Microsoft Entra Id'de ayrıcalıklı hesaplar için güvenlik işlemleri
İş varlıklarının güvenliği, BT sistemlerinizi yöneten ayrıcalıklı hesapların bütünlüğüne bağlıdır. Siber saldırganlar ayrıcalıklı hesapları hedeflemek ve hassas verilere erişim elde etmek için kimlik bilgisi hırsızlığı saldırılarını ve diğer araçları kullanır.
Geleneksel olarak, kurumsal güvenlik, bir ağın güvenlik çevresi olarak giriş ve çıkış noktalarına odaklanır. Ancak, İnternet'te hizmet olarak yazılım (SaaS) uygulamaları ve kişisel cihazlar bu yaklaşımı daha az etkili hale getirmektedir.
Microsoft Entra Id, denetim düzlemi olarak kimlik ve erişim yönetimini (IAM) kullanır. Kuruluşunuzun kimlik katmanında, ayrıcalıklı yönetim rollerine atanan kullanıcılar denetimdedir. Ortamın şirket içinde, bulutta veya karma ortamda olması fark etmeksizin erişim için kullanılan hesapların korunması gerekir.
Şirket içi BT ortamınız için tüm güvenlik katmanlarından tamamen siz sorumlusunuz. Azure hizmetlerini kullandığınızda önleme ve yanıt, bulut hizmeti sağlayıcısı olarak Microsoft'un ve müşteri olarak sizin ortak sorumluluklarıdır.
- Paylaşılan sorumluluk modeli hakkında daha fazla bilgi için bkz . Bulutta paylaşılan sorumluluk.
- Ayrıcalıklı kullanıcılar için erişimin güvenliğini sağlama hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama.
- Çok çeşitli videolar, nasıl yapılır kılavuzları ve ayrıcalıklı kimlik için temel kavramların içeriği için Privileged Identity Management belgelerine bakın.
İzlenecek günlük dosyaları
Araştırma ve izleme için kullandığınız günlük dosyaları şunlardır:
Azure portalından Microsoft Entra denetim günlüklerini görüntüleyebilir ve virgülle ayrılmış değer (CSV) veya JavaScript Nesne Gösterimi (JSON) dosyaları olarak indirebilirsiniz. Azure portalında, microsoft Entra günlüklerini izleme ve uyarı otomasyonuna olanak sağlayan diğer araçlarla tümleştirmenin çeşitli yolları vardır:
Microsoft Sentinel. Güvenlik bilgileri ve olay yönetimi (SIEM) özellikleri sağlayarak kurumsal düzeyde akıllı güvenlik analizini etkinleştirir.
Sigma kuralları - Sigma, otomatik yönetim araçlarının günlük dosyalarını ayrıştırmak için kullanabileceği kurallar ve şablonlar yazmak için gelişen bir açık standarttır. Önerilen arama ölçütlerimiz için Sigma şablonlarının bulunduğu yerde, Sigma deposuna bir bağlantı ekledik. Sigma şablonları Microsoft tarafından yazılmaz, test edilmez ve yönetılmaz. Bunun yerine, depo ve şablonlar dünya çapında BT güvenlik topluluğu tarafından oluşturulur ve toplanır.
Azure İzleyici. Çeşitli koşulların otomatik olarak izlenmesini ve uyarılmasını sağlar. Farklı kaynaklardan verileri birleştirmek için çalışma kitapları oluşturabilir veya kullanabilir.
SIEM ile tümleştirilmiş Azure Event Hubs . Microsoft Entra günlüklerinin Azure Event Hubs tümleştirmesi aracılığıyla Splunk, ArcSight, QRadar ve Sumo Logic gibi diğer SIEM'lere gönderilmesini sağlar. Daha fazla bilgi için bkz . Microsoft Entra günlüklerini Azure olay hub'ına akışla aktarma.
uygulamaları Bulut için Microsoft Defender. Uygulamaları keşfetmenize ve yönetmenize, uygulamalar ve kaynaklar arasında idare sağlamanıza ve bulut uygulamalarınızın uyumluluğunu denetlemenize olanak tanır.
Microsoft Graph. Daha fazla analiz yapmak için verileri dışarı aktarmanızı ve Microsoft Graph'ı kullanmanızı sağlar. Daha fazla bilgi için bkz. Microsoft Graph PowerShell SDK'sı ve Microsoft Entra Kimlik Koruması.
Microsoft Entra Kimlik Koruması. Araştırmanıza yardımcı olması için kullanabileceğiniz üç önemli rapor oluşturur:
Riskli kullanıcılar. Hangi kullanıcıların risk altında olduğu, algılamalar hakkındaki ayrıntılar, tüm riskli oturum açmaların geçmişi ve risk geçmişi hakkında bilgi içerir.
Riskli oturum açma işlemleri. Şüpheli durumları gösterebilecek bir oturum açma hakkında bilgi içerir. Bu rapordaki bilgileri araştırma hakkında daha fazla bilgi için bkz . Riski araştırma.
Risk algılamaları. Bir risk algılandığında tetiklenen diğer risklerle ilgili bilgileri ve oturum açma konumu gibi diğer ilgili bilgileri ve Bulut için Microsoft Defender Uygulamalarından tüm ayrıntıları içerir.
Microsoft Entra Kimlik Koruması ile iş yükü kimliklerinin güvenliğini sağlama. Oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimliklerindeki riski algılamak için kullanın.
Bu uygulamayı önerilmez, ancak ayrıcalıklı hesaplar ayakta yönetim haklarına sahip olabilir. Ayaktaki ayrıcalıkları kullanmayı seçerseniz ve hesabın gizliliği ihlal edilirse, bunun olumsuz bir etkisi olabilir. Ayrıcalıklı hesapları izlemenin önceliğini belirlemenizi ve hesapları Privileged Identity Management (PIM) yapılandırmanıza eklemenizi öneririz. PIM hakkında daha fazla bilgi için bkz . Privileged Identity Management'ı kullanmaya başlama. Ayrıca, şu yönetici hesaplarını doğrulamanızı öneririz:
- Gerekli.
- gerekli etkinlikleri yürütmek için en az ayrıcalığı elde edin.
- En az çok faktörlü kimlik doğrulaması ile korunur.
- Ayrıcalıklı erişim iş istasyonundan (PAW) veya güvenli yönetici iş istasyonu (SAW) cihazlarından çalıştırılır.
Bu makalenin geri kalanında izlemenizi ve hangi konuda uyarı yapmanızı önerdiğimiz açıklanmaktadır. Makale tehdit türüne göre düzenlenmiştir. Önceden oluşturulmuş belirli çözümler olduğunda, tabloyu izleyerek bunlara bağlanırız. Aksi takdirde, yukarıda açıklanan araçları kullanarak uyarılar oluşturabilirsiniz.
Bu makalede, temelleri ayarlama ve oturum açma denetimi ve ayrıcalıklı hesapların kullanımıyla ilgili ayrıntılar sağlanır. Ayrıca ayrıcalıklı hesaplarınızın bütünlüğünü korumaya yardımcı olmak için kullanabileceğiniz araçlar ve kaynaklar da açıklanır. İçerik aşağıdaki konulara göre düzenlenmiştir:
- Acil durum "break-glass" hesapları
- Ayrıcalıklı hesap oturumu açma
- Ayrıcalıklı hesap değişiklikleri
- Ayrıcalıklı gruplar
- Ayrıcalık ataması ve yükseltmesi
Acil durum erişim hesapları
Microsoft Entra kiracınızın yanlışlıkla kilitlenmesini önlemeniz önemlidir.
Microsoft, kuruluşların genel yönetici rolüne kalıcı olarak atanmış iki yalnızca bulut acil durum erişim hesabına sahip olması önerilir. Bu hesaplar yüksek ayrıcalıklıdır ve belirli kişilere atanmamışlardır. Hesaplar, normal hesapların kullanılamadığı veya diğer tüm yöneticilerin yanlışlıkla kilitlendiği acil durum veya "kırılan" senaryolarla sınırlıdır. Bu hesaplar, acil durum erişim hesabı önerilerine göre oluşturulmalıdır.
Acil durum erişim hesabı her kullanıldığında yüksek öncelikli bir uyarı gönderin.
Keşif
Cam kıran hesaplar yalnızca acil bir durum söz konusu olduğunda kullanıldığından izlemeniz hiçbir hesap etkinliği bulmamalıdır. Acil durum erişim hesabı her kullanıldığında veya değiştirildiğinde yüksek öncelikli bir uyarı gönderin. Aşağıdaki olaylardan herhangi biri kötü bir aktörün ortamlarınızı tehlikeye atmaya çalıştığını gösterebilir:
- Oturum açın.
- Hesap parolası değişikliği.
- Hesap izni veya rolleri değiştirildi.
- Kimlik bilgisi veya kimlik doğrulama yöntemi eklendi veya değiştirildi.
Acil durum erişim hesaplarını yönetme hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de acil durum erişimi yönetici hesaplarını yönetme. Acil durum hesabı için uyarı oluşturma hakkında ayrıntılı bilgi için bkz . Uyarı kuralı oluşturma.
Ayrıcalıklı hesap oturumu açma
Veri kaynağı olarak Microsoft Entra oturum açma günlüklerini kullanarak tüm ayrıcalıklı hesap oturum açma etkinliklerini izleyin. Oturum açma başarılı ve başarısız bilgilerine ek olarak, günlükler aşağıdaki ayrıntıları içerir:
- Kesme
- Aygıt
- Yer
- Risk
- Uygulama
- Tarih ve saat
- Hesap devre dışı mı
- Lokavt
- MFA sahtekarlığı
- Koşullu Erişim hatası
İzlenecek şeyler
Ayrıcalıklı hesap oturum açma olaylarını Microsoft Entra oturum açma günlüklerinde izleyebilirsiniz. Ayrıcalıklı hesaplar için aşağıdaki olayları uyarın ve araştırın.
İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
---|---|---|---|---|
Oturum açma hatası, hatalı parola eşiği | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = Hata -ve- hata kodu = 50126 |
Bir temel eşik tanımlayın ve ardından kurumsal davranışlarınıza uyacak şekilde izleyin ve ayarlayın ve hatalı uyarıların oluşturulmasını sınırlayın. Microsoft Sentinel şablonu Sigma kuralları |
Koşullu Erişim gereksinimi nedeniyle hata | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = Hata -ve- hata kodu = 53003 -ve- Hata nedeni = Koşullu Erişim tarafından engellendi |
Bu olay, saldırganın hesaba girmeye çalıştığının göstergesi olabilir. Microsoft Sentinel şablonu Sigma kuralları |
Adlandırma ilkesini izlemeyen ayrıcalıklı hesaplar | Azure aboneliği | Azure portalını kullanarak Azure rol atamalarını listeleme | Abonelikler için rol atamalarını listeleyin ve oturum açma adının kuruluşunuzun biçimiyle eşleşmediği durumlarda uyarı verin. ADM_ ön ek olarak kullanılması örnek olarak verilmiştir. | |
Kesmek | Yüksek, orta | Microsoft Entra Oturum Açma bilgileri | Durum = Kesintiye Uğradı -ve- hata kodu = 50074 -ve- Hata nedeni = Güçlü kimlik doğrulaması gerekiyor Durum = Kesintiye Uğradı -ve- Hata kodu = 500121 Hata nedeni = Güçlü kimlik doğrulama isteği sırasında kimlik doğrulaması başarısız oldu |
Bu olay, bir saldırganın hesap için parolaya sahip olduğunu ancak çok faktörlü kimlik doğrulama sınamasını geçediğinin göstergesi olabilir. Microsoft Sentinel şablonu Sigma kuralları |
Adlandırma ilkesini izlemeyen ayrıcalıklı hesaplar | Yüksek | Microsoft Entra dizini | Microsoft Entra rol atamalarını listeleme | Microsoft Entra rolleri için rol atamalarını listeleyin ve UPN'nin kuruluşunuzun biçimiyle eşleşmediği durumlarda uyarı verin. ADM_ ön ek olarak kullanılması örnek olarak verilmiştir. |
Çok faktörlü kimlik doğrulaması için kayıtlı olmayan ayrıcalıklı hesapları bulma | Yüksek | Microsoft Graph API'si | Yönetici hesapları için IsMFARegistered eq false sorgusu. Kimlik bilgilerini listelemeUserRegistrationDetails - Microsoft Graph beta | Olayın kasıtlı mı yoksa gözetim mi olduğunu belirlemek için denetim ve araştırma. |
Hesap kilitleme | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = Hata -ve- hata kodu = 50053 |
Bir temel eşik tanımlayın ve ardından kurumsal davranışlarınıza uyacak şekilde izleyin ve ayarlayın ve hatalı uyarıların oluşturulmasını sınırlayın. Microsoft Sentinel şablonu Sigma kuralları |
Oturum açma işlemleri için hesap devre dışı bırakıldı veya engellendi | Alçak | Microsoft Entra oturum açma günlüğü | Durum = Hata -ve- Hedef = Kullanıcı UPN'si -ve- hata kodu = 50057 |
Bu olay, kuruluşundan ayrılan birinin bir hesaba erişmeye çalıştığını gösterebilir. Hesap engellenmiş olsa da, bu etkinlikte oturum açmak ve uyarı vermek yine de önemlidir. Microsoft Sentinel şablonu Sigma kuralları |
MFA sahtekarlığı uyarısı veya engellemesi | Yüksek | Microsoft Entra oturum açma günlüğü/Azure Log Analytics | Oturum açma bilgileri>Kimlik doğrulaması ayrıntıları Sonuç ayrıntıları = MFA reddedildi, sahtekarlık kodu girildi | Ayrıcalıklı kullanıcı, çok faktörlü kimlik doğrulama istemini başlatmadığını belirtmiştir. Bu, bir saldırganın hesabın parolasına sahip olduğunu gösterebilir. Microsoft Sentinel şablonu Sigma kuralları |
MFA sahtekarlığı uyarısı veya engellemesi | Yüksek | Microsoft Entra denetim günlüğü/Azure Log Analytics | Etkinlik türü = Sahtekarlık bildirildi - Kullanıcı MFA veya sahtekarlık bildirildi için engellendi - Hiçbir işlem yapılmadı (sahtekarlık raporu için kiracı düzeyindeki ayarlara göre) | Ayrıcalıklı kullanıcı, çok faktörlü kimlik doğrulama istemini başlatmadığını belirtmiştir. Bu, bir saldırganın hesabın parolasına sahip olduğunu gösterebilir. Microsoft Sentinel şablonu Sigma kuralları |
Beklenen denetimlerin dışında ayrıcalıklı hesap oturum açma işlemleri | Microsoft Entra oturum açma günlüğü | Durum = Hata UserPricipalName = <Yönetici hesabı> Konum = <onaylanmamış konum> IP adresi = <onaylanmamış IP> Cihaz bilgileri = <onaylanmamış Tarayıcı, İşletim Sistemi> |
Onaylanmamış olarak tanımladığınız tüm girişleri izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları |
|
Normal oturum açma sürelerinin dışında | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = Başarılı -ve- Konum = -ve- Saat = Çalışma saatleri dışında |
Oturum açma işlemleri beklenen süreler dışında gerçekleşiyorsa izleyin ve uyarın. Her ayrıcalıklı hesap için normal çalışma düzenini bulmak ve normal çalışma sürelerinin dışında planlanmamış değişiklikler olup olmadığını uyarmak önemlidir. Normal çalışma saatleri dışında oturum açma işlemleri güvenliğin aşılmasına veya içeriden gelen olası tehditlere işaret edebilir. Microsoft Sentinel şablonu Sigma kuralları |
Microsoft Entra Kimlik Koruması riski | Yüksek | Kimlik Koruması günlükleri | Risk durumu = Risk altında -ve- Risk düzeyi = Düşük, orta, yüksek -ve- Etkinlik = Tanıdık olmayan oturum açma/TOR vb. |
Bu olay, hesap için oturum açmada bazı anormalliklerin algılandığına ve uyarı verilmesi gerektiğine işaret eder. |
Parola değişikliği | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik aktörü = Yönetici/self servis -ve- Hedef = Kullanıcı -ve- Durum = Başarı veya başarısızlık |
Herhangi bir yönetici hesabı parolası değiştiğinde uyarır. Ayrıcalıklı hesaplar için bir sorgu yazın. Microsoft Sentinel şablonu Sigma kuralları |
Eski kimlik doğrulama protokolünde değişiklik | Yüksek | Microsoft Entra oturum açma günlüğü | İstemci Uygulaması = Diğer istemci, IMAP, POP3, MAPI, SMTP vb. -ve- Kullanıcı adı = UPN -ve- Uygulama = Exchange (örnek) |
Birçok saldırıda eski kimlik doğrulaması kullanılır, bu nedenle kullanıcı için kimlik doğrulama protokolünde bir değişiklik olması, bir saldırının göstergesi olabilir. Microsoft Sentinel şablonu Sigma kuralları |
Yeni cihaz veya konum | Yüksek | Microsoft Entra oturum açma günlüğü | Cihaz bilgileri = Cihaz Kimliği -ve- Tarayıcı -ve- İşletim sistemi -ve- Uyumlu/Yönetilen -ve- Hedef = Kullanıcı -ve- Yer |
Çoğu yönetici etkinliği, sınırlı sayıda konumdan ayrıcalıklı erişim cihazlarından olmalıdır. Bu nedenle, yeni cihazlarda veya konumlarda uyarı verin. Microsoft Sentinel şablonu Sigma kuralları |
Denetim uyarısı ayarı değiştirildi | Yüksek | Microsoft Entra denetim günlükleri | Hizmet = PIM -ve- Kategori = Rol yönetimi -ve- Etkinlik = PIM uyarılarını devre dışı bırakma -ve- Durum = Başarılı |
Çekirdek uyarıda yapılan değişiklikler beklenmedikse uyarılmalıdır. Microsoft Sentinel şablonu Sigma kuralları |
Diğer Microsoft Entra kiracılarında kimlik doğrulaması yapılan yöneticiler | Orta | Microsoft Entra oturum açma günlüğü | Durum = başarı Kaynak kiracı kimliği != Ev Kiracı Kimliği |
Kapsamı Ayrıcalıklı Kullanıcılar olarak ayarlandığında, bu izleyici bir yöneticinin kuruluşunuzun kiracısında bir kimlikle başka bir Microsoft Entra kiracısında başarılı bir şekilde kimlik doğrulaması gerçekleştirdiğini algılar. Kaynak Kiracı Kimliği, Ev Kiracı Kimliği'ne eşit değilse uyarı Microsoft Sentinel şablonu Sigma kuralları |
Yönetici Kullanıcı durumu Konuktan Üyeye değiştirildi | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcıyı güncelleştirme Kategori: UserManagement UserType Konuktan Üyeye değiştirildi |
Konuktan Üyeye kullanıcı türünün değiştirilmesini izleyin ve uyarın. Bu değişiklik bekleniyor mu? Microsoft Sentinel şablonu Sigma kuralları |
Onaylanmamış davetliler tarafından kiracıya davet edilen konuk kullanıcılar | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Dış kullanıcıyı davet etme Kategori: UserManagement Başlatan (aktör): Kullanıcı Asıl Adı |
Dış kullanıcıları davet eden onaylanmamış aktörleri izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları |
Ayrıcalıklı hesaplara göre değişiklikler
Ayrıcalıklı bir hesap tarafından tamamlanan ve denenen tüm değişiklikleri izleyin. Bu veriler, her ayrıcalıklı hesap için nelerin normal etkinlik olduğunu ve beklenenden sapmaya neden olan etkinlikle ilgili uyarı oluşturmanızı sağlar. Microsoft Entra denetim günlükleri bu tür olayları kaydetmek için kullanılır. Microsoft Entra denetim günlükleri hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de denetim günlükleri.
Microsoft Entra Domain Services
Microsoft Entra Etki Alanı Hizmetleri'nde izin atanmış ayrıcalıklı hesaplar, Microsoft Entra Domain Services kullanan Azure tarafından barındırılan sanal makinelerinizin güvenlik duruşunu etkileyen Microsoft Entra Domain Services görevlerini gerçekleştirebilir. Sanal makinelerde güvenlik denetimlerini etkinleştirin ve günlükleri izleyin. Microsoft Entra Domain Services denetimlerini etkinleştirme hakkında daha fazla bilgi edinmek ve hassas ayrıcalıkların listesi için aşağıdaki kaynaklara bakın:
- Microsoft Entra Domain Services için güvenlik denetimlerini etkinleştirme
- Hassas Ayrıcalık Kullanımını Denetleme
İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
---|---|---|---|---|
Denenen ve tamamlanan değişiklikler | Yüksek | Microsoft Entra denetim günlükleri | Tarih ve saat -ve- Hizmet -ve- Etkinliğin kategorisi ve adı (ne) -ve- Durum = Başarı veya başarısızlık -ve- Hedef -ve- Başlatıcı veya aktör (kim) |
Planlanmamış tüm değişiklikler anında uyarılmalıdır. Bu günlükler, herhangi bir araştırmada yardımcı olmak için saklanmalıdır. Kiracınızın güvenlik duruşunu düşürecek kiracı düzeyindeki tüm değişiklikler hemen araştırılmalıdır (Infra belgesine bağlantı). Bunun bir örneği, hesapları çok faktörlü kimlik doğrulaması veya Koşullu Erişim'den dışlamaktır. Uygulamalara yapılan tüm eklemeler veya değişiklikler hakkında uyarı verin. Uygulamalar için Microsoft Entra güvenlik işlemleri kılavuzuna bakın. |
Örnek Yüksek değerli uygulama veya hizmetlerde değişiklik denendi veya tamamlandı |
Yüksek | Denetim günlüğü | Hizmet -ve- Etkinliğin kategorisi ve adı |
Tarih ve saat, Hizmet, Kategori ve etkinliğin adı, Durum = Başarı veya başarısızlık, Hedef, Başlatıcı veya aktör (kim) |
Microsoft Entra Domain Services'daki ayrıcalıklı değişiklikler | Yüksek | Microsoft Entra Domain Services | Olay 4673'e bakın | Microsoft Entra Domain Services için güvenlik denetimlerini etkinleştirme Tüm ayrıcalıklı olayların listesi için bkz . Hassas Ayrıcalık kullanımını denetleme. |
Ayrıcalıklı hesaplarda yapılan değişiklikler
Özellikle değişiklik daha fazla ayrıcalık veya Microsoft Entra ortamınızda görev gerçekleştirme olanağı sağlıyorsa ayrıcalıklı hesapların kimlik doğrulama kurallarında ve ayrıcalıklarında yapılan değişiklikleri araştırın.
İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
---|---|---|---|---|
Ayrıcalıklı hesap oluşturma | Orta | Microsoft Entra denetim günlükleri | Hizmet = Çekirdek Dizin -ve- Kategori = Kullanıcı yönetimi -ve- Etkinlik türü = Kullanıcı ekle -bağıntı- Kategori türü = Rol yönetimi -ve- Etkinlik türü = Role üye ekleme -ve- Değiştirilen özellikler = Role.DisplayName |
Ayrıcalıklı hesapların oluşturulmasını izleyin. Hesapların oluşturulması ve silinmesi arasında kısa bir süre olan bağıntıyı arayın. Microsoft Sentinel şablonu Sigma kuralları |
Kimlik doğrulama yöntemlerindeki değişiklikler | Yüksek | Microsoft Entra denetim günlükleri | Hizmet = Kimlik Doğrulama Yöntemi -ve- Etkinlik türü = Kullanıcı tarafından kaydedilen güvenlik bilgileri -ve- Kategori = Kullanıcı yönetimi |
Bu değişiklik, bir saldırganın hesaba kimlik doğrulama yöntemi ekleyerek erişime devam edebilmesini sağlayabilir. Microsoft Sentinel şablonu Sigma kuralları |
Ayrıcalıklı hesap izinlerindeki değişikliklerle ilgili uyarı | Yüksek | Microsoft Entra denetim günlükleri | Kategori = Rol yönetimi -ve- Etkinlik türü = Uygun üye ekleme (kalıcı) -veya- Etkinlik türü = Uygun üye ekleme (uygun) -ve- Durum = Başarı veya başarısızlık -ve- Değiştirilen özellikler = Role.DisplayName |
Bu uyarı özellikle, bilinmeyen veya normal sorumluluklarının dışında olan roller atanmış olan hesaplara yöneliktir. Sigma kuralları |
Kullanılmayan ayrıcalıklı hesaplar | Orta | Microsoft Entra erişim gözden geçirmeleri | Etkin olmayan ayrıcalıklı kullanıcı hesapları için aylık gözden geçirme gerçekleştirin. Sigma kuralları |
|
Koşullu Erişim'den muaf tutulan hesaplar | Yüksek | Azure İzleyici Günlükleri -veya- Erişim Gözden Geçirmeleri |
Koşullu Erişim = İçgörüler ve raporlama | Koşullu Erişim'den muaf tutulan herhangi bir hesap büyük olasılıkla güvenlik denetimlerini atlar ve güvenlik açığına karşı daha savunmasızdır. Cam kıran hesaplar muaftır. Bu makalenin devamında cam kıran hesapları izleme hakkında bilgi edinin. |
Ayrıcalıklı hesaba Geçici Erişim Geçişi ekleme | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Yönetici tarafından kaydedilen güvenlik bilgileri Durum Nedeni: Kullanıcı için yönetici tarafından kaydedilen geçici erişim geçişi yöntemi Kategori: UserManagement Başlatan (aktör): Kullanıcı Asıl Adı Hedef: Kullanıcı Asıl Adı |
Ayrıcalıklı bir kullanıcı için oluşturulan Geçici Erişim Geçişi'ni izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları |
Koşullu Erişim ilkelerine yönelik özel durumları izleme hakkında daha fazla bilgi için bkz . Koşullu Erişim içgörüleri ve raporlama.
Kullanılmayan ayrıcalıklı hesapları bulma hakkında daha fazla bilgi için bkz . Privileged Identity Management'ta Microsoft Entra rollerinin erişim gözden geçirmesini oluşturma.
Atama ve yükseltme
Yükseltilmiş yeteneklerle kalıcı olarak sağlanan ayrıcalıklı hesaplara sahip olmak, saldırı yüzeyini ve güvenlik sınırınızın riskini artırabilir. Bunun yerine, bir yükseltme yordamı kullanarak tam zamanında erişim kullanın. Bu tür bir sistem ayrıcalıklı roller için uygunluk atamanızı sağlar. Yöneticiler ayrıcalıklarını yalnızca bu ayrıcalıklara ihtiyaç duyan görevleri gerçekleştirdiklerinde bu rollere yükseltebilir. Yükseltme işlemi kullanmak, ayrıcalıklı hesapların yükseltmelerini ve kullanılmamalarını izlemenizi sağlar.
Temel oluşturma
Özel durumları izlemek için önce bir temel oluşturmanız gerekir. Bu öğeler için aşağıdaki bilgileri belirleyin
Yönetici hesapları
- Ayrıcalıklı hesap stratejiniz
- Şirket içi kaynakları yönetmek için şirket içi hesapları kullanma
- Bulut tabanlı kaynakları yönetmek için bulut tabanlı hesapların kullanılması
- Şirket içi ve bulut tabanlı kaynaklar için yönetim izinlerini ayırma ve izleme yaklaşımı
Ayrıcalıklı rol koruması
- Yönetim ayrıcalıklarına sahip roller için koruma stratejisi
- Ayrıcalıklı hesapları kullanmak için kuruluş ilkesi
- Kalıcı ayrıcalığı korumak ve zamana bağlı ve onaylı erişim sağlamak için strateji ve ilkeler
Aşağıdaki kavramlar ve bilgiler ilkelerin belirlenmesine yardımcı olur:
- Tam zamanında yönetici ilkeleri. Ortamınızda ortak olan yönetim görevlerini gerçekleştirmeye yönelik bilgileri yakalamak için Microsoft Entra günlüklerini kullanın. Görevleri tamamlamak için gereken tipik süreyi belirleyin.
- Yeterli yönetici ilkeleri. Yönetim görevleri için gereken özel bir rol olabilecek en düşük ayrıcalıklı rolü belirleyin. Daha fazla bilgi için bkz . Microsoft Entra Id'de göreve göre en az ayrıcalıklı roller.
- Bir yükseltme ilkesi oluşturun. Gereken yükseltilmiş ayrıcalık türü ve her görev için ne kadar süre gerektiğini kavradıktan sonra ortamınız için yükseltilmiş ayrıcalıklı kullanımı yansıtan ilkeler oluşturun. Örnek olarak, rol yükseltmesini bir saatle sınırlamak için bir ilke tanımlayın.
Temelinizi oluşturduktan ve ilkeyi ayarladıktan sonra, ilke dışındaki kullanımı algılamak ve uyarmak için izlemeyi yapılandırabilirsiniz.
Keşif
Atama ve ayrıcalık yükseltmesindeki değişikliklere özellikle dikkat edin ve değişiklikleri araştırın.
İzlenecek şeyler
Microsoft Entra denetim günlüklerini ve Azure İzleyici günlüklerini kullanarak ayrıcalıklı hesap değişikliklerini izleyebilirsiniz. İzleme işleminize aşağıdaki değişiklikleri ekleyin.
İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
---|---|---|---|---|
Uygun ayrıcalıklı role eklendi | Yüksek | Microsoft Entra denetim günlükleri | Hizmet = PIM -ve- Kategori = Rol yönetimi -ve- Etkinlik türü = Tamamlanan role üye ekleme (uygun) -ve- Durum = Başarı veya başarısızlık -ve- Değiştirilen özellikler = Role.DisplayName |
Bir rol için uygun olan tüm hesaplara artık ayrıcalıklı erişim veriliyor. Atama beklenmedikse veya hesap sahibinin sorumluluğunda olmayan bir roldeyse araştırın. Microsoft Sentinel şablonu Sigma kuralları |
PIM dışında atanan roller | Yüksek | Microsoft Entra denetim günlükleri | Hizmet = PIM -ve- Kategori = Rol yönetimi -ve- Etkinlik türü = Role üye ekleme (kalıcı) -ve- Durum = Başarı veya başarısızlık -ve- Değiştirilen özellikler = Role.DisplayName |
Bu roller yakından izlenmeli ve uyarılmalıdır. Kullanıcılara mümkün olduğunca PIM dışında rol atanmamalıdır. Microsoft Sentinel şablonu Sigma kuralları |
Yükselme | Orta | Microsoft Entra denetim günlükleri | Hizmet = PIM -ve- Kategori = Rol yönetimi -ve- Etkinlik türü = Tamamlanan role üye ekleme (PIM etkinleştirme) -ve- Durum = Başarı veya başarısızlık -ve- Değiştirilen özellikler = Role.DisplayName |
Ayrıcalıklı bir hesap yükseltildikten sonra artık kiracınızın güvenliğini etkileyebilecek değişiklikler yapabilir. Tüm yükseltmeler günlüğe kaydedilmeli ve bu kullanıcı için standart düzenin dışında gerçekleşiyorsa uyarılmalı ve planlanmamışsa araştırılmalıdır. |
Onaylar ve yükseltmeyi reddetme | Alçak | Microsoft Entra denetim günlükleri | Hizmet = Erişim Gözden Geçirmesi -ve- Kategori = UserManagement -ve- Etkinlik türü = İstek onaylandı veya reddedildi -ve- Başlatılan aktör = UPN |
Bir saldırının zaman çizelgesini net bir şekilde ifade edebileceğinden tüm yükseltmeleri izleyin. Microsoft Sentinel şablonu Sigma kuralları |
PIM ayarlarında yapılan değişiklikler | Yüksek | Microsoft Entra denetim günlükleri | Hizmet = PIM -ve- Kategori = Rol yönetimi -ve- Etkinlik türü = PIM'de rol ayarını güncelleştirme -ve- Durum nedeni = Etkinleştirme devre dışı bırakılırken MFA (örnek) |
Bu eylemlerden biri PIM yükseltmesinin güvenliğini azaltabilir ve saldırganların ayrıcalıklı bir hesap almasını kolaylaştırabilir. Microsoft Sentinel şablonu Sigma kuralları |
SAW/PAW üzerinde yükseltme gerçekleşmiyor | Yüksek | Microsoft Entra oturum açma günlükleri | Cihaz Kimliği -ve- Tarayıcı -ve- İşletim sistemi -ve- Uyumlu/Yönetilen Bağıntı: Hizmet = PIM -ve- Kategori = Rol yönetimi -ve- Etkinlik türü = Tamamlanan role üye ekleme (PIM etkinleştirme) -ve- Durum = Başarı veya başarısızlık -ve- Değiştirilen özellikler = Role.DisplayName |
Bu değişiklik yapılandırılırsa, PAW/SAW olmayan bir cihazda yükseltme girişimi, bir saldırganın hesabı kullanmaya çalıştığını gösterebileceğinden hemen araştırılmalıdır. Sigma kuralları |
Tüm Azure aboneliklerini yönetmek için yükseltme | Yüksek | Azure İzleyici | Etkinlik Günlüğü sekmesi Dizin Etkinliği sekmesi İşlem Adı = Çağıranı kullanıcı erişim yöneticisine atar -ve- Olay kategorisi = Yönetim -ve- Durum = Başarılı, başlat, başarısız -ve- Tarafından başlatılan olay |
Planlanmamışsa bu değişiklik hemen araştırılmalıdır. Bu ayar, bir saldırganın ortamınızdaki Azure aboneliklerine erişmesine izin verebilir. |
Yükseltmeyi yönetme hakkında daha fazla bilgi için bkz . Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme. Microsoft Entra günlüklerinde bulunan bilgileri kullanarak yükseltmeleri izleme hakkında bilgi için bkz . Azure İzleyici belgelerinin bir parçası olan Azure Etkinlik günlüğü.
Azure rolleri için uyarıları yapılandırma hakkında bilgi için bkz . Privileged Identity Management'ta Azure kaynak rolleri için güvenlik uyarılarını yapılandırma.
Sonraki adımlar
Şu güvenlik işlemleri kılavuzu makalelerine bakın:
Microsoft Entra güvenlik işlemlerine genel bakış
Kullanıcı hesapları için güvenlik işlemleri
Tüketici hesapları için güvenlik işlemleri
Privileged Identity Management için güvenlik işlemleri
Uygulamalar için güvenlik işlemleri