Dela via


Microsoft Entra-säkerhetsåtgärder för konsumentkonton

Konsumentidentitetsaktiviteter är ett viktigt område för din organisation att skydda och övervaka. Den här artikeln gäller för Azure Active Directory B2C-klientorganisationer (Azure AD B2C) och har vägledning för övervakning av konsumentkontoaktiviteter. Aktiviteterna är:

  • Konsumentkonto
  • Privilegierat konto
  • Tillämpning
  • Infrastruktur

Innan du börjar

Innan du använder vägledningen i den här artikeln rekommenderar vi att du läser säkerhetsåtgärdsguiden för Microsoft Entra.

Definiera en baslinje

Definiera normalt och förväntat beteende för att identifiera avvikande beteende. Genom att definiera förväntat beteende för din organisation kan du identifiera oväntat beteende. Använd definitionen för att minska falska positiva identifieringar under övervakning och aviseringar.

När det förväntade beteendet har definierats utför du baslinjeövervakning för att verifiera förväntningarna. Övervaka sedan loggar för vad som ligger utanför toleransen.

För konton som skapats utanför normala processer använder du Microsoft Entra-granskningsloggar, Microsoft Entra-inloggningsloggar och katalogattribut som datakällor. Följande förslag kan hjälpa dig att definiera det normala.

Skapa konsumentkonto

Utvärdera följande lista:

  • Strategi och principer för verktyg och processer för att skapa och hantera konsumentkonton
    • Till exempel standardattribut och format som tillämpas på konsumentkontoattribut
  • Godkända källor för kontoskapande.
    • Till exempel registrering av anpassade principer, kundetablering eller migreringsverktyg
  • Aviseringsstrategi för konton som skapats utanför godkända källor.
    • Skapa en kontrollerad lista över organisationer som din organisation samarbetar med
  • Strategi- och aviseringsparametrar för konton som skapats, ändrats eller inaktiverats av en administratör för ett konsumentkonto som inte har godkänts
  • Övervaknings- och aviseringsstrategi för konsumentkonton som saknar standardattribut, till exempel kundnummer eller inte följer organisationens namngivningskonventioner
  • Strategi, principer och process för kontoborttagning och kvarhållning

Var du ska titta

Använd loggfiler för att undersöka och övervaka. Mer information finns i följande artiklar:

Granskningsloggar och automatiseringsverktyg

Från Azure Portal kan du visa Microsoft Entra-granskningsloggar och ladda ned som kommaavgränsade värdefiler (CSV) eller JSON-filer (JavaScript Object Notation). Använd Azure Portal för att integrera Microsoft Entra-loggar med andra verktyg för att automatisera övervakning och aviseringar:

Använd resten av artikeln för att få rekommendationer om vad som ska övervakas och aviseras. Se tabellerna, ordnade efter hottyp. Se länkar till färdiga lösningar eller exempel som följer tabellen. Skapa aviseringar med hjälp av de tidigare nämnda verktygen.

Konsumentkonton

Vad du ska övervaka Risknivå Var Filtrera/underfilter Anteckningar
Stort antal kontoskapanden eller borttagningar Hög Microsoft Entra-granskningsloggar Aktivitet: Lägg till användare
Status = lyckades
Initierad av (aktör) = CPIM Service
-och-
Aktivitet: Ta bort användare
Status = lyckades
Initierad av (aktör) = CPIM Service
Definiera ett baslinjetröskelvärde och övervaka och justera sedan så att det passar organisationens beteenden. Begränsa falska aviseringar.
Konton som skapats och tagits bort av icke-godkända användare eller processer Medium Microsoft Entra-granskningsloggar Initierad av (aktör) – ANVÄNDARENS HUVUDNAMN
-och-
Aktivitet: Lägg till användare
Status = lyckades
Initierad av (aktör) != CPIM Service
och-eller
Aktivitet: Ta bort användare
Status = lyckades
Initierad av (aktör) != CPIM Service
Om aktörerna inte är godkända användare konfigurerar du för att skicka en avisering.
Konton som tilldelats en privilegierad roll Hög Microsoft Entra-granskningsloggar Aktivitet: Lägg till användare
Status = lyckades
Initierad av (aktör) == CPIM Service
-och-
Aktivitet: Lägga till medlem i rollen
Status = lyckades
Om kontot har tilldelats en Microsoft Entra-roll, Azure-roll eller privilegierat gruppmedlemskap aviserar och prioriterar du undersökningen.
Misslyckade inloggningsförsök Medel – om isolerad incident
Hög – om många konton har samma mönster
Inloggningslogg för Microsoft Entra Status = misslyckades
-och-
Inloggningsfelkod 50126 – Fel vid validering av autentiseringsuppgifter på grund av ogiltigt användarnamn eller lösenord.
-och-
Program == "CPIM PowerShell-klient"
-eller-
Application == "ProxyIdentityExperienceFramework"
Definiera ett baslinjetröskelvärde och övervaka och justera sedan så att det passar organisationens beteenden och begränsa att falska aviseringar genereras.
Smarta utlåsningshändelser Medel – om isolerad incident
Hög – om många konton har samma mönster eller en VIP
Inloggningslogg för Microsoft Entra Status = misslyckades
-och-
Inloggningsfelkod = 50053 – IdsLocked
-och-
Program == "CPIM PowerShell-klient"
-eller-
Application =="ProxyIdentityExperienceFramework"
Definiera ett baslinjetröskelvärde och övervaka och justera sedan så att det passar organisationens beteenden och begränsa falska aviseringar.
Misslyckade autentiseringar från länder eller regioner som du inte arbetar från Medium Inloggningslogg för Microsoft Entra Status = misslyckades
-och-
Plats = <ej godkänd plats>
-och-
Program == "CPIM PowerShell-klient"
-eller-
Application == "ProxyIdentityExperienceFramework"
Övervaka poster som inte är lika med angivna ortnamn.
Ökade misslyckade autentiseringar av alla typer Medium Inloggningslogg för Microsoft Entra Status = misslyckades
-och-
Program == "CPIM PowerShell-klient"
-eller-
Application == "ProxyIdentityExperienceFramework"
Om du inte har något tröskelvärde övervakar och aviserar du om felen ökar med 10 % eller högre.
Kontot har inaktiverats/blockerats för inloggningar Låg Inloggningslogg för Microsoft Entra Status = Fel
-och-
felkod = 50057, Användarkontot är inaktiverat.
Det här scenariot kan tyda på att någon försöker få åtkomst till ett konto när de har lämnat en organisation. Kontot är blockerat, men det är viktigt att logga och avisera den här aktiviteten.
Mätbar ökning av lyckade inloggningar Låg Inloggningslogg för Microsoft Entra Status = Lyckades
-och-
Program == "CPIM PowerShell-klient"
-eller-
Application == "ProxyIdentityExperienceFramework"
Om du inte har något tröskelvärde övervakar och aviserar du om lyckade autentiseringar ökar med 10 % eller högre.

Privilegierade konton

Vad du ska övervaka Risknivå Var Filtrera/underfilter Anteckningar
Inloggningsfel, tröskelvärde för felaktigt lösenord Hög Inloggningslogg för Microsoft Entra Status = Fel
-och-
felkod = 50126
Definiera ett baslinjetröskelvärde och övervaka och justera för att passa organisationens beteenden. Begränsa falska aviseringar.
Fel på grund av krav på villkorsstyrd åtkomst Hög Inloggningslogg för Microsoft Entra Status = Fel
-och-
felkod = 53003
-och-
Felorsak = Blockerad av villkorlig åtkomst
Händelsen kan indikera att en angripare försöker komma in på kontot.
Avbryta Hög, medelhög Inloggningslogg för Microsoft Entra Status = Fel
-och-
felkod = 53003
-och-
Felorsak = Blockerad av villkorlig åtkomst
Händelsen kan indikera att en angripare har kontolösenordet, men kan inte klara MFA-utmaningen.
Kontoutelåsning Hög Inloggningslogg för Microsoft Entra Status = Fel
-och-
felkod = 50053
Definiera ett baslinjetröskelvärde och övervaka och justera sedan så att det passar organisationens beteenden. Begränsa falska aviseringar.
Kontot har inaktiverats eller blockerats för inloggningar låg Inloggningslogg för Microsoft Entra Status = Fel
-och-
Target = User UPN
-och-
felkod = 50057
Händelsen kan tyda på att någon försöker få kontoåtkomst när de har lämnat organisationen. Även om kontot är blockerat loggar och aviserar du den här aktiviteten.
MFA-bedrägerivarning eller blockering Hög Microsoft Entra-inloggningslogg/Azure Log Analytics Information om inloggningsautentisering>
Resultatinformation = MFA nekad, bedrägerikod har angetts
Privilegierad användare anger att de inte har initierat MFA-prompten, vilket kan tyda på att en angripare har kontolösenordet.
MFA-bedrägerivarning eller blockering Hög Microsoft Entra-inloggningslogg/Azure Log Analytics Aktivitetstyp = Bedrägerirapporterat – Användaren blockeras för MFA eller bedrägeri rapporteras – Inga åtgärder vidtas, baserat på inställningar på klientnivå för bedrägerirapporter Privilegierad användare angav ingen anstiftan till MFA-prompten. Scenariot kan tyda på att en angripare har kontolösenordet.
Privilegierade kontoinloggningar utanför förväntade kontroller Hög Inloggningslogg för Microsoft Entra Status = Fel
UserPricipalName = <Administratörskonto>
Plats = <ej godkänd plats>
IP-adress = <ej godkänd IP-adress>
Enhetsinformation = <ej godkänd webbläsare, operativsystem>
Övervaka och avisera poster som du har definierat som ej godkända.
Utanför normala inloggningstider Hög Inloggningslogg för Microsoft Entra Status = Lyckades
-och-
Plats =
-och-
Tid = Utanför arbetstid
Övervaka och varna om inloggningar inträffar utanför förväntade tider. Hitta det normala arbetsmönstret för varje privilegierat konto och en avisering om det finns oplanerade ändringar utanför normal arbetstid. Inloggningar utanför normal arbetstid kan tyda på komprometterande eller möjligt insiderhot.
Lösenordsändring Hög Microsoft Entra-granskningsloggar Aktivitetsskådespelare = Administratör/självbetjäning
-och-
Mål = användare
-och-
Status = Lyckad eller misslyckad
Avisering när administratörskontots lösenord ändras. Skriv en fråga för privilegierade konton.
Ändringar i autentiseringsmetoder Hög Microsoft Entra-granskningsloggar Aktivitet: Skapa identitetsprovider
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Ändringen kan tyda på att en angripare lägger till en autentiseringsmetod i kontot för att ha fortsatt åtkomst.
Identitetsprovidern har uppdaterats av icke-godkända aktörer Hög Microsoft Entra-granskningsloggar Aktivitet: Uppdatera identitetsprovidern
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Ändringen kan tyda på att en angripare lägger till en autentiseringsmetod i kontot för att ha fortsatt åtkomst.
Identitetsprovider borttagen av icke-godkända aktörer Hög Microsoft Entra-åtkomstgranskningar Aktivitet: Ta bort identitetsprovider
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Ändringen kan tyda på att en angripare lägger till en autentiseringsmetod i kontot för att ha fortsatt åtkomst.

Program

Vad du ska övervaka Risknivå Var Filtrera/underfilter Anteckningar
Autentiseringsuppgifter har lagts till i program Hög Microsoft Entra-granskningsloggar Service-Core Directory, Category-ApplicationManagement
Aktivitet: Uppdatera programcertifikat och hantering av hemligheter
-och-
Aktivitet: Uppdatera tjänstens huvudnamn/Uppdatera program
Avisering när autentiseringsuppgifter läggs till utanför normal kontorstid eller arbetsflöden, typer som inte används i din miljö eller läggs till i ett icke-SAML-flöde som stöder tjänstens huvudnamn.
App som tilldelats en roll för rollbaserad åtkomstkontroll i Azure (RBAC) eller Microsoft Entra-roll Hög till medelhög Microsoft Entra-granskningsloggar Typ: tjänstens huvudnamn
Aktivitet: "Lägg till medlem i rollen"
eller
"Lägg till berättigad medlem i rollen"
-eller-
"Lägg till begränsad medlem i rollen."
Ej tillämpligt
Appen har beviljats mycket privilegierade behörigheter, till exempel behörigheter med ". Alla" (Directory.ReadWrite.All) eller omfattande behörigheter (Mail.) Hög Microsoft Entra-granskningsloggar Ej tillämpligt Appar som beviljats breda behörigheter som ". Alla" (Directory.ReadWrite.All) eller omfattande behörigheter (Mail.)
Administratör som beviljar programbehörigheter (approller) eller privilegierade delegerade behörigheter Hög Microsoft 365-portalen "Lägg till approlltilldelning till tjänstens huvudnamn"
-var-
Mål identifierar ett API med känsliga data (till exempel Microsoft Graph) "Lägg till delegerat behörighetsbidrag"
-var-
Mål identifierar ett API med känsliga data (till exempel Microsoft Graph)
-och-
DelegatedPermissionGrant.Scope innehåller behörigheter med hög behörighet.
Avisering när en global program- eller molnprogramadministratör godkänner ett program. Leta särskilt efter medgivande utanför normal aktivitet och ändringsprocedurer.
Programmet beviljas behörigheter för Microsoft Graph, Exchange, SharePoint eller Microsoft Entra ID. Hög Microsoft Entra-granskningsloggar "Lägg till delegerat behörighetsbidrag"
-eller-
"Lägg till approlltilldelning till tjänstens huvudnamn"
-var-
Mål identifierar ett API med känsliga data (till exempel Microsoft Graph, Exchange Online och så vidare)
Använd aviseringen på föregående rad.
Privilegierade delegerade behörigheter som beviljats för alla användares räkning Hög Microsoft Entra-granskningsloggar "Lägg till delegerat behörighetsbidrag"
var
Mål identifierar ett API med känsliga data (till exempel Microsoft Graph)
DelegatedPermissionGrant.Scope innehåller behörigheter med hög behörighet
-och-
DelegatedPermissionGrant.ConsentType är "AllPrincipals".
Använd aviseringen på föregående rad.
Program som använder ROPC-autentiseringsflödet Medium Inloggningslogg för Microsoft Entra Status=Lyckades
Autentiseringsprotokoll-ROPC
Hög förtroendenivå placeras i det här programmet eftersom autentiseringsuppgifterna kan cachelagras eller lagras. Flytta om möjligt till ett säkrare autentiseringsflöde. Använd endast processen i automatiserad programtestning, om någonsin.
Dangling URI Hög Microsoft Entra-loggar och programregistrering Service-Core-katalog
Category-ApplicationManagement
Aktivitet: Uppdatera program
Lyckades – Egenskapsnamn AppAddress
Leta till exempel efter dinglande URI:er som pekar på ett domännamn som är borta, eller ett som du inte äger.
Omdirigering av URI-konfigurationsändringar Hög Microsoft Entra-loggar Service-Core-katalog
Category-ApplicationManagement
Aktivitet: Uppdatera program
Lyckades – Egenskapsnamn AppAddress
Leta efter URI:er som inte använder HTTPS*, URI:er med jokertecken i slutet eller domänen för URL:en, URI:er som inte är unika för programmet, URI:er som pekar på en domän som du inte kontrollerar.
Ändringar i AppID-URI Hög Microsoft Entra-loggar Service-Core-katalog
Category-ApplicationManagement
Aktivitet: Uppdatera program
Aktivitet: Uppdatera tjänstens huvudnamn
Leta efter AppID URI-ändringar, till exempel att lägga till, ändra eller ta bort URI:n.
Ändringar i programägarskapet Medium Microsoft Entra-loggar Service-Core-katalog
Category-ApplicationManagement
Aktivitet: Lägga till ägare i programmet
Leta efter instanser av användare som lagts till som programägare utanför normala ändringshanteringsaktiviteter.
Ändringar för utloggnings-URL Låg Microsoft Entra-loggar Service-Core-katalog
Category-ApplicationManagement
Aktivitet: Uppdatera program
-och-
Aktivitet: Uppdatera tjänstprincip
Leta efter ändringar i en utloggnings-URL. Tomma poster eller poster till obefintlig plats hindrar en användare från att avsluta en session.

Infrastruktur

Vad du ska övervaka Risknivå Var Filtrera/underfilter Anteckningar
Ny princip för villkorlig åtkomst som skapats av icke-godkända aktörer Hög Microsoft Entra-granskningsloggar Aktivitet: Lägg till princip för villkorsstyrd åtkomst
Kategori: Princip
Initierad av (aktör): Användarens huvudnamn
Övervaka och avisera ändringar i villkorlig åtkomst. Initierad av (aktör): godkänd för att göra ändringar i villkorlig åtkomst?
Princip för villkorlig åtkomst har tagits bort av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Ta bort princip för villkorsstyrd åtkomst
Kategori: Princip
Initierad av (aktör): Användarens huvudnamn
Övervaka och avisera ändringar i villkorlig åtkomst. Initierad av (aktör): godkänd för att göra ändringar i villkorlig åtkomst?
Princip för villkorlig åtkomst har uppdaterats av icke-godkända aktörer Hög Microsoft Entra-granskningsloggar Aktivitet: Uppdatera principen för villkorsstyrd åtkomst
Kategori: Princip
Initierad av (aktör): Användarens huvudnamn
Övervaka och avisera ändringar i villkorlig åtkomst. Initierad av (aktör): godkänd för att göra ändringar i villkorlig åtkomst?
Granska Ändrade egenskaper och jämför gammalt kontra nytt värde
Anpassad B2C-princip som skapats av icke-godkända aktörer Hög Microsoft Entra-granskningsloggar Aktivitet: Skapa anpassad princip
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera anpassade principändringar. Initierad av (aktör): godkänd för att göra ändringar i anpassade principer?
Anpassad B2C-princip uppdaterad av icke-godkända aktörer Hög Microsoft Entra-granskningsloggar Aktivitet: Hämta anpassade principer
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera anpassade principändringar. Initierad av (aktör): godkänd för att göra ändringar i anpassade principer?
Anpassad B2C-princip som tagits bort av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Ta bort anpassad princip
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera anpassade principändringar. Initierad av (aktör): godkänd för att göra ändringar i anpassade principer?
Användarflöde som skapats av icke-godkända aktörer Hög Microsoft Entra-granskningsloggar Aktivitet: Skapa användarflöde
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera om ändringar i användarflödet. Initierad av (aktör): godkänd för att göra ändringar i användarflöden?
Användarflöde uppdaterat av icke-godkända aktörer Hög Microsoft Entra-granskningsloggar Aktivitet: Uppdatera användarflöde
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera om ändringar i användarflödet. Initierad av (aktör): godkänd för att göra ändringar i användarflöden?
Användarflöde som tagits bort av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Ta bort användarflöde
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera om ändringar i användarflödet. Initierad av (aktör): godkänd för att göra ändringar i användarflöden?
API-anslutningsappar som skapats av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Skapa API-anslutningsapp
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera ändringar i API-anslutningsappen. Initierad av (aktör): godkänd för att göra ändringar i API-anslutningsappar?
API-anslutningsappar uppdaterade av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Uppdatera API-anslutningsappen
Kategori: ResourceManagement
Mål: Användarens huvudnamn: ResourceManagement
Övervaka och avisera ändringar i API-anslutningsappen. Initierad av (aktör): godkänd för att göra ändringar i API-anslutningsappar?
API-anslutningsappar som tagits bort av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Uppdatera API-anslutningsappen
Kategori: ResourceManagment
Mål: Användarens huvudnamn: ResourceManagment
Övervaka och avisera ändringar i API-anslutningsappen. Initierad av (aktör): godkänd för att göra ändringar i API-anslutningsappar?
Identitetsprovider (IdP) som skapats av icke-godkända aktörer Hög Microsoft Entra-granskningsloggar Aktivitet: Skapa identitetsprovider
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera IdP-ändringar. Initierad av (aktör): godkänd för att göra ändringar i IdP-konfigurationen?
IdP har uppdaterats av icke-godkända aktörer Hög Microsoft Entra-granskningsloggar Aktivitet: Uppdatera identitetsprovidern
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera IdP-ändringar. Initierad av (aktör): godkänd för att göra ändringar i IdP-konfigurationen?
IdP som tagits bort av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Ta bort identitetsprovider
Kategori: ResourceManagement
Mål: Användarens huvudnamn
Övervaka och avisera IdP-ändringar. Initierad av (aktör): godkänd för att göra ändringar i IdP-konfigurationen?

Nästa steg

Mer information finns i följande artiklar om säkerhetsåtgärder: