Exchange Online)

Мы рекомендуем определить каждого потенциального пользователя, который может быть катастрофическим для организации, если их учетные данные были скомпрометированы. Для этих пользователей поместите строгие требования к проверке подлинности и используйте условный доступ Microsoft Entra, чтобы сохранить их от входа в электронную почту с помощью имени пользователя и пароля. Вы можете заблокировать устаревшую проверку подлинности с помощью условного доступа и заблокировать обычную проверку подлинности через Exchange Online.

Выполните оценку ролей для ролей Microsoft 365 (при использовании Microsoft 365)

Оцените, находятся ли все администраторы в правильных ролях (удаление и переназначение в соответствии с этой оценкой).

Ознакомьтесь с подходом к управлению инцидентами безопасности, используемым в Microsoft 365, и сравнивайте с вашей организацией.

Этот отчет можно скачать из службы "Управление инцидентами безопасности" в Microsoft 365.

Продолжайте защищать локальные привилегированные учетные записи администратора

Если идентификатор Microsoft Entra подключен к локальная служба Active Directory, следуйте инструкциям в схеме развития привилегированного доступа: этап 2. На этом этапе вы:

  • Развертывание рабочих станций привилегированного доступа для всех администраторов
  • Требовать многофакторную проверку подлинности
  • Использование JIT-администратора для обслуживания контроллера домена снизив область атаки доменов.
  • Развертывание Расширенной аналитики угроз для обнаружения атак

Дополнительные шаги для организаций, управляющих доступом к Azure

Создание интегрированного мониторинга

Microsoft Defender для облака:

  • Обеспечивает интегрированный мониторинг безопасности и управление политиками в подписках Azure
  • Помогает обнаруживать угрозы, которые в противном случае могут быть незамечены
  • Работает с широким спектром решений по обеспечению безопасности

Инвентаризация привилегированных учетных записей в размещенных Виртуальные машины

Обычно не требуется предоставлять пользователям неограниченные разрешения для всех подписок Или ресурсов Azure. Используйте роли администратора Microsoft Entra, чтобы предоставить доступ только пользователям, которым требуется выполнять свои задания. Роли администратора Microsoft Entra позволяют одному администратору управлять только виртуальными машинами в подписке, а другой — управлять базами данных SQL в одной подписке. Дополнительные сведения см. в статье "Что такое управление доступом на основе ролей Azure".

Реализация PIM для ролей администратора Microsoft Entra

Используйте управление привилегированными удостоверениями с ролями администратора Microsoft Entra для управления, контроля и мониторинга доступа к ресурсам Azure. Использование PIM защищает, уменьшая время воздействия привилегий и увеличивая видимость их использования с помощью отчетов и оповещений. Дополнительные сведения см. в статье "Что такое Microsoft Entra управление привилегированными пользователями".

Использование интеграции журналов Azure для отправки соответствующих журналов Azure в системы SIEM

Интеграция журналов Azure позволяет интегрировать необработанные журналы из ресурсов Azure в существующие системы управления безопасностью и событиями (SIEM) вашей организации. Интеграция журналов Azure собирает события Windows из журналов Windows Просмотр событий и ресурсов Azure из:

  • Журналы действий Azure
  • оповещения Microsoft Defender для облака
  • Журналы ресурсов Azure

Дополнительные шаги для организаций, управляющих доступом к другим облачным приложениям с помощью идентификатора Microsoft Entra

Реализация подготовки пользователей для подключенных приложений

Идентификатор Microsoft Entra позволяет автоматизировать создание и обслуживание удостоверений пользователей в облачных приложениях, таких как Dropbox, Salesforce и ServiceNow. Дополнительные сведения см. в статье Автоматизация подготовки пользователей и отмена подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Интеграция защиты информации

Microsoft Defender для облака Приложения позволяют исследовать файлы и задавать политики на основе меток классификации Azure Information Protection, что обеспечивает более высокую видимость и управление облачными данными. Сканируйте и классифицируйте файлы в облаке и применяйте метки Защиты информации Azure. Дополнительные сведения см. в статье об интеграции Azure Information Protection.

Настройка условного доступа

Настройте условный доступ на основе группы, расположения и конфиденциальности приложений Для приложений SaaS и подключенных приложений Microsoft Entra.

Мониторинг активности в подключенных облачных приложениях

Мы рекомендуем использовать приложения Microsoft Defender для облака, чтобы обеспечить защиту доступа пользователей в подключенных приложениях. Эта функция обеспечивает корпоративный доступ к облачным приложениям и защищает учетные записи администраторов, позволяя:

  • Расширение видимости и управления облачными приложениями
  • Создание политик для доступа, действий и общего доступа к данным
  • Автоматическое определение рискованных действий, аномальных действий и угроз
  • Предотвращение утечки данных
  • Минимизация рисков и автоматическое предотвращение угроз и применение политик

Агент SIEM приложений Defender для облака интегрирует Defender для облака Apps с сервером SIEM для централизованного мониторинга оповещений и действий Microsoft 365. Он выполняется на сервере и извлекает оповещения и действия из Defender для облака Приложений и передает их на сервер SIEM. Дополнительные сведения см. в разделе интеграции SIEM.

Этап 4. Продолжение строительства обороны

Этап 4. Внедрение активной системы безопасности

Этап 4 плана должен быть реализован в течение шести месяцев и за ее пределами. Завершите свою стратегию, чтобы укрепить защиту привилегированного доступа от потенциальных атак, известных сегодня. Для угроз безопасности завтра мы рекомендуем просматривать безопасность как текущий процесс, чтобы повысить затраты и снизить скорость успеха злоумышленников, предназначенных для вашей среды.

Защита привилегированного доступа важна для установления гарантий безопасности для ваших бизнес-активов. Однако она должна быть частью полной программы безопасности, которая обеспечивает текущие гарантии безопасности. Эта программа должна включать такие элементы, как:

  • Политика
  • Операционный
  • Безопасность информации
  • Серверов
  • Приложений
  • Шт
  • Приборы
  • Облачная структура

При управлении учетными записями привилегированного доступа рекомендуется использовать следующие рекомендации.

  • Убедитесь, что администраторы выполняют свой повседневный бизнес как непривилегированные пользователи
  • Предоставьте привилегированный доступ только при необходимости и удалите его после этого (jit-in-time)
  • Сохранение журналов действий аудита, связанных с привилегированными учетными записями

Дополнительные сведения о создании полной стратегии безопасности см. в ресурсах облачной ИТ-архитектуры Майкрософт. Чтобы взаимодействовать с службы Майкрософт, чтобы помочь вам реализовать любую часть стратегии, обратитесь к представителю Майкрософт или ознакомьтесь со статьей "Создание критически важных киберзащит для защиты вашего предприятия".

Этот заключительный этап стратегии безопасного привилегированного доступа включает следующие компоненты.

Общая подготовка

Проверка ролей администратора в идентификаторе Microsoft Entra

Определите, актуальны ли текущие встроенные роли администратора Microsoft Entra и убедитесь, что пользователи находятся только в необходимых ролях. С помощью идентификатора Microsoft Entra можно назначить отдельных администраторов для обслуживания различных функций. Дополнительные сведения см. в статье о встроенных ролях Microsoft Entra.

Просмотр пользователей, у которых есть администрирование устройств, присоединенных к Microsoft Entra

Дополнительные сведения см. в разделе "Настройка гибридных устройств, присоединенных к Microsoft Entra".

Просмотр участников встроенных ролей администратора Microsoft 365

Пропустите этот шаг, если вы не используете Microsoft 365.

Проверка плана реагирования на инциденты

Чтобы улучшить план, корпорация Майкрософт рекомендует регулярно проверять, работает ли план должным образом:

  • Перейдите по существующей дорожной карте, чтобы увидеть, что было пропущено
  • Основываясь на анализе послеморского анализа, пересмотреть существующие или определить новые методики
  • Убедитесь, что обновленный план реагирования на инциденты и методики распределены по всей организации

Дополнительные шаги для организаций, управляющих доступом к Azure

Определите, нужно ли передавать права владения подпиской Azure на другую учетную запись.

"Разбить стекло": что делать в чрезвычайной ситуации

Учетные записи для аварийного доступа к стеклом

  1. Уведомите ключевых руководителей и сотрудников службы безопасности с информацией об инциденте.

  2. Просмотрите сборник схем атак.

  3. Чтобы войти в идентификатор Microsoft Entra, перейдите к имени пользователя и паролю учетной записи", чтобы получить доступ к имени пользователя учетной записи и пароля.

  4. Получите помощь от Корпорации Майкрософт, открыв запрос поддержка Azure.

  5. Просмотрите отчеты о входе в Microsoft Entra. Может потребоваться некоторое время между событием и его включением в отчет.

  6. В гибридных средах, если локальная инфраструктура федеративная и сервер AD FS недоступны, вы можете временно переключиться с федеративной проверки подлинности на использование синхронизации хэша паролей. Этот параметр возвращает федерацию домена обратно в управляемую проверку подлинности, пока сервер AD FS не станет доступным.

  7. Отслеживайте электронную почту для привилегированных учетных записей.

  8. Сохраните резервные копии соответствующих журналов для потенциального судебно-судебного расследования.

Дополнительные сведения о том, как Microsoft Office 365 обрабатывает инциденты безопасности, см. в статье "Управление инцидентами безопасности" в Microsoft Office 365.

Часто задаваемые вопросы. Ответы на защиту привилегированного доступа

Вопрос. Что делать, если еще не реализованы компоненты безопасного доступа?

Ответ. Определите по крайней мере две учетные записи разбиения, назначьте MFA привилегированным учетным записям администратора и отделите учетные записи пользователей от учетных записей глобального администратора.

Вопрос. После нарушения, что является основной проблемой, которая должна быть решена сначала?

Ответ. Убедитесь, что требуется самая надежная проверка подлинности для высокооткрытых пользователей.

Вопрос. Что произойдет, если наши привилегированные администраторы были деактивированы?

Ответ. Создание учетной записи глобального администратора, которая всегда сохраняется в актуальном состоянии.

Вопрос. Что произойдет, если осталось только один глобальный администратор, и они не могут быть достигнуты?

Ответ. Используйте одну из учетных записей разбиения, чтобы получить немедленный привилегированный доступ.

Вопрос. Как защитить администраторов в организации?

Ответ. Администраторы всегда выполняют свой повседневный бизнес как стандартные "непривилегированные" пользователи.

Вопрос. Каковы рекомендации по созданию учетных записей администратора в идентификаторе Microsoft Entra?

Ответ. Резервировать привилегированный доступ для определенных задач администратора.

Вопрос. Какие средства существуют для снижения постоянного доступа администратора?

Ответ: управление привилегированными пользователями (PIM) и роли администратора Microsoft Entra.

Вопрос. Что такое позиция Майкрософт по синхронизации учетных записей администратора с идентификатором Microsoft Entra?

Ответ. Учетные записи администратора уровня 0 используются только для локальных учетных записей AD. Такие учетные записи обычно не синхронизируются с идентификатором Microsoft Entra в облаке. Учетные записи администратора уровня 0 включают учетные записи, группы и другие ресурсы, имеющие прямой или косвенный административный контроль над лесом локальная служба Active Directory, доменами, контроллерами домена и ресурсами.

Вопрос. Как администраторы могут назначать случайный доступ администраторам на портале?

Ответ. Используйте не привилегированные учетные записи для всех пользователей и большинства администраторов. Начните с разработки места организации, чтобы определить, какие несколько учетных записей администратора должны быть привилегированными. И отслеживайте только что созданных административных пользователей.

Дальнейшие действия

Другие веб-службы Майкрософт

  • Microsoft Intune Security — Intune обеспечивает управление мобильными устройствами, управление мобильными приложениями и возможности управления компьютерами из облака.

  • Безопасность microsoft Dynamics 365 — Dynamics 365 — это облачное решение Майкрософт, которое объединяет возможности управления отношениями клиентов (CRM) и корпоративного планирования ресурсов (ERP).