Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Корпорация Майкрософт предлагает работающий и зарекомендовавший себя подход к защите по модели "Никому не доверяй" с использованием принципов углубленной защиты, которые применяют удостоверение в качестве уровня управления. Организации продолжают внедрять гибридный мир рабочих нагрузок для обеспечения масштабируемости, экономии и безопасности. Учетная запись Microsoft Entra играет ключевую роль в вашей стратегии управления удостоверениями. В последнее время новости, касающиеся идентификации и компрометации безопасности, все чаще заставляют ИТ-отделы компаний рассматривать положение дел в области безопасности идентификации как показатель успеха защиты.
Все больше организаций вынуждено использовать комбинацию локальных и облачных приложений, доступ к которым пользователи получают с помощью как локальных, так и облачных учетных записей. Управление пользователями, приложениями и устройствами и в локальной среде, и в облаке — непростая задача.
Гибридная идентификация
Идентификатор Microsoft Entra создает общее удостоверение пользователя для проверки подлинности и авторизации для всех ресурсов независимо от расположения. Это называется гибридной идентификацией.
Для достижения гибридного удостоверения с помощью идентификатора Microsoft Entra можно использовать один из трех методов проверки подлинности в зависимости от ваших сценариев. Доступны следующие методы:
При аудите текущих операций безопасности или установке операций безопасности для среды Azure рекомендуется выполнить следующие действия.
- Ознакомиться с конкретными частями руководства по безопасности Майкрософт, чтобы овладеть базовыми сведениями о защите облачной или гибридной среды Azure.
- Провести аудит стратегии использования учетных записей и паролей, а также методов проверки подлинности для противодействия наиболее распространенным векторам атаки.
- Создать стратегию непрерывного мониторинга и оповещения о действиях, которые могут указывать на угрозу безопасности.
Аудитория
Руководство по Microsoft Entra SecOps предназначено для команд корпоративной ИТ-идентификации и операций безопасности, а также поставщиков управляемых услуг, которые должны противостоять угрозам посредством улучшенной конфигурации безопасности идентификаций и профилей мониторинга. Это руководство особенно актуально для ИТ-администраторов и архитекторов удостоверений, которые консультируют команды центра информационной безопасности по защите и тестированию на проникновение на предмет улучшения и поддержания состояния безопасности удостоверений.
Область
Это введение содержит рекомендации по предварительному чтению, аудиту паролей и стратегиям работы с паролями. В этой статье также представлен обзор средств, доступных для гибридных сред Azure, и полностью облачных сред Azure. Наконец, мы предоставляем список источников данных, которые можно использовать для мониторинга и оповещения, а также для настройки стратегии и среды управления сведениями о безопасности и событиями безопасности (SIEM). В остальной части руководства представлены стратегии мониторинга и оповещения в следующих областях.
Учетные записи пользователей. Рекомендации по непривилегированным учетным записям пользователей без прав администратора, в том числе по аномальному созданию и использованию учетной записи, а также необычных входах в систему.
Привилегированные учетные записи. Рекомендации по привилегированным учетным записям пользователей, которые имеют повышенные права для выполнения административных задач. К задачам относятся назначения ролей Microsoft Entra, назначения ролей ресурсов Azure, а также управление доступом к ресурсам и подпискам Azure.
Управление привилегированными пользователями (PIM). Рекомендации по использованию PIM для управления доступом к ресурсам, а также для его контроля и мониторинга.
Приложения. Рекомендации по учетным записям, используемым для аутентификации в приложениях.
Устройства. Рекомендации по мониторингу и оповещению для устройств, зарегистрированных или присоединенных за пределами политик, информация по несоответствующему использованию, управлению ролями администрирования устройств и входами на виртуальные машины.
Инфраструктура. Рекомендации по мониторингу угроз для гибридных и исключительно облачных сред и по оповещениям для них.
Важные справочные материалы
Корпорация Майкрософт предлагает множество продуктов и услуг, которые позволяют настроить ИТ-среду в соответствии с вашими потребностями. Мы рекомендуем изучить следующие рекомендации для операционной среды:
Операционные системы Windows
Локальные среды
Облачные среды Azure
Доменные службы Active Directory (AD DS)
Службы федерации Active Directory (AD FS)
Источники данных
Для исследования и мониторинга используйте файлы журнала:
- Журналы аудита Microsoft Entra
- Журналы действий входа
- Журналы аудита Microsoft 365
- Журналы Azure Key Vault
Из портала Azure можно просмотреть журналы аудита Microsoft Entra. Вы можете скачать журналы в виде файлов CSV (с разделенными запятыми значениями) или файлов JSON. В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:
Microsoft Sentinel включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor — включает автоматизированный мониторинг и оповещения по разным условиям. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.
Центры событий Azure, интегрированные с SIEM. Журналы Microsoft Entra можно интегрировать с другими SIEM-системами, такими как Splunk, ArcSight, QRadar и Sumo Logic, через интеграцию с Azure Event Hubs. Для получения дополнительной информации см. поток журналов Microsoft Entra в концентратор событий Azure.
Microsoft Defender для облачных приложений — позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои облачные приложения на соответствие требованиям.
Защита удостоверений рабочей нагрузки с помощью Microsoft Entra ID Protection. Используется для обнаружения риска для удостоверений рабочей нагрузки в поведении при входе и автономных индикаторах компрометации.
Большая часть того, что вы будете отслеживать и оповещать, — это эффекты действия политик условного доступа. Используйте рабочую тетрадь данных и отчетов по условному доступу, чтобы проанализировать влияние одной или нескольких политик условного доступа на входы в систему и результаты применения политик, включая состояние устройств. Эта книга позволяет просматривать сводку по влиянию и выявляет влияние за определенный период времени. Кроме того, книгу можно использовать для исследования попыток входа конкретного пользователя. Дополнительные сведения см. в статье Аналитика и отчеты условного доступа.
В оставшейся части этой статьи описывается, для чего мы рекомендуем реализовать мониторинг и создание оповещений. Если существуют конкретные готовые решения, мы приводим ссылки на них или предоставляем примеры после таблицы. В противном случае можно создавать оповещения с помощью предыдущих средств.
Защита ID создает три ключевых отчета, которые можно использовать для анализа:
Рискованные пользователи — содержит сведения о том, какие пользователи подвергаются риску, сведения об обнаружении, журнал всех рискованных входов и журнал рисков.
Рискованные входы — содержит сведения, связанные с условиями входа, которые могут указывать на подозрительные обстоятельства. Дополнительные сведения об исследовании информации из этого отчета см. в статье Практическое руководство. Анализ риска.
Обнаружения рисков содержат информацию о сигналах риска, выявленных с помощью Microsoft Entra ID Protection, которые информируют о рисках, связанных с входом в систему и пользователем. Дополнительные сведения см. в руководстве по операциям безопасности Microsoft Entra для учетных записей пользователей.
Дополнительные сведения см. в разделе "Что такое Защита идентификации Microsoft Entra".
Источники данных для наблюдения за контроллерами домена
Для достижения наилучших результатов мы рекомендуем отслеживать ваши контроллеры домена с помощью Microsoft Defender для корпоративной безопасности. Этот подход обеспечивает доступ к наилучшим возможностям обнаружения и автоматизации. Воспользуйтесь рекомендациями из таких ресурсов:
- архитектура Microsoft Defender for Identity
- Краткое руководство по подключению Microsoft Defender для удостоверений к Active Directory
Если вы не планируете использовать Microsoft Defender для идентификаций, обеспечьте мониторинг контроллеров доменов одним из следующих способов:
- Сообщения журнала событий. См. статью Мониторинг Active Directory для обнаружения признаков компрометации.
- Командлеты PowerShell См. статью Устранение неполадок развертывания контроллера домена.
Компоненты гибридной проверки подлинности
В рамках гибридной среды Azure следующие компоненты необходимо добавить в число базовых показателей и включить в стратегию мониторинга и оповещения.
Агент PTA — агент сквозной проверки подлинности используется для включения сквозной проверки подлинности и устанавливается в локальной среде. См. Microsoft Entra агент сквозной проверки подлинности: история выпусков версий для получения информации о проверке версии вашего агента и о дальнейших шагах.
AD FS/WAP — службы федерации Active Directory (Azure AD FS) и прокси-сервер веб-приложения (WAP) обеспечивают безопасный общий доступ к цифровым удостоверениям и правам доступа через границы вашей безопасности и предприятия. Чтобы узнать о лучших практиках по обеспечению безопасности, см. Рекомендации по защите Служб федерации Active Directory.
Microsoft Entra Connect Health Agent — агент , используемый для предоставления связи для Microsoft Entra Connect Health. Дополнительные сведения об установке агента см. в статье установка агента Microsoft Entra Connect Health.
Движок синхронизации Microsoft Entra Connect — компонент для локальной установки, также называемый движком синхронизации. Дополнительные сведения о функции см. в разделе "Функции службы синхронизации Microsoft Entra Connect".
Агент контроллера домена для защиты паролем — агент защиты паролей для контроллера домена Azure позволяет осуществлять мониторинг и создание отчетов по сообщениям журнала событий. Дополнительные сведения см. в разделе "Принудительное применение локальной защиты паролей Microsoft Entra" для служб домен Active Directory.
Библиотека DLL фильтра паролей — библиотека DLL агента контроллера домена, отвечающая за фильтрацию паролей, получает запросы проверки паролей пользователей от операционной системы. Фильтр пересылает их на службу DC Agent, которая работает локально на контроллере домена. Сведения об использовании библиотеки DLL см. в статье "Принудительное применение локальной защиты паролей Microsoft Entra Password Protection для служб домен Active Directory".
Агент обратной записи паролей — обратная запись паролей — это функция, включенная в Microsoft Entra Connect , которая позволяет записывать изменения паролей в облаке в существующий локальный каталог в режиме реального времени. Дополнительные сведения об этой функции см. в разделе "Как работает механизм обратной записи сброса пароля пользователем" в Microsoft Entra ID.
Соединитель частной сети Microsoft Entra — облегченнные агенты, которые размещаются на территории компании и упрощают исходящее подключение к службе прокси приложений. Дополнительные сведения см. в разделе Соединители частной сети Microsoft Entra.
Компоненты облачной проверки подлинности
В рамках облачной среды Azure следующие компоненты необходимо добавить в число базовых показателей и включить в стратегию мониторинга и оповещения.
Прокси приложения Microsoft Entra — эта облачная служба обеспечивает безопасный удаленный доступ к локальным веб-приложениям. Дополнительные сведения см. в статье "Удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra".
Microsoft Entra Connect — службы, используемые для решения Microsoft Entra Connect . Дополнительные сведения см. в разделе "Что такое Microsoft Entra Connect".
Microsoft Entra Connect Health — здоровье службы предоставляет настраиваемую панель мониторинга, которая отслеживает состояние служб Azure в регионах, где они используются. Дополнительные сведения см. в разделе Microsoft Entra Connect Health.
Многофакторная проверка подлинности Microsoft Entra — многофакторная проверка подлинности требует, чтобы пользователь предоставил несколько форм проверки подлинности. Такой подход обеспечивает упреждающие первые шаги по защите среды. Дополнительные сведения см. в разделе Многофакторная проверка подлинности Microsoft Entra.
Динамические группы — динамическая конфигурация членства в группах безопасности для администраторов Microsoft Entra может задавать правила для заполнения групп, созданных в идентификаторе Microsoft Entra на основе атрибутов пользователей. Для получения дополнительной информации см. Динамические группы и совместная работа Microsoft Entra B2B.
Условный доступ — условный доступ — это средство, используемое идентификатором Microsoft Entra ID для объединения сигналов, принятия решений и применения политик организации. Условный доступ находится в центре новой плоскости управления, управляемой идентификацией. Дополнительные сведения см. в разделе Что такое условный доступ.
Защита идентификации Microsoft Entra — средство, позволяющее организациям автоматизировать обнаружение и исправление рисков на основе удостоверений, исследовать риски с помощью данных на портале и экспортировать данные обнаружения рисков в SIEM. Дополнительные сведения см. в разделе "Что такое Защита идентификации Microsoft Entra".
Лицензирование на основе групп — лицензии можно назначать группам, а не напрямую пользователям. Идентификатор Microsoft Entra хранит сведения о состояниях назначения лицензий для пользователей.
Служба предоставления — создание учетных данных и ролей пользователей в облачных приложениях, к которым им требуется доступ. Кроме создания удостоверений пользователей, автоматическое предоставление включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Дополнительные сведения см. в статье Как работает подготовка приложений в Microsoft Entra ID.
API Microsoft Graph — это веб-API RESTful, который позволяет получать доступ к ресурсам службы Microsoft Cloud. После регистрации приложения и получения токена проверки подлинности для пользователя или службы можно выполнять запросы к API Microsoft Graph. Дополнительные сведения см. в статье Обзор Microsoft Graph.
Доменная служба — доменные службы Microsoft Entra (AD DS) предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика. Дополнительные сведения см. в разделе "Что такое доменные службы Microsoft Entra".
Azure Resource Manager — это служба развертывания и управления для Azure. Она обеспечивает уровень управления для создания, обновления и удаления ресурсов в учетной записи Azure. Дополнительные сведения см. в статье Azure Resource Manager.
Управляемые удостоверения позволяют разработчикам обойтись без управления учетными данными. Управляемые удостоверения предоставляют удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?.
управление привилегированными пользователями . PIM — это служба в идентификаторе Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. Дополнительные сведения см. в статье "Что такое Microsoft Entra Privileged Identity Management".
Проверки доступа . Проверки доступа Microsoft Entra позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ. Дополнительные сведения см. в разделе "Что такое проверки доступа Microsoft Entra".
Управление разрешениями - Управление разрешениями Microsoft Entra — это функция управления идентификацией. Организации могут управлять жизненным циклом удостоверений и доступа в большом масштабе, автоматизировав рабочие процессы запросов на доступ, назначения доступа, проверки и обработку завершения срока действия. Дополнительные сведения см. в разделе "Что такое управление правами Microsoft Entra".
Журналы действий — журнал действий в Azure выполняет роль платформы журналов, которая предоставляет аналитические сведения о событиях уровня подписки. Этот журнал включает информацию о том, когда ресурс был изменен или когда была запущена виртуальная машина. Дополнительные сведения см. в разделе Журнал действий Azure.
Служба самообслуживания сброса пароля - Microsoft Entra служба самообслуживания сброса пароля (SSPR) дает пользователям возможность изменять или сбрасывать пароль. При этом не требуется помощь администратора или службы технической поддержки. Дополнительные сведения см. в статье Как это работает: самостоятельный сброс пароля Microsoft Entra.
Службы устройств — управление удостоверениями устройств лежит в основе условного доступа на основе устройств. Используя политику условного доступа на основе устройств, можно разрешать доступ к ресурсам в своей среде только управляемым устройствам. Дополнительные сведения см. в статье Что такое удостоверение устройства?.
Самостоятельное управление группами . Вы можете разрешить пользователям создавать собственные группы безопасности или группы Microsoft 365 в идентификаторе Microsoft Entra ID и управлять ими. Владелец группы может утверждать или отклонять запросы на членство, а также делегировать управление членством в группе. Функции самостоятельного управления группами недоступны для групп безопасности и списков рассылки с поддержкой электронной почты. Дополнительные сведения см. в разделе "Настройка самостоятельного управления группами" в службе Microsoft Entra ID.
Обнаружение рисков — содержит сведения о прочих рисках, регистрируемые при обнаружении риска, и другие соответствующие сведения, такие как расположение входа и другие данные из Microsoft Defender для облачных приложений.
Следующие шаги
См. следующие статьи с указаниями по обеспечению безопасности.
Операции безопасности для учетных записей пользователей
Операции безопасности для учетных записей потребителей
Операции безопасности для привилегированных учетных записей
Операции по обеспечению безопасности в системе Privileged Identity Management
Операции безопасности для приложений