Microsoft Entra-säkerhetsåtgärder för enheter
Enheter är inte ofta avsedda för identitetsbaserade attacker, men kan användas för att uppfylla och lura säkerhetskontroller, eller för att personifiera användare. Enheter kan ha en av fyra relationer med Microsoft Entra-ID:
Oregistrerat
Registrerade och anslutna enheter utfärdas en primär uppdateringstoken (PRT), som kan användas som en primär autentiseringsartefakt och i vissa fall som en artefakt för multifaktorautentisering. Angripare kan försöka registrera sina egna enheter, använda PRT på legitima enheter för att komma åt affärsdata, stjäla PRT-baserade token från legitima användarenheter eller hitta felkonfigurationer i enhetsbaserade kontroller i Microsoft Entra-ID. Med Hybridanslutna Microsoft Entra-enheter initieras och kontrolleras anslutningsprocessen av administratörer, vilket minskar de tillgängliga angreppsmetoderna.
Mer information om metoder för enhetsintegrering finns i Choose your integration methods in the article Plan your Microsoft Entra device deployment (Planera din Distribution av Microsoft Entra-enheter).
För att minska risken för att dåliga aktörer attackerar din infrastruktur via enheter övervakar du
Enhetsregistrering och Microsoft Entra-anslutning
Icke-kompatibla enheter som har åtkomst till program
BitLocker-nyckelhämtning
Enhetsadministratörsroller
Inloggningar till virtuella datorer
Var du ska titta
Loggfilerna som du använder för undersökning och övervakning är:
Från Azure-portalen kan du visa Microsoft Entra-granskningsloggarna och ladda ned som kommaavgränsade värdefiler (CSV) eller JSON-filer (JavaScript Object Notation). Azure-portalen har flera sätt att integrera Microsoft Entra-loggar med andra verktyg som möjliggör större automatisering av övervakning och aviseringar:
Microsoft Sentinel – möjliggör intelligent säkerhetsanalys på företagsnivå genom att tillhandahålla siem-funktioner (säkerhetsinformation och händelsehantering).
Sigma-regler – Sigma är en utvecklande öppen standard för att skriva regler och mallar som automatiserade hanteringsverktyg kan använda för att parsa loggfiler. Där Sigma-mallar finns för våra rekommenderade sökvillkor har vi lagt till en länk till Sigma-lagringsplatsen. Sigma-mallarna skrivs, testas och hanteras inte av Microsoft. Lagringsplatsen och mallarna skapas och samlas i stället in av den globala IT-säkerhetscommunityn.
Azure Monitor – möjliggör automatisk övervakning och avisering av olika villkor. Kan skapa eller använda arbetsböcker för att kombinera data från olika källor.
Azure Event Hubs - integrerat med en SIEM- Microsoft Entra-loggar kan integreras med andra SIEM:er som Splunk, ArcSight, QRadar och Sumo Logic via Azure Event Hubs-integreringen.
Microsoft Defender för molnet-appar – gör att du kan identifiera och hantera appar, styra mellan appar och resurser och kontrollera dina molnappars efterlevnad.
Skydda arbetsbelastningsidentiteter med Identity Protection Preview – Används för att identifiera risker för arbetsbelastningsidentiteter för inloggningsbeteende och offlineindikatorer för kompromisser.
Mycket av det du ska övervaka och varna för är effekterna av dina principer för villkorsstyrd åtkomst. Du kan använda insikter om villkorlig åtkomst och rapporteringsarbetsbok för att undersöka effekterna av en eller flera principer för villkorsstyrd åtkomst på dina inloggningar och resultatet av principer inklusive enhetstillstånd. Med den här arbetsboken kan du visa en sammanfattning och identifiera effekterna under en viss tidsperiod. Du kan också använda arbetsboken för att undersöka inloggningar för en viss användare.
Resten av den här artikeln beskriver vad vi rekommenderar att du övervakar och aviserar på, och ordnas efter typ av hot. Där det finns specifika fördefinierade lösningar länkar vi till dem eller tillhandahåller exempel som följer tabellen. Annars kan du skapa aviseringar med hjälp av föregående verktyg.
Enhetsregistreringar och kopplingar utanför principen
Microsoft Entra-registrerade och Microsoft Entra-anslutna enheter har primära uppdateringstoken (PRT), vilket motsvarar en enda autentiseringsfaktor. Dessa enheter kan ibland innehålla starka autentiseringsanspråk. Mer information om när PRT innehåller starka autentiseringsanspråk finns i När får en PRT ett MFA-anspråk? Om du vill hindra dåliga aktörer från att registrera eller ansluta enheter måste du kräva multifaktorautentisering (MFA) för att registrera eller ansluta enheter. Övervaka sedan för alla enheter som är registrerade eller anslutna utan MFA. Du måste också hålla utkik efter ändringar i MFA-inställningar och principer samt principer för enhetsefterlevnad.
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Enhetsregistrering eller anslutning har slutförts utan MFA | Medium | Inloggningsloggar | Aktivitet: lyckad autentisering till enhetsregistreringstjänsten. och Ingen MFA krävs |
Avisering när: Alla enheter som är registrerade eller anslutna utan MFA Microsoft Sentinel-mall Sigma-regler |
| Ändringar i MFA för enhetsregistrering i Microsoft Entra-ID | Högst | Granskningslogg | Aktivitet: Ange enhetsregistreringsprinciper | Leta efter: Växlingsknappen som ställs in på av. Det finns ingen granskningsloggpost. Schemalägg periodiska kontroller. Sigma-regler |
| Ändringar av principer för villkorsstyrd åtkomst som kräver domänansluten eller kompatibel enhet. | Högst | Granskningslogg | Ändringar i principer för villkorsstyrd åtkomst |
Avisering när: Ändra till en princip som kräver domänansluten eller kompatibel, ändringar av betrodda platser eller konton eller enheter som har lagts till i MFA-principundantag. |
Du kan skapa en avisering som meddelar lämpliga administratörer när en enhet är registrerad eller ansluten utan MFA med hjälp av Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Du kan också använda Microsoft Intune för att ange och övervaka enhetsefterlevnadsprinciper.
Inkompatibel enhetsinloggning
Det kanske inte går att blockera åtkomst till alla moln- och program som en tjänst-program med principer för villkorsstyrd åtkomst som kräver kompatibla enheter.
Hantering av mobila enheter (MDM) hjälper dig att hålla Windows 10-enheter kompatibla. Med Windows version 1809 släppte vi en säkerhetsbaslinje för principer. Microsoft Entra-ID kan integreras med MDM för att framtvinga enhetsefterlevnad med företagsprinciper och kan rapportera en enhets efterlevnadsstatus.
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Inloggningar av icke-kompatibla enheter | Högst | Inloggningsloggar | DeviceDetail.isCompliant == false | Om du behöver inloggning från kompatibla enheter, avisera när: logga in av icke-kompatibla enheter eller någon åtkomst utan MFA eller en betrodd plats. Om du arbetar med att kräva enheter övervakar du misstänkta inloggningar. |
| Inloggningar av okända enheter | Lägst | Inloggningsloggar | DeviceDetail är tom, enfaktorautentisering eller från en icke-betrodd plats | Leta efter: all åtkomst från enheter med bristande efterlevnad, all åtkomst utan MFA eller betrodd plats Microsoft Sentinel-mall Sigma-regler |
Använda LogAnalytics för att fråga
Inloggningar av icke-kompatibla enheter
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Inloggningar av okända enheter
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Inaktuella enheter
Inaktuella enheter innehåller enheter som inte har loggat in under en angiven tidsperiod. Enheter kan bli inaktuella när en användare får en ny enhet eller förlorar en enhet, eller när en Microsoft Entra-ansluten enhet rensas eller återskapas. Enheter kan också förbli registrerade eller anslutna när användaren inte längre är associerad med klientorganisationen. Inaktuella enheter bör tas bort så att de primära uppdateringstoken (PRT) inte kan användas.
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Senaste inloggningsdatum | Lägst | Graph API | approxLastSignInDateTime | Använd Graph API eller PowerShell för att identifiera och ta bort inaktuella enheter. |
BitLocker-nyckelhämtning
Angripare som har komprometterat en användares enhet kan hämta BitLocker-nycklarna i Microsoft Entra-ID. Det är ovanligt att användare hämtar nycklar och bör övervakas och undersökas.
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Nyckelhämtning | Medium | Granskningsloggar | OperationName == "Read BitLocker key" | Leta efter: nyckelhämtning, annat avvikande beteende för användare som hämtar nycklar. Microsoft Sentinel-mall Sigma-regler |
I LogAnalytics skapar du en fråga, till exempel
AuditLogs
| where OperationName == "Read BitLocker key"
Enhetsadministratörsroller
Globala administratörer och molnenhetsadministratörer får automatiskt lokal administratörsbehörighet på alla Microsoft Entra-anslutna enheter. Det är viktigt att övervaka vem som har dessa rättigheter för att skydda din miljö.
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Användare som har lagts till i globala roller eller enhetsadministratörsroller | Högst | Granskningsloggar | Aktivitetstyp = Lägg till medlem i rollen. | Leta efter: nya användare har lagts till i dessa Microsoft Entra-roller, efterföljande avvikande beteende av datorer eller användare. Microsoft Sentinel-mall Sigma-regler |
Icke-Azure AD-inloggningar till virtuella datorer
Inloggningar till virtuella Windows- eller LINUX-datorer ska övervakas för inloggningar av andra konton än Microsoft Entra-konton.
Microsoft Entra-inloggning för LINUX
Med Microsoft Entra-inloggning för LINUX kan organisationer logga in på sina virtuella Azure LINUX-datorer med hjälp av Microsoft Entra-konton via SSH (Secure Shell Protocol).
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Inloggning med icke-Azure AD-konto, särskilt via SSH | Högst | Lokala autentiseringsloggar | Ubuntu: övervaka /var/log/auth.log för SSH-användning Redhat: övervaka /var/log/sssd/ för SSH-användning |
Leta efter: poster där icke-Azure AD-konton ansluter till virtuella datorer. Se följande exempel. |
Ubuntu-exempel:
9 maj 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; användare: localusertest01
9 maj 23:49:39 ubuntu1804 aad_certhandler[3915]: Användaren "localusertest01" är inte en Microsoft Entra-användare; returnerar ett tomt resultat.
9 maj 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; användare: localusertest01
9 maj 23:49:43 ubuntu1804 aad_certhandler[3916]: Användaren "localusertest01" är inte en Microsoft Entra-användare; returnerar ett tomt resultat.
9 maj 23:49:43 ubuntu1804 sshd[3909]: Accepterad offentligt för localusertest01 från 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9 maj 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session öppen för användaren localusertest01 av (uid=0).
Du kan ange princip för inloggningar för virtuella LINUX-datorer och identifiera och flagga virtuella Linux-datorer som har icke-godkända lokala konton tillagda. Mer information finns i Använda Azure Policy för att säkerställa standarder och utvärdera efterlevnad.
Microsoft Entra-inloggningar för Windows Server
Med Microsoft Entra-inloggning för Windows kan din organisation logga in på dina virtuella Azure Windows 2019+-datorer med hjälp av Microsoft Entra-konton via fjärrskrivbordsprotokoll (RDP).
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Inloggning med icke-Azure AD-konto, särskilt via RDP | Högst | Windows Server-händelseloggar | Interaktiv inloggning till en virtuell Windows-dator | Händelse 528, inloggningstyp 10 (RemoteInteractive). Visar när en användare loggar in via Terminal Services eller Fjärrskrivbord. |
Nästa steg
Översikt över Microsoft Entra-säkerhetsåtgärder
Säkerhetsåtgärder för användarkonton
Säkerhetsåtgärder för konsumentkonton
Säkerhetsåtgärder för privilegierade konton