Microsoft Entra ID 中特殊許可權帳戶的安全性作業
商務資產的安全性取決於管理您 IT 系統的特殊權限帳戶完整性。 網路攻擊者會使用認證竊取攻擊和其他方式,以特殊許可權帳戶為目標,並取得敏感性資料的存取權。
傳統上,組織安全性著重于網路進入和結束點作為安全性周邊。 不過,網際網路上的軟體即服務(SaaS)應用程式和個人裝置使這種方法效率較低。
Microsoft Entra ID 會使用身分識別和存取管理 (IAM) 作為控制平面。 在貴組織的身分識別層中,指派給特殊許可權系統管理角色的使用者會受到控制。 用於存取的帳戶必須受到保護,無論是內部部署環境、雲端還是混合式環境。
您完全負責內部部署 IT 環境的所有安全性層級。 當您使用 Azure 服務時,預防與回應是 Microsoft 作為雲端服務提供者的共同責任,而您是客戶。
- 如需共用責任模型的詳細資訊,請參閱 在雲端中的共同責任。
- 如需保護特殊許可權使用者存取權的詳細資訊,請參閱 在 Microsoft Entra ID 中保護混合式和雲端部署的特殊許可權存取。
- 如需各種影片、操作指南和特殊許可權身分識別重要概念的內容,請參閱 Privileged Identity Management 檔 。
要監視的記錄檔
您用於調查和監視的記錄檔如下:
從Azure 入口網站,您可以檢視 Microsoft Entra 稽核記錄,並以逗號分隔值 (CSV) 或 JavaScript 物件標記法 (JSON) 檔案下載。 Azure 入口網站有數種方式可將 Microsoft Entra 記錄與其他工具整合,以便更自動化監視和警示:
Microsoft Sentinel 。 藉由提供安全性資訊和事件管理 (SIEM) 功能,在企業層級啟用智慧型安全性分析。
Sigma 規則 - Sigma 是撰寫規則和範本的不斷演變開放標準,自動化管理工具可用來剖析記錄檔。 針對建議的搜尋準則存在 Sigma 範本的位置,我們已新增 Sigma 存放庫的連結。 Sigma 範本不會由 Microsoft 撰寫、測試及管理。 相反地,存放庫和範本是由全球 IT 安全性社群所建立和收集。
Azure 監視器。 啟用各種條件的自動化監視和警示。 可以建立或使用活頁簿來合併來自不同來源的資料。
Azure 事件中樞與 SIEM 整合。 可讓 Microsoft Entra 記錄透過Azure 事件中樞整合推送至其他 SIEM,例如 Splunk、ArcSight、QRadar 和 Sumo Logic。 如需詳細資訊,請參閱 將 Microsoft Entra 記錄串流至 Azure 事件中樞 。
適用於雲端的 Microsoft Defender應用程式 。 可讓您探索及管理應用程式、管理應用程式和資源,以及檢查雲端應用程式的合規性。
Microsoft Graph 。 可讓您匯出資料並使用 Microsoft Graph 來執行更多分析。 如需詳細資訊,請參閱 Microsoft Graph PowerShell SDK 和 Microsoft Entra ID Protection 。
Identity Protection 。 產生三個主要報告,可用來協助調查:
有風險的使用者 。 包含哪些使用者處於風險、偵測詳細資料、所有有風險登入的歷程記錄,以及風險歷程記錄的相關資訊。
具風險的登入 。包含可能表示可疑情況之登入的相關資訊。 如需調查此報告資訊的詳細資訊,請參閱 調查風險 。
風險偵測 。 包含偵測到風險時所觸發之其他風險的相關資訊,以及其他相關資訊,例如登入位置,以及來自 適用於雲端的 Microsoft Defender Apps 的任何詳細資料。
使用 Identity Protection Preview 保護工作負載身分識別。 用來偵測跨登入行為和離線入侵指標的工作負載身分識別風險。
雖然我們不鼓勵這種做法,但特殊許可權帳戶可以擁有常設系統管理許可權。 如果您選擇使用常設許可權,且帳戶遭到入侵,可能會產生強烈負面影響。 建議您排定監視特殊許可權帳戶的優先順序,並將帳戶納入 Privileged Identity Management (PIM) 設定中。 如需 PIM 的詳細資訊,請參閱 開始使用 Privileged Identity Management 。 此外,建議您驗證系統管理員帳戶:
- 為必要專案。
- 具有執行所需活動的最低許可權。
- 至少受到多重要素驗證的保護。
- 是從特殊許可權存取工作站 (PAW) 或安全系統管理工作站 (SAW) 裝置執行。
本文的其餘部分說明建議您監視和警示的內容。 本文是由威脅類型所組織。 如果有特定的預先建置解決方案,我們會在表格之後連結到它們。 否則,您可以使用上述工具來建置警示。
本文提供設定基準和稽核登入和使用特殊許可權帳戶的詳細資料。 它也會討論可用來協助維護特殊許可權帳戶完整性的工具和資源。 內容會組織成下列主題:
- 緊急「破玻璃」帳戶
- 特殊許可權帳戶登入
- 特殊許可權帳戶變更
- 特殊許可權群組
- 許可權指派和提高許可權
緊急存取帳戶
請務必防止意外鎖定您的 Microsoft Entra 租使用者。 您可以在組織中建立緊急存取帳戶,以減輕意外鎖定的影響。 緊急訪問帳戶也稱為 破玻璃帳戶 ,如在消防警報等實體安全設備上發現的「破玻璃以防緊急」的資訊。
緊急存取帳戶具有高度特殊權限,且不會指派給特定個人。 緊急存取帳戶僅限於無法使用一般特殊許可權帳戶的緊急或中斷案例。 例如,條件式存取原則設定錯誤並鎖定所有一般系統管理帳戶時。 限制緊急帳戶只能用於絕對必要的時間。
如需在緊急狀況中執行之動作的指引,請參閱 Microsoft Entra ID 中系統管理員的安全存取做法。
每次使用緊急存取帳戶時傳送高優先順序警示。
探索
因為斷層帳戶只有在發生緊急狀況時才會使用,因此您的監視應該不會探索任何帳戶活動。 每次使用或變更緊急存取帳戶時,傳送高優先順序警示。 下列任何事件都可能表示不良動作專案正嘗試危害您的環境:
- 登入。
- 帳戶密碼變更。
- 帳戶許可權或角色已變更。
- 已新增或變更認證或驗證方法。
如需管理緊急存取帳戶的詳細資訊,請參閱 在 Microsoft Entra ID 中管理緊急存取管理員帳戶。 如需為緊急帳戶建立警示的詳細資訊,請參閱 建立警示規則 。
特殊許可權帳戶登入
使用 Microsoft Entra 登入記錄做為資料來源,監視所有特殊許可權帳戶登入活動。 除了登入成功和失敗資訊之外,記錄還包含下列詳細資料:
- 中斷
- 裝置
- Location
- 風險
- 應用程式
- 日期和時間
- 帳戶是否已停用
- 鎖定
- MFA 詐騙
- 條件式存取失敗
要監視的專案
您可以在 Microsoft Entra 登入記錄中監視特殊許可權帳戶登入事件。 針對特殊許可權帳戶發出警示並調查下列事件。
| 要監視的專案 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 登入失敗,密碼臨界值不正確 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 50126 |
定義基準閾值,然後監視並調整以符合您的組織行為,並限制產生的錯誤警示。 Microsoft Sentinel 範本 Sigma 規則 |
| 因條件式存取需求而失敗 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 53003 -及- 失敗原因 = 條件式存取封鎖 |
此事件可能是攻擊者嘗試進入帳戶的指示。 Microsoft Sentinel 範本 Sigma 規則 |
| 未遵循命名原則的特殊許可權帳戶 | Azure 訂用帳戶 | 使用 Azure 入口網站列出 Azure 角色指派 | 列出訂用帳戶的角色指派,併發出警示,其中登入名稱不符合您組織的格式。 例如,使用 ADM_ 作為前置詞。 | |
| 中斷 | 高、中 | Microsoft Entra 登入 | Status = Interrupted -及- 錯誤碼 = 50074 -及- 失敗原因 = 需要增強式驗證 Status = Interrupted -及- 錯誤碼 = 500121 失敗原因 = 強式驗證要求期間驗證失敗 |
此事件可能表示攻擊者具有帳戶的密碼,但無法通過多重要素驗證挑戰。 Microsoft Sentinel 範本 Sigma 規則 |
| 未遵循命名原則的特殊許可權帳戶 | 高 | Microsoft Entra 目錄 | 列出 Microsoft Entra 角色指派 | 列出 Microsoft Entra 角色的角色指派,並警示 UPN 不符合您組織的格式。 例如,使用 ADM_ 作為前置詞。 |
| 探索未註冊多重要素驗證的特殊許可權帳戶 | 高 | Microsoft Graph API | 針對系統管理員帳戶查詢 IsMFARegistered eq false。 列出 credentialUserRegistrationDetails - Microsoft Graph Beta | 稽核並調查以判斷事件是否為故意或監督。 |
| 帳戶鎖定 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 50053 |
定義基準閾值,然後監視並調整以符合您的組織行為,並限制產生的錯誤警示。 Microsoft Sentinel 範本 Sigma 規則 |
| 帳戶已停用或封鎖登入 | 低 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 目標 = 使用者 UPN -及- 錯誤碼 = 50057 |
此事件可能表示有人在離開組織之後嘗試取得帳戶的存取權。 雖然帳戶遭到封鎖,但記錄和警示此活動仍然很重要。 Microsoft Sentinel 範本 Sigma 規則 |
| MFA 詐騙警示或封鎖 | 高 | Microsoft Entra 登入記錄/Azure Log Analytics | >登入驗證詳細資料結果詳細資料 = MFA 拒絕,輸入詐騙代碼 | 特殊許可權使用者表示他們尚未煽動多重要素驗證提示,這可能表示攻擊者有帳戶的密碼。 Microsoft Sentinel 範本 Sigma 規則 |
| MFA 詐騙警示或封鎖 | 高 | Microsoft Entra 稽核記錄檔/Azure Log Analytics | 活動類型 = 回報詐騙 - 使用者因回報 MFA 或詐騙而遭到封鎖 - 沒有採取任何動作(根據詐騙報告的租使用者層級設定) | 特殊許可權使用者表示他們尚未煽動多重要素驗證提示,這可能表示攻擊者有帳戶的密碼。 Microsoft Sentinel 範本 Sigma 規則 |
| 預期控制項以外的特殊許可權帳戶登入 | Microsoft Entra 登入記錄 | 狀態 = 失敗 UserPricipalName = < 管理員 帳戶> 位置 = < 未核准的位置> IP 位址 = < 未核准的 IP> 裝置資訊 = < 未核准的瀏覽器、作業系統> |
監視並警示您已定義為未核准的任何專案。 Microsoft Sentinel 範本 Sigma 規則 |
|
| 在正常登入時間之外 | 高 | Microsoft Entra 登入記錄 | 狀態 = 成功 -及- 位置 = -及- 時間 = 工作時間以外 |
如果登入發生在預期時間之外,請監視併發出警示。 請務必尋找每個特殊許可權帳戶的正常工作模式,並在正常工作時間以外是否有非計劃性變更時發出警示。 在正常工作時間以外的登入可能表示入侵或可能的內部威脅。 Microsoft Sentinel 範本 Sigma 規則 |
| 身分識別保護風險 | 高 | Identity Protection 記錄 | 風險狀態 = 風險 -及- 風險層級 = 低、中、高 -及- 活動 = 不熟悉的登入/TOR 等等 |
此事件表示帳戶登入時偵測到某些異常狀況,且應發出警示。 |
| 密碼變更 | 高 | Microsoft Entra 稽核記錄 | 活動執行者 = 管理員/自助 -及- 目標 = 使用者 -及- 狀態 = 成功或失敗 |
針對任何系統管理員帳戶密碼變更發出警示,特別是全域管理員、使用者系統管理員、訂用帳戶管理員和緊急存取帳戶。 撰寫以所有特殊許可權帳戶為目標的查詢。 Microsoft Sentinel 範本 Sigma 規則 |
| 在舊版驗證通訊協定中變更 | 高 | Microsoft Entra 登入記錄 | 用戶端應用程式 = 其他用戶端、IMAP、POP3、MAPI、SMTP 等等 -及- Username = UPN -及- 應用程式 = Exchange (範例) |
許多攻擊都使用舊版驗證,因此,如果使用者的驗證通訊協定有所變更,可能是攻擊的指示。 Microsoft Sentinel 範本 Sigma 規則 |
| 新的裝置或位置 | 高 | Microsoft Entra 登入記錄 | 裝置資訊 = 裝置識別碼 -及- 瀏覽器 -及- OS -及- 符合規範/受控 -及- 目標 = 使用者 -及- Location |
大部分的系統管理活動應該來自 特殊許可權存取裝置 ,來自有限的位置。 基於這個理由,請在新的裝置或位置上發出警示。 Microsoft Sentinel 範本 Sigma 規則 |
| 稽核警示設定已變更 | 高 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動 = 停用 PIM 警示 -及- 狀態 = 成功 |
如果非預期,應警示核心警示的變更。 Microsoft Sentinel 範本 Sigma 規則 |
| 管理員驗證給其他 Microsoft Entra 租使用者 | 中 | Microsoft Entra 登入記錄 | 狀態 = 成功 資源租使用者識別碼 != 首頁租使用者識別碼 |
當範圍設定為特殊許可權使用者時,此監視器會偵測系統管理員是否已成功向另一個 Microsoft Entra 租使用者進行驗證,且具有您組織租使用者中身分識別的租使用者。 如果 Resource TenantID 不等於首頁租使用者識別碼,請發出警示 Microsoft Sentinel 範本 Sigma 規則 |
| 管理員使用者狀態已從來賓變更為成員 | 中 | Microsoft Entra 稽核記錄 | 活動:更新使用者 類別:UserManagement UserType 已從來賓變更為成員 |
監視和警示使用者類型從來賓變更為成員。 這項變更是預期的嗎? Microsoft Sentinel 範本 Sigma 規則 |
| 非核准邀請者邀請到租使用者的來賓使用者 | 中 | Microsoft Entra 稽核記錄 | 活動:邀請外部使用者 類別:UserManagement 由 (動作專案) 起始:使用者主體名稱 |
監視非核准動作專案併發出警示,邀請外部使用者。 Microsoft Sentinel 範本 Sigma 規則 |
特殊許可權帳戶的變更
監視特殊許可權帳戶的所有已完成和嘗試變更。 此資料可讓您為每個特殊許可權帳戶建立正常活動,並針對偏離預期的活動發出警示。 Microsoft Entra 稽核記錄可用來記錄這種類型的事件。 如需 Microsoft Entra 稽核記錄的詳細資訊,請參閱 Microsoft Entra ID 中的稽核記錄。
Microsoft Entra 網域服務
在 Microsoft Entra Domain Services 中獲指派許可權的特殊許可權帳戶,可以針對影響使用 Microsoft Entra Domain Services 之 Azure 裝載虛擬機器的安全性狀態的 Microsoft Entra Domain Services 執行工作。 在虛擬機器上啟用安全性稽核並監視記錄。 如需啟用 Microsoft Entra Domain Services 稽核和敏感性許可權清單的詳細資訊,請參閱下列資源:
| 要監視的專案 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 嘗試和完成的變更 | 高 | Microsoft Entra 稽核記錄 | 日期和時間 -及- 服務 -及- 活動分類和名稱 ([事件]) -及- 狀態 = 成功或失敗 -及- Target -及- 啟動器或演員(誰) |
任何非計劃性變更都應該立即發出警示。 這些記錄應保留,以協助進行調查。 應立即調查任何租使用者層級變更(連結至 Infra doc),以降低租使用者的安全性狀態。 例如,從多重要素驗證或條件式存取中排除帳戶。 針對應用程式的任何新增或變更發出警示。 請參閱 應用程式的 Microsoft Entra 安全性作業指南。 |
| 範例 嘗試或已完成對高價值應用程式或服務的變更 |
高 | 稽核記錄 | 服務 -及- 活動的類別和名稱 |
日期和時間、服務、類別和活動名稱、狀態 = 成功或失敗、目標、啟動者或動作專案(誰) |
| Microsoft Entra Domain Services 中的特殊許可權變更 | 高 | Microsoft Entra 網域服務 | 尋找事件 4673 | 啟用 Microsoft Entra Domain Services 的安全性稽核 如需所有特殊許可權事件的清單,請參閱 稽核敏感性許可權使用 。 |
特殊許可權帳戶的變更
調查特殊許可權帳戶驗證規則和許可權的變更,特別是當變更提供更高的許可權或能夠在 Microsoft Entra 環境中執行工作時。
| 要監視的專案 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 建立特殊許可權帳戶 | 中 | Microsoft Entra 稽核記錄 | 服務 = 核心目錄 -及- 類別 = 使用者管理 -及- 活動類型 = 新增使用者 -與 - 相互關聯 類別類型 = 角色管理 -及- 活動類型 = 將成員新增至角色 -及- 修改的屬性 = Role.DisplayName |
監視建立任何特殊許可權帳戶。 尋找建立和刪除帳戶之間的短時間範圍相互關聯。 Microsoft Sentinel 範本 Sigma 規則 |
| 驗證方法的變更 | 高 | Microsoft Entra 稽核記錄 | 服務 = 驗證方法 -及- 活動類型 = 使用者註冊的安全性資訊 -及- 類別 = 使用者管理 |
這項變更可能表示攻擊者將驗證方法新增至帳戶,讓他們可以繼續存取。 Microsoft Sentinel 範本 Sigma 規則 |
| 對特殊許可權帳戶許可權的變更發出警示 | 高 | Microsoft Entra 稽核記錄 | 類別 = 角色管理 -及- 活動類型 = 新增合格成員 (永久) -或- 活動類型 = 新增合格成員 (合格) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
此警示特別適用于被指派角色的帳戶,這些角色不是已知或超出其正常職責。 Sigma 規則 |
| 未使用的特殊許可權帳戶 | 中 | Microsoft Entra 存取權檢閱 | 針對非使用中特殊許可權使用者帳戶執行每月檢閱。 Sigma 規則 |
|
| 豁免條件式存取的帳戶 | 高 | Azure 監視器記錄 -或- 存取權檢閱 |
條件式存取 = 深入解析和報告 | 任何豁免條件式存取的帳戶最有可能略過安全性控制,而且更容易遭到入侵。 打破帳戶是豁免的。 請參閱本文稍後如何監視打破帳戶的資訊。 |
| 將暫時存取傳遞新增至特殊許可權帳戶 | 高 | Microsoft Entra 稽核記錄 | 活動:管理員已註冊的安全性資訊 狀態原因:管理員使用者已註冊的暫時存取傳遞方法 類別:UserManagement 由 (動作專案) 起始:使用者主體名稱 目標:使用者主體名稱 |
監視和警示為特殊許可權使用者建立的暫時存取傳遞。 Microsoft Sentinel 範本 Sigma 規則 |
如需如何監視條件式存取原則例外狀況的詳細資訊,請參閱 條件式存取深入解析和報告 。
如需探索未使用特殊許可權帳戶的詳細資訊,請參閱 在 Privileged Identity Management 中建立 Microsoft Entra 角色的存取權檢閱。
指派和提高許可權
擁有永久布建具有較高能力的特殊許可權帳戶,可能會增加攻擊面和安全性界限的風險。 相反地,使用提高許可權程式來採用 Just-In-Time 存取。 這種類型的系統可讓您指派特殊許可權角色的資格。 管理員只有在執行需要這些許可權的工作時,才會將其許可權提升至這些角色。 使用提高許可權程式可讓您監視提高許可權和非使用特殊許可權帳戶。
建立基準
若要監視例外狀況,您必須先建立基準。 判斷這些專案的下列資訊
管理員帳戶
- 您的特殊許可權帳戶原則
- 使用內部部署帳戶來管理內部部署資源
- 使用雲端式帳戶來管理雲端式資源
- 分隔和監視內部部署和雲端式資源系統管理許可權的方法
特殊許可權角色保護
- 具有系統管理許可權之角色的保護原則
- 使用特殊許可權帳戶的組織原則
- 維護永久許可權的策略和原則,與提供時間限制和核准的存取權
下列概念和資訊有助於判斷原則:
- Just-In-Time 系統管理原則 。 使用 Microsoft Entra 記錄來擷取資訊,以執行您環境中常見的系統管理工作。 判斷完成工作所需的一般時間量。
- Just-enough admin principles 。 判斷系統管理工作所需的最低許可權角色,可能是自訂角色。 如需詳細資訊,請參閱 Microsoft Entra ID 中的工作最低特殊許可權角色。
- 建立提高許可權原則 。 在您深入瞭解每個工作所需的提高許可權類型,以及每個工作需要多久時間之後,請建立原則,以反映您環境的提高許可權使用量。 例如,定義原則來限制全域管理員istrator 存取一小時。
建立基準並設定原則之後,您可以設定監視來偵測和警示原則外部的使用狀況。
探索
請特別注意並調查指派和提高許可權的變更。
要監視的專案
您可以使用 Microsoft Entra 稽核記錄和 Azure 監視器記錄來監視特殊許可權帳戶變更。 在您的監視程式中包含下列變更。
| 要監視的專案 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 已新增至合格的特殊許可權角色 | 高 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 將成員新增至角色已完成 (合格) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
任何符合角色資格的帳戶現在都獲得特殊許可權存取權。 如果指派非預期或角色不是帳戶持有者的責任,請調查。 Microsoft Sentinel 範本 Sigma 規則 |
| 指派給 PIM 的角色 | 高 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 將成員新增至角色 (永久) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
這些角色應該受到密切監視和警示。 使用者不應該盡可能在 PIM 外部指派角色。 Microsoft Sentinel 範本 Sigma 規則 |
| 海拔 | 中 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 將成員新增至角色已完成 (PIM 啟用) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
提高特殊許可權帳戶之後,現在可以進行可能會影響您租使用者安全性的變更。 應記錄所有提高許可權,如果超出該使用者的標準模式,則應該在未規劃的情況下發出警示並調查。 |
| 核准和拒絕提高許可權 | 低 | Microsoft Entra 稽核記錄 | 服務 = 存取權檢閱 -及- Category = UserManagement -及- 活動類型 = 要求核准或拒絕 -及- 起始的動作專案 = UPN |
監視所有提高許可權,因為它可能會清楚指出攻擊的時間軸。 Microsoft Sentinel 範本 Sigma 規則 |
| PIM 設定的變更 | 高 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 在 PIM 中更新角色設定 -及- 狀態原因 = 停用啟用時 MFA (範例) |
其中一個動作可以降低 PIM 提升許可權的安全性,並讓攻擊者更容易取得特殊許可權帳戶。 Microsoft Sentinel 範本 Sigma 規則 |
| 在 SAW/PAW 上未發生提高許可權 | 高 | Microsoft Entra 登入記錄 | 裝置識別碼 -及- 瀏覽器 -及- OS -及- 符合規範/受控 與: 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 將成員新增至角色已完成 (PIM 啟用) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
如果已設定此變更,應該立即調查任何在非 PAW/SAW 裝置上提升許可權的嘗試,因為它可能表示攻擊者嘗試使用帳戶。 Sigma 規則 |
| 提高許可權以管理所有 Azure 訂用帳戶 | 高 | Azure 監視器 | [活動記錄] 索引標籤 目錄活動索引標籤 作業名稱 = 將呼叫端指派給使用者存取系統管理員 -和- 事件類別 = 管理員istrative -及- 狀態 = 成功,啟動,失敗 -及- 事件起始者 |
如果未規劃這項變更,應該立即進行調查。 此設定可讓攻擊者存取您環境中的 Azure 訂用帳戶。 |
如需管理提高許可權的詳細資訊,請參閱 提高存取權以管理所有 Azure 訂用帳戶和管理群組 。 如需使用 Microsoft Entra 記錄中可用資訊監視提高許可權的資訊,請參閱 Azure 活動記錄 ,這是 Azure 監視器檔的一部分。
如需設定 Azure 角色警示的相關資訊,請參閱 Privileged Identity Management 中設定 Azure 資源角色的安全性警示。
下一步
請參閱下列安全性作業指南文章: