Dela via

Andra områden i Nolltillit som behandlas i memorandum 22-09

  • Artikel

De andra artiklarna i denna vägledning handlar om identitetspelare i Nolltillit principer, enligt beskrivningen i det amerikanska kontoret för förvaltning och budget (OMB) M 22-09 memorandum för cheferna för verkställande avdelningar och byråer. Den här artikeln beskriver Nolltillit mognadsmodellområden utanför identitetspelare och behandlar följande teman:

  • Synlighet
  • Analyser
  • Automatisering och orkestrering
  • Kontroll

Synlighet

Det är viktigt att övervaka din Microsoft Entra-klientorganisation. Anta ett tankesätt för överträdelser och uppfylla efterlevnadsstandarderna i memorandum 22-09 och Memorandum 21-31. Tre primära loggtyper används för säkerhetsanalys och inmatning:

  • Azure-granskningsloggar för att övervaka driftsaktiviteter i katalogen, till exempel skapa, ta bort, uppdatera objekt som användare eller grupper
    • Använd även för att göra ändringar i Microsoft Entra-konfigurationer, till exempel ändringar i en princip för villkorsstyrd åtkomst
    • Se Granska loggar i Microsoft Entra-ID
  • Etableringsloggar innehåller information om objekt som synkroniserats från Microsoft Entra-ID till program som Service Now med Microsoft Identity Manager
  • Microsoft Entra-inloggningsloggar för att övervaka inloggningsaktiviteter som är associerade med användare, program och tjänstens huvudnamn.
    • Inloggningsloggar har kategorier för differentiering
    • Interaktiva inloggningar visar lyckade och misslyckade inloggningar, tillämpade principer och andra metadata
    • Icke-interaktiva användarinloggningar visar ingen interaktion under inloggningen: klienter som loggar in för användarens räkning, till exempel mobilprogram eller e-postklienter
    • Inloggningar med tjänstens huvudnamn visar tjänstens huvudnamn eller programinloggning: tjänster eller program som har åtkomst till tjänster, program eller Microsoft Entra-katalogen via REST-API:et
    • Hanterade identiteter för Azure-resursinloggning: Azure-resurser eller program som har åtkomst till Azure-resurser, till exempel en webbprogramtjänst som autentiserar till en Azure SQL-serverdel.
    • Se Inloggningsloggar i Microsoft Entra-ID (förhandsversion)

I Kostnadsfria Klientorganisationer för Microsoft Entra ID lagras loggposter i sju dagar. Klientorganisationer med en Microsoft Entra ID P1- eller P2-licens behåller loggposter i 30 dagar.

Se till att ett SIEM-verktyg (säkerhetsinformation och händelsehantering) matar in loggar. Använd inloggnings- och granskningshändelser för att korrelera med program-, infrastruktur-, data-, enhets- och nätverksloggar.

Vi rekommenderar att du integrerar Microsoft Entra-loggar med Microsoft Sentinel. Konfigurera en anslutningsapp för att mata in Microsoft Entra-klientloggar.

Läs mer:

För Microsoft Entra-klientorganisationen kan du konfigurera diagnostikinställningarna för att skicka data till ett Azure Storage-konto, Azure Event Hubs eller en Log Analytics-arbetsyta. Använd dessa lagringsalternativ för att integrera andra SIEM-verktyg för att samla in data.

Läs mer:

Analyser

Du kan använda analys i följande verktyg för att aggregera information från Microsoft Entra-ID och visa trender i din säkerhetsstatus jämfört med din baslinje. Du kan också använda analys för att utvärdera och leta efter mönster eller hot i Microsoft Entra-ID.

  • Microsoft Entra ID Protection analyserar inloggningar och andra telemetrikällor för riskfyllt beteende
    • Identity Protection tilldelar en riskpoäng till inloggningshändelser
    • Förhindra inloggningar eller framtvinga en stegvis autentisering för att få åtkomst till en resurs eller ett program baserat på riskpoäng
    • Se, Vad är identitetsskydd?
  • Microsoft Entra-användnings- och insiktsrapporter har information som liknar Azure Sentinel-arbetsböcker, inklusive program med högst användning eller inloggningstrender.
  • Microsoft Sentinel analyserar information från Microsoft Entra-ID:
    • Microsoft Sentinel User and Entity Behavior Analytics (UEBA) levererar information om potentiella hot från användare, värd, IP-adress och programentiteter.
    • Använd analysregelmallar för att söka efter hot och aviseringar i dina Microsoft Entra-loggar. Din säkerhets- eller åtgärdsanalytiker kan sortera och åtgärda hot.
    • Microsoft Sentinel-arbetsböcker hjälper till att visualisera Microsoft Entra-datakällor. Se inloggningar efter land/region eller program.
    • Se vanliga Microsoft Sentinel-arbetsböcker
    • Se Visualisera insamlade data
    • Se Identifiera avancerade hot med UEBA i Microsoft Sentinel

Automatisering och orkestrering

Automatisering i Nolltillit hjälper till att åtgärda aviseringar på grund av hot eller säkerhetsändringar. I Microsoft Entra-ID hjälper automationsintegreringar till att förtydliga åtgärder för att förbättra din säkerhetsstatus. Automation baseras på information som tas emot från övervakning och analys.

Använd Microsoft Graph API REST-anrop för att komma åt Microsoft Entra ID programmatiskt. Den här åtkomsten kräver en Microsoft Entra-identitet med auktoriseringar och omfång. Integrera andra verktyg med Graph API.

Vi rekommenderar att du konfigurerar en Azure-funktion eller en Azure-logikapp för att använda en systemtilldelad hanterad identitet. Logikappen eller funktionen har steg eller kod för att automatisera åtgärder. Tilldela behörigheter till den hanterade identiteten för att ge tjänstens huvudnamn katalogbehörighet för att utföra åtgärder. Bevilja hanterade identiteter minimirättigheter.

Läs mer: Vad är hanterade identiteter för Azure-resurser?

En annan automationsintegreringsplats är Microsoft Graph PowerShell-moduler. Använd Microsoft Graph PowerShell för att utföra vanliga uppgifter eller konfigurationer i Microsoft Entra-ID eller införliva i Azure Functions eller Azure Automation-runbooks.

Kontroll

Dokumentera dina processer för att driva Microsoft Entra-miljön. Använd Microsoft Entra-funktioner för styrningsfunktioner som tillämpas på omfång i Microsoft Entra-ID.

Läs mer:

Nästa steg