Microsoft Entra ID 中特权帐户的安全操作

项目
10/25/2023

业务资产的安全性取决于管理 IT 系统的特权帐户的完整性。网络攻击者会利用凭据窃取攻击和其他手段，以特权帐户为目标，获取对敏感数据的访问权限。

传统上，组织安全侧重于将网络的入口点和出口点作为安全外围。然而，软件即服务 (SaaS) 应用和 Internet 上的个人设备使这种方法不太有效。

Microsoft Entra ID 使用标识和访问管理 (IAM) 作为控制平面。在组织的标识层中，分配有特权管理角色的用户掌握着控制权限。无论是在本地、云中还是混合环境中，都必须保护用于访问的帐户。

你完全负责本地 IT 环境的所有安全层。使用 Azure 服务时，预防和响应是 Microsoft 作为云服务提供商和你作为客户的共同责任。

有关共担责任模型的详细信息，请访问云中共担责任。
有关保护特权用户访问权限的详细信息，请参阅确保 Microsoft Entra ID 中混合部署和云部署的特权访问安全性。
如需特权标识的各种视频、操作指南和重要概念的内容，请参阅 Privileged Identity Management 文档。

要监视的日志文件

用于调查和监视的日志文件包括：

在 Azure 门户中，可查看 Microsoft Entra 审核日志，并将其下载为逗号分隔值 (CSV) 或 JavaScript 对象表示法 (JSON) 文件。 Azure 门户提供多种方法，将 Microsoft Entra 日志与其他工具相集成，以便更好地自动执行监视和警报：

Microsoft Sentinel。通过提供安全信息和事件管理 (SIEM) 功能，实现企业级智能安全分析。
Sigma 规则 - Sigma 是不断发展的开放标准，用于编写自动化管理工具可用于解析日志文件的规则和模板。在我们建议的搜索条件存在 Sigma 模板的位置，我们添加了指向 Sigma 存储库的链接。 Sigma 模板并不是由 Microsoft 编写、测试和管理。实际上，存储库和模板由全球 IT 安全社区创建和收集。
Azure Monitor。实现对各种情况的自动监视和警报。可以创建或使用工作簿来合并来自不同源的数据。
Azure 事件中心与 SIEM 集成。可通过 Azure 事件中心集成将 Microsoft Entra 日志推送到其他 SIEM，例如 Splunk、ArcSight、QRadar 和 Sumo Logic。有关详细信息，请参阅将 Microsoft Entra 日志流式传输到 Azure 事件中心。
Microsoft Defender for Cloud Apps。支持发现和管理应用、跨应用和资源进行治理以及检查云应用合规性。
Microsoft Graph。使能够导出数据并使用 Microsoft Graph 执行更多分析。有关详细信息，请参阅 Microsoft Graph PowerShell SDK 和 Microsoft Entra ID Protection。
标识保护。生成有助于进行调查的三份关键报告：
- 风险用户。包含有关哪些用户面临风险的信息、有关检测的详细信息、所有风险登录的历史记录，以及风险历史记录。
- 风险登录：包含有关可能表明有可疑情况的登录信息。有关根据此报告中的信息进行调查的详细信息，请参阅调查风险。
- 风险检测。包含检测到风险时触发的其他风险的信息，以及其他相关信息，例如登录位置和 Microsoft Defender for Cloud Apps 的任何详细信息。
使用标识保护预览版保护工作负载标识。用于检测跨登录行为和离线妥协指标的工作负载身份的风险。

虽然我们不鼓励这种做法，但特权帐户可以具有长期管理权限。如果选择使用长期特权，帐户遭入侵后会造成极为不利的影响。建议优先监视特权帐户，并将这些帐户纳入 Privileged Identity Management (PIM) 配置。有关 PIM 的详细信息，请参阅开始使用 Privileged Identity Management。此外，建议验证管理员帐户，确保其：

是必需的。
具有执行所需活动的最小特权。
至少受多重身份验证保护。
通过特权访问工作站 (PAW) 或安全管理员工作站 (SAW) 设备运行。

本文的其余部分将介绍建议监视和对其发出警报的内容。本文按威胁类型进行撰写。如果涉及特定的预生成解决方案，我们会在表后链接到这些解决方案。除此之外，可以使用前面的工具来生成警报。

本文详细介绍了如何设置基线以及审核特权帐户的登录和使用情况。本文还介绍了可用于帮助维护特权帐户完整性的工具和资源。具体内容分为以下主题：

紧急“破窗”帐户
特权帐户登录
特权帐户更改
特权组
特权分配和提升

紧急访问帐户

务必防止被意外锁定在 Microsoft Entra 租户之外。通过在组织中创建紧急访问帐户，可缓解意外锁定的影响。紧急访问帐户也称为“破窗”帐户，就像在火警警报器等物理安全设备上标识的“紧急情况下破窗逃生”信息。

紧急访问帐户拥有较高的特权，因此请不要将其分配给特定的个人。紧急访问帐户只能用于紧急情况或“需要破窗”的情况，即无法使用正常特权帐户的情况。例如，当条件访问策略配置错误并锁定了所有正常管理帐户时。限制紧急帐户只能在绝对必要时使用。

请参阅 Microsoft Entra ID 中面向管理员的安全访问做法，获取在紧急情况下如何操作的指导。

每次使用紧急访问帐户时，都发送高优先级警报。

发现

由于只有在发生紧急情况时才会使用“破窗”帐户，因此你的监视应该不会发现任何帐户活动。每次使用或更改紧急访问帐户时，都发送高优先级警报。以下任何事件都可能表明恶意行动者正试图入侵你的环境：

登录。
帐户密码更改。
帐户权限或角色更改。
凭据或身份验证方法的添加或更改。

有关管理紧急访问帐户的详细信息，请参阅在 Microsoft Entra ID 中管理紧急访问管理员帐户。有关为紧急帐户创建警报的详细信息，请参阅创建警报规则。

使用 Microsoft Entra 登录日志作为数据源，以监视所有特权帐户的登录活动。除了登录成功和失败的信息外，日志还包含以下详细信息：

中断
设备
位置
风险
应用程序
日期和时间
帐户是否已禁用
锁定
MFA 欺诈
条件访问失败

要监视的内容

可以在 Microsoft Entra 登录日志中监视特权帐户登录事件。对特权帐户的以下事件进行警报和调查。

要监视的内容	风险级别	Where	筛选器/子筛选器	说明
登录失败，超出密码阈值	高	Microsoft Entra 登录日志	状态 = 失败－和－错误代码 = 50126	定义基线阈值，监视并调整以适应组织的行为，并限制生成虚假警报。 Microsoft Sentinel 模板 Sigma 规则
由于条件访问要求而失败	高	Microsoft Entra 登录日志	状态 = 失败－和－错误代码 = 53003 －和－失败原因 = 被条件访问阻止	此事件可能表示攻击者正在尝试入侵帐户。 Microsoft Sentinel 模板 Sigma 规则
未遵循命名策略的特权帐户		Azure 订阅	使用 Azure 门户列出 Azure 角色分配	列出订阅的角色分配，并在登录名不符合组织规定的格式时发出警报。例如，使用 ADM_ 作为前缀。
中断	高、中	Microsoft Entra 登录	状态 = 已中断－和－错误代码 = 50074 －和－失败原因 = 需要强身份验证状态 = 已中断－和－错误代码 = 500121 失败原因 = 在强身份验证请求期间，身份验证失败	此事件可能表示攻击者拥有该帐户的密码，但无法通过多重身份验证质询。 Microsoft Sentinel 模板 Sigma 规则
未遵循命名策略的特权帐户	高	Microsoft Entra 目录	列出 Microsoft Entra 角色分配	对于 Microsoft Entra 角色和警报，在 UPN 不符合组织规定格式时列出角色分配。例如，使用 ADM_ 作为前缀。
发现未注册使用多重身份验证的特权帐户	高	Microsoft Graph API	对管理员帐户查询 IsMFARegistered eq false。列出 credentialUserRegistrationDetails - Microsoft Graph beta 版本	进行审核与调查，以确定事件是有意为之还是疏忽所致。
帐户锁定	高	Microsoft Entra 登录日志	状态 = 失败－和－错误代码 = 50053	定义基线阈值，监视并调整以适应组织的行为，并限制生成虚假警报。 Microsoft Sentinel 模板 Sigma 规则
帐户已禁用或被阻止登录	低	Microsoft Entra 登录日志	状态 = 失败－和－目标 = 用户 UPN －和－错误代码 = 50057	此事件可能表示某人在离开组织后尝试获取对帐户的访问权限。虽然帐户被阻止，但记录这类活动并发出警报仍然很重要。 Microsoft Sentinel 模板 Sigma 规则
MFA 欺诈警报或阻止	高	Microsoft Entra 登录日志/Azure Log Analytics	登录 > 身份验证详细信息结果详细信息 = MFA 遭拒绝，已输入欺诈代码	特权用户表示其尚未启动多重身份验证提示，这可能表示攻击者拥有该帐户的密码。 Microsoft Sentinel 模板 Sigma 规则
MFA 欺诈警报或阻止	高	Microsoft Entra 审核日志/Azure Log Analytics	活动类型 = 已报告欺诈 - 根据欺诈报告的租户级设置，用户因 MFA 或“已报告欺诈 - 未采取任何措施”而被阻止活动类型	特权用户表示其尚未启动多重身份验证提示，这可能表示攻击者拥有该帐户的密码。 Microsoft Sentinel 模板 Sigma 规则
特权帐户在预期控制之外登录		Microsoft Entra 登录日志	状态 = 失败 UserPricipalName = <管理员帐户> 位置 = <未批准的位置> IP 地址 = <未批准的 IP> 设备信息 = <未批准的浏览器、操作系统>	监视确定为“未批准”的任何条目并发出警报。 Microsoft Sentinel 模板 Sigma 规则
在正常登录时间之外	高	Microsoft Entra 登录日志	状态 = 成功－和－位置 = －和－时间 = 在工作时间之外	监视登录是否发生在预期时间之外，并发出警报。务必确定每个特权帐户的正常工作模式，并在正常工作时间之外发生计划外更改时发出警报。在正常工作时间之外登录可能表示存在入侵或可能的内部威胁。 Microsoft Sentinel 模板 Sigma 规则
标识保护风险	高	标识保护日志	风险状态 = 有风险－和－风险级别 = 低、中、高－和－活动 = 不熟悉的登录/TOR 等	此事件表示在帐户登录时检测到一些异常，应发出警报。
密码更改	高	Microsoft Entra 审核日志	活动参与者 = 管理员/自助服务－和－目标 = 用户－和－状态 = 成功或失败	在任何管理员帐户密码更改时发出警报，特别是全局管理员、用户管理员、订阅管理员和紧急访问帐户。编写针对所有特权帐户的查询。 Microsoft Sentinel 模板 Sigma 规则
更改旧身份验证协议	高	Microsoft Entra 登录日志	客户端应用 = 其他客户端、IMAP、POP3、MAPI、SMTP 等－和－用户名 = UPN －和－应用 = Exchange（示例）	许多攻击使用旧身份验证，因此，如果用户的身份验证协议发生更改，则可能表示存在攻击。 Microsoft Sentinel 模板 Sigma 规则
新设备或位置	高	Microsoft Entra 登录日志	设备信息 = 设备 ID －和－浏览者－和－ OS －和－符合/托管－和－目标 = 用户－和－位置	大多数管理员活动应来自有限位置的特权访问设备。因此，请针对新设备或位置发出警报。 Microsoft Sentinel 模板 Sigma 规则
审核警报设置发生更改	高	Microsoft Entra 审核日志	服务 = PIM －和－类别 = 角色管理－和－活动 = 禁用 PIM 警报－和－状态 = 成功	如果对核心警报的更改属于意料之外，应发出警报。 Microsoft Sentinel 模板 Sigma 规则
向其他 Microsoft Entra 租户进行身份验证的管理员	中	Microsoft Entra 登录日志	状态 = 成功资源租户 ID != 主租户 ID	如果限定为特权用户，则在管理员使用组织租户中的标识成功地向另一个 Microsoft Entra 租户进行身份验证时检测。如果资源租户 ID 不等于主租户 ID，则发出警报 Microsoft Sentinel 模板 Sigma 规则
管理员用户状态从来宾更改为成员	中	Microsoft Entra 审核日志	活动：更新用户类别：UserManagement UserType 从来宾更改为成员	用户类型从来宾更改为成员时进行监视并发出警报。此更改是否预期？ Microsoft Sentinel 模板 Sigma 规则
来宾用户被未经批准的邀请者邀请到租户	中	Microsoft Entra 审核日志	活动：邀请外部用户类别：UserManagement 发起者（行动者）：用户主体名称	当未经批准的行动者邀请外部用户时进行监视并发出警报。 Microsoft Sentinel 模板 Sigma 规则

特权帐户进行的更改

监视特权帐户完成和尝试的所有更改。此数据使你能够确定每个特权帐户的正常活动，并对偏离预期的活动发出警报。 Microsoft Entra 审核日志用于记录此类事件。有关 Microsoft Entra 审核日志的详细信息，请参阅审核 Microsoft Entra ID 中的日志。

Microsoft Entra 域服务

在 Microsoft Entra 域服务中分配了权限的特权帐户可以执行 Microsoft Entra 域服务任务，这些任务会影响使用 Microsoft Entra 域服务的 Azure 托管虚拟机的安全状况。在虚拟机上启用安全审核并监视日志。有关启用 Microsoft Entra 域服务审核的详细信息以及敏感特权列表，请参阅以下资源：

要监视的内容	风险级别	Where	筛选器/子筛选器	说明
尝试和完成的更改	高	Microsoft Entra 审核日志	日期和时间－和－服务－和－活动的类别和名称（内容）－和－状态 = 成功或失败－和－目标－和－发起方或参与者（人员）	对于任何计划外的更改，应立即发出警报。应保留这些日志，以协助进行任何调查。应立即调查任何会降低租户安全性的租户级更改（指向基础结构文档的链接）。例如：将帐户排除在多重身份验证或条件访问之外。在发生对应用的任何添加或更改时发出警报。请参阅应用程序的 Microsoft Entra 安全操作指南。
示例尝试或完成对高价值应用或服务的更改	高	审核日志	服务－和－活动的类别和名称	活动的日期和时间、服务、类别和名称、状态 = 成功或失败、目标、发起者或参与者（谁）
Microsoft Entra 域服务中的特权更改	高	Microsoft Entra 域服务	查找事件 4673	为 Microsoft Entra 域服务启用安全性审核有关所有特权事件的列表，请参阅审核敏感特权使用。

对特权帐户的更改

调查对特权帐户的身份验证规则和特权所做的更改，尤其当此类更改会提供更大的特权或在 Microsoft Entra 环境中执行任务的能力时。

要监视的内容	风险级别	Where	筛选器/子筛选器	说明
特权帐户创建	中	Microsoft Entra 审核日志	服务 = 核心目录－和－类别 = 用户管理－和－活动类型 = 添加用户－关联－类别类型 = 角色管理－和－活动类型 = 将成员添加到角色－和－修改的属性 = Role.DisplayName	监视任何特权帐户的创建。寻找创建和删除帐户之间时间跨度较短的关联。 Microsoft Sentinel 模板 Sigma 规则
身份验证方法的更改	高	Microsoft Entra 审核日志	服务 = 身份验证方法－和－活动类型 = 用户注册的安全信息－和－类别 = 用户管理	此更改可能表示攻击者为帐户添加了一种身份验证方法，以便能够持续访问。 Microsoft Sentinel 模板 Sigma 规则
在特权帐户权限发生更改时发出警报	高	Microsoft Entra 审核日志	类别 = 角色管理－和－活动类型 = 添加符合条件的成员（永久） -或- 活动类型 = 添加符合条件的成员（符合条件）－和－状态 = 成功或失败－和－修改的属性 = Role.DisplayName	此警报尤其适用于分配有未知或超出其正常职责范围的角色的帐户。 Sigma 规则
未使用的特权帐户	中	Microsoft Entra 访问评审		对非活动特权用户帐户进行每月评审。 Sigma 规则
免除条件访问的帐户	高	Azure Monitor 日志 -或- 访问评审	条件访问 = 见解和报告	任何免除条件访问的帐户都很可能会绕过安全控制，更容易遭到入侵。 “破窗”帐户例外。请参阅本文后续部分中关于如何监视“破窗”帐户中的信息。
向特权帐户添加临时访问密码	高	Microsoft Entra 审核日志	活动：管理员注册安全信息状态原因：管理员为用户注册了临时访问密码方法类别：UserManagement 发起者（行动者）：用户主体名称目标：用户主体名称	为特权用户创建临时访问密码时进行监视并发出警报。 Microsoft Sentinel 模板 Sigma 规则

有关如何监视条件访问策略异常的详细信息，请参阅条件访问见解和报告。

有关发现未使用的特权帐户的详细信息，请参阅在 Privileged Identity Management 中创建对 Microsoft Entra 角色的访问评审。

特权分配和提升

设置永久预配有特权提升能力的特权帐户可能会增加攻击面和安全边界的风险。请转为使用特权提升程序进行实时访问。通过此种类型的系统，你可为具有特权的角色分配资格。管理员仅在执行需要这些权限的任务时，才会提升这些角色的权限。使用特权提升程序使您能够监视特权帐户的特权提升和不使用情况。

建立基线

要监视异常，必须先创建基线。为这些因素确定下列信息

管理员账户
- 你的特权帐户策略
- 使用本地帐户管理本地资源
- 使用基于云的帐户管理基于云的资源
- 分离与监视本地和基于云的资源的管理权限的方法
特权角色保护
- 针对具有管理权限的角色的保护策略
- 使用特权帐户的组织政策
- 维护永久特权与提供有时限、经批准的访问的策略及原则

以下概念和信息可帮助确定策略：

实时管理员原则。使用 Microsoft Entra 日志来捕获信息，以执行环境中常见的管理任务。确定完成任务通常需要的时间。
足够多的管理员原则。确定执行管理任务所需的最小特权角色，这可能是一个自定义角色。有关详细信息，请参阅在 Microsoft Entra ID 中按照任务委托最小特权角色。
建立提升策略。了解所需提升特权的类型以及每个任务所需的时间后，创建可反映环境中提升特权使用情况的策略。例如，定义一种策略，将全局管理员访问权限限制为 1 小时。

建立基线并设置策略后，可以配置监视以检测策略之外的使用情况并发出警报。

发现

特别注意并调查特权分配和提升的更改。

要监视的内容

可以使用 Microsoft Entra 审核日志和 Azure Monitor 日志监视特权帐户更改。包括监视过程中德育以下更改。

要监视的内容	风险级别	Where	筛选器/子筛选器	说明
添加到符合条件的特权角色	高	Microsoft Entra 审核日志	服务 = PIM －和－类别 = 角色管理－和－活动类型 = 完成将成员添加到角色（符合条件）－和－状态 = 成功或失败－和－修改的属性 = Role.DisplayName	任何符合角色条件的帐户现在都被授予特权访问权限。如果分配超出预期，或分配到不属于帐户持有人职责的角色，则进行调查。 Microsoft Sentinel 模板 Sigma 规则
PIM 之外分配的角色	高	Microsoft Entra 审核日志	服务 = PIM －和－类别 = 角色管理－和－活动类型 = 将成员添加到角色（永久）－和－状态 = 成功或失败－和－修改的属性 = Role.DisplayName	应密切监视这些角色并就其异常行为发出警报。如果可能，不应在 PIM 之外为用户分配角色。 Microsoft Sentinel 模板 Sigma 规则
提升	中	Microsoft Entra 审核日志	服务 = PIM －和－类别 = 角色管理－和－活动类型 = 完成将成员添加到角色（PIM 激活） - 和 - 状态 = 成功或失败 - 和 - 修改的属性 = Role.DisplayName	提升特权帐户后，帐户现在就可以做出可能影响你的租户安全的更改。所有特权提升都应进行记录，如果发生在该用户的标准模式之外，则应在出现计划外情况时发出警报并进行调查。
批准和拒绝特权提升	低	Microsoft Entra 审核日志	服务 = 访问评审－和－类别 = UserManagement －和－活动类型 = 请求获批或被拒－和－发起的参与者 = UPN	监视所有特权提升，因为它可以清楚地显示出攻击的时间线。 Microsoft Sentinel 模板 Sigma 规则
更改 PIM 设置	高	Microsoft Entra 审核日志	服务 = PIM －和－类别 = 角色管理－和－活动类型 = 在 PIM 中更新角色设置－和－状态原因 = 禁用激活时进行 MFA（示例）	这些操作可能会降低 PIM 提升的安全性，使攻击者更容易获取特权帐户。 Microsoft Sentinel 模板 Sigma 规则
在 SAW/ PAW 上没有出现特权提升	高	Microsoft Entra 登录日志	设备 ID -以及- 浏览者－和－ OS －和－符合/托管关联：服务 = PIM －和－类别 = 角色管理－和－活动类型 = 完成将成员添加到角色（PIM 激活）－和－状态 = 成功或失败－和－修改的属性 = Role.DisplayName	如果配置此更改，应立即调查任何在非 PAW/SAW 设备上进行提升的尝试，因为这可能表示有攻击者在试图使用该帐户。 Sigma 规则
提升特权以管理所有 Azure 订阅	高	Azure Monitor	活动日志选项卡目录活动选项卡操作名称 = 将调用方分配到用户访问管理员 -和- 事件类别 = 管理 - 和 - 状态 = 成功、启动、失败－和－事件发起者	如果未计划此更改，应立即对其进行调查。此设置可能会允许攻击者访问你的环境中的 Azure 订阅。