Microsoft Entra 安全性作業指南

Microsoft 透過深度防禦原則，使用身分識別作為控制平面的深度防禦，來 零信任 安全性的成功且經過證實的方法。 組織會繼續採用混合式工作負載世界，以達到規模、節省成本和安全性。 Microsoft Entra ID 在您的身分識別管理策略中扮演重要角色。 最近，圍繞身分識別和安全性入侵的新聞日益促使企業IT將其身分識別安全性狀態視為防禦安全性成功的度量。

越來越多的組織必須採用內部部署和雲端應用程式的混合，用戶可透過內部部署和僅限雲端帳戶存取這些應用程式。 在內部部署和雲端中管理使用者、應用程式和裝置，會帶來具有挑戰性的案例。

混合式身分識別

Microsoft Entra ID 會建立一般使用者身分識別，以驗證和授權所有資源，而不論位置為何。 我們稱之為混合式身分識別。

若要使用 Microsoft Entra ID 達成混合式身分識別，您可以使用三種驗證方法其中之一，視您的情節而定。 這三種方法包括：

• 密碼雜湊同步 (PHS)
• 傳遞驗證 (PTA)
• 同盟 (AD FS)

當您稽核目前的安全性作業或為您的 Azure 環境建立安全性作業時，建議您：

• 閱讀 Microsoft 安全性指引的特定部分，以建立保護雲端式或混合式 Azure 環境的相關知識基準。
• 稽核您的帳戶和密碼策略和驗證方法，以協助阻止最常見的攻擊媒介。
• 針對可能表示安全性威脅的活動建立持續監視和警示的策略。

適用對象

Microsoft Entra SecOps 指南適用於企業 IT 身分識別和安全性作業小組，以及需要透過更佳身分識別安全性設定和監視配置檔來對抗威脅的受控服務提供者。 本指南特別適用於 IT 系統管理員和身分識別架構設計人員，建議安全性作業中心 （SOC） 防禦和滲透測試小組改善和維護其身分識別安全性狀態。

範圍

本簡介提供建議的預先讀取和密碼稽核和策略建議。 本文也提供混合式 Azure 環境和完全雲端式 Azure 環境可用的工具概觀。 最後，我們提供可用來監視和警示及設定安全性資訊和事件管理 （SIEM） 策略和環境的數據源清單。 其餘指引會在下列領域呈現監視和警示策略：

• 用戶帳戶。 不具系統管理許可權的非特殊許可權用戶帳戶專用指引，包括異常帳戶建立和使用方式，以及不尋常的登入。

• 特殊許可權帳戶。 具有較高許可權執行系統管理工作之特殊許可權用戶帳戶的特定指引。 工作包括 Microsoft Entra 角色指派、Azure 資源角色指派，以及 Azure 資源和訂用帳戶的存取管理。

• Privileged Identity Management （PIM）。 使用 PIM 來管理、控制及監視資源存取的特定指引。

• 應用程式。 用來為應用程式提供驗證的帳戶專屬指引。

• 裝置。 針對在原則之外註冊或加入裝置的監視和警示、不符合規範的使用方式、管理裝置管理角色，以及登入虛擬機的特定指引。

• 基礎結構。 監視和警示混合式和純雲端式環境威脅的特定指引。

重要參考內容

Microsoft 有許多產品和服務，可讓您自定義 IT 環境以符合您的需求。 建議您檢閱下列操作環境的指引：

• Windows 作業系統

  • Windows 10 v1909 和 Windows Server v1909 的安全性基準 （FINAL）
  • Windows 11 的安全性基準
  • Windows Server 2022 的安全性基準

• 內部部署環境

  • 適用於身分識別的 Microsoft Defender架構
  • 連線 適用於身分識別的 Microsoft Defender 至 Active Directory 快速入門
  • 適用於 適用於身分識別的 Microsoft Defender的 Azure 安全性基準
  • 監視 Active Directory 遭到危害的徵兆

• 雲端式 Azure 環境

  • 使用 Microsoft Entra 登入記錄監視登入
  • 稽核 Azure 入口網站 中的活動報告
  • 使用 Microsoft Entra ID Protection 調查風險
  • 連線 Microsoft Entra ID Protection 數據至 Microsoft Sentinel

• Active Directory Domain Services (AD DS)

  • 稽核原則建議

• Active Directory 同盟服務 (AD FS)

  • AD FS 疑難解答 - 稽核事件和記錄

資料來源

您用於調查和監視的記錄檔如下：

• Microsoft Entra 稽核記錄
• 登入記錄
• Microsoft 365 稽核記錄
• Azure 金鑰保存庫 記錄

您可以從 Azure 入口網站 檢視 Microsoft Entra 稽核記錄。 將記錄下載為逗號分隔值 （CSV） 或 JavaScript 物件表示法 （JSON） 檔案。 Azure 入口網站 有數種方式可將 Microsoft Entra 記錄與其他工具整合，以便更自動化監視和警示：

• Microsoft Sentinel - 藉由提供安全性資訊和事件管理 （SIEM） 功能，在企業層級啟用智慧型手機安全性分析。

• Sigma 規則 - Sigma 是撰寫規則和範本的不斷演變開放標準，自動化管理工具可用來剖析記錄檔。 針對建議的搜尋準則存在 Sigma 範本的位置，我們已新增 Sigma 存放庫的連結。 Sigma 範本不會由 Microsoft 撰寫、測試及管理。 相反地，存放庫和範本是由全球IT安全性社群所建立和收集。

• Azure 監視器 - 啟用各種條件的自動化監視和警示。 可以建立或使用活頁簿來合併來自不同來源的數據。

• Azure 事件中樞與 SIEM 整合。 Microsoft Entra 記錄可以透過 Azure 事件中樞 整合，整合到其他 SIEM，例如 Splunk、ArcSight、QRadar 和 Sumo Logic。 如需詳細資訊，請參閱 將 Microsoft Entra 記錄串流至 Azure 事件中樞。

• 適用於雲端的 Microsoft Defender 應用程式- 可讓您探索和管理應用程式、管理應用程式和資源，以及檢查雲端應用程式的合規性。

• 使用 Identity Protection Preview 保護工作負載身分識別 - 用來偵測跨登入行為和離線入侵指標的工作負載身分識別風險。

您將會監視和警示的大部分內容都是條件式存取原則的效果。 您可以使用條件式存取深入解析和報告活頁簿來檢查登入上一或多個條件式存取原則的效果，以及原則的結果，包括裝置狀態。 此活頁簿可讓您檢視影響摘要，並識別特定時段的影響。 您也可以使用活頁簿來調查特定使用者的登入。 如需詳細資訊，請參閱 條件式存取深入解析和報告。

本文的其餘部分說明要監視和警示的內容。 在有特定的預先建置解決方案時，我們會連結至這些解決方案，或提供下表後面的範例。 否則，您可以使用上述工具來建置警示。

• Identity Protection 會產生三個主要報告，可用來協助調查：

• 具風險的使用者 包含哪些使用者有風險、偵測詳細數據、所有有風險登入的歷程記錄，以及風險歷程記錄的相關信息。

• 具風險的 登入包含登入情況的相關信息，可能表示可疑的情況。 如需調查此報告資訊的詳細資訊，請參閱 如何：調查風險。

• 風險偵測 包含 Microsoft Entra ID Protection 偵測到的風險訊號資訊，可通知登入和用戶風險。 如需詳細資訊，請參閱 用戶帳戶的 Microsoft Entra 安全性作業指南。

如需詳細資訊，請參閱 什麼是 Identity Protection。

域控制器監視的數據源

為了獲得最佳結果，建議您使用 適用於身分識別的 Microsoft Defender 監視域控制器。 此方法可啟用最佳的偵測和自動化功能。 請遵循下列資源的指引：

• 適用於身分識別的 Microsoft Defender架構
• 連線 適用於身分識別的 Microsoft Defender 至 Active Directory 快速入門

如果您不打算使用 適用於身分識別的 Microsoft Defender，請透過下列其中一種方法來監視域控制器：

• 事件記錄檔訊息。 如需入侵跡象，請參閱監視 Active Directory。
• PowerShell 指令程式。 請參閱 針對域控制器部署進行疑難解答。

混合式驗證的元件

作為 Azure 混合式環境的一部分，您應該將下列專案基準化，並包含在您的監視和警示策略中。

• PTA 代理程式 - 傳遞驗證代理 程式是用來啟用傳遞驗證，並安裝在內部部署。 如需驗證代理程式版本和後續步驟的相關信息，請參閱 Microsoft Entra 傳遞驗證驗證代理程式：版本發行歷程記錄 。

• AD FS/WAP - Active Directory 同盟服務 （Azure AD FS） 和 Web 應用程式 Proxy （WAP） 可讓您跨安全性和企業界限安全地共用數位身分識別和權利。 如需安全性最佳做法的資訊，請參閱保護 Active Directory 同盟服務 的最佳做法。

• Microsoft Entra 連線 Health 代理程式 - 用來提供 Microsoft Entra 連線 Health 通訊連結的代理程式。 如需安裝代理程序的資訊，請參閱 Microsoft Entra 連線 Health 代理程式安裝。

• Microsoft Entra 連線 同步引擎 - 內部部署元件，也稱為同步處理引擎。 如需此功能的相關信息，請參閱 Microsoft Entra 連線 Sync 服務功能。

• 密碼保護DC代理程式 - Azure 密碼保護DC代理 程式可用來協助監視和報告事件記錄檔訊息。 如需詳細資訊，請參閱強制執行內部部署 Microsoft Entra Password Protection for Active Directory 網域服務。

• 密碼篩選 DLL - DC 代理程式的密碼篩選 DLL 會從作業系統接收使用者密碼驗證要求。 篩選會將它們轉送至在 DC 本機執行的 DC 代理程式服務。 如需使用 DLL 的詳細資訊，請參閱強制執行內部部署 Microsoft Entra Password Protection for Active Directory 網域服務。

• 密碼回寫代理程式 - 密碼回寫是 Microsoft Entra 連線 啟用的功能，可讓雲端中的密碼變更即時寫回現有的內部部署目錄。 如需此功能的詳細資訊，請參閱 自助式密碼重設回寫如何在 Microsoft Entra ID 中運作。

• Microsoft Entra 專用網連接器 - 位於內部部署的輕量型代理程式，並協助 應用程式 Proxy 服務的輸出連線。 如需詳細資訊，請參閱 瞭解 Microsoft Entra 專用網連接器。

雲端式驗證的元件

作為 Azure 雲端式環境的一部分，您應該將下列專案基準化並包含在您的監視和警示策略中。

• Microsoft Entra 應用程式 Proxy - 此雲端服務提供內部部署 Web 應用程式的安全遠端存取。 如需詳細資訊，請參閱 透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式。

• Microsoft Entra 連線 - 用於 Microsoft Entra 連線 解決方案的服務。 如需詳細資訊，請參閱什麼是 Microsoft Entra 連線。

• Microsoft Entra 連線 Health - 服務健康狀態為您提供可自定義的儀錶板，以追蹤您在使用 Azure 服務的區域健康情況。 如需詳細資訊，請參閱 Microsoft Entra 連線 Health。

• Microsoft Entra 多重要素驗證 - 多重要素驗證 需要使用者提供一種以上的驗證證明形式。 這種方法可以提供主動式第一個步驟來保護環境。 如需詳細資訊，請參閱 Microsoft Entra 多重要素驗證。

• 動態群組 - Microsoft Entra 管理員 istrators 安全組成員資格的動態設定，可以設定規則，以根據使用者屬性填入在 Microsoft Entra 識別符中建立的群組。 如需詳細資訊，請參閱 動態群組和 Microsoft Entra B2B 共同作業。

• 條件式存取 - 條件式存取 是 Microsoft Entra ID 用來將訊號結合在一起、做出決策並強制執行組織原則的工具。 條件式存取如何成為新身分識別導向控制平面的核心。 如需詳細資訊，請參閱 什麼是條件式存取。

• Identity Protection - 一種工具，可讓組織將身分識別風險的偵測和補救自動化、使用入口網站中的數據調查風險，以及將風險偵測數據導出至 SIEM。 如需詳細資訊，請參閱 什麼是 Identity Protection。

• 群組型授權 - 授權可以指派給群組，而不是直接指派給使用者。 Microsoft Entra ID 儲存使用者授權指派狀態的相關資訊。

• 布建服務 - 布建是指在使用者需要存取的雲端應用程式中建立使用者身分識別和角色。 除了建立使用者識別之外，自動佈建還包括在狀態或角色變更時，維護及移除使用者識別。 如需詳細資訊，請參閱 應用程式布建在 Microsoft Entra ID 中的運作方式。

• 圖形 API - Microsoft Graph API 是 RESTful Web API，可讓您存取 Microsoft 雲端服務資源。 在註冊您的應用程式並取得使用者或服務的驗證權杖之後，您可以對 Microsoft Graph API 提出要求。 如需詳細資訊，請參閱 Microsoft Graph 概觀。

• Domain Service - Microsoft Entra Domain Services （AD DS） 提供受控網域服務，例如加入網域、組策略。 如需詳細資訊，請參閱 什麼是 Microsoft Entra Domain Services。

• Azure Resource Manager - Azure Resource Manager 是 Azure 的部署和管理服務。 其提供一個管理層，讓您能夠在 Azure 帳戶中建立、更新及刪除資源。 如需詳細資訊，請參閱 什麼是 Azure Resource Manager。

• 受控識別 - 受控識別不需要開發人員管理認證。 受控識別可為應用程式提供身分識別，以便在連線至支援 Microsoft Entra 驗證的資源時使用。 如需詳細資訊，請參閱 什麼是 Azure 資源的受控識別。

• Privileged Identity Management - PIM 是 Microsoft Entra 標識符中的服務，可讓您管理、控制及監視組織中重要資源的存取權。 如需詳細資訊，請參閱 什麼是 Microsoft Entra Privileged Identity Management。

• 存取權檢閱 - Microsoft Entra 存取權檢 閱可讓組織有效率地管理群組成員資格、企業應用程式的存取權，以及角色指派。 您可以定期檢閱使用者的存取權，以確定只有適合的人員才能繼續存取。 如需詳細資訊，請參閱 什麼是 Microsoft Entra 存取權檢閱。

• 權利管理 - Microsoft Entra 權利管理 是身 分識別治理 功能。 組織可以藉由自動化存取要求工作流程、存取指派、檢閱和到期，大規模管理身分識別和存取生命週期。 如需詳細資訊，請參閱 什麼是 Microsoft Entra 權利管理。

• 活動記錄 - 活動記錄是 Azure 平台記錄 ，可提供訂用帳戶層級事件的深入解析。 此記錄包含這類資訊，例如修改資源或虛擬機啟動時。 如需詳細資訊，請參閱 Azure 活動記錄。

• 自助式密碼重設服務 - Microsoft Entra 自助式密碼重設 （SSPR） 可讓用戶變更或重設其密碼。 不需要系統管理員或技術支援中心。 如需詳細資訊，請參閱 運作方式：Microsoft Entra 自助式密碼重設。

• 裝置服務 - 裝置身分識別管理是裝置型條件式存取的基礎。 使用裝置型條件式存取原則，您可以確保只有受控裝置才能存取您環境中的資源。 如需詳細資訊，請參閱 什麼是裝置身分識別。

• 自助式群組管理 - 您可以讓使用者在 Microsoft Entra 識別碼中建立和管理自己的安全組或 Microsoft 365 群組。 群組的擁有者可以核准或拒絕成員資格要求，並可委派群組成員資格的控制。 自助式群組管理功能不適用於啟用郵件功能的安全組或通訊組清單。 如需詳細資訊，請參閱 在 Microsoft Entra ID 中設定自助群組管理。

• 風險偵測 - 包含偵測到風險時所觸發之其他風險的相關信息，以及其他相關信息，例如登入位置，以及來自 適用於雲端的 Microsoft Defender Apps 的任何詳細數據。

下一步

請參閱下列安全性作業指南文章：

用戶帳戶的安全性作業

取用者帳戶的安全性作業

特殊許可權帳戶的安全性作業

Privileged Identity Management 的安全性作業

應用程式的安全性作業

裝置的安全性作業

基礎結構的安全性作業