基础结构安全操作
基础结构有许多组件,如果配置不当,可能会出现漏洞。 作为基础结构监视和警报策略的一部分,应该监视以下方面的事件并发出相关警报:
身份验证和授权
混合身份验证组件,包括 联合服务器
策略
订阅
监视身份验证基础结构的组件并发出相关警报至关重要。 任何入侵都可能导致整个环境遭到全面入侵。 许多使用 Microsoft Entra ID 的企业都是在混合身份验证环境中操作。 应将云和本地组件包含在监视和警报策略中。 使用混合身份验证环境还会将另一种攻击途径引入到你的环境。
建议将所有组件以及用于管理这些组件的帐户视为控制平面/第 0 层资产。 有关设计和实施环境的指南,请参阅保护特权资产 (SPA)。 此指南包含有可能用于 Microsoft Entra 租户的每个混合身份验证组件的建议。
要想检测意外事件和潜在攻击,第一步是建立基线。 对于本文中列出的所有本地组件,请参阅“保护特权资产”(SPA) 指南中的特权访问部署部分。
要查看的地方
用于调查和监视的日志文件包括:
在 Azure 门户中,可查看 Microsoft Entra 审核日志,并将其下载为逗号分隔值 (CSV) 或 JavaScript 对象表示法 (JSON) 文件。 Azure 门户提供多种方法,将 Microsoft Entra 日志与其他工具相集成,以便更好地自动执行监视和警报:
Microsoft Sentinel - 通过提供安全信息与事件管理 (SIEM) 功能,实现企业级智能安全分析。
Sigma 规则 - Sigma 是不断发展的开放标准,用于编写自动化管理工具可用于解析日志文件的规则和模板。 在我们建议的搜索条件存在 Sigma 模板的位置,我们添加了指向 Sigma 存储库的链接。 Sigma 模板并不是由 Microsoft 编写、测试和管理。 实际上,存储库和模板由全球 IT 安全社区创建和收集。
Azure Monitor - 实现对各种情况的自动监视和警报。 可以创建或使用工作簿来合并不同源的数据。
Azure 事件中心与 SIEM 集成 - 通过 Azure 事件中心集成,可将 Microsoft Entra 日志集成到其他 SIEM,例如 Splunk、ArcSight、QRadar 和 Sumo Logic。
Microsoft Defender for Cloud Apps - 可用于发现和管理应用、跨应用和资源进行治理以及检查云应用的合规性。
使用标识保护预览版保护工作负载标识 - 用于通过登录行为和脱机入侵指标检测工作负载标识的风险。
本文的其余部分介绍要监视和对其发出警报的内容。 这些内容按威胁类型进行组织。 如果有预生成解决方案,表后面会提供这些解决方案的链接。 否则,可以使用前面的工具来生成警报。
身份验证基础结构
在包含本地和基于云的资源和帐户的混合环境中,Active Directory 基础结构是身份验证堆栈的关键组成部分。 该堆栈也是攻击目标,因此必须对其进行配置以维持安全的环境,并适当地对其进行监视。 当前针对身份验证基础结构使用的攻击类型示例包含使用密码喷射和 Solorigate 技术。 下面是建议阅读的文章的链接:
保护特权访问概述 — 此文概述了使用零信任技术创建和维护安全特权访问的当前技术。
Microsoft Defender for Identity 受监视域活动 - 此文提供了要监视并为其设置警报的活动的综合列表。
Microsoft Defender for Identity 安全警报教程 - 此文提供了有关创建和实施安全警报策略的指导。
下面是重点介绍如何监视身份验证基础结构并发出相关警报的具体文章的链接:
了解和使用 Microsoft Defender for Identity 中的横向移动路径 - 检测技术可帮助识别何时使用了非敏感帐户获取对敏感网络帐户的访问权限。
在 Microsoft Defender for Identity 中处理安全警报 - 这篇文章介绍了在记录警报后如何查看和管理这些警报。
下面是需要检查的具体内容:
| 要监视的内容 | 风险级别 | Where | 说明 |
|---|---|---|---|
| Extranet 锁定趋势 | 高 | Microsoft Entra Connect Health | 请参阅使用 Microsoft Entra Connect Health 监视 AD FS,了解用于帮助检测 Extranet 锁定趋势的工具和技术。 |
| 失败的登录 | 高 | Connect Health 门户 | 导出或下载有风险的 IP 报告,并遵循有风险的 IP 报告(公共预览版)中的指导执行后续步骤。 |
| 符合隐私标准 | 低 | Microsoft Entra Connect Health | 参考用户隐私和 Microsoft Entra Connect Health 一文将 Microsoft Entra Connect Health 配置为禁用数据收集和监视。 |
| 针对 LDAP 的潜在暴力攻击 | 中等 | Microsoft Defender for Identity | 使用传感器来帮助检测针对 LDAP 的潜在暴力攻击。 |
| 帐户枚举侦测 | 中等 | Microsoft Defender for Identity | 使用传感器来帮助执行帐户枚举侦查。 |
| Microsoft Entra ID 与 Azure AD FS 之间的常规关联 | 中 | Microsoft Defender for Identity | 使用功能来关联 Microsoft Entra ID 与 Azure AD FS 环境之间的活动。 |
直通身份验证监视
Microsoft Entra 直通身份验证通过直接针对本地 Active Directory 验证用户密码来使其登录。
下面是需要检查的具体内容:
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| Microsoft Entra 直通身份验证错误 | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – 无法连接到 Active Directory | 确保代理服务器是需要验证其密码的用户所在 AD 林的成员,并且能够连接到 Active Directory。 |
| Microsoft Entra 直通身份验证错误 | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 - 连接到 Active Directory 时超时 | 检查以确保 Active Directory 可用,并且可以响应代理的请求。 |
| Microsoft Entra 直通身份验证错误 | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 - 传递给代理的用户名无效 | 确保用户尝试使用正确的用户名登录。 |
| Microsoft Entra 直通身份验证错误 | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - 验证遇到了不可预知的 WebException | 暂时性的错误。 重试请求。 如果持续失败,请与 Microsoft 支持人员联系。 |
| Microsoft Entra 直通身份验证错误 | 中 | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - 与 Active Directory 通信时出错 | 查看代理日志以了解更多信息,并验证 Active Directory 是否按预期方式运行。 |
| Microsoft Entra 直通身份验证错误 | 高 | Win32 LogonUserA 函数 API | 登录事件 4624(s):帐户已成功登录 - 关联 – 4625(F):帐户无法登录 |
与对请求进行身份验证的域控制器上的可疑用户名配合使用。 LogonUserA 函数 (winbase.h) 中提供了指导 |
| Microsoft Entra 直通身份验证错误 | 中 | 域控制器的 PowerShell 脚本 | 请参见表后面的查询。 | 参考 Microsoft Entra Connect:排查直通身份验证问题中的信息获取相关指导。 |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
监视新 Microsoft Entra 租户的创建
当组织租户标识启动操作时,组织可能需要监视新 Microsoft Entra 租户的创建并发出警报。 监视这种情况可了解正在创建和可供最终用户访问的租户数。
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| 使用租户中的标识创建新的 Microsoft Entra 租户。 | 中 | Microsoft Entra 审核日志 | 类别:目录管理 活动:创建公司 |
目标显示已创建的 TenantID |
专用网络连接器
Microsoft Entra ID 和 Microsoft Entra 应用程序代理为远程用户提供单一登录 (SSO) 体验。 用户在不使用虚拟专用网 (VPN) 或双重宿主服务器和防火墙规则的情况下安全连接到本地应用。 如果 Microsoft Entra 专用网络连接器服务器遭到入侵,攻击者可能会改变 SSO 体验或更改对已发布的应用程序的访问权限。
若要为应用程序代理配置监视,请参阅排查应用程序代理问题和错误消息。 可以在 Applications and Services Logs\Microsoft\Microsoft Entra private network\Connector\Admin 中找到记录信息的数据文件。有关审核活动的完整参考指南,请参阅 Microsoft Entra 审核活动参考。 要监视的具体内容:
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| Kerberos 错误 | 中等 | 各种工具 | 中等 | 排查应用程序代理问题和错误消息中的“Kerberos 错误”下提供了 Kerberos 身份验证错误处理指导。 |
| DC 安全问题 | 高 | DC 安全审核日志 | 事件 ID 4742(S):计算机帐户已更改 -和- 标志 – 受信任,可委派 -或- 标志 - 受信任,可执行身份验证以便委派 |
调查任何标志更改。 |
| 类似于传递票证的攻击 | 高 | 遵循以下文章中的指导: 安全主体侦查 (LDAP)(外部 ID 2038) 教程:泄露凭据警报 了解和使用 Microsoft Defender for Identity 的横向移动路径 了解实体配置文件 |
旧式身份验证设置
要使多重身份验证 (MFA) 生效,还需要阻止旧式身份验证。 然后,需要监视环境并对任何使用旧式身份验证的情况发出警报。 POP、SMTP、IMAP 和 MAPI 等旧式身份验证协议无法强制执行 MFA。 这使得这些协议成了攻击者的首选入口点。 有关可用于阻止旧式身份验证的工具的详细信息,请参阅用于在组织中阻止旧式身份验证的新工具。
旧式身份验证作为事件详细信息的一部分捕获到 Microsoft Entra 登录日志中。 可以使用 Azure Monitor 工作簿来帮助识别旧式身份验证的使用。 有关详细信息,请参阅如何将 Azure Monitor 工作簿用于 Microsoft Entra 报告中的使用旧式身份验证登录。 还可以使用 Microsoft Sentinel 的不安全协议工作簿。 有关详细信息,请参阅 Microsoft Sentinel 不安全协议工作簿实施指南。 要监测的具体活动包括:
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| 旧式身份验证 | 高 | Microsoft Entra 登录日志 | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp : ActiveSync go to EXO 其他客户端 = SharePoint 和 EWS |
在联合域环境中,失败的身份验证不会被记录下来,并且不会显示在日志中。 |
Microsoft Entra Connect
Microsoft Entra Connect 提供一个集中位置,用于在本地与基于云的 Microsoft Entra 环境之间实现帐户和属性同步。 Microsoft Entra Connect 专用于满足和完成混合标识目标的 Microsoft 工具。 它提供以下功能:
密码哈希同步 - 一种登录方法,它将用户的本地 AD 密码与 Microsoft Entra ID 进行同步。
同步 - 负责创建用户、组和其他对象。 同时,还负责确保本地用户和组的标识信息与云匹配。 此同步还包括密码哈希。
运行状况监视 - Microsoft Entra Connect Health 提供可靠监视,并在 Azure 门户中提供一个中心位置,用于查看此活动。
同步本地环境与云环境之间的标识会在本地和基于云的环境中造成新的攻击面。 我们建议:
将 Microsoft Entra Connect 主服务器和暂存服务器视为控制平面中的第 0 层系统。
遵循一组标准策略来控制每种类型的帐户及其在环境中的用法。
安装 Microsoft Entra Connect 和 Connect Health。 这些组件主要用于提供环境的操作数据。
以不同的方式记录发生的 Microsoft Entra Connect 操作:
Microsoft Entra Connect 向导将数据记录到
\ProgramData\AADConnect。 每次调用该向导时,都会创建一个带时间戳的跟踪日志文件。 可将跟踪日志导入到 Sentinel 或其他第三方安全信息和事件管理 (SIEM) 工具进行分析。某些操作会启动 PowerShell 脚本来捕获日志记录信息。 若要收集此数据,必须确保已启用脚本块日志记录。
监视配置更改
Microsoft Entra ID 使用 Microsoft SQL Server 数据引擎或 SQL 来存储 Microsoft Entra Connect 配置信息。 因此应在监视和审核策略中,包括与配置关联的日志文件的监视和审核。 具体而言,应在监视和警报策略中包括以下表。
| 要监视的内容 | Where | 说明 |
|---|---|---|
| mms_management_agent | SQL 服务审核记录 | 参阅 SQL Server 审核记录 |
| mms_partition | SQL 服务审核记录 | 参阅 SQL Server 审核记录 |
| mms_run_profile | SQL 服务审核记录 | 参阅 SQL Server 审核记录 |
| mms_server_configuration | SQL 服务审核记录 | 参阅 SQL Server 审核记录 |
| mms_synchronization_rule | SQL 服务审核记录 | 参阅 SQL Server 审核记录 |
有关要监视的配置信息内容和监视方法的信息,请参阅:
对于 SQL Server,请参阅 SQL Server 审核记录。
对于 Microsoft Sentinel,请参阅连接到 Windows 服务器以收集安全事件。
有关配置和使用 Microsoft Entra Connect 的信息,请参阅什么是 Microsoft Entra Connect?
监视和排查同步问题
Microsoft Entra Connect 的一项功能是在用户本地密码与 Microsoft Entra ID 之间进行哈希同步。 如果密码不按预期方式同步,则同步可能会影响一部分用户或所有用户。 参考以下文章来帮助验证操作是否正常或排查问题:
有关检查和排查哈希同步问题的信息,请参阅排查使用 Microsoft Entra Connect Sync 进行密码哈希同步的问题。
有关对连接器空间的修改,请参阅排查 Microsoft Entra Connect 对象和属性问题。
有关监测的重要资源
| 要监视的内容 | 资源 |
|---|---|
| 哈希同步验证 | 请参阅排查使用 Microsoft Entra Connect Sync 进行密码哈希同步的问题 |
| 对连接器空间的修改 | 请参阅排查 Microsoft Entra Connect 对象和属性问题 |
| 对配置的规则的修改 | 监视对以下项的更改:筛选、域和 OU、属性和基于组的更改 |
| SQL 和 MSDE 更改 | 更改日志记录参数和添加自定义函数 |
监视以下各项:
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| 计划程序更改 | 高 | PowerShell | Set-ADSyncScheduler | 查看对计划的修改 |
| 对计划任务的更改 | 高 | Microsoft Entra 审核日志 | 活动 = 4699(S):已删除计划任务 -或- 活动 = 4701(S):已禁用计划任务 -或- 活动 = 4702(s):某个计划任务已更新 |
全部监视 |
有关记录 PowerShell 脚本操作的详细信息,请参阅 PowerShell 参考文档中的启用脚本块日志记录。
有关配置 PowerShell 日志记录以通过 Splunk 进行分析的详细信息,请参阅将数据引入 Splunk User Behavior Analytics。
监视无缝单一登录
Microsoft Entra 无缝单一登录(无缝 SSO)可使用户在使用连接到企业网络的企业台式机时自动登录。 无缝 SSO 可让用户轻松访问基于云的应用程序,而无需使用其他本地组件。 SSO 使用 Microsoft Entra Connect 提供的直通身份验证和密码哈希同步功能。
监视单一登录和 Kerberos 活动可帮助检测一般性的凭据盗窃攻击模式。 使用以下信息进行监视:
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| 与 SSO 和 Kerberos 验证失败关联的错误 | 中 | Microsoft Entra 登录日志 | 单一登录中提供了单一登录错误代码列表。 | |
| 用于排查错误的查询 | 中等 | PowerShell | 参阅表格后面的查询。 检查每个启用了 SSO 的林。 | 检查每个启用了 SSO 的林。 |
| 与 Kerberos 相关的事件 | 高 | Microsoft Defender for Identity 监视 | 查看 Microsoft Defender for Identity 横向移动路径 (LMP) 中提供的指导 |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
密码保护策略
如果部署了 Microsoft Entra 密码保护,则监视和报告是至关重要的任务。 以下链接提供的详细信息可帮助你了解各种监视技术,包括每个服务在哪里记录信息,以及如何报告 Microsoft Entra 密码保护的使用情况。
域控制器 (DC) 代理和代理服务都记录事件日志消息。 下面所述的所有 PowerShell cmdlet 仅可用于代理服务器(请参阅 AzureADPasswordProtection PowerShell 模块)。 DC 代理软件不安装 PowerShell 模块。
规划和部署本地 Microsoft Entra 密码保护中提供了有关规划和实施本地密码保护的详细信息。 有关监视详细信息,请参阅监视本地 Microsoft Entra 密码保护。 在每个域控制器上,DC 代理服务软件将每个密码验证操作的结果(和其他状态)写入以下本地事件日志:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
DC 代理管理日志是软件行为方式信息的主要来源。 跟踪日志默认已关闭,在记录数据之前必须启用它。 若要排查应用程序代理问题和错误消息,请参阅排查 Microsoft Entra 应用程序代理问题中的详细信息。 这些事件的信息记录在以下位置:
Applications and Services Logs\Microsoft\Microsoft Entra private network\Connector\Admin
Microsoft Entra 审核日志,类别为“应用程序代理”
Microsoft Entra 审核活动参考中提供了 Microsoft Entra 审核活动的完整参考。
条件性访问
在 Microsoft Entra ID 中,可以通过配置条件访问策略来保护对资源的访问。 作为 IT 管理员,你希望确保条件访问策略按预期工作,以确保资源得到适当保护。 在条件访问服务发生更改时进行监视并发出警报,可确保实施组织为访问数据而定义的策略。 对条件访问进行更改时,Microsoft Entra 会记录日志,并提供工作簿,以确保策略提供预期的覆盖范围。
工作簿链接
使用以下信息监视条件访问策略的更改:
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| 由未经批准的行动者创建的新条件访问策略 | 中 | Microsoft Entra 审核日志 | 活动:添加条件访问策略 类别:策略 发起者(行动者):用户主体名称 |
在条件访问发生更改时进行监视并发出警报。 发起者(行动者):更改条件访问时是否获得批准? Microsoft Sentinel 模板 Sigma 规则 |
| 由未经批准的行动者创建的条件访问策略 | 中 | Microsoft Entra 审核日志 | 活动:删除条件访问策略 类别:策略 发起者(行动者):用户主体名称 |
在条件访问发生更改时进行监视并发出警报。 发起者(行动者):更改条件访问时是否获得批准? Microsoft Sentinel 模板 Sigma 规则 |
| 由未经批准的行动者更新的条件访问策略 | 中 | Microsoft Entra 审核日志 | 活动:更新条件访问策略 类别:策略 发起者(行动者):用户主体名称 |
在条件访问发生更改时进行监视并发出警报。 发起者(行动者):更改条件访问时是否获得批准? 查看修改的属性并比较“旧”值和“新”值 Microsoft Sentinel 模板 Sigma 规则 |
| 从限定关键条件访问策略的组中删除用户 | 中 | Microsoft Entra 审核日志 | 活动:从组中删除成员 类别:GroupManagement 目标:用户主体名称 |
对用于限定关键条件访问策略的组进行监视并发出警报。 “目标”是已删除的用户。 Sigma 规则 |
| 向用于限定关键条件访问策略的组中添加用户 | 低 | Microsoft Entra 审核日志 | 活动 = 将成员添加到组 类别:GroupManagement 目标:用户主体名称 |
对用于限定关键条件访问策略的组进行监视并发出警报。 “目标”是已添加的用户。 Sigma 规则 |