Операции безопасности Microsoft Entra для учетных записей потребителей
Действия идентификации потребителей являются важной областью для защиты и мониторинга организации. Эта статья предназначена для клиентов Azure Active Directory B2C (Azure AD B2C) и содержит рекомендации по мониторингу действий учетных записей потребителей. Действия:
- Учетная запись потребителя
- Привилегированная учетная запись скомпрометирована
- Приложение
- Инфраструктура
Подготовка к работе
Прежде чем использовать инструкции в этой статье, мы рекомендуем ознакомиться с руководством по операциям безопасности Microsoft Entra.
Определение базовых показателей
Чтобы обнаружить аномальное поведение, определите нормальное и ожидаемое поведение. Определение ожидаемого поведения для вашей организации помогает обнаружить непредвиденное поведение. Используйте определение для уменьшения ложноположительных срабатываний во время мониторинга и оповещения.
При определении ожидаемого поведения выполните базовый мониторинг для проверки ожиданий. Затем отслеживайте журналы для того, что выходит за пределы допустимости.
Для учетных записей, созданных вне обычных процессов, используйте журналы аудита Microsoft Entra, журналы входа Microsoft Entra и атрибуты каталога в качестве источников данных. Приведенные ниже предложения помогут определить нормальное состояние.
Создание учетной записи потребителя
Оцените следующий список:
- Стратегия и принципы для средств и процессов для создания учетных записей потребителей и управления ими
- Например, стандартные атрибуты и форматы, применяемые к атрибутам учетной записи потребителя
- Утвержденные источники для создания учетной записи.
- Например, подключение пользовательских политик, подготовки клиентов или средства миграции
- Стратегия оповещения для учетных записей, созданных вне утвержденных источников.
- Создание управляемого списка организаций, с которыми работает ваша организация
- Параметры стратегии и генерации оповещений для учетных записей, созданных, измененных или отключенных администратором учетной записи потребителя
- Стратегия мониторинга и оповещений для учетных записей потребителей, отсутствующих стандартных атрибутов, таких как номер клиента, или нет после соглашений об именовании организации
- Стратегия, принципы и процесс удаления и хранения учетных записей
Где искать
Используйте файлы журнала для изучения и мониторинга. Дополнительные сведения см. в следующих статьях:
- Журналы аудита в идентификаторе Microsoft Entra
- Журналы входа в microsoft Entra ID (предварительная версия)
- Руководство. Анализ риска.
Журналы аудита и средства автоматизации
В портал Azure вы можете просматривать журналы аудита Microsoft Entra и скачивать их как разделенные запятыми (CSV) или файлы нотации объектов JavaScript (JSON). Используйте портал Azure для интеграции журналов Microsoft Entra с другими средствами для автоматизации мониторинга и оповещений:
- Microsoft Sentinel — аналитика безопасности с возможностями управления безопасностью и событиями (SIEM)
- Правила Sigma — открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. Если существуют шаблоны Sigma для рекомендуемых условий поиска, мы добавили ссылку на репозиторий Sigma. Корпорация Майкрософт не записывает, тестирует или управляет шаблонами Sigma. Репозиторий и шаблоны создаются и собираются сообществом ИТ-безопасности.
- Azure Monitor — автоматический мониторинг и оповещение о различных условиях. Создание или использование книг для объединения данных из разных источников.
- Центры событий Azure интеграции с SIEM — интеграция журналов Microsoft Entra с SIEMs, такими как Splunk, ArcSight, QRadar и Sumo Logic с Центры событий Azure
- Microsoft Defender для облака приложения— обнаружение приложений и управление ими, управление ими в приложениях и ресурсах, а также соответствие требованиям к облачным приложениям
- Защита удостоверений— обнаружение риска для удостоверений рабочих нагрузок в режиме входа и автономных индикаторах компрометации
Используйте оставшуюся часть статьи для рекомендаций по мониторингу и предупреждению. Ознакомьтесь с таблицами, упорядоченными по типу угроз. Ссылки на предварительно созданные решения или примеры, приведенные в таблице. Создание оповещений с помощью ранее упоминание средств.
Учетные записи потребителей
| Что отслеживать | Уровень риска | Где | Фильтр/подфильтр | Примечания. |
|---|---|---|---|---|
| Большое количество операций создания или удаления учетных записей | Высокая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" Инициировано (субъект) = служба CPIM -и- Действие: удаление пользователя Состояние = "успешно" Инициировано (субъект) = служба CPIM |
Определите базовое пороговое значение, а затем отслеживайте и настраивайте их для набора поведения организации. Ограничение ложных оповещений. |
| Учетные записи, созданные и удаленные не утвержденными пользователями или процессами | Средняя | Журналы аудита Microsoft Entra | Кем инициировано (субъект) — USER PRINCIPAL NAME -и- Действие: добавление пользователя Состояние = "успешно" Инициировано (субъект) != служба CPIM и (или) Действие: удаление пользователя Состояние = "успешно" Инициировано (субъект) != служба CPIM |
Настройте отправку оповещения, если субъектом является неодобренный пользователь. |
| Учетные записи, назначенные привилегированной роли | Высокая | Журналы аудита Microsoft Entra | Действие: добавление пользователя Состояние = "успешно" Инициировано (субъект) == служба CPIM -и- Действие: добавление участника в роль Состояние = "успешно" |
Если учетная запись назначена роли Microsoft Entra, роли Azure или привилегированным членством в группах, оповещением и приоритетом исследования. |
| Неудачные попытки входа | Средний — при изолированном инциденте. Высокий — если одна проблема повторяется для многих учетных записей. |
Журнал входа Microsoft Entra | Состояние = "сбой" -и- Код ошибки при входе 50126: ошибка при проверке учетных данных из-за недействительного имени пользователя или пароля. -и- Приложение == "CPIM PowerShell Client" –или– Приложение == "ProxyIdentityExperienceFramework" |
Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. |
| События интеллектуальной блокировки | Средний — при изолированном инциденте. Высокий — если одна проблема повторяется для многих учетных записей или виртуальных IP-адресов. |
Журнал входа Microsoft Entra | Состояние = "сбой" -и- Код ошибки входа = 50053 – IdsLocked -и- Приложение == "CPIM PowerShell Client" –или– Application =="ProxyIdentityExperienceFramework" |
Определите базовое пороговое значение, а затем отслеживайте и настраивайте их в соответствии с поведением организации и ограничивать ложные оповещения. |
| Сбой проверки подлинности из стран или регионов, из которых вы не работаете | Средняя | Журнал входа Microsoft Entra | Состояние = "сбой" -и- Расположение = <неутвержденное расположение> -и- Приложение == "CPIM PowerShell Client" –или– Приложение == "ProxyIdentityExperienceFramework" |
Отслеживайте записи, не равные указанным именам городов. |
| Увеличение неудачных аутентификаций любого типа | Средняя | Журнал входа Microsoft Entra | Состояние = "сбой" -и- Приложение == "CPIM PowerShell Client" –или– Приложение == "ProxyIdentityExperienceFramework" |
Если у вас нет порогового значения, отслеживайте и оповещайте, если сбои увеличиваются на 10 %, или больше. |
| Учетная запись отключена или заблокирована для входа | Низкая | Журнал входа Microsoft Entra | Status = Failure -и- код ошибки = 50057, учетная запись пользователя отключена. |
Этот сценарий может указать, кто пытается получить доступ к учетной записи после того, как они покинули организацию. Учетная запись заблокирована, но важно регистрировать и оповещать об этом действии. |
| Измеримое увеличение успешных входов | Низкая | Журнал входа Microsoft Entra | Status = Success -и- Приложение == "CPIM PowerShell Client" –или– Приложение == "ProxyIdentityExperienceFramework" |
Если у вас нет порогового значения, отслеживайте и оповещайте, если успешные проверки подлинности увеличиваются на 10 %, или больше. |
Привилегированные учетные записи
| Что отслеживать | Уровень риска | Где | Фильтр/подфильтр | Примечания. |
|---|---|---|---|---|
| Сбой при входе, превышение порога ввода неправильного пароля | Высокая | Журнал входа Microsoft Entra | Status = Failure -и- error code = 50126 |
Определите базовое пороговое значение и отслеживайте и настраивайте их в соответствии с поведением организации. Ограничение ложных оповещений. |
| Сбой из-за требования условного доступа | Высокая | Журнал входа Microsoft Entra | Status = Failure -и- error code = 53003 -и- Причина сбоя = блокировка условным доступом |
Событие может указать, что злоумышленник пытается войти в учетную запись. |
| Прервать | Высокий, средний | Журнал входа Microsoft Entra | Status = Failure -и- error code = 53003 -и- Причина сбоя = блокировка условным доступом |
Событие может указать, что злоумышленник имеет пароль учетной записи, но не может передать вызов MFA. |
| Блокировка учетной записи | Высокая | Журнал входа Microsoft Entra | Status = Failure -и- error code = 50053 |
Определите базовое пороговое значение, а затем отслеживайте и настраивайте их в соответствии с поведением организации. Ограничение ложных оповещений. |
| Учетная запись отключена или заблокирована для входа | Низкий | Журнал входа Microsoft Entra | Status = Failure -и- Цель = имя участника-пользователя -и- error code = 50057 |
Событие может указать, кто-то пытается получить доступ к учетной записи после того, как они покинули организацию. Хотя учетная запись заблокирована, журнал и оповещение об этом действии. |
| Оповещение о мошеннических операциях MFA или блокировка MFA | Высокая | Журнал входа Microsoft Entra/Azure Log Analytics | Входы>Сведения о проверке подлинности Сведения о результате = MFA отклонена, введен код защиты от мошенничества |
Привилегированный пользователь указывает, что он не вызвал запрос MFA, который может указать, что злоумышленник имеет пароль учетной записи. |
| Оповещение о мошеннических операциях MFA или блокировка MFA | Высокая | Журнал входа Microsoft Entra/Azure Log Analytics | Тип действия = сообщение о мошенничестве — пользователь блокируется для MFA или мошенничества. Никаких действий, основанных на параметрах уровня клиента отчета о мошенничестве | Привилегированный пользователь указал, что на запрашивал многофакторную проверку подлинности. Сценарий может указать, что злоумышленник имеет пароль учетной записи. |
| Входы привилегированной учетной записи выполняются посредством неожиданных элементов управления | Высокая | Журнал входа Microsoft Entra | Status = Failure UserPricipalName = <Учетная запись администратора> Расположение = <неутвержденное расположение> IP-адрес = <неутвержденный IP-адрес> Сведения об устройстве = <неутвержденный браузер,операционная система> |
Отслеживайте и оповещайте записи, определенные как неутвержденные. |
| Входы в необычное время | Высокая | Журнал входа Microsoft Entra | Status = Success -и- Расположение = -и- Время = в нерабочее время |
Отслеживайте и оповещайте, если входы происходят вне ожидаемого времени. Найдите обычный рабочий шаблон для каждой привилегированной учетной записи и оповещение, если нет незапланированных изменений вне нормального рабочего времени. Входы за пределами обычных рабочих часов могут указывать на компрометацию или возможную инсайдерскую угрозу. |
| Изменение пароля | Высокая | Журналы аудита Microsoft Entra | Субъект действия = администратор/самообслуживание -и- Цель = пользователь -и- Состояние = успех или сбой |
Оповещение об изменении пароля учетной записи администратора, особенно для глобальных администраторов, администраторов пользователей, администраторов подписки и учетных записей аварийного доступа. Напишите запрос для привилегированных учетных записей. |
| Изменения способов аутентификации | Высокая | Журналы аудита Microsoft Entra | Действие: создать поставщик удостоверений Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Это изменение может указывать на то, что злоумышленник добавляет метод проверки подлинности в учетную запись для продолжения доступа. |
| Поставщик удостоверений обновлен неутвержденными субъектами | Высокая | Журналы аудита Microsoft Entra | Действие: обновить поставщик удостоверений Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Это изменение может указывать на то, что злоумышленник добавляет метод проверки подлинности в учетную запись для продолжения доступа. |
| Поставщик удостоверений удален неутвержденными субъектами | Высокая | Проверки доступа Microsoft Entra | Действие: удалить поставщик удостоверений Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Это изменение может указывать на то, что злоумышленник добавляет метод проверки подлинности в учетную запись для продолжения доступа. |
Приложения
| Что отслеживать | Уровень риска | Где | Фильтр/подфильтр | Примечания. |
|---|---|---|---|---|
| Добавлены учетные данные для приложений | Высокая | Журналы аудита Microsoft Entra | Каталог ядра службы, категория — управление приложением Действие: обновление сертификатов приложения и управление секретами -и- Действие: обновление субъекта-службы или обновления приложения |
Оповещение при использовании учетных данных: добавлено вне обычных рабочих часов или рабочих процессов, типов, не используемых в вашей среде, или добавлено в поток, отличный от SAML, поддерживающий субъект-службу. |
| Приложение, назначенное роли управления доступом на основе ролей Azure (RBAC) или роли Microsoft Entra | От высокого до среднего | Журналы аудита Microsoft Entra | Тип: субъект-служба Действие: добавление участника в роль or Добавление соответствующего участника в роль –или– Добавление участника с заданной областью в роль |
Н/П |
| Предоставление приложению разрешений с высоким уровнем привилегий, например разрешений с суффиксом ".All" (Directory.ReadWrite.All) или разрешений с широким диапазоном действия (Mail.) | Высокая | Журналы аудита Microsoft Entra | Н/П | Предоставление администратором разрешений с широким спектром действия, например разрешений с суффиксом ".All" (Directory.ReadWrite.All) или разрешений общего характера (Mail.) |
| Администратор istrator, предоставляющий разрешения приложения (роли приложения) или делегированные разрешения с высоким уровнем привилегий | Высокая | Портал Microsoft 365 | Добавление назначения роли приложения для субъекта-службы - здесь - В качестве целевых объектов определяются API с конфиденциальными данными (например, Microsoft Graph) "Добавление предоставления делегированного разрешения" - здесь - В качестве целевых объектов определяются API с конфиденциальными данными (например, Microsoft Graph) -и- DelegatedPermissionGrant.Scope включает разрешения с высоким уровнем привилегий. |
Оповещение о том, когда администратор глобального приложения, приложения или облачного приложения дает согласие на приложение. Особенно ищите согласие за пределами нормальной деятельности и процедур изменения. |
| Приложение предоставляет разрешения для Идентификатора Microsoft Graph, Exchange, SharePoint или Microsoft Entra. | Высокая | Журналы аудита Microsoft Entra | Предоставления делегированных разрешений –или– Добавление назначения роли приложения для субъекта-службы - здесь - В качестве целевых объектов определяются API с конфиденциальными данными (например, Microsoft Graph, Exchange Online и т. д.) |
Используйте оповещение в предыдущей строке. |
| Делегированные разрешения с высоким уровнем привилегий, предоставленные от имени всех пользователей | Высокая | Журналы аудита Microsoft Entra | Предоставления делегированных разрешений где В качестве целевых объектов определяются API с конфиденциальными данными (например, Microsoft Graph) DelegatedPermissionGrant.Scope включает разрешения с высоким уровнем привилегий -и- DelegatedPermissionGrant.ConsentType имеет значение AllPrincipals. |
Используйте оповещение в предыдущей строке. |
| Приложения, использующие поток проверки подлинности ROPC | Средняя | Журнал входа Microsoft Entra | Состояние = "успешно" Протокол проверки подлинности — ROPC |
Высокий уровень доверия помещается в это приложение, так как учетные данные можно кэшировать или хранить. По возможности перейдите к более безопасному потоку проверки подлинности. Используйте этот процесс только в автоматизированном тестировании приложений, если когда-либо. |
| Висячий URI | Высокая | Журналы Microsoft Entra и регистрация приложений | Служба = основной каталог Category-ApplicationManagement Действие: обновление приложения Успешно — имя свойства: AppAddress |
Например, найдите URI, указывающие на доменное имя, которое исчезло, или имя, которое вы не владеете. |
| Изменения конфигурации URI перенаправления | Высокая | Журналы Microsoft Entra | Служба = основной каталог Category-ApplicationManagement Действие: обновление приложения Успешно — имя свойства: AppAddress |
Обращайте внимание на URI, в которых не используется формат HTTPS*, а также на URI с подстановочными знаками в конце домена URL-адреса, URI, не являющиеся уникальными для приложения, и URI, которые указывают на домен, не находящийся под вашим управлением. |
| Изменения в URI AppID | Высокая | Журналы Microsoft Entra | Служба = основной каталог Category-ApplicationManagement Действие: обновление приложения Действие: обновление субъекта-службы |
Найдите изменения URI AppID, например добавление, изменение или удаление URI. |
| Изменение владельцев приложений | Средняя | Журналы Microsoft Entra | Служба = основной каталог Category-ApplicationManagement Действие: добавление владельца приложения |
Найдите экземпляры пользователей, добавленных в качестве владельцев приложений за пределами обычных действий по управлению изменениями. |
| Изменения в URL-адресе выхода | Низкая | Журналы Microsoft Entra | Служба = основной каталог Category-ApplicationManagement Действие: обновление приложения -и- Действие: обновление субъекта-службы |
Найдите изменения в URL-адрес выхода. В случае выхода в пустые или несуществующие расположения пользователь не сможет завершить сеанс. |
Инфраструктура
| Что отслеживать | Уровень риска | Где | Фильтр/подфильтр | Примечания. |
|---|---|---|---|---|
| Новая политика условного доступа создана неутвержденными субъектами | Высокая | Журналы аудита Microsoft Entra | Действие. Добавление политики условного доступа Категория: политика Кем инициировано (субъект): имя субъекта-пользователя |
Мониторинг изменений условного доступа и оповещение. Инициировано (субъект): утверждено внесение изменений в условный доступ? |
| Политика условного доступа удалена неутвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие. Удаление политики условного доступа Категория: политика Кем инициировано (субъект): имя субъекта-пользователя |
Мониторинг изменений условного доступа и оповещение. Инициировано (субъект): утверждено внесение изменений в условный доступ? |
| Политика условного доступа обновлена неутвержденными субъектами | Высокая | Журналы аудита Microsoft Entra | Действие. Обновление политики условного доступа Категория: политика Кем инициировано (субъект): имя субъекта-пользователя |
Мониторинг изменений условного доступа и оповещение. Инициировано (субъект): утверждено внесение изменений в условный доступ? Просмотр измененных свойств и сравнение старых и новых значений |
| Пользовательская политика B2C, созданная не утвержденными субъектами | Высокая | Журналы аудита Microsoft Entra | Действие: создание настраиваемой политики Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Отслеживайте и оповещайте изменения пользовательской политики. Инициировано (субъект): утверждено внесение изменений в пользовательские политики? |
| Настраиваемая политика B2C, обновленная не утвержденными субъектами | Высокая | Журналы аудита Microsoft Entra | Действие: получение настраиваемых политик Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Отслеживайте и оповещайте изменения пользовательской политики. Инициировано (субъект): утверждено внесение изменений в пользовательские политики? |
| Пользовательская политика B2C удалена не утвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие: удаление настраиваемой политики Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Отслеживайте и оповещайте изменения пользовательской политики. Инициировано (субъект): утверждено внесение изменений в пользовательские политики? |
| Поток пользователя, созданный не утвержденными субъектами | Высокая | Журналы аудита Microsoft Entra | Действие: создание потока пользователя Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Мониторинг и оповещение об изменениях потока пользователя. Инициировано (субъект): утверждено внесение изменений в потоки пользователей? |
| Поток пользователей, обновленный не утвержденными субъектами | Высокая | Журналы аудита Microsoft Entra | Действие: обновление потока пользователя Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Мониторинг и оповещение об изменениях потока пользователя. Инициировано (субъект): утверждено внесение изменений в потоки пользователей? |
| Поток пользователя, удаленный не утвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие: удаление потока пользователя Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Мониторинг и оповещение об изменениях потока пользователя. Инициировано (субъект): утверждено внесение изменений в потоки пользователей? |
| Соединители API, созданные не утвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие: создание соединителя API Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Мониторинг и изменение соединителя API оповещений. Инициировано (субъект): утверждено внесение изменений в соединители API? |
| Соединители API, обновленные не утвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие: обновление соединителя API Категория: управление ресурсами Целевой объект: имя участника-пользователя: ResourceManagement |
Мониторинг и изменение соединителя API оповещений. Инициировано (субъект): утверждено внесение изменений в соединители API? |
| Соединители API, удаленные не утвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие: обновление соединителя API Категория: ResourceManagment Целевой объект: имя участника-пользователя: ResourceManagment |
Мониторинг и изменение соединителя API оповещений. Инициировано (субъект): утверждено внесение изменений в соединители API? |
| Поставщик удостоверений (IdP), созданный не утвержденными субъектами | Высокая | Журналы аудита Microsoft Entra | Действие: создать поставщик удостоверений Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Мониторинг и изменение поставщика удостоверений оповещений. Инициировано (субъект): утверждено внесение изменений в конфигурацию поставщика удостоверений? |
| IdP обновляется не утвержденными субъектами | Высокая | Журналы аудита Microsoft Entra | Действие: обновить поставщик удостоверений Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Мониторинг и изменение поставщика удостоверений оповещений. Инициировано (субъект): утверждено внесение изменений в конфигурацию поставщика удостоверений? |
| Идентификатор поставщика удостоверений, удаленных не утвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие: удалить поставщик удостоверений Категория: управление ресурсами Целевой объект: имя субъекта-пользователя |
Мониторинг и изменение поставщика удостоверений оповещений. Инициировано (субъект): утверждено внесение изменений в конфигурацию поставщика удостоверений? |
Следующие шаги
Дополнительные сведения см. в следующих статьях по операциям безопасности:
- Руководство по операциям безопасности Microsoft Entra
- Операции безопасности Microsoft Entra для учетных записей пользователей
- Операции безопасности для привилегированных учетных записей в идентификаторе Microsoft Entra
- Операции безопасности Microsoft Entra для управление привилегированными пользователями
- Руководство по операциям безопасности Microsoft Entra для приложений
- Операции безопасности Microsoft Entra для устройств
- Операции безопасности для инфраструктуры