Microsoft Entra 安全操作指南

项目
10/25/2023

Microsoft 提出一种成功且经过验证的零信任安全方法，该方法使用将标识用作控制平面的纵深防御原则。组织不断采用混合工作负载来实现规模、节省成本和提高安全性。 Microsoft Entra ID 在标识管理策略中发挥关键作用。最近，关于标识和安全威胁的消息不断促使企业 IT 将其标识安全状况视为防御性安全成功的衡量标准。

组织必须越来越多地同时采用本地和云应用程序，用户可使用本地帐户和仅限云的帐户访问这些应用程序。同时在本地和云中管理用户、应用程序和设备会带来挑战。

混合标识

Microsoft Entra ID 创建的通用用户标识可用于针对任何位置的所有资源进行身份验证和授权。我们称此为混合标识。

若要通过 Microsoft Entra ID 实现混合标识，可以根据你的具体方案使用三种身份验证方法之一。这三种方法是：

审核当前安全操作或为 Azure 环境确定安全操作时，建议执行下列步骤：

阅读 Microsoft 安全指南的特定部分，力求对保护基于云或混合 Azure 环境有一定的了解。
审核自己的帐户和密码策略以及身份验证方法，以帮助阻止最常见的攻击途径。
针对可能表明存在安全威胁的活动制定持续监视和警报策略。

受众

Microsoft Entra 指南适用于企业 IT 标识和安全操作团队，以及需要通过更好的标识安全配置和监视配置文件应对威胁的托管服务提供商。本指南特别适用于 IT 管理员和标识架构师，他们为安全操作中心 (SOC) 防御和渗透测试团队提供建议以改善和维护其标识安全状况。

范围

本简介针对预读、密码审核和策略提供了相关建议。本文还概述了适用于混合 Azure 环境以及完全基于云的 Azure 环境的工具。最后，本文提供了一份数据源列表，可用于监视、警报并配置安全信息和事件管理 (SIEM) 策略和环境。本指南其余部分介绍了以下几个方面的监视和警报策略：

用户帐户。针对没有管理权限的非特权用户帐户的指导，包括异常帐户创建和使用以及异常登录。
特权帐户。针对具有较高权限以执行管理任务的特权用户帐户的指导。任务包括 Microsoft Entra 角色分配、Azure 资源角色分配，以及 Azure 资源和订阅的访问管理。
Privileged Identity Management (PIM)。针对使用 PIM 管理、控制和监视资源访问权限的指导。
应用程序。针对用于为应用程序提供身份验证的帐户的指导。
设备。针对在策略之外注册或联接的设备进行监视和警报、不合规使用情况、管理设备的管理角色和登录虚拟机的指导。
基础结构针对混合环境和完全基于云的环境的威胁进行监视和警报的指导。

重要参考内容

Microsoft 提供了许多产品和服务，可自定义 IT 环境以满足你的需求。建议查看以下适用于操作环境的指南：

Windows 操作系统
本地环境
基于云的 Azure 环境
Active Directory 域服务 (AD DS)
- 审核策略建议
Active Directory 联合身份验证服务 (AD FS)
- AD FS 故障排除 - 审核事件和日志记录

数据源

用于调查和监视的日志文件包括：

在 Azure 门户中，可以查看 Microsoft Entra 审核日志。将日志下载为逗号分隔值 (CSV) 或 JavaScript 对象表示法 (JSON) 文件。 Azure 门户提供多种方法，将 Microsoft Entra 日志与其他工具相集成，以便更好地自动执行监视和警报：

Microsoft Sentinel - 通过提供安全信息与事件管理 (SIEM) 功能，实现企业级智能安全分析。
Sigma 规则 - Sigma 是不断发展的开放标准，用于编写自动化管理工具可用于解析日志文件的规则和模板。在我们建议的搜索条件存在 Sigma 模板的位置，我们添加了指向 Sigma 存储库的链接。 Sigma 模板并不是由 Microsoft 编写、测试和管理。实际上，存储库和模板由全球 IT 安全社区创建和收集。
Azure Monitor - 实现对各种情况的自动监视和警报。可以创建或使用工作簿来合并来自不同源的数据。
Azure 事件中心与 SIEM 集成。通过 Azure 事件中心集成，可将 Microsoft Entra 日志集成到其他 SIEM，例如 Splunk、ArcSight、QRadar 和 Sumo Logic。有关详细信息，请参阅将 Microsoft Entra 日志流式传输到 Azure 事件中心。
Microsoft Defender for Cloud Apps - 支持发现和管理应用、跨应用和资源进行治理以及检查云应用合规性。
使用标识保护预览版保护工作负载标识 - 用于通过登录行为和脱机入侵指标检测工作负载标识的风险。

大部分你将监视和发出警报的内容由条件访问策略决定。可以使用条件访问见解和报告工作簿来检查一个或多个条件访问策略对登录的影响以及包括设备状态在内的策略结果。通过此工作簿，你可以查看影响摘要并识别特定时间段的影响。还可以使用此工作簿来调查特定用户的登录。有关详细信息，请参阅条件访问见解和报告。

本文的其余部分介绍要监视和对其发出警报的内容。如果有特定预生成解决方案，我们会链接到这些解决方案，或在表后提供示例。除此之外，可以使用前面的工具来生成警报。

标识保护生成有助于进行调查的三份关键报告：
风险用户包含有关哪些用户面临风险的信息、有关检测的详细信息、所有风险登录的历史记录，以及风险历史记录。
风险登录包含有关可能表明有可疑情况的登录信息。有关根据此报告中的信息进行调查的详细信息，请参阅如何：调查风险。
风险检测 - 包含有关 Microsoft Entra ID 保护检测到的风险信号的信息，此信息可用于通知登录和用户风险。有关详细信息，请参阅用户帐户的 Microsoft Entra 安全操作指南。

有关详细信息，请参阅什么是标识保护。

用于域控制器监视的数据源

为获得最佳结果，我们建议使用 Microsoft Defender for Identity 监视域控制器。此方法可实现最佳检测和自动化功能。请遵循以下资源的指导：

如果不打算使用 Microsoft Defender for Identity，请通过以下方法之一监视域控制器：

事件日志消息。请参阅监视 Active Directory 遭到破坏的迹象。
PowerShell cmdlet。请参阅域控制器部署疑难解答。

混合身份验证组件

在 Azure 混合环境中，应将以下各项作为基准并纳入监视和警报策略中。

PTA 代理 - 直通身份验证代理用于启用直通身份验证，并安装在本地。有关验证代理版本和后续步骤的信息，请参阅 Microsoft Entra 直通身份验证代理：版本发布历史记录。
AD FS/WAP - Active Directory 联合身份验证服务 (Azure AD FS) 和 Web 应用程序代理 (WAP) 支持跨安全性和企业边界安全共享数字标识和权利权限。有关安全最佳做法的详细信息，请参阅保护 Active Directory 联合身份验证服务安全的最佳做法。
Microsoft Entra Connect Health 代理 – 用于为 Microsoft Entra Connect Health 提供通信链接的代理。有关安装代理的信息，请参阅 Microsoft Entra Connect Health 代理安装。
Microsoft Entra Connect 同步引擎 - 本地组件，也称为同步引擎。有关该功能的信息，请参阅 Microsoft Entra Connect 同步服务功能。
密码保护 DC 代理 - Azure 密码保护 DC 代理用于帮助监视和报告事件日志消息。有关信息，请参阅为 Active Directory 域服务强制实施本地 Microsoft Entra 密码保护。
密码筛选器 DLL - DC 代理的密码筛选器 DLL 接收来自操作系统的用户密码验证请求。筛选器将这些请求转发到在 DC 上本地运行的 DC 代理服务。有关使用 DLL 的相关信息，请参阅为 Active Directory 域服务强制实施本地 Microsoft Entra 密码保护。
密码写回代理 – 密码写回是使用 Microsoft Entra Connect 启用的功能，可将云中的密码更改实时写回到现有的本地目录。有关此功能的详细信息，请参阅自助式密码重置写回在 Microsoft Entra ID 中的工作原理。
Microsoft Entra 专用网络连接器 – 位于本地的轻型代理，能够帮助与应用程序代理服务建立出站连接。有关连接器的详细信息，请参阅了解 Microsoft Entra 专用网络连接器。

基于云的身份验证的组件

在 Azure 基于云的环境中，应将以下各项作为基准并纳入监视和警报策略中。

Microsoft Entra 应用程序代理 – 此云服务提供对本地 Web 应用程序的安全远程访问。有关详细信息，请参阅通过 Microsoft Entra 应用程序代理远程访问本地应用程序。
Microsoft Entra Connect - Microsoft Entra Connect 解决方案使用的服务。要了解详情，请参阅什么是 Microsoft Entra Connect。
Microsoft Entra Connect Health - 服务运行状况提供可定制的仪表板，用于跟踪 Azure 服务在使用区域中的运行状况。要了解详情，请参阅 Microsoft Entra Connect Health。
Azure MFA - Microsoft Entra 多重身份验证要求用户提供多种形式的身份验证证明。此为第一步，此方法可主动确保环境安全。有关详细信息，请参阅 Microsoft Entra 多重身份验证。
Dynamic groups - 动态配置 Microsoft Entra 安全组成员身份的管理员可以设置规则，以根据用户属性填充在 Microsoft Entra ID 中创建的组。有关详细信息，请参阅动态组和 Microsoft Entra B2B 协作。
条件访问 - 条件访问是 Microsoft Entra 用来统合信号、做出决策以及强制执行组织策略的工具。条件访问是新的标识驱动控制平面的核心。有关详细信息，请参阅条件访问是什么。
标识保护 - 借助该工具，组织可以自动检测和修复基于标识的风险，使用门户中的数据调查风险，并将风险检测数据导出到 SIEM。有关详细信息，请参阅什么是标识保护。
基于组的许可 - 可以将许可证分配给组，而不是直接分配给用户。 Microsoft Entra ID 存储有关用户许可证分配状态的信息。
预配服务 - 预配是指在用户需要访问的云应用程序中创建用户标识和角色。除了创建用户标识外，自动预配还包括在状态或角色发生更改时维护和删除用户标识。有关详细信息，请参阅应用程序预配在 Microsoft Entra ID 中的工作方式。
图形 API - Microsoft 图形 API 是一种 RESTful Web API，可用于访问 Microsoft 云服务资源。注册应用并获取用户或服务的身份验证令牌后，可以向 Microsoft Graph API 发出请求。有关详细信息，请参阅 Microsoft Graph 概述。
域服务 – Microsoft Entra 域服务 (AD DS) 提供托管域服务，例如域加入、组策略等。要了解详情，请参阅什么是 Microsoft Entra 域服务。
Azure 资源管理器 - Azure 资源管理器是 Azure 的部署和管理服务。它提供了一个管理层，用于在 Azure 帐户中创建、更新和删除资源。有关详细信息，请参阅什么是 Azure 资源管理器。
托管标识 - 托管标识使开发人员无需管理凭据。托管标识为应用程序提供一个标识，可以在连接到支持 Microsoft Entra 身份验证的资源时使用。有关详细信息，请参阅什么是 Azure 资源的托管标识。
Privileged Identity Management - PIM 是 Microsoft Entra ID 中的一项服务，可以通过该服务管理、控制和监视对组织中重要资源的访问。有关详细信息，请参阅什么是 Microsoft Entra Privileged Identity Management。
访问评审 - 使用 Microsoft Entra 访问评审，组织能够高效管理组成员身份、对企业应用程序的访问权限，以及角色分配。可以定期评审用户的访问权限，确保相应人员持续拥有访问权限。有关详细信息，请参阅什么是 Microsoft Entra 访问评审。
权利管理 - Microsoft Entra 权利管理是一种标识治理功能。通过自动执行访问请求工作流、访问分配、审核和过期，组织可以大规模管理标识和访问生命周期。有关详细信息，请参阅什么是 Microsoft Entra 权利管理。
活动日志 - 活动日志是一种 Azure 平台日志，提供订阅级事件的见解。此日志包括何时修改了资源或何时启动了虚拟机等信息。有关详细信息，请参阅 Azure 活动日志。
自助式密码重置服务 - Microsoft Entra 自助式密码重置 (SSPR) 使用户能够更改或重置其密码。不需要管理员或技术支持。有关详细信息，请参阅工作原理：Microsoft Entra 自助式密码重置。
设备服务 - 设备标识管理是基于设备的条件访问的基础。通过基于设备的条件访问策略，可确保只有受管理设备才能访问环境中的资源。有关详细信息，请参阅什么是设备标识。
自助服务组管理 - 可以在 Microsoft Entra ID 中允许用户创建和管理他们自己的安全组或 Microsoft 365 组。该组的所有者可以批准或拒绝成员身份请求，并可以委托对组成员身份的控制。自助服务组管理功能不可用于启用了邮件的安全组或通讯组列表。有关详细信息，请参阅在 Microsoft Entra ID 中设置自助服务组管理。
风险检测 - 包含检测到风险时触发的其他风险的信息，以及其他相关信息，例如登录位置和 Microsoft Defender for Cloud Apps 的任何详细信息。