Microsoft Entra 权限管理警报指南

警报对于帮助解决权限问题至关重要。 警报可帮助组织采取主动方法来管理身份及其对资源的访问。

使用 Microsoft Entra 权限管理配置警报,以持续监视环境是否存在特权过高的帐户和非活动身份等方案。 它还可以通知你潜在的威胁、服务中断和异常权限使用情况。

权限管理警报通过电子邮件转到订阅的用户,并具有摘要视图:触发的警报、相关授权系统以及警报中涉及的身份、任务和资源数。 在权限管理中查看警报,获取有关触发器的更多详细信息。

注意

权限管理警报不是实时的;它们基于产品的活动日志刷新,因此活动与警报之间可能存在延迟。

在 Microsoft Entra 权限管理中配置有四种类型的警报:

  • 统计异常
  • 基于规则的异常
  • 权限分析
  • 活动

统计异常警报

统计异常警报使用 Microsoft Entra Permissions Management 人工智能 (AI) 和机器学习 (ML) 功能。 根据以前的活动日志信息,权限管理对每个身份进行分类并确定典型行为。 可为你的环境中非典型或可疑活动选择预配置的警报。 例如,当某个身份执行大量任务或某个身份在一天中的异常时间执行任务时,便可收到通知。

统计异常警报可用于威胁检测,因为环境中的异常活动可能是帐户遭到入侵的信号。 使用这些警报可检测潜在的服务中断。 六个预配置的统计异常警报包括:

  • 身份执行了大量任务:此警报可用于检测威胁。 执行大量任务的身份可能表示存在入侵。
  • 身份执行的任务少:此警报可用于检测潜在的服务中断,尤其是计算机帐户中的服务中断。 执行的任务异常少的身份可能表示突然中断或权限问题。
  • 身份使用多个异常模式执行了任务:此警报可用于检测威胁。 使用多个异常任务模式的身份可能表示帐户遭到入侵。
  • 身份执行了结果异常的任务:此警报可用于检测潜在的服务中断。 执行结果异常的任务(例如失败的任务)的身份可能表示突然中断或权限问题。
  • 身份执行了时间异常的任务:此警报用于威胁检测。 身份在典型时间之外执行任务可能表示帐户遭到入侵,或者用户从非典型位置访问资源。
  • 身份执行了类型异常的任务:此警报用于威胁检测。 身份突然执行他们通常不执行的任务可能表示帐户遭到入侵。

有关这些预配置警报的详细信息,请参阅创建和查看统计异常警报和警报触发器

响应统计异常警报

统计异常警报可能表示潜在的安全事件或服务中断。 这并不一定意味着发生了事件。 存在触发这些警报的有效用例。 例如,处于新时区的外出商务旅行的员工可能触发身份执行了时间异常的任务警报。

一般情况下,建议调查该身份以确定是否需要采取行动。 使用权限管理中的“审核”选项卡或分析最近的日志记录信息。

基于规则的异常警报

基于规则的异常警报已预先配置。 使用它们通知环境中的初始活动。 例如,为初始资源访问或在用户首次执行任务时创建警报。

将基于规则的异常警报用于高度敏感的生产授权系统或要密切监视的身份。

有三个预配置的基于规则的异常警报:

  • 首次访问的任何资源:使用此触发器在授权系统中接收新活动资源的通知。 例如,用户未经你知晓即在订阅中创建新的 Microsoft Azure Blob 存储实例。 首次访问新的 Blob 存储时,触发器会发出警报。
  • 身份首次执行特定任务:使用此触发器检测范围逐渐变化或用户权限提升。 例如,如果用户第一次执行不同的任务,则可能是帐户遭到入侵,或者用户最近具有权限更改,允许他们执行新任务。
  • 身份首次执行任务:此警报触发器用于订阅中的新活动用户,或检测遭到入侵的闲置帐户。 例如,在 Azure 订阅中预配了某个新用户。 当该新用户执行其第一个任务时,此触发器会发出警报。

注意

身份首次执行特定任务在用户首次执行唯一任务时发送通知。 身份首次执行任务在身份于指定时间范围内执行其第一个任务时发送通知。

要了解详细信息,请参阅创建和查看基于规则的异常警报和警报触发器

响应基于规则的异常警报

基于规则的异常警报可以生成许多警报。 因此,建议将其用于高度敏感的授权系统。

收到基于规则的异常警报时,请调查身份或资源以确定是否需要操作。 使用权限管理中的“审核”选项卡或分析最近的日志记录信息。

权限分析警报

权限分析警报已预先配置;可用于环境中的重大发现。 每个警报都关联到“权限分析”报告中的一个类别。 例如,可以通知用户处于非活动状态,或者当用户被过度授权时通知。

使用权限分析警报主动了解重大发现。 例如,为环境中过度授权的新用户创建警报。

权限分析警报在建议的发现-修正-监视流中起着关键作用。 以下示例使用流清理环境中的闲置用户:

  1. 发现:使用权限分析报告发现环境中的闲置用户。
  2. 修正:手动清理闲置用户,或者使用 Microsoft Entra 权限管理中的修正工具清理。
  3. 监视:为环境中检测到的新闲置用户创建权限分析警报,从而启用主动方法来清理过时的帐户。

要了解详细信息,请参阅文章创建和查看权限分析触发器

以下建议的权限分析警报列表适用于受支持的云环境。 根据需要添加更多权限分析警报。 用于 Microsoft Azure、Amazone Web Services (AWS) 和 Google Cloud Platform (GCP) 的建议并不反映特定环境。

Azure:权限分析警报建议

  • 过度预配的活动用户
  • 过度预配的活动系统身份
  • 过度预配的活动无服务器函数
  • 超级用户
  • 超级系统标识
  • 超级无服务器函数
  • 闲置用户
  • 非活动组
  • 闲置无服务器函数
  • 闲置系统标识

AWS:权限分析警报建议

  • 过度预配的活动用户
  • 过度预配的活动角色
  • 过度预配的活动资源
  • 过度预配的活动无服务器函数
  • 特权提升的用户
  • 特权提升的角色
  • 特权提升的帐户
  • 超级用户
  • 超级角色
  • 超级资源
  • 超级无服务器函数
  • 闲置用户
  • 闲置角色
  • 非活动组
  • 非活动资源
  • 闲置无服务器函数
  • 没有 MFA 的用户(可选,具体取决于对 MFA 的 IDP 的使用)

GCP:权限分析警报建议

  • 过度预配的活动用户
  • 过度预配的活动服务帐户
  • 过度预配的活动无服务器函数
  • 特权提升的用户
  • 特权提升的服务帐户
  • 超级用户
  • 超级服务帐户
  • 超级无服务器函数
  • 闲置用户
  • 非活动组
  • 闲置无服务器函数
  • 闲置无服务器帐户

响应权限分析警报

修正因每个警报而异。 存在触发权限分析警报的有效用例。 例如,管理员帐户或紧急访问帐户可能会对过度预配的活动用户触发警报。 如果不需要修正,可以将 ck_exclude_from_pcick_exclude_from_reports 标记应用到该身份。

  • ck_exclude_from_pci 从授权系统 PCI 分数中删除该身份
  • ck_exclude_from_reports 从权限分析报告发现中删除该身份

活动警报

活动警报持续监视关键身份和资源,以帮助了解环境中的高风险活动。 例如,这些警报可以通知你环境中访问的资源或执行的任务。 活动警报是可自定义的。 可以使用易于使用的无代码接口创建警报条件。 了解如何创建和查看活动警报和警报触发器

以下部分包含可以创建的示例活动警报。 它们按一般想法进行组织,然后是用于 Azure、AWS 和 GCP 的方案。

常规活动警报创意

跨受支持的云环境应用以下活动警报:Azure、AWS 和 GCP。

警报触发器用于监视紧急访问帐户活动

紧急访问帐户适用于无法使用常规管理性帐户的方案。 创建警报来监视这些帐户的活动,以检测泄露和潜在滥用。

Diagram of an alert trigger to monitor emergency-access account activity.

警报触发器用于监视对关键资源执行的活动

对于环境中要监视的关键资源,创建警报以通知特定资源上的活动,尤其是威胁检测。

Diagram of an alert to monitor activity on critical resources

Azure 活动警报创意

警报触发器用于监视直接角色分配

如果组织使用实时 (JIT) 访问模型,则创建警报触发器以通知你在 Azure 订阅中的直接角色分配。

Diagram of an alert to monitor direct role assignment.

警报触发器用于监视虚拟机关闭并重启

使用活动警报监视资源类型并检测潜在的服务中断。 以下示例是 Azure 订阅中虚拟机 (VM) 关闭和重启的活动警报。

Diagram of an alert to monitor VM turn-off and restart.

警报触发器用于监视托管标识

为了监视某些标识或资源类型,请为特定标识或资源类型执行的活动创建警报。 以下示例是监视 Azure 订阅中托管标识活动的警报。

Diagram of an alert to monitor managed identities in an Azure subscription.

AWS 活动警报创意

警报触发器用于监视根用户的活动

如有想要监视的高特权帐户,请为这些帐户执行的活动创建警报。 以下示例是用于监视根用户活动的活动警报。

Diagram of an alert to monitor root user activity.

警报触发器用于监视非 IT 管理员角色创建的用户

对于某些人员或角色在你的环境中执行的任务,请为其他人执行的任务创建警报,这可能是不良参与者的信号。 以下示例是非 IT 管理员角色创建的用户的活动警报。

Diagram of an alert to monitor users not created by the IT Admins role.

警报触发器用于监视从 S3 Bucket 尝试的未授权对象下载

为失败的活动、威胁检测和服务中断检测创建警报非常有用。 以下示例活动警报针对 Amazon Simple Storage Service (S3) Bucket 对象下载失败,这可能表示已泄露的帐户在尝试访问未经授权的资源。

Diagram of an alert to monitor unauthorized S3 bucket downloads.

警报触发器用于监视访问密钥的授权失败活动

若要监视特定的访问密钥,请为授权失败创建活动警报。

Diagram of an alert to monitor authorization failure for an access key.

GCP 活动警报创意

警报触发器用于监视云 SQL 数据库的创建

若要监视环境中创建的新资源,请为特定资源类型创建建立警报。 以下示例是针对云 SQL 数据库创建的警报。

Diagram of an alert to monitor Cloud SQL Database creation.

警报触发器用于监视服务帐户密钥的授权失败

若要监视服务密钥的潜在中断,请在 GCP 项目中为服务帐户密钥创建授权失败的活动警报。

Diagram of an alert to monitor service account key authorization failure.

响应活动警报

一般而言,收到活动警报时,建议调查活动以确定是否需要操作。 使用权限管理中的“审核”选项卡或分析最近的日志记录信息。

注意

由于活动警报是可自定义的,因此响应因已实现的活动警报类型而异。

后续步骤

配置警报是 Microsoft Entra 权限管理的重要操作组件。 通过这些警报,可以持续监视环境是否存在过度特权帐户和闲置身份等情况,并通知潜在威胁、服务中断和异常权限使用情况。 有关 Microsoft Entra 权限管理操作的其他指南,请参阅以下资源: