Säkerhetsåtgärder för privilegierade konton i Microsoft Entra-ID
Säkerheten för affärstillgångar beror på integriteten för de privilegierade konton som administrerar dina IT-system. Cyberattacker använder stöldattacker med autentiseringsuppgifter och andra sätt att rikta in sig på privilegierade konton och få åtkomst till känsliga data.
Traditionellt har organisationens säkerhet fokuserat på in- och slutpunkter i ett nätverk som säkerhetsperimeter. Program som en tjänst (SaaS) och personliga enheter på Internet har dock gjort den här metoden mindre effektiv.
Microsoft Entra ID använder identitets- och åtkomsthantering (IAM) som kontrollplan. I organisationens identitetslager har användare som tilldelats privilegierade administrativa roller kontroll. Kontona som används för åtkomst måste skyddas, oavsett om miljön är lokal, i molnet eller en hybridmiljö.
Du är helt ansvarig för alla säkerhetslager för din lokala IT-miljö. När du använder Azure-tjänster är förebyggande och svar microsofts gemensamma ansvar som molntjänstleverantör och du som kund.
- Mer information om modellen med delat ansvar finns i Delat ansvar i molnet.
- Mer information om hur du skyddar åtkomst för privilegierade användare finns i Skydda privilegierad åtkomst för hybrid- och molndistributioner i Microsoft Entra-ID.
- En mängd olika videor, instruktioner och innehåll för viktiga begrepp för privilegierad identitet finns i dokumentationen om privileged Identity Management.
Loggfiler att övervaka
Loggfilerna som du använder för undersökning och övervakning är:
Från Azure-portalen kan du visa Microsoft Entra-granskningsloggarna och ladda ned som kommaavgränsade värdefiler (CSV) eller JSON-filer (JavaScript Object Notation). Azure-portalen har flera sätt att integrera Microsoft Entra-loggar med andra verktyg som möjliggör större automatisering av övervakning och aviseringar:
Microsoft Sentinel. Möjliggör intelligent säkerhetsanalys på företagsnivå genom att tillhandahålla siem-funktioner (säkerhetsinformation och händelsehantering).
Sigma-regler – Sigma är en utvecklande öppen standard för att skriva regler och mallar som automatiserade hanteringsverktyg kan använda för att parsa loggfiler. Där Sigma-mallar finns för våra rekommenderade sökvillkor har vi lagt till en länk till Sigma-lagringsplatsen. Sigma-mallarna är inte skrivna, testade och hanterade av Microsoft. Lagringsplatsen och mallarna skapas och samlas i stället in av den globala IT-säkerhetscommunityn.
Azure Monitor. Möjliggör automatisk övervakning och avisering av olika villkor. Kan skapa eller använda arbetsböcker för att kombinera data från olika källor.
Azure Event Hubs integrerat med en SIEM. Gör att Microsoft Entra-loggar kan skickas till andra SIEM:er som Splunk, ArcSight, QRadar och Sumo Logic via Azure Event Hubs-integreringen. Mer information finns i Strömma Microsoft Entra-loggar till en Azure-händelsehubb.
Microsoft Defender för molnet Apps. Gör att du kan identifiera och hantera appar, styra mellan appar och resurser och kontrollera dina molnappars efterlevnad.
Microsoft Graph. Gör att du kan exportera data och använda Microsoft Graph för att göra mer analys. Mer information finns i Microsoft Graph PowerShell SDK och Microsoft Entra ID Protection.
Identitetsskydd. Genererar tre viktiga rapporter som du kan använda för att hjälpa dig med din undersökning:
Riskfyllda användare. Innehåller information om vilka användare som är i riskzonen, information om identifieringar, historik för alla riskfyllda inloggningar och riskhistorik.
Riskfyllda inloggningar. Innehåller information om en inloggning som kan tyda på misstänkta omständigheter. Mer information om hur du undersöker information från den här rapporten finns i Undersöka risker.
Riskidentifieringar. Innehåller information om andra risker som utlöses när en risk identifieras och annan relevant information, till exempel inloggningsplats och information från Microsoft Defender för molnet Apps.
Skydda arbetsbelastningsidentiteter med Identity Protection Preview. Använd för att identifiera risker för arbetsbelastningsidentiteter för inloggningsbeteende och offlineindikatorer för kompromisser.
Även om vi avråder från metoden kan privilegierade konton ha stående administrationsrättigheter. Om du väljer att använda stående privilegier och kontot komprometteras kan det ha en starkt negativ effekt. Vi rekommenderar att du prioriterar övervakning av privilegierade konton och inkluderar kontona i din PIM-konfiguration (Privileged Identity Management). Mer information om PIM finns i Börja använda Privileged Identity Management. Vi rekommenderar också att du verifierar att administratörskonton:
- Krävs.
- Ha minst behörighet att köra Kräv-aktiviteterna.
- Skyddas med multifaktorautentisering som minst.
- Körs från PAW-enheter (Privileged Access Workstation) eller secure admin workstation (SAW).
I resten av den här artikeln beskrivs vad vi rekommenderar att du övervakar och varnar om. Artikeln organiseras efter typ av hot. Där det finns specifika fördefinierade lösningar länkar vi till dem efter tabellen. Annars kan du skapa aviseringar med hjälp av de verktyg som beskrivs ovan.
Den här artikeln innehåller information om hur du anger baslinjer och granskar inloggning och användning av privilegierade konton. Den beskriver även verktyg och resurser som du kan använda för att upprätthålla integriteten för dina privilegierade konton. Innehållet är uppdelat i följande ämnen:
- Nödkonton för "break-glass"
- Inloggning med privilegierat konto
- Privilegierade kontoändringar
- Privilegierade grupper
- Behörighetstilldelning och utökade privilegier
Konton för nödåtkomst
Det är viktigt att du förhindrar att du oavsiktligt blir utelåst från din Microsoft Entra-klientorganisation. Du kan minska effekten av en oavsiktlig utelåsning genom att skapa konton för nödåtkomst i din organisation. Konton för nödåtkomst kallas också för break-glass-konton, som i "break glass in case of emergency" meddelanden som finns på fysisk säkerhetsutrustning som brandlarm.
Konton för nödåtkomst är mycket privilegierade och de tilldelas inte till specifika personer. Konton för nödåtkomst är begränsade till nödsituations- eller break-glass-scenarier där normala privilegierade konton inte kan användas. Ett exempel är när en princip för villkorsstyrd åtkomst är felkonfigurerad och låser alla normala administrativa konton. Begränsa användningen av nödsituationskonton till endast de tider då det är absolut nödvändigt.
Vägledning om vad du ska göra i en nödsituation finns i Säker åtkomstpraxis för administratörer i Microsoft Entra-ID.
Skicka en avisering med hög prioritet varje gång ett konto för nödåtkomst används.
Identifiering
Eftersom break-glass-konton endast används om det är en nödsituation bör din övervakning inte identifiera någon kontoaktivitet. Skicka en avisering med hög prioritet varje gång ett konto för nödåtkomst används eller ändras. Någon av följande händelser kan tyda på att en dålig aktör försöker kompromettera dina miljöer:
- Logga in.
- Kontolösenordsändring.
- Kontobehörighet eller roller har ändrats.
- Autentiserings- eller autentiseringsmetod har lagts till eller ändrats.
Mer information om hur du hanterar konton för nödåtkomst finns i Hantera administratörskonton för nödåtkomst i Microsoft Entra-ID. Detaljerad information om hur du skapar en avisering för ett nödkonto finns i Skapa en aviseringsregel.
Inloggning med privilegierat konto
Övervaka all inloggningsaktivitet för privilegierade konton med hjälp av Inloggningsloggarna för Microsoft Entra som datakälla. Förutom information om lyckade och misslyckade inloggningar innehåller loggarna följande information:
- Avbryter
- Enhet
- Plats
- Risk
- Program
- Datum och tid
- Är kontot inaktiverat
- Lockout
- MFA-bedrägeri
- Fel med villkorsstyrd åtkomst
Saker att övervaka
Du kan övervaka inloggningshändelser för privilegierade konton i inloggningsloggarna för Microsoft Entra. Avisera om och undersök följande händelser för privilegierade konton.
| Vad du ska övervaka | Risknivå | Där | Filter/underfilter | Kommentar |
|---|---|---|---|---|
| Inloggningsfel, tröskelvärde för felaktigt lösenord | Högt | Inloggningslogg för Microsoft Entra | Status = Fel -och- felkod = 50126 |
Definiera ett baslinjetröskelvärde och övervaka och justera sedan så att det passar organisationens beteenden och begränsa att falska aviseringar genereras. Microsoft Sentinel-mall Sigma-regler |
| Fel på grund av krav på villkorsstyrd åtkomst | Högt | Inloggningslogg för Microsoft Entra | Status = Fel -och- felkod = 53003 -och- Felorsak = Blockerad av villkorlig åtkomst |
Den här händelsen kan vara en indikation på att en angripare försöker komma in på kontot. Microsoft Sentinel-mall Sigma-regler |
| Privilegierade konton som inte följer namngivningsprincipen | Azure-prenumeration | Lista Azure-rolltilldelningar med hjälp av Azure-portalen | Lista rolltilldelningar för prenumerationer och aviseringar där inloggningsnamnet inte matchar organisationens format. Ett exempel är användningen av ADM_ som prefix. | |
| Avbryta | Hög, medelhög | Microsoft Entra-inloggningar | Status = Avbruten -och- felkod = 50074 -och- Felorsak = Stark autentisering krävs Status = Avbruten -och- Felkod = 500121 Felorsak = Autentiseringen misslyckades under begäran om stark autentisering |
Den här händelsen kan vara en indikation på att en angripare har lösenordet för kontot men inte kan klara multifaktorautentiseringsutmaningen. Microsoft Sentinel-mall Sigma-regler |
| Privilegierade konton som inte följer namngivningsprincipen | Högt | Microsoft Entra-katalog | Visa en lista över rolltilldelningar i Microsoft Entra | Lista rolltilldelningar för Microsoft Entra-roller och aviseringar där UPN inte matchar organisationens format. Ett exempel är användningen av ADM_ som prefix. |
| Identifiera privilegierade konton som inte har registrerats för multifaktorautentisering | Högt | Microsoft Graph API | Fråga efter IsMFARegistered eq false för administratörskonton. Lista credentialUserRegistrationDetails – Betaversionen av Microsoft Graph | Granska och undersöka för att avgöra om händelsen är avsiktlig eller ett förbiseende. |
| Kontoutelåsning | Högt | Inloggningslogg för Microsoft Entra | Status = Fel -och- felkod = 50053 |
Definiera ett baslinjetröskelvärde och övervaka och justera sedan så att det passar organisationens beteenden och begränsa att falska aviseringar genereras. Microsoft Sentinel-mall Sigma-regler |
| Kontot har inaktiverats eller blockerats för inloggningar | Låg | Inloggningslogg för Microsoft Entra | Status = Fel -och- Target = User UPN -och- felkod = 50057 |
Den här händelsen kan tyda på att någon försöker få åtkomst till ett konto när de har lämnat organisationen. Även om kontot är blockerat är det fortfarande viktigt att logga och avisera om den här aktiviteten. Microsoft Sentinel-mall Sigma-regler |
| MFA-bedrägerivarning eller blockering | Högt | Microsoft Entra-inloggningslogg/Azure Log Analytics | Inloggningsautentiseringsinformation>Resultatinformation = MFA nekad, bedrägerikod angiven | Privilegierad användare har angett att de inte har initierat uppmaningen om multifaktorautentisering, vilket kan tyda på att en angripare har lösenordet för kontot. Microsoft Sentinel-mall Sigma-regler |
| MFA-bedrägerivarning eller blockering | Högt | Microsoft Entra-granskningslogg/Azure Log Analytics | Aktivitetstyp = Bedrägerirapporterat – Användaren blockeras för MFA eller bedrägeri rapporteras – Inga åtgärder vidtas (baserat på inställningar på klientnivå för bedrägerirapport) | Privilegierad användare har angett att de inte har initierat uppmaningen om multifaktorautentisering, vilket kan tyda på att en angripare har lösenordet för kontot. Microsoft Sentinel-mall Sigma-regler |
| Privilegierade kontoinloggningar utanför förväntade kontroller | Inloggningslogg för Microsoft Entra | Status = Fel UserPricipalName = <Administratörskonto> Plats = <ej godkänd plats> IP-adress = <ej godkänd IP-adress> Enhetsinformation = <ej godkänd webbläsare, operativsystem> |
Övervaka och avisera om poster som du har definierat som ej godkända. Microsoft Sentinel-mall Sigma-regler |
|
| Utanför normala inloggningstider | Högt | Inloggningslogg för Microsoft Entra | Status = Lyckades -och- Plats = -och- Tid = Utanför arbetstid |
Övervaka och varna om inloggningar inträffar utanför förväntade tider. Det är viktigt att hitta det normala arbetsmönstret för varje privilegierat konto och att avisera om det finns oplanerade ändringar utanför normal arbetstid. Inloggningar utanför normal arbetstid kan tyda på komprometterande eller möjliga insiderhot. Microsoft Sentinel-mall Sigma-regler |
| Identitetsskyddsrisk | Högt | Identitetsskyddsloggar | Risktillstånd = I riskzonen -och- Risknivå = Låg, medelhög, hög -och- Aktivitet = Obekant inloggning/TOR och så vidare |
Den här händelsen anger att det finns vissa avvikelser som har identifierats med inloggningen för kontot och bör aviseras på. |
| Lösenordsändring | Högt | Microsoft Entra-granskningsloggar | Aktivitetsskådespelare = Administratör/självbetjäning -och- Mål = användare -och- Status = Lyckad eller misslyckad |
Avisering om eventuella ändringar av administratörskontots lösenord, särskilt för globala administratörer, användaradministratörer och konton för nödåtkomst. Skriv en fråga som är riktad till alla privilegierade konton. Microsoft Sentinel-mall Sigma-regler |
| Ändring i äldre autentiseringsprotokoll | Högt | Inloggningslogg för Microsoft Entra | Klientapp = Annan klient, IMAP, POP3, MAPI, SMTP och så vidare -och- Användarnamn = UPN -och- Application = Exchange (exempel) |
Många attacker använder äldre autentisering, så om det sker en ändring i autentiseringsprotokollet för användaren kan det vara en indikation på en attack. Microsoft Sentinel-mall Sigma-regler |
| Ny enhet eller plats | Högt | Inloggningslogg för Microsoft Entra | Enhetsinformation = Enhets-ID -och- Webbläsare -och- OS -och- Kompatibel/hanterad -och- Mål = användare -och- Plats |
De flesta administratörsaktiviteter bör komma från privilegierade åtkomstenheter från ett begränsat antal platser. Av den anledningen aviserar du på nya enheter eller platser. Microsoft Sentinel-mall Sigma-regler |
| Inställningen För granskningsaviseringar ändras | Högt | Microsoft Entra-granskningsloggar | Tjänst = PIM -och- Kategori = Rollhantering -och- Aktivitet = Inaktivera PIM-avisering -och- Status = Lyckades |
Ändringar i en kärnavisering bör aviseras om det är oväntat. Microsoft Sentinel-mall Sigma-regler |
| Administratörer som autentiserar till andra Microsoft Entra-klienter | Medium | Inloggningslogg för Microsoft Entra | Status = lyckades Resursklient-ID != Hemklient-ID |
När den här övervakaren är begränsad till privilegierade användare identifieras när en administratör har autentiserats till en annan Microsoft Entra-klientorganisation med en identitet i organisationens klientorganisation. Avisering om Resource TenantID inte är lika med hemklient-ID Microsoft Sentinel-mall Sigma-regler |
| Administratörsanvändartillståndet har ändrats från gäst till medlem | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Uppdatera användare Kategori: UserManagement UserType har ändrats från gäst till medlem |
Övervaka och varna vid ändring av användartyp från Gäst till Medlem. Förväntades den här ändringen? Microsoft Sentinel-mall Sigma-regler |
| Gästanvändare som bjuds in till klientorganisationen av icke-godkända inbjudna | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Bjud in extern användare Kategori: UserManagement Initierad av (aktör): Användarens huvudnamn |
Övervaka och varna icke-godkända aktörer som bjuder in externa användare. Microsoft Sentinel-mall Sigma-regler |
Ändringar efter privilegierade konton
Övervaka alla slutförda och försök till ändringar av ett privilegierat konto. Med dessa data kan du fastställa vad som är normal aktivitet för varje privilegierat konto och avisering om aktivitet som avviker från det förväntade. Microsoft Entra-granskningsloggarna används för att registrera den här typen av händelse. Mer information om Microsoft Entra-granskningsloggar finns i Granskningsloggar i Microsoft Entra-ID.
Microsoft Entra Domain Services
Privilegierade konton som har tilldelats behörigheter i Microsoft Entra Domain Services kan utföra uppgifter för Microsoft Entra Domain Services som påverkar säkerhetsstatusen för dina virtuella Azure-värddatorer som använder Microsoft Entra Domain Services. Aktivera säkerhetsgranskningar på virtuella datorer och övervaka loggarna. Mer information om hur du aktiverar Microsoft Entra Domain Services-granskningar och en lista över känsliga privilegier finns i följande resurser:
- Aktivera säkerhetsgranskningar för Microsoft Entra Domain Services
- Granska användning av känslig behörighet
| Vad du ska övervaka | Risknivå | Där | Filter/underfilter | Kommentar |
|---|---|---|---|---|
| Försök till och slutförda ändringar | Högt | Microsoft Entra-granskningsloggar | Datum och tid -och- Tjänst -och- Aktivitetskategori och -namn (vad) -och- Status = Lyckad eller misslyckad -och- Mål -och- Initierare eller aktör (vem) |
Eventuella oplanerade ändringar bör aviseras omedelbart. Dessa loggar bör behållas för att hjälpa till med alla undersökningar. Eventuella ändringar på klientnivå bör undersökas omedelbart (länka ut till Infra-dokumentet) som skulle sänka klientorganisationens säkerhetsstatus. Ett exempel är att undanta konton från multifaktorautentisering eller villkorsstyrd åtkomst. Avisera om eventuella tillägg eller ändringar i program. Se Microsoft Entra-säkerhetsåtgärdsguiden för program. |
| Exempel Försök till eller slutförd ändring av appar eller tjänster med högt värde |
Högt | Granskningslogg | Tjänst -och- Aktivitetskategori och namn |
Datum och tid, Tjänst, Kategori och namn på aktiviteten, Status = Lyckad eller misslyckad, Mål, Initierare eller aktör (vem) |
| Privilegierade ändringar i Microsoft Entra Domain Services | Högt | Microsoft Entra Domain Services | Leta efter händelse 4673 | Aktivera säkerhetsgranskningar för Microsoft Entra Domain Services En lista över alla privilegierade händelser finns i Granska användning av känsliga privilegier. |
Ändringar i privilegierade konton
Undersök ändringar av privilegierade kontons autentiseringsregler och behörigheter, särskilt om ändringen ger större behörighet eller möjlighet att utföra uppgifter i Din Microsoft Entra-miljö.
| Vad du ska övervaka | Risknivå | Där | Filter/underfilter | Kommentar |
|---|---|---|---|---|
| Skapande av privilegierat konto | Medium | Microsoft Entra-granskningsloggar | Service = Core Directory -och- Kategori = Användarhantering -och- Aktivitetstyp = Lägg till användare -korrelera med- Kategorityp = Rollhantering -och- Aktivitetstyp = Lägg till medlem i rollen -och- Ändrade egenskaper = Role.DisplayName |
Övervaka skapandet av privilegierade konton. Leta efter korrelation som har en kort tidsperiod mellan skapande och borttagning av konton. Microsoft Sentinel-mall Sigma-regler |
| Ändringar i autentiseringsmetoder | Högt | Microsoft Entra-granskningsloggar | Tjänst = autentiseringsmetod -och- Aktivitetstyp = Användarregistrerad säkerhetsinformation -och- Kategori = Användarhantering |
Den här ändringen kan vara en indikation på att en angripare lägger till en autentiseringsmetod i kontot så att de kan ha fortsatt åtkomst. Microsoft Sentinel-mall Sigma-regler |
| Avisering om ändringar av privilegierade kontobehörigheter | Högt | Microsoft Entra-granskningsloggar | Kategori = Rollhantering -och- Aktivitetstyp = Lägg till berättigad medlem (permanent) -eller- Aktivitetstyp = Lägg till berättigad medlem (berättigad) -och- Status = Lyckad eller misslyckad -och- Ändrade egenskaper = Role.DisplayName |
Den här aviseringen gäller särskilt för konton som tilldelas roller som inte är kända eller som ligger utanför deras normala ansvarsområden. Sigma-regler |
| Oanvända privilegierade konton | Medium | Microsoft Entra-åtkomstgranskningar | Utför en månatlig granskning för inaktiva privilegierade användarkonton. Sigma-regler |
|
| Konton som är undantagna från villkorlig åtkomst | Högt | Azure Monitor-loggar -eller- Åtkomstgranskningar |
Villkorlig åtkomst = Insikter och rapportering | Alla konton som är undantagna från villkorlig åtkomst kringgår sannolikt säkerhetskontroller och är mer sårbara för kompromisser. Break-glass-konton är undantagna. Se information om hur du övervakar break-glass-konton senare i den här artikeln. |
| Tillägg av ett tillfälligt åtkomstpass till ett privilegierat konto | Högt | Microsoft Entra-granskningsloggar | Aktivitet: Administratörsregistrerad säkerhetsinformation Statusorsak: Administratörsregistrerad tillfällig åtkomstpassmetod för användare Kategori: UserManagement Initierad av (aktör): Användarens huvudnamn Mål: Användarens huvudnamn |
Övervaka och varna för ett tillfälligt åtkomstpass som skapas för en privilegierad användare. Microsoft Sentinel-mall Sigma-regler |
Mer information om hur du övervakar undantag från principer för villkorsstyrd åtkomst finns i Insikter om villkorlig åtkomst och rapportering.
Mer information om hur du identifierar oanvända privilegierade konton finns i Skapa en åtkomstgranskning av Microsoft Entra-roller i Privileged Identity Management.
Tilldelning och höjning
Att ha privilegierade konton som är permanent etablerade med förhöjda förmågor kan öka attackytan och risken för din säkerhetsgräns. Använd i stället just-in-time-åtkomst med hjälp av en höjningsprocedur. Med den här typen av system kan du tilldela behörighet för privilegierade roller. Administratörer höjer sina privilegier till dessa roller endast när de utför uppgifter som behöver dessa privilegier. Med hjälp av en höjningsprocess kan du övervaka utökade privilegier och icke-användning av privilegierade konton.
Upprätta en baslinje
Om du vill övervaka undantag måste du först skapa en baslinje. Fastställa följande information för dessa element
Administratörskonton
- Din strategi för privilegierat konto
- Användning av lokala konton för att administrera lokala resurser
- Användning av molnbaserade konton för att administrera molnbaserade resurser
- Metod för att separera och övervaka administrativa behörigheter för lokala och molnbaserade resurser
Privilegierat rollskydd
- Skyddsstrategi för roller som har administratörsbehörighet
- Organisationsprincip för att använda privilegierade konton
- Strategi och principer för att upprätthålla permanent behörighet jämfört med att tillhandahålla tidsbunden och godkänd åtkomst
Följande begrepp och information hjälper dig att fastställa principer:
- Principer för just-in-time-administratör. Använd Microsoft Entra-loggarna för att samla in information för att utföra administrativa uppgifter som är vanliga i din miljö. Fastställ den typiska tid som krävs för att slutföra uppgifterna.
- Tillräckligt med administratörsprinciper. Fastställ den minst privilegierade rollen, som kan vara en anpassad roll, som behövs för administrativa uppgifter. Mer information finns i Minst privilegierade roller efter uppgift i Microsoft Entra-ID.
- Upprätta en höjningsprincip. När du har fått insikter om vilken typ av förhöjd behörighet som krävs och hur lång tid som krävs för varje uppgift skapar du principer som återspeglar förhöjd privilegierad användning för din miljö. Definiera till exempel en princip för att begränsa rollhöjningen till en timme.
När du har upprättat din baslinje och angett en princip kan du konfigurera övervakning för att identifiera och avisera användning utanför principen.
Identifiering
Var särskilt uppmärksam på och undersöka ändringar i tilldelning och utökade privilegier.
Saker att övervaka
Du kan övervaka privilegierade kontoändringar med hjälp av Microsoft Entra-granskningsloggar och Azure Monitor-loggar. Inkludera följande ändringar i övervakningsprocessen.
| Vad du ska övervaka | Risknivå | Där | Filter/underfilter | Kommentar |
|---|---|---|---|---|
| Har lagts till i berättigad privilegierad roll | Högt | Microsoft Entra-granskningsloggar | Tjänst = PIM -och- Kategori = Rollhantering -och- Aktivitetstyp = Lägg till medlem i rollen slutförd (berättigad) -och- Status = Lyckad eller misslyckad -och- Ändrade egenskaper = Role.DisplayName |
Alla konton som är berättigade till en roll får nu privilegierad åtkomst. Om tilldelningen är oväntad eller i en roll som inte är kontoinnehavarens ansvar ska du undersöka. Microsoft Sentinel-mall Sigma-regler |
| Roller som tilldelats utanför PIM | Högt | Microsoft Entra-granskningsloggar | Tjänst = PIM -och- Kategori = Rollhantering -och- Aktivitetstyp = Lägg till medlem i rollen (permanent) -och- Status = Lyckad eller misslyckad -och- Ändrade egenskaper = Role.DisplayName |
Dessa roller bör övervakas noggrant och aviseras. Användare bör inte tilldelas roller utanför PIM där det är möjligt. Microsoft Sentinel-mall Sigma-regler |
| Höjder | Medium | Microsoft Entra-granskningsloggar | Tjänst = PIM -och- Kategori = Rollhantering -och- Aktivitetstyp = Lägg till medlem i rollen slutförd (PIM-aktivering) -och- Status = Lyckad eller misslyckad -och- Ändrade egenskaper = Role.DisplayName |
När ett privilegierat konto har utökats kan det nu göra ändringar som kan påverka säkerheten för din klientorganisation. Alla utökade privilegier ska loggas och, om de sker utanför standardmönstret för den användaren, bör aviseras och undersökas om de inte är planerade. |
| Godkännanden och neka höjning | Låg | Microsoft Entra-granskningsloggar | Tjänst = Åtkomstgranskning -och- Kategori = UserManagement -och- Aktivitetstyp = Begäran godkänd eller nekad -och- Initierad aktör = UPN |
Övervaka alla utökade privilegier eftersom det kan ge en tydlig indikation på tidslinjen för en attack. Microsoft Sentinel-mall Sigma-regler |
| Ändringar i PIM-inställningar | Högt | Microsoft Entra-granskningsloggar | Tjänst = PIM -och- Kategori = Rollhantering -och- Aktivitetstyp = Uppdatera rollinställning i PIM -och- Statusorsak = MFA vid aktivering inaktiverad (exempel) |
En av dessa åtgärder kan minska säkerheten för PIM-höjningen och göra det enklare för angripare att skaffa ett privilegierat konto. Microsoft Sentinel-mall Sigma-regler |
| Höjningen sker inte på SAW/PAW | Högt | Inloggningsloggar för Microsoft Entra | Enhets-ID -och- Webbläsare -och- OS -och- Kompatibel/hanterad Korrelera med: Tjänst = PIM -och- Kategori = Rollhantering -och- Aktivitetstyp = Lägg till medlem i rollen slutförd (PIM-aktivering) -och- Status = Lyckad eller misslyckad -och- Ändrade egenskaper = Role.DisplayName |
Om den här ändringen har konfigurerats bör alla försök att höja på en icke-PAW/SAW-enhet undersökas omedelbart eftersom det kan tyda på att en angripare försöker använda kontot. Sigma-regler |
| Utöka för att hantera alla Azure-prenumerationer | Högt | Azure Monitor | Fliken Aktivitetslogg Fliken Katalogaktivitet Åtgärdsnamn = Tilldelar anroparen till administratören för användaråtkomst -Och- Händelsekategori = Administrativ -och- Status = Lyckades, starta, misslyckas -och- Händelse initierad av |
Den här ändringen bör undersökas omedelbart om den inte är planerad. Den här inställningen kan ge en angripare åtkomst till Azure-prenumerationer i din miljö. |
Mer information om hur du hanterar utökade privilegier finns i Höja åtkomsten för att hantera alla Azure-prenumerationer och hanteringsgrupper. Information om hur du övervakar utökade privilegier med hjälp av information som är tillgänglig i Microsoft Entra-loggarna finns i Azure-aktivitetsloggen, som ingår i Azure Monitor-dokumentationen.
Information om hur du konfigurerar aviseringar för Azure-roller finns i Konfigurera säkerhetsaviseringar för Azure-resursroller i Privileged Identity Management.
Nästa steg
Se följande artiklar i guiden för säkerhetsåtgärder:
Översikt över Microsoft Entra-säkerhetsåtgärder
Säkerhetsåtgärder för användarkonton
Säkerhetsåtgärder för konsumentkonton