Essential8 限制管理权限

本文详细介绍了使用 Microsoft 标识平台 限制管理权限的澳大利亚网络安全中心 (ACSC) 基本八种成熟度模型的方法。 ACSC 基本八项成熟度模型中提供了用于限制管理权限的 ACSC 成熟度模型准则。

为什么要遵循 ACSC Essential 8 限制管理特权准则?

澳大利亚网络安全中心 (ACSC) 领导澳大利亚政府改善网络安全的努力。 ACSC 建议所有澳大利亚组织实施 ACSC 缓解网络安全事件战略中的“基本八项缓解策略”作为基线。 基线称为“基本八项”,是基础网络安全措施,使攻击者更难入侵系统。 基本八种成熟度级别允许组织评估其网络安全措施是否适合在当今互连的 ICT 环境中应对常见威胁。

恶意参与者的目标是获取对特权凭据的访问权限,尤其是有权访问企业控制平面的凭据。 控制平面访问在企业 ICT 环境中提供对高价值资产的广泛访问和控制。 控制平面访问的示例包括全局管理员和Microsoft Entra ID中的等效权限,以及企业虚拟化基础结构的特权访问。

使用多层方法限制特权访问会增加攻击者执行恶意活动的难度。 限制管理特权是 ACSC 缓解网络安全事件策略中包含的一种高效控制措施。

下表概述了与限制管理权限相关的 ISM 控件。

ISM 控制 2024 年 3 月 成熟度级别 控制 评估
ISM-0445 1, 2, 3 为特权用户分配专用特权帐户,仅用于需要特权访问的任务。 管理员应对特权任务和工作效率工作使用单独的帐户。 Microsoft Entra ID、Azure 和 Microsoft 365 中具有高级特权的帐户应是仅限云的帐户,而不是从本地 Active Directory域同步的帐户。
ISM-1175 1, 2, 3 (排除那些显式授权访问联机服务) 的特权帐户,则无法访问 Internet、电子邮件和 Web 服务。 通过从特权帐户中删除 Microsoft 365 许可证,阻止使用Office 365电子邮件等生产力工具。 特权帐户应从特权访问设备访问云管理门户。 可以使用基于主机的防火墙、云代理或在设备上配置代理设置来执行从特权访问设备控制 Internet 和电子邮件。
ISM-1507 1, 2, 3 首次请求时,将验证对系统、应用程序和数据存储库的特权访问请求。 针对特权访问,权利管理过程已到位。 Microsoft Entra权利管理可用于自动执行权利管理过程。
ISM-1508 3 对系统、应用程序和数据存储库的特权访问仅限于用户和服务履行职责所需的权限。 基于角色的访问控制配置为限制对授权用户的访问权限。 Microsoft Entra Privileged Identity Management (PIM) 可确保实时访问,这是有时间限制的。
ISM-1509 2、3 特权访问事件将集中记录。 Microsoft Entra审核日志和登录日志将发送到 Azure Log Analytics 工作区 (LAW) 进行分析。
ISM-1647 2、3 除非重新验证,否则 12 个月后将禁用对系统、应用程序和数据存储库的特权访问。 针对特权访问,权利管理过程已到位。 Microsoft Entra权利管理可用于自动执行权利管理过程。
ISM-1648 2、3 在处于非活动状态 45 天后,将禁用对系统和应用程序的特权访问。 使用 Microsoft 图形 API评估 lastSignInDateTime 并识别非活动特权帐户。
ISM-1650 2、3 特权帐户和组管理事件将集中记录。 Microsoft Entra审核日志和登录日志将发送到 Azure Log Analytics 工作区 (LAW) 进行分析。
ISM-1380 1, 2, 3 特权用户使用单独的特权和无特权操作环境。 使用不同的物理工作站是分离系统管理员特权和无特权操作环境的最安全方法。 无法使用单独的物理工作站来分隔特权和无特权操作环境的组织应采用基于风险的方法,并根据深层防御安全策略实施替代控制。
ISM-1688 1, 2, 3 无特权帐户无法登录到特权操作环境。 登录限制和基于角色的访问控制用于防止无特权帐户登录到特权操作环境。
ISM-1689 1, 2, 3 特权帐户 (不包括本地管理员帐户) 无法登录到无特权的操作环境。 登录限制和基于角色的访问控制用于防止特权帐户登录到无特权操作环境。
ISM-1883 1, 2, 3 明确授权访问联机服务的特权帐户严格限制为用户和服务履行职责所需的帐户。 基于角色的访问控制配置为限制对授权用户的访问权限。 Microsoft Entra Privileged Identity Management (PIM) 可确保实时访问,这是有时间限制的。
ISM-1898 2、3 安全管理员工作站用于管理活动的性能。 特权访问工作站设备使用 Microsoft Intune 进行管理,并使用 Defender for Endpoint、Windows Hello 企业版和Microsoft Entra ID控件的组合进行保护。

限制管理权限:基本八项要求

特权访问允许管理员更改关键应用程序和基础结构的配置,例如标识服务、业务系统、网络设备、用户工作站和用户帐户。 特权访问或凭据通常被称为“王国的密钥”,因为它们为持有者提供对网络中许多不同资产的控制。

若要实现 限制管理权限的基本八级成熟度级别 3,需要以下类别的控制。

  • 标识治理:标识治理是验证用户访问要求并删除不再需要的访问权限的过程。
  • 最低特权:最低特权是一种访问控制方法,可将对系统、应用程序和数据存储库的访问限制为用户和服务履行职责所需的权限。
  • 帐户限制:帐户限制可减少特权凭据向非特权环境公开。
  • 管理设备:管理设备是用于执行管理活动的安全操作环境。
  • 日志记录和监视:通过日志记录和监视特权活动,可以检测入侵迹象。

身份管理

Identity Governance 可帮助组织实现工作效率和安全性之间的平衡。 标识生命周期管理是标识治理的基础,大规模有效治理需要现代标识生命周期管理基础结构。

权利管理 (ML1)

基本八级成熟度级别 1 要求在首次请求时验证对系统、应用程序和数据存储库的特权访问请求。 特权访问请求的验证是权利管理过程的一部分。 权利管理是管理用户对特权的访问权限的过程,以确保只有授权用户有权访问一组资源。 权利管理过程中的关键步骤包括访问请求、访问评审、访问预配和访问过期。

Microsoft Entra权利管理自动执行管理对 Azure 中资源的访问权限的过程。 可以使用访问包(即资源捆绑包)委派用户的访问权限。 Microsoft Entra权利管理中的 Access 包可以包括安全组、Microsoft 365 组和 Teams、Microsoft Entra企业应用程序和 SharePoint Online 网站。 访问包包括一个或多个策略。 策略定义用于分配访问包的规则或防护措施。 策略可用于确保只有适当的用户可以请求访问权限,分配访问请求的审批者,以及对资源的访问权限是时间限制的,如果未续订,则会过期。

描述Microsoft Entra权利管理生命周期的插图。

有关权利管理的详细信息,请参阅 Microsoft Entra 权利管理

(ML2) 管理非活动用户

基本八级成熟度级别 2 要求在处于非活动状态 45 天后自动禁用对系统和应用程序的特权访问。 非活动帐户是组织不再需要的用户或系统帐户。 非活动帐户通常可以通过登录日志进行标识,指示它们已长时间未用于登录。 可以使用上次登录时间戳来检测非活动帐户。

最后一次登录提供有关用户持续需要访问资源的潜在见解。 它可以帮助确定组成员身份或应用访问权限是否仍是必需的或可能被删除。 对于来宾用户管理,可以了解来宾帐户在租户中是否仍然处于活动状态,或者应进行清理。

通过评估由 Microsoft 图形 API的 signInActivity 资源类型公开的 lastSignInDateTime 属性来检测非活动帐户。 lastSignInDateTime 属性显示用户上次成功交互式登录Microsoft Entra ID的时间。 使用此属性,可以为以下方案实现解决方案:

有关管理非活动用户的详细信息,请参阅 管理非活动用户帐户

最小特权

最低特权要求对系统和应用程序的访问仅限于用户和系统履行职责所需的权限。 可以使用基于角色的访问控制 (RBAC) 、特权访问管理和实时 (JIT) 访问等控件来实现最小特权。

(ML1) 管理员的单独帐户

Essential 八成熟度级别 1 要求为特权用户分配专用特权帐户,以便仅用于需要特权访问的任务。 Microsoft Entra ID、Azure 和 Microsoft 365 中具有高级特权的帐户应该是仅限云的帐户,而不是从本地 Active Directory域同步的帐户。 管理帐户应阻止使用Office 365电子邮件等生产力工具, (删除许可证) 。

有关管理管理访问权限的详细信息,请参阅 保护混合云和云部署的特权访问

(ML1) 对管理员强制实施条件访问

基本八级成熟度级别 1 要求特权用户使用单独的特权和无特权操作环境。 对 Azure 和 Microsoft 365 环境的特权访问需要比应用于普通用户的标准更高的安全标准。 应基于信号和安全属性的组合授予特权访问权限,以支持零信任策略。 具有 Azure 或 Microsoft 365 特权访问权限的帐户遭到入侵可能会导致业务流程严重中断。 条件访问可以通过在允许访问 Azure 管理工具之前强制实施特定安全卫生标准来降低泄露风险。

建议实现以下控制,以便对Azure 门户和命令行管理工具进行管理访问:

  • 需要多重身份验证 (MFA)
  • 阻止来自 Microsoft 标识保护的高登录风险级别的访问尝试
  • 从 Microsoft 标识保护中阻止具有高用户风险级别的访问尝试
  • 要求从已加入Microsoft Entra的设备进行访问,这符合Intune设备运行状况、更新状态和系统安全状态的合规性要求

有关为管理员强制实施条件访问的详细信息,请参阅以下文章:

(ML2) 管理本地管理员帐户

基本八级成熟度级别 2 要求断层帐户、本地管理员帐户和服务帐户的凭据是长、唯一、不可预知且托管的。 攻击者通常使用 Windows 工作站上的活动本地管理员帐户横向遍历 Windows 环境。 因此,建议对已加入域的系统上的本地管理员帐户使用以下控件:

已加入 Active Directory 的系统

Microsoft 的本地管理员密码解决方案 (LAPS) 提供了在每台计算机上使用具有相同密码的通用本地帐户的问题的解决方案。 LAPS 通过在域中的每台计算机上为本地管理员帐户设置不同的轮换随机密码来解决此问题。 密码存储在 Active Directory 中,受限制性访问控制 Lists保护。 只有符合条件的用户才能检索或重置本地管理员密码。

有关在已加入 Active Directory 的系统上管理本地管理员帐户的详细信息,请参阅以下文章:

Microsoft Entra联接的系统

使用Microsoft Entra联接将 Windows 设备加入到Microsoft Entra ID时,Microsoft Entra ID将以下安全原则添加到设备上的本地管理员组:

  • Microsoft Entra全局管理员角色
  • 已加入 Azure AD 的设备本地管理员角色
  • 执行Microsoft Entra联接的用户

可以自定义本地管理员组的成员身份以满足业务要求。 建议限制本地管理员对工作站的访问,并要求 PIM 批准才能使用已加入 Azure AD 的设备本地管理员角色。

在Azure 门户中,可以从“设备设置”中管理“设备管理员”角色。

  1. 以全局管理员身份登录到Azure 门户。
  2. 浏览到Microsoft Entra ID>设备>设备设置
  3. 选择“管理所有已加入Microsoft Entra设备上的其他本地管理员”。
  4. 选择“ 添加分配 ”,然后选择要添加的其他管理员,然后选择“ 添加”。

若要修改设备管理员角色,请在所有已加入Microsoft Entra的设备上配置其他本地管理员

有关管理已加入Microsoft Entra系统上的本地管理员的详细信息,请参阅以下文章:

管理服务帐户 (ML2)

开发人员面临的一个常见挑战是管理用于保护服务之间通信的机密、凭据、证书和密钥。 基本八级成熟度级别 2 要求服务帐户的凭据是长、唯一、不可预知且托管的。

已加入 Active Directory 的系统

组托管服务帐户 (gMSA) 是域帐户,可帮助保护服务。 gMSA 可以在一台服务器或服务器场中运行,例如网络负载均衡背后的系统或 Internet Information Services (IIS) 服务器。 将服务配置为使用 gMSA 主体后,帐户密码管理由 Windows 操作系统 (OS) 处理。

gMSA 是一种具有更高安全性的标识解决方案,可帮助减少管理开销:

  • 设置强密码:240 字节,随机生成的密码:gMSA 密码的复杂性和长度将暴力破解或字典攻击的可能性降至最低。
  • 定期循环密码:密码管理将转到 Windows OS,该操作系统每 30 天更改一次密码。 服务和域管理员不需要计划密码更改,也不需要管理服务中断。
  • 支持部署到服务器场:将 gMSA 部署到多个服务器,以支持多个主机运行同一服务的负载均衡解决方案。
  • 支持简化的服务主体名称 (SPN) 管理 - 在创建帐户时使用 PowerShell 设置 SPN。

Microsoft Entra联接的系统

托管标识在 Microsoft Entra ID 中提供自动托管标识,供应用程序在连接到支持Microsoft Entra身份验证的资源时使用。 应用程序可以使用托管标识来获取Microsoft Entra令牌,而无需管理任何凭据。

有两种类型的托管标识:

  • 系统分配。 在资源标识的 Microsoft Entra ID 中自动创建服务主体。 服务主体与该 Azure 资源的生命周期相关联。 删除 Azure 资源后,Azure 会自动删除关联的服务主体。
  • 用户分配。 在资源标识的 Microsoft Entra ID 中手动创建服务主体。 服务主体与使用它的资源分开管理。

对系统和应用程序的实时访问 (ML3)

避免为属于 Azure 或 Microsoft 365 中高特权角色成员的任何帐户分配永久长期访问权限。 攻击者经常以具有永久特权的帐户为目标,以保持企业环境中的持久性,并导致系统受到广泛破坏。 临时特权强制攻击者等待用户提升其特权或启动特权提升。 启动特权提升活动会增加攻击者在造成损害之前被检测和删除的机会。

仅使用以下方法根据需要授予权限:

  • 实时访问:配置 Microsoft Entra Privileged Identity Management (PIM) ,以要求审批工作流获取特权角色的访问权限。 以下特权Microsoft Entra角色至少需要提升:全局管理员、特权身份验证管理员、特权角色管理员、条件访问管理员和Intune管理员。 以下特权 Azure RBAC 角色至少需要提升:所有者和参与者。
  • 碎玻璃帐户:紧急访问帐户仅限于无法使用普通管理帐户的紧急或“碎玻璃”方案。 例如,所有管理员都被锁定Microsoft Entra租户。 确保设置强密码,并且仅在紧急情况下使用紧急访问帐户。 使用 *.onmicrosoft.com 域为紧急访问帐户创建仅限云的帐户,并配置监视以在登录时发出警报。

访问评审 (ML3)

基本八级成熟度级别 3 要求对系统和应用程序的特权访问仅限于用户和服务履行职责所需的权限。 对 Azure 资源和Microsoft Entra角色的特权访问需求会随时间推移而变化。 若要降低与过时角色分配相关的风险,应定期查看访问权限。 Microsoft Entra访问评审使组织能够有效地管理 RBAC 组成员身份、对企业应用程序的访问以及Microsoft Entra角色分配。 可以定期评审用户访问,以确保只有正确的人员继续具有访问权限。

Microsoft Entra访问评审支持以下用例:

  • 识别过多的访问权限
  • 确定何时将组用于新目的
  • 当人员移动团队或离开公司时,删除不必要的访问权限
  • 启用与资源所有者的主动接触,以确保他们定期评审谁有权访问其资源。

根据需要评审的访问类型,需要在Azure 门户的不同区域中创建访问评审。 下表显示了用于创建访问评审的特定工具:

用户的访问权限 审阅者可以是 审阅创建于 审阅者体验
安全组成员
Office 组成员
指定的审阅者
组所有者
自我审查
访问审查
Microsoft Entra组
访问面板
分配给连接的应用 指定的审阅者
自我审查
访问审查
预览版) Microsoft Entra企业应用 (
访问面板
Microsoft Entra角色 指定的审阅者
自我审查
特权标识管理 (PIM) Azure 门户
Azure 资源角色 指定的审阅者
自我审查
特权标识管理 (PIM) Azure 门户
访问包分配 指定的审阅者
组成员
自我审查
权利管理 访问面板

有关Microsoft Entra访问评审的详细信息,请参阅以下文章:

帐户限制

帐户安全性是保护特权访问的关键组成部分。 端到端零信任安全性需要确定会话中使用的帐户实际上受人类所有者的控制,而不是模拟它们的攻击者。

ML1) (登录限制

在 Windows Active Directory (AD) 域中具有管理权限的用户、服务或应用程序帐户对企业安全性构成高风险。 这些帐户通常成为攻击者的目标,因为它们提供对服务器、数据库和应用程序的广泛访问。 当管理员登录到具有较低安全配置文件的系统时,特权凭据存储在内存中,可以使用凭据窃取工具 ((例如 Mimikatz) )提取。

基本八级成熟度级别 1 要求特权帐户 (不包括本地管理员帐户) 无法登录到无特权操作环境。 Microsoft 分层管理模型对已加入域的设备应用登录限制,以防止在安全配置文件较低的设备上公开特权凭据。 对 Active Directory 域具有管理员访问权限的管理员与控制工作站和企业应用程序的管理员分离。 应强制实施登录限制,以确保高特权帐户无法登录到安全性较低的资源。 例如:

  • Active Directory 企业版和域管理员组的成员无法登录到业务应用程序服务器和用户工作站。
  • Microsoft Entra全局管理员角色的成员无法登录到已加入Microsoft Entra工作站。

可以使用组策略用户权限分配或Microsoft Intune策略强制实施登录限制。 建议在企业服务器和用户工作站上配置以下策略,以防止特权帐户向不太受信任的系统公开凭据:

  • 拒绝从网络访问此计算机
  • 拒绝作为批处理作业登录
  • 拒绝作为服务登录
  • 拒绝在本地登录
  • 拒绝通过终端服务登录

(ML1) 限制对 Internet、电子邮件和 Web 服务的访问

基本八级成熟度级别 1 要求特权帐户 (排除明确有权访问联机服务) 的帐户无法访问 Internet、电子邮件和 Web 服务。 管理帐户应阻止使用Office 365电子邮件等生产力工具, (删除许可证) 。 管理帐户应从特权访问设备访问云管理门户。 特权访问设备应拒绝所有网站,并使用允许列表启用对云管理门户的访问。 可以使用基于主机的防火墙、云代理或在设备上配置代理设置来执行从特权访问设备控制 Internet 和电子邮件。

已加入Microsoft Entra设备

创建Microsoft Intune配置文件,以便在用于特权管理的设备上配置网络代理。 用于管理 Azure 和 Microsoft 365 云服务的特权访问设备应使用下表中的代理豁免。

名称 配置
基本信息 名称 PAW-Intune-Configuration-Proxy-Device-Restrictions
基本信息 平台 Windows 10 及更高版本
基本信息 配置文件类型 设备限制
配置 使用手动代理服务器 允许
配置 地址 127.0.0.2
配置 端口 8080
配置 代理异常 account.live.com;*.msft.net;*.msauth.net;*.msauthimages.net;*.msftauthimages.net;*.msftauth.net;*.azure.com;*.azure.net;*.azureedge.net;*.azurewebsites.net;*.microsoft.com;microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.microsoftonline-p.net;*.microsoftonline-p.com;*.windows.net;*.windows.com;*.windowsazure.com;*.windowsazure.cn ;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.azure-api.net;*.azure-devices.net;*.visualstudio.com;portal.office.com;config.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com;*.aka.ms;*.digicert.com;*.phonefactor.net;*.nuget.org;*.cloudapp.net;*.trafficmanager.net;login.live.com;clientconfig.passport.net;*.wns.windows.com;*.s-microsoft.com;www.msftconnecttest.com;graph.windows.net;*.manage.microsoft.com;*.aadcdn.microsoftonline-p.com;*.azureafd.net;*.azuredatalakestore.net;*.windows-int.net;*.msocdn.com;*.msecnd.net;*.onestore.ms;*.aspnetcdn.com;*.office.net;*.officeapps.live.com;aka.ms;*.powershellgallery.com;*.azure-apim.net;spoprod-a.akamaihd.net;*.hip.live.com

管理设备

系统管理员应使用单独的设备来管理特权和非特权操作环境。 管理活动应遵循管理过程中涉及的所有设备的干净源原则。

单独的特权和无特权操作环境 (ML1)

基本八级成熟度级别 1 要求特权用户使用单独的特权和无特权操作环境。 使用不同的物理工作站是分离系统管理员特权和无特权操作环境的最安全方法。 虽然安全保证可能会在会话中得到增强,但它们将始终受到原始设备中保证强度的限制。 控制特权访问设备的攻击者可以模拟用户或窃取用户凭据,以便将来进行模拟。 此风险会破坏帐户、中介(如跳转服务器)和资源本身的其他保证。

无法使用单独的物理工作站来分隔特权和无特权操作环境的组织应采取基于风险的方法,并根据深层防御安全策略实施替代控制。 Microsoft 建议将用户角色和资产映射到敏感度级别,以评估保护特权操作环境所需的保证级别。

有关特权访问敏感度级别的详细信息,请参阅 特权访问安全级别

保护管理员工作站 (ML3)

基本八级成熟度级别 3 要求使用安全管理员工作站来执行管理活动。 安全管理员工作站 (SAW) 是有效控制敏感凭据暴露在不太安全的设备上。 使用特权帐户登录到安全性较差的设备上或运行服务会增加凭据被盗和特权提升攻击的风险。 特权凭据应仅向 SAW 键盘公开,并应拒绝登录到安全性较低的设备。 SAW 提供用于管理本地、Azure、Microsoft 365 和第三方云服务的安全平台。 SAW 设备使用Microsoft Intune进行管理,并使用 Defender for Endpoint、Windows Hello 企业版和Microsoft Entra ID控件的组合进行保护。

下图演示了高级体系结构,包括应配置为实现整体解决方案和 SAW 框架的各种技术组件:

描述 Microsoft Secure 管理员 工作站解决方案的插图。

有关安全管理员工作站的详细信息,请参阅以下文章:

(ML2) 保护中介和跳转服务器

中间服务的安全性是保护特权访问的关键组成部分。 中介用于促进管理员的会话或与远程系统或应用程序的连接。 中介的示例包括虚拟专用网络 (VPN) 、跳转服务器、虚拟桌面基础结构 (包括Windows 365和 Azure 虚拟桌面) ,以及通过访问代理发布应用程序。 攻击者通常以中介为目标,以使用存储在中介上的凭据升级特权、获取对公司网络的网络远程访问,或利用对特权访问设备的信任。

不同的中介类型执行独特的功能,因此它们都需要不同的安全方法。 攻击者可以轻松以攻击面较大的系统为目标。 以下列表包括可用于特权访问中介的选项:

  • Microsoft Entra Privileged Identity Management (PIM) 、Azure Bastion 和 Microsoft Entra 应用程序代理等本机云服务对攻击者的攻击面有限。 当客户向公共 Internet 公开时, (客户和攻击者) 无法访问底层基础结构。 SaaS 和 PaaS 服务的底层基础结构由云提供商维护和监视。 这种较小的攻击面限制了攻击者与经典本地应用程序和设备(必须由 IT 人员配置、修补和监视)的可用选项。
  • 虚拟专用网络 (VPN) 、远程桌面和跳转服务器提供了重大的攻击者机会,因为这些服务需要持续修补、强化和维护才能保持弹性安全态势。 虽然跳转服务器可能只公开了几个网络端口,但攻击者只需要访问一个未修补的服务即可执行攻击。
  • 第三方Privileged Identity Management (PIM) 和 Privileged Access Management (PAM) 服务通常托管在本地或基础结构即服务 (IaaS) 上的 VM,通常仅适用于 Intranet 主机。 虽然不会直接公开 Internet,但单个泄露的凭据可能允许攻击者通过 VPN 或其他远程访问媒体访问服务。

有关特权访问中介的详细信息,请参阅 安全中介

日志记录和监视

将特权访问事件记录 (ML2)

记录特权帐户执行的登录和活动对于检测企业环境中的异常行为至关重要。 Microsoft Entra审核日志和登录日志提供了对应用程序和服务的特权访问的宝贵见解。

Microsoft Entra登录日志提供有关登录模式、登录频率和登录活动状态的见解。 登录活动报告在Microsoft Entra ID的所有版本中都可用。 具有 Microsoft Entra ID P1 或 P2 许可证的组织可以通过 Microsoft 图形 API访问登录活动报告。

Microsoft Entra活动日志包括Microsoft Entra ID中每个记录事件的审核日志。 应用程序、组、用户和许可证的更改都捕获在Microsoft Entra审核日志中。 默认情况下,Microsoft Entra ID将登录和审核日志保留最多七天。 如果租户中存在Microsoft Entra ID P1 或 P2 许可证,Microsoft Entra ID最多会将日志保留 30 天。 Microsoft Entra审核日志和登录日志应转发到 Azure Log Analytics 工作区 (LAW) ,以便集中收集和关联。

有关集中式日志记录的详细信息,请参阅以下文章:

监视事件日志中是否存在泄露迹象 (ML3)

基本八级成熟度级别 3 要求监视事件日志是否存在泄露迹象,并在检测到任何入侵迹象时采取措施。 监视特权活动对于及早检测系统入侵并遏制恶意活动范围非常重要。

监视特权访问事件

使用Microsoft Entra登录日志作为数据源,监视所有特权帐户登录活动。 监视以下事件:

要监视的内容 风险级别 其中 注意
登录失败,密码阈值错误 Microsoft Entra登录日志 定义基线阈值,然后监视和调整以适应组织行为,并限制生成虚假警报。
由于条件访问要求而失败 Microsoft Entra登录日志 此事件可能表明攻击者正在尝试进入帐户。
不遵循命名策略的特权帐户 Azure 订阅 列出订阅的角色分配,并在登录名称与组织格式不匹配时发出警报。 例如,使用 ADM_ 作为前缀。
中断 高、中 Microsoft Entra登录 此事件可能表明攻击者拥有帐户的密码,但无法通过多重身份验证质询。
不遵循命名策略的特权帐户 Microsoft Entra 目录 列出Microsoft Entra角色的角色分配,并在 UPN 与组织格式不匹配时发出警报。 例如,使用 ADM_ 作为前缀。
发现未注册多重身份验证的特权帐户 Microsoft Graph API 审核和调查以确定事件是有意还是疏忽。
帐户锁定 Microsoft Entra登录日志 定义基线阈值,然后监视和调整以适应组织行为,并限制生成虚假警报。
帐户已禁用或阻止登录 Microsoft Entra登录日志 此事件可能表示有人在离开组织后尝试获取对帐户的访问权限。 尽管帐户被阻止,但对此活动进行记录并发出警报仍然很重要。
MFA 欺诈警报或阻止 Microsoft Entra登录日志/Azure Log Analytics 特权用户已指示他们尚未煽动多重身份验证提示,这可能指示攻击者拥有帐户的密码。
MFA 欺诈警报或阻止 Microsoft Entra审核日志日志/Azure Log Analytics 特权用户已指示他们尚未煽动多重身份验证提示,这可能指示攻击者拥有帐户的密码。
超出预期控制权限的特权帐户登录 Microsoft Entra登录日志 监视已定义为未批准的任何条目并发出警报。
在正常登录时间之外 Microsoft Entra登录日志 如果登录发生在预期时间之外,则监视并发出警报。 请务必查找每个特权帐户的正常工作模式,并在正常工作时间之外发生计划外更改时发出警报。 正常工作时间以外的登录可能表示存在泄露或可能的内部威胁。
标识保护风险 标识保护日志 此事件指示帐户登录时检测到异常,应发出警报。
密码更改 Microsoft Entra审核日志 针对任何管理员帐户密码更改发出警报,尤其是全局管理员、用户管理员、订阅管理员和紧急访问帐户。 编写针对所有特权帐户的查询。
旧版身份验证协议中的更改 Microsoft Entra登录日志 许多攻击使用旧式身份验证,因此,如果用户的身份验证协议发生更改,则可能表明存在攻击。
新设备或位置 Microsoft Entra登录日志 大多数管理员活动应来自有限数量的特权访问设备。 因此,请针对新设备或位置发出警报。
审核警报设置已更改 Microsoft Entra审核日志 如果意外,应发出对核心警报的更改的警报。
向其他Microsoft Entra租户进行身份验证的管理员 Microsoft Entra登录日志 当范围限定为特权用户时,此监视器将检测管理员是否已成功向具有组织租户中标识的另一个Microsoft Entra租户进行身份验证。 如果资源租户 ID 不等于主租户 ID,则发出警报
管理员用户状态从“来宾”更改为“成员” Microsoft Entra审核日志 监视用户类型从“来宾”更改为“成员”并发出警报。 此更改是否预期如此?
未经批准的邀请者邀请到租户的来宾用户 Microsoft Entra审核日志 监视未批准的参与者邀请来宾用户并发出警报。

监视特权帐户管理事件

调查对特权帐户身份验证规则和特权的更改,尤其是在更改提供了更大的特权或能够在Microsoft Entra ID中执行任务时。

要监视的内容 风险级别 其中 注意
特权帐户创建 Microsoft Entra审核日志 监视任何特权帐户的创建。 查找创建和删除帐户之间的短时间跨度的相关。
对身份验证方法的更改 Microsoft Entra审核日志 此更改可能表明攻击者向帐户添加了身份验证方法,以便他们可以继续访问。
针对特权帐户权限的更改发出警报 Microsoft Entra审核日志 此警报尤其适用于分配的角色未知或超出其正常职责的帐户。
未使用的特权帐户 Microsoft Entra访问评审 对非活动特权用户帐户执行每月评审。
不受条件访问的帐户 Azure Monitor 日志或访问评审 任何免除条件访问的帐户很可能绕过安全控制,并且更容易遭到入侵。 打破玻璃帐户是豁免的。 请参阅本文后面的有关如何监视破窗帐户的信息。
向特权帐户添加临时访问密码 Microsoft Entra审核日志 监视为特权用户创建的临时访问密码并发出警报。

有关监视特权帐户活动的详细信息,请参阅 Microsoft Entra ID 中特权帐户的安全操作

防止未经授权的修改和删除事件日志 (ML3)

基本八级成熟度级别 3 要求保护事件日志免受未经授权的修改和删除。 保护事件日志免受未经授权的修改和删除,可确保在组织遇到安全事件时,可以将日志用作可靠的证据来源。 在 Azure 中,对应用程序和服务的特权访问的事件日志应集中存储在 Log Analytics 工作区中。

Azure Monitor 是一个仅追加数据平台,但包括出于合规性目的删除数据的预配。 应使用基于角色的访问控制来保护从特权活动收集日志的 Log Analytics 工作区,并监视其修改和删除活动。

其次,在 Log Analytics 工作区上设置锁以阻止所有可能删除数据的活动:清除、表删除以及表或工作区级数据保留更改。

若要完全防篡改事件日志,请配置自动将日志数据导出到不可变存储解决方案,例如用于Azure Blob 存储的不可变存储。

有关保护事件日志完整性的详细信息,请参阅 Azure Monitor 数据安全性