Поделиться через


Настройка оповещений системы безопасности для ролей Microsoft Entra в управление привилегированными пользователями

управление привилегированными пользователями (PIM) создает оповещения, когда в вашей организации есть подозрительные или небезопасные действия в идентификаторе Microsoft Entra. При запуске оповещение отображается на панели мониторинга PIM. Выберите оповещение, чтобы просмотреть список пользователей или ролей, активировавших предупреждение.

Примечание.

Одно событие в управление привилегированными пользователями может создавать Уведомления по электронной почте для нескольких получателей— назначателей, утверждающих или администраторов. Максимальное количество уведомлений, отправленных на одно событие, равно 1000. Если число получателей превышает 1000, то только первые 1000 получателей получат уведомление по электронной почте. Это не препятствует другим назначателям, администраторам или утверждавшим использовать их разрешения в идентификаторе Microsoft Entra и управление привилегированными пользователями.

Снимок экрана: страница

Требования к лицензиям

Для использования управление привилегированными пользователями требуются лицензии. Дополнительные сведения о лицензировании см. в Управление идентификацией Microsoft Entra основах лицензирования.

Оповещения безопасности

В этом разделе перечислены все оповещения системы безопасности для ролей Microsoft Entra, а также способы исправления и предотвращения. Серьезность означает следующее:

  • Высокий: требуется немедленное действие из-за нарушения политики.
  • Средний: немедленное действие не требуется, но обнаружено потенциальное нарушение политики.
  • Низкий: немедленное действие не требуется, но предлагается рекомендуемое изменение политики.

Примечание.

Только следующие роли могут читать оповещения системы безопасности PIM для ролей Microsoft Entra: глобальный администратор, администратор привилегированных ролей, глобальный читатель, администратор безопасности и читатель безопасности.

Администраторы не используют свои привилегированные роли

Уровень серьезности: низкий

Description
Почему появилось это оповещение? Если пользователям назначены привилегированные роли, которые им не нужны, это увеличивает вероятность атаки. Это также позволяет злоумышленникам оставаться незамеченными в учетными записях, которые не используются активно.
Как устранить? Просмотрите пользователей в списке и удалите привилегированные роли, которые им не нужны.
Предотвращение Назначайте привилегированные роли пользователям, у которых для этого есть коммерческое обоснование.
Запланируйте регулярные проверки доступа, чтобы убедиться, что пользователям по прежнему требуется доступ.
Действие по устранению рисков на портале Удаляет учетную запись из привилегированной роли.
Триггер Срабатывает, если пользователь не активировал роль в течение определенного количества дней.
Число дней Этот параметр задает максимальное число дней (от 0 до 100), на протяжении которых пользователь может не активировать роль.

Роли не требуют многофакторной проверки подлинности для активации

Уровень серьезности: низкий

Description
Почему появилось это оповещение? Без многофакторной проверки подлинности скомпрометированные пользователи могут активировать привилегированные роли.
Как устранить? Просмотрите список ролей и требует многофакторной проверки подлинности для каждой роли.
Предотвращение Настройте принудительное выполнение MFA для каждой роли.
Действие по устранению рисков на портале Выполняет многофакторную проверку подлинности, необходимую для активации привилегированной роли.

У организации нет идентификатора Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra

Уровень серьезности: низкий

Description
Почему появилось это оповещение? В текущей организации Microsoft Entra нет идентификатора Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra.
Как устранить? Просмотрите сведения о выпусках Microsoft Entra. Обновление до идентификатора Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra.

Потенциальные устаревшие учетные записи с привилегированной ролью

Уровень серьезности: средний

Description
Почему появилось это оповещение? Это оповещение больше не активируется на основе даты последнего изменения пароля для учетной записи. Это оповещение предназначено для учетных записей в привилегированной роли, которая не выполнила вход в течение последних n дней, где n составляет много дней, которые можно настроить в диапазоне от 1 до 365 дней. Это могут быть неиспользуемые учетные записи служб или общие учетные записи, которые уязвимы к атакам злоумышленников.
Как устранить? Просмотрите учетные записи в списке. Если им больше не нужен доступ, удалите их из привилегированных ролей.
Предотвращение Убедитесь, что при изменении пользователей, которым известен пароль, для общих учетных записей сменяются надежные пароли.
Регулярно просматривайте учетные записи с привилегированными ролями с применением проверок доступа и удаляйте ненужные назначения ролей.
Действие по устранению рисков на портале Удаляет учетную запись из привилегированной роли.
Рекомендации Для учетных записей общего доступа, службы и аварийного доступа, которые проходят проверку подлинности с использованием пароля и назначаются привилегированным ролям администратора, таким как глобальный администратор или администратор безопасности, необходимо сменить пароли в следующих случаях:
  • после проблемы с безопасностью, в том числе несанкционированного использования или компрометации прав администратора для получения доступа;
  • после изменения каких-либо разрешений пользователя, чтобы отозвать права администратора (например, если сотрудник, которому была назначена роль администратора, покидает ИТ-отдел или организацию);
  • регулярно (например, ежеквартально или ежегодно), даже если не обнаружено брешей в системе безопасности или состав ИТ-отдела не изменился.
Так как доступ к этим учетным данным учетных записей есть у нескольких пользователей, нужно сменить учетные данные, чтобы у пользователей с отозванными ролями не было доступа к этим учетным записям. Дополнительные сведения о защите учетных записей

Роли назначаются за пределами PIM

Уровень серьезности: высокий

Description
Почему появилось это оповещение? Назначения привилегированных ролей за пределами PIM не отслеживаются надлежащим образом и могут свидетельствовать об активной атаке.
Как устранить? Просмотрите пользователей в списке и удалите их из привилегированных ролей, назначенных за пределами PIM. В параметрах оповещений можно включить или отключить как оповещение, так и сопутствующее уведомление, отправляемое по электронной почте.
Предотвращение Найдите, где за пределами PIM пользователи получают привилегированные роли, и запретите будущие назначения оттуда.
Действие по устранению рисков на портале Удаляет пользователя из привилегированной роли.

Примечание.

PIM отправляет Уведомления по электронной почте для роли, назначенной за пределами оповещения PIM, если оповещение включено из параметров оповещений для ролей Microsoft Entra в PIM, сообщения электронной почты отправляются администраторам привилегированных ролей, администраторам безопасности и глобальным администраторам, которые включили управление привилегированными пользователями. Для ресурсов Azure в PIM сообщения электронной почты отправляются владельцам и администраторам доступа пользователей.

Существует слишком много глобальных администраторов

Уровень серьезности: низкий

Description
Почему появилось это оповещение? Глобальный администратор является высшей привилегированной ролью. Если глобальный администратор скомпрометирован, злоумышленник получает доступ ко всем своим разрешениям, что ставит под угрозу всю систему.
Как устранить? Просмотрите пользователей в списке и удалите все, что не требуется роли глобального администратора.
Вместо этого назначьте более низкие привилегированные роли этим пользователям.
Предотвращение Назначайте пользователям привилегированные роли с минимально возможными правами.
Действие по устранению рисков на портале Удаляет учетную запись из привилегированной роли.
Триггер Активируется, если выполняются два условия, каждое из которых можно настроить. Сначала необходимо достичь определенного порога назначений ролей глобального администратора. Во-вторых, в общем числе назначенных ролей должен быть определенный процент глобальных администраторов. Если выполняется только одно из условий, оповещение не отображается.
Минимальное число глобальных администраторов Этот параметр указывает количество назначений ролей глобального администратора от 2 до 100, которые вы считаете слишком мало для вашей организации Microsoft Entra.
Процентная доля глобальных администраторов Этот параметр задает минимальный процент администраторов, являющихся глобальными администраторами, от 0 до 100 %, ниже которых не требуется, чтобы ваша организация Microsoft Entra опустился.

Роли активируются слишком часто

Уровень серьезности: низкий

Description
Почему появилось это оповещение? Множественные активации одной привилегированной роли тем же пользователем являются признаком атаки.
Как устранить? Просмотрите пользователей в списке и убедитесь, что для привилегированной роли задана достаточная длительность активации для выполнения задач пользователя.
Предотвращение Убедитесь, что длительность активации привилегированных ролей достаточно длинна, чтобы пользователи могли выполнять свои задачи.
Требовать многофакторную проверку подлинности для привилегированных ролей с учетными записями, общими для нескольких администраторов.
Действие по устранению рисков на портале Н/П
Триггер Активируется, если пользователь активирует одну и ту же привилегированную роль несколько раз в течение указанного периода времени. Можно настроить как период времени, так и количество активаций.
Временной интервал обновления активации Этот параметр указывает период времени в днях, часах, минутах и секундах. Он будет использоваться для отслеживания подозрительных обновлений.
Число обновлений активации Этот параметр определяет количество активаций (от 2 до 100), о которых вы хотите получать уведомления, в течение выбранного периода. Чтобы изменить значение, переместите ползунок или введите число в текстовое поле.

Настройка параметров оповещений системы безопасности

Выполните следующие действия, чтобы настроить оповещения системы безопасности для ролей Microsoft Entra в управление привилегированными пользователями:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Параметр оповещений о ролях>>ЗаписейMicrosoft. Сведения о том, как добавить плитку "Управление привилегированными пользователями" на панель мониторинга, см. в статье Начало работы с управлением привилегированными пользователями.

    Снимок экрана: страница оповещений с выделенными параметрами.

  3. Настройте для оповещений параметры, которые подходят для вашей среды и целей безопасности.

    Снимок экрана: страница параметров генерации оповещений.

Следующие шаги