Microsoft Entra-säkerhetsåtgärder för konsumentkonton
Konsumentidentitetsaktiviteter är ett viktigt område för din organisation att skydda och övervaka. Den här artikeln gäller för Azure Active Directory B2C-klientorganisationer (Azure AD B2C) och har vägledning för övervakning av konsumentkontoaktiviteter. Aktiviteterna är:
- Konsumentkonto
- Privilegierat konto
- Program
- Infrastruktur
Innan du börjar
Innan du använder vägledningen i den här artikeln rekommenderar vi att du läser säkerhetsåtgärdsguiden för Microsoft Entra.
Definiera en baslinje
Definiera normalt och förväntat beteende för att identifiera avvikande beteende. Genom att definiera förväntat beteende för din organisation kan du identifiera oväntat beteende. Använd definitionen för att minska falska positiva identifieringar under övervakning och aviseringar.
När det förväntade beteendet har definierats utför du baslinjeövervakning för att verifiera förväntningarna. Övervaka sedan loggar för vad som ligger utanför toleransen.
För konton som skapats utanför normala processer använder du Microsoft Entra-granskningsloggar, Microsoft Entra-inloggningsloggar och katalogattribut som datakällor. Följande förslag kan hjälpa dig att definiera det normala.
Skapa konsumentkonto
Utvärdera följande lista:
- Strategi och principer för verktyg och processer för att skapa och hantera konsumentkonton
- Till exempel standardattribut och format som tillämpas på konsumentkontoattribut
- Godkända källor för kontoskapande.
- Till exempel registrering av anpassade principer, kundetablering eller migreringsverktyg
- Aviseringsstrategi för konton som skapats utanför godkända källor.
- Skapa en kontrollerad lista över organisationer som din organisation samarbetar med
- Strategi- och aviseringsparametrar för konton som skapats, ändrats eller inaktiverats av en administratör för ett konsumentkonto som inte har godkänts
- Övervaknings- och aviseringsstrategi för konsumentkonton som saknar standardattribut, till exempel kundnummer eller inte följer organisationens namngivningskonventioner
- Strategi, principer och process för kontoborttagning och kvarhållning
Var du ska titta
Använd loggfiler för att undersöka och övervaka. Mer information finns i följande artiklar:
- Granskningsloggar i Microsoft Entra-ID
- Inloggningsloggar i Microsoft Entra-ID (förhandsversion)
- Anvisningar: Undersöka risk
Granskningsloggar och automatiseringsverktyg
Från Azure-portalen kan du visa Microsoft Entra-granskningsloggar och ladda ned som kommaavgränsade värdefiler (CSV) eller JSON-filer (JavaScript Object Notation). Använd Azure-portalen för att integrera Microsoft Entra-loggar med andra verktyg för att automatisera övervakning och aviseringar:
- Microsoft Sentinel – säkerhetsanalys med funktioner för säkerhetsinformation och händelsehantering (SIEM)
- Sigma-regler – en öppen standard för att skriva regler och mallar som automatiserade hanteringsverktyg kan använda för att parsa loggfiler. Om det finns Sigma-mallar för våra rekommenderade sökvillkor har vi lagt till en länk till Sigma-lagringsplatsen. Microsoft skriver, testar eller hanterar inte Sigma-mallar. Lagringsplatsen och mallarna skapas och samlas in av IT-säkerhetscommunityn.
- Azure Monitor – automatiserad övervakning och avisering av olika villkor. Skapa eller använda arbetsböcker för att kombinera data från olika källor.
- Azure Event Hubs integrerat med en SIEM – integrera Microsoft Entra-loggar med SIEM:er som Splunk, ArcSight, QRadar och Sumo Logic med Azure Event Hubs
- Microsoft Defender för molnet Apps – identifiera och hantera appar, styra mellan appar och resurser och följa molnappens efterlevnad
- Identity Protection – identifiera risker för arbetsbelastningsidentiteter över inloggningsbeteende och offlineindikatorer för kompromisser
Använd resten av artikeln för att få rekommendationer om vad som ska övervakas och aviseras. Se tabellerna, ordnade efter hottyp. Se länkar till färdiga lösningar eller exempel som följer tabellen. Skapa aviseringar med hjälp av de tidigare nämnda verktygen.
Konsumentkonton
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Stort antal kontoskapanden eller borttagningar | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Lägg till användare Status = lyckades Initierad av (aktör) = CPIM Service -och- Aktivitet: Ta bort användare Status = lyckades Initierad av (aktör) = CPIM Service |
Definiera ett baslinjetröskelvärde och övervaka och justera sedan för att anpassa organisationens beteenden. Begränsa falska aviseringar. |
| Konton som skapats och tagits bort av icke-godkända användare eller processer | Medium | Microsoft Entra-granskningsloggar | Initierad av (aktör) – ANVÄNDARENS HUVUDNAMN -och- Aktivitet: Lägg till användare Status = lyckades Initierad av (aktör) != CPIM Service och-eller Aktivitet: Ta bort användare Status = lyckades Initierad av (aktör) != CPIM Service |
Om aktörerna är icke-godkända användare konfigurerar du för att skicka en avisering. |
| Konton som tilldelats en privilegierad roll | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Lägg till användare Status = lyckades Initierad av (aktör) == CPIM Service -och- Aktivitet: Lägga till medlem i rollen Status = lyckades |
Om kontot har tilldelats en Microsoft Entra-roll, Azure-roll eller privilegierat gruppmedlemskap aviserar och prioriterar du undersökningen. |
| Misslyckade inloggningsförsök | Medel – om isolerad incident Hög – om många konton har samma mönster |
Inloggningslogg för Microsoft Entra | Status = misslyckades -och- Inloggningsfelkod 50126 – Fel vid validering av autentiseringsuppgifter på grund av ogiltigt användarnamn eller lösenord. -och- Program == "CPIM PowerShell-klient" -eller- Application == "ProxyIdentityExperienceFramework" |
Definiera ett baslinjetröskelvärde och övervaka och justera sedan så att det passar organisationens beteenden och begränsa att falska aviseringar genereras. |
| Smarta utlåsningshändelser | Medel – om isolerad incident Hög – om många konton har samma mönster eller en VIP |
Inloggningslogg för Microsoft Entra | Status = misslyckades -och- Inloggningsfelkod = 50053 – IdsLocked -och- Program == "CPIM PowerShell-klient" -eller- Application =="ProxyIdentityExperienceFramework" |
Definiera ett baslinjetröskelvärde och övervaka och justera sedan så att det passar organisationens beteenden och begränsa falska aviseringar. |
| Misslyckade autentiseringar från länder eller regioner som du inte arbetar från | Medium | Inloggningslogg för Microsoft Entra | Status = misslyckades -och- Plats = <ej godkänd plats> -och- Program == "CPIM PowerShell-klient" -eller- Application == "ProxyIdentityExperienceFramework" |
Övervaka poster som inte är lika med angivna ortnamn. |
| Ökade misslyckade autentiseringar av alla typer | Medium | Inloggningslogg för Microsoft Entra | Status = misslyckades -och- Program == "CPIM PowerShell-klient" -eller- Application == "ProxyIdentityExperienceFramework" |
Om du inte har något tröskelvärde övervakar och aviserar du om felen ökar med 10 % eller högre. |
| Kontot har inaktiverats/blockerats för inloggningar | Lägst | Inloggningslogg för Microsoft Entra | Status = Fel -och- felkod = 50057, Användarkontot är inaktiverat. |
Det här scenariot kan tyda på att någon försöker få åtkomst till ett konto när de har lämnat en organisation. Kontot är blockerat, men det är viktigt att logga och avisera den här aktiviteten. |
| Mätbar ökning av lyckade inloggningar | Lägst | Inloggningslogg för Microsoft Entra | Status = Lyckades -och- Program == "CPIM PowerShell-klient" -eller- Application == "ProxyIdentityExperienceFramework" |
Om du inte har något tröskelvärde övervakar och aviserar du om lyckade autentiseringar ökar med 10 % eller högre. |
Privilegierade konton
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Inloggningsfel, tröskelvärde för felaktigt lösenord | Högst | Inloggningslogg för Microsoft Entra | Status = Fel -och- felkod = 50126 |
Definiera ett baslinjetröskelvärde och övervaka och justera för att passa organisationens beteenden. Begränsa falska aviseringar. |
| Fel på grund av krav på villkorsstyrd åtkomst | Högst | Inloggningslogg för Microsoft Entra | Status = Fel -och- felkod = 53003 -och- Felorsak = Blockerad av villkorlig åtkomst |
Händelsen kan indikera att en angripare försöker komma in på kontot. |
| Avbryta | Hög, medelhög | Inloggningslogg för Microsoft Entra | Status = Fel -och- felkod = 53003 -och- Felorsak = Blockerad av villkorlig åtkomst |
Händelsen kan indikera att en angripare har kontolösenordet, men kan inte klara MFA-utmaningen. |
| Kontoutelåsning | Högst | Inloggningslogg för Microsoft Entra | Status = Fel -och- felkod = 50053 |
Definiera ett baslinjetröskelvärde och övervaka och justera sedan så att det passar organisationens beteenden. Begränsa falska aviseringar. |
| Kontot har inaktiverats eller blockerats för inloggningar | Låg | Inloggningslogg för Microsoft Entra | Status = Fel -och- Target = User UPN -och- felkod = 50057 |
Händelsen kan tyda på att någon försöker få kontoåtkomst när de har lämnat organisationen. Även om kontot är blockerat loggar och aviserar du den här aktiviteten. |
| MFA-bedrägerivarning eller blockering | Högst | Microsoft Entra-inloggningslogg/Azure Log Analytics | Information om inloggningsautentisering> Resultatinformation = MFA nekad, bedrägerikod har angetts |
Privilegierad användare anger att de inte har initierat MFA-prompten, vilket kan tyda på att en angripare har kontolösenordet. |
| MFA-bedrägerivarning eller blockering | Högst | Microsoft Entra-inloggningslogg/Azure Log Analytics | Aktivitetstyp = Bedrägerirapporterat – Användaren blockeras för MFA eller bedrägeri rapporteras – Inga åtgärder vidtas, baserat på inställningar på klientnivå för bedrägerirapporter | Privilegierad användare angav ingen anstiftan till MFA-prompten. Scenariot kan tyda på att en angripare har kontolösenordet. |
| Privilegierade kontoinloggningar utanför förväntade kontroller | Högst | Inloggningslogg för Microsoft Entra | Status = Fel UserPricipalName = <Administratörskonto> Plats = <ej godkänd plats> IP-adress = <ej godkänd IP-adress> Enhetsinformation = <ej godkänd webbläsare, operativsystem> |
Övervaka och avisera poster som du har definierat som ej godkända. |
| Utanför normala inloggningstider | Högst | Inloggningslogg för Microsoft Entra | Status = Lyckades -och- Plats = -och- Tid = Utanför arbetstid |
Övervaka och varna om inloggningar inträffar utanför förväntade tider. Hitta det normala arbetsmönstret för varje privilegierat konto och en avisering om det finns oplanerade ändringar utanför normal arbetstid. Inloggningar utanför normal arbetstid kan tyda på komprometterande eller möjligt insiderhot. |
| Lösenordsändring | Högst | Microsoft Entra-granskningsloggar | Aktivitetsskådespelare = Administratör/självbetjäning -och- Mål = användare -och- Status = Lyckad eller misslyckad |
Avisera eventuella ändringar av administratörskontots lösenord, särskilt för globala administratörer, användaradministratörer, prenumerationsadministratörer och konton för nödåtkomst. Skriv en fråga för privilegierade konton. |
| Ändringar i autentiseringsmetoder | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Skapa identitetsprovider Kategori: ResourceManagement Mål: Användarens huvudnamn |
Ändringen kan tyda på att en angripare lägger till en autentiseringsmetod i kontot för att ha fortsatt åtkomst. |
| Identitetsprovidern har uppdaterats av icke-godkända aktörer | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Uppdatera identitetsprovidern Kategori: ResourceManagement Mål: Användarens huvudnamn |
Ändringen kan tyda på att en angripare lägger till en autentiseringsmetod i kontot för att ha fortsatt åtkomst. |
| Identitetsprovider borttagen av icke-godkända aktörer | Högst | Microsoft Entra-åtkomstgranskningar | Aktivitet: Ta bort identitetsprovider Kategori: ResourceManagement Mål: Användarens huvudnamn |
Ändringen kan tyda på att en angripare lägger till en autentiseringsmetod i kontot för att ha fortsatt åtkomst. |
Appar
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Autentiseringsuppgifter har lagts till i program | Högst | Microsoft Entra-granskningsloggar | Service-Core Directory, Category-ApplicationManagement Aktivitet: Uppdatera programcertifikat och hantering av hemligheter -och- Aktivitet: Uppdatera tjänstens huvudnamn/Uppdatera program |
Avisering när autentiseringsuppgifter läggs till utanför normal kontorstid eller arbetsflöden, typer som inte används i din miljö eller läggs till i ett icke-SAML-flöde som stöder tjänstens huvudnamn. |
| App som tilldelats en roll för rollbaserad åtkomstkontroll i Azure (RBAC) eller Microsoft Entra-roll | Hög till medelhög | Microsoft Entra-granskningsloggar | Typ: tjänstens huvudnamn Aktivitet: "Lägg till medlem i rollen" eller "Lägg till berättigad medlem i rollen" -eller- "Lägg till begränsad medlem i rollen." |
Ej tillämpligt |
| Appen har beviljats mycket privilegierade behörigheter, till exempel behörigheter med ". Alla" (Directory.ReadWrite.All) eller omfattande behörigheter (Mail.) | Högst | Microsoft Entra-granskningsloggar | Ej tillämpligt | Appar som beviljats breda behörigheter som ". Alla" (Directory.ReadWrite.All) eller omfattande behörigheter (Mail.) |
| Administratör som beviljar programbehörigheter (approller) eller privilegierade delegerade behörigheter | Högst | Microsoft 365-portalen | "Lägg till approlltilldelning till tjänstens huvudnamn" -Där- Mål identifierar ett API med känsliga data (till exempel Microsoft Graph) "Lägg till delegerat behörighetsbidrag" -Där- Mål identifierar ett API med känsliga data (till exempel Microsoft Graph) -och- DelegatedPermissionGrant.Scope innehåller behörigheter med hög behörighet. |
Avisering när en global program- eller molnprogramadministratör godkänner ett program. Leta särskilt efter medgivande utanför normal aktivitet och ändringsprocedurer. |
| Programmet beviljas behörigheter för Microsoft Graph, Exchange, SharePoint eller Microsoft Entra ID. | Högst | Microsoft Entra-granskningsloggar | "Lägg till delegerat behörighetsbidrag" -eller- "Lägg till approlltilldelning till tjänstens huvudnamn" -Där- Mål identifierar ett API med känsliga data (till exempel Microsoft Graph, Exchange Online och så vidare) |
Använd aviseringen på föregående rad. |
| Privilegierade delegerade behörigheter som beviljats för alla användares räkning | Högst | Microsoft Entra-granskningsloggar | "Lägg till delegerat behörighetsbidrag" där Mål identifierar ett API med känsliga data (till exempel Microsoft Graph) DelegatedPermissionGrant.Scope innehåller behörigheter med hög behörighet -och- DelegatedPermissionGrant.ConsentType är "AllPrincipals". |
Använd aviseringen på föregående rad. |
| Program som använder ROPC-autentiseringsflödet | Medium | Inloggningslogg för Microsoft Entra | Status=Lyckades Autentiseringsprotokoll-ROPC |
Hög förtroendenivå placeras i det här programmet eftersom autentiseringsuppgifterna kan cachelagras eller lagras. Flytta om möjligt till ett säkrare autentiseringsflöde. Använd endast processen i automatiserad programtestning, om någonsin. |
| Dangling URI | Högst | Microsoft Entra-loggar och programregistrering | Service-Core-katalog Category-ApplicationManagement Aktivitet: Uppdatera program Lyckades – Egenskapsnamn AppAddress |
Leta till exempel efter dinglande URI:er som pekar på ett domännamn som är borta, eller ett som du inte äger. |
| Omdirigering av URI-konfigurationsändringar | Högst | Microsoft Entra-loggar | Service-Core-katalog Category-ApplicationManagement Aktivitet: Uppdatera program Lyckades – Egenskapsnamn AppAddress |
Leta efter URI:er som inte använder HTTPS*, URI:er med jokertecken i slutet eller domänen för URL:en, URI:er som inte är unika för programmet, URI:er som pekar på en domän som du inte kontrollerar. |
| Ändringar i AppID-URI | Högst | Microsoft Entra-loggar | Service-Core-katalog Category-ApplicationManagement Aktivitet: Uppdatera program Aktivitet: Uppdatera tjänstens huvudnamn |
Leta efter AppID URI-ändringar, till exempel att lägga till, ändra eller ta bort URI:n. |
| Ändringar i programägarskapet | Medium | Microsoft Entra-loggar | Service-Core-katalog Category-ApplicationManagement Aktivitet: Lägga till ägare i programmet |
Leta efter instanser av användare som lagts till som programägare utanför normala ändringshanteringsaktiviteter. |
| Ändringar för utloggnings-URL | Lägst | Microsoft Entra-loggar | Service-Core-katalog Category-ApplicationManagement Aktivitet: Uppdatera program -och- Aktivitet: Uppdatera tjänstprincip |
Leta efter ändringar i en utloggnings-URL. Tomma poster eller poster till obefintlig plats hindrar en användare från att avsluta en session. |
Infrastruktur
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Ny princip för villkorlig åtkomst som skapats av icke-godkända aktörer | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Lägg till princip för villkorsstyrd åtkomst Kategori: Princip Initierad av (aktör): Användarens huvudnamn |
Övervaka och avisera ändringar i villkorlig åtkomst. Initierad av (aktör): godkänd för att göra ändringar i villkorlig åtkomst? |
| Princip för villkorlig åtkomst har tagits bort av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Ta bort princip för villkorsstyrd åtkomst Kategori: Princip Initierad av (aktör): Användarens huvudnamn |
Övervaka och avisera ändringar i villkorlig åtkomst. Initierad av (aktör): godkänd för att göra ändringar i villkorlig åtkomst? |
| Princip för villkorlig åtkomst har uppdaterats av icke-godkända aktörer | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Uppdatera principen för villkorsstyrd åtkomst Kategori: Princip Initierad av (aktör): Användarens huvudnamn |
Övervaka och avisera ändringar i villkorlig åtkomst. Initierad av (aktör): godkänd för att göra ändringar i villkorlig åtkomst? Granska Ändrade egenskaper och jämför gammalt kontra nytt värde |
| Anpassad B2C-princip som skapats av icke-godkända aktörer | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Skapa anpassad princip Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera anpassade principändringar. Initierad av (aktör): godkänd för att göra ändringar i anpassade principer? |
| Anpassad B2C-princip uppdaterad av icke-godkända aktörer | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Hämta anpassade principer Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera anpassade principändringar. Initierad av (aktör): godkänd för att göra ändringar i anpassade principer? |
| Anpassad B2C-princip som tagits bort av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Ta bort anpassad princip Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera anpassade principändringar. Initierad av (aktör): godkänd för att göra ändringar i anpassade principer? |
| Användarflöde som skapats av icke-godkända aktörer | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Skapa användarflöde Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera om ändringar i användarflödet. Initierad av (aktör): godkänd för att göra ändringar i användarflöden? |
| Användarflöde uppdaterat av icke-godkända aktörer | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Uppdatera användarflöde Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera om ändringar i användarflödet. Initierad av (aktör): godkänd för att göra ändringar i användarflöden? |
| Användarflöde som tagits bort av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Ta bort användarflöde Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera om ändringar i användarflödet. Initierad av (aktör): godkänd för att göra ändringar i användarflöden? |
| API-anslutningsappar som skapats av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Skapa API-anslutningsapp Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera ändringar i API-anslutningsappen. Initierad av (aktör): godkänd för att göra ändringar i API-anslutningsappar? |
| API-anslutningsappar uppdaterade av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Uppdatera API-anslutningsappen Kategori: ResourceManagement Mål: Användarens huvudnamn: ResourceManagement |
Övervaka och avisera ändringar i API-anslutningsappen. Initierad av (aktör): godkänd för att göra ändringar i API-anslutningsappar? |
| API-anslutningsappar som tagits bort av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Uppdatera API-anslutningsappen Kategori: ResourceManagment Mål: Användarens huvudnamn: ResourceManagment |
Övervaka och avisera ändringar i API-anslutningsappen. Initierad av (aktör): godkänd för att göra ändringar i API-anslutningsappar? |
| Identitetsprovider (IdP) som skapats av icke-godkända aktörer | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Skapa identitetsprovider Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera IdP-ändringar. Initierad av (aktör): godkänd för att göra ändringar i IdP-konfigurationen? |
| IdP har uppdaterats av icke-godkända aktörer | Högst | Microsoft Entra-granskningsloggar | Aktivitet: Uppdatera identitetsprovidern Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera IdP-ändringar. Initierad av (aktör): godkänd för att göra ändringar i IdP-konfigurationen? |
| IdP borttagen av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Ta bort identitetsprovider Kategori: ResourceManagement Mål: Användarens huvudnamn |
Övervaka och avisera IdP-ändringar. Initierad av (aktör): godkänd för att göra ändringar i IdP-konfigurationen? |
Nästa steg
Mer information finns i följande artiklar om säkerhetsåtgärder:
- Guide för Microsoft Entra-säkerhetsåtgärder
- Microsoft Entra-säkerhetsåtgärder för användarkonton
- Säkerhetsåtgärder för privilegierade konton i Microsoft Entra-ID
- Microsoft Entra-säkerhetsåtgärder för Privileged Identity Management
- Microsoft Entra-säkerhetsåtgärdsguide för program
- Microsoft Entra-säkerhetsåtgärder för enheter
- Säkerhetsåtgärder för infrastruktur