Průvodce operacemi zabezpečení Microsoft Entra pro aplikace
Aplikace mají prostor pro útok na porušení zabezpečení a musí se monitorovat. I když nejsou cílené tak často jako uživatelské účty, může dojít k porušení zabezpečení. Vzhledem k tomu, že aplikace často běží bez zásahu člověka, může být zjištění útoků obtížnější.
Tento článek obsahuje pokyny k monitorování a upozorňování na události aplikace. Pravidelně se aktualizuje, abyste měli jistotu, že:
Zabránění neoprávněným aplikacím v přístupu k datům
Znemožnit ohrožení aplikací špatnými aktéry
Shromážděte přehledy, které vám umožní bezpečněji sestavovat a konfigurovat nové aplikace.
Pokud neznáte, jak aplikace fungují v MICROSOFT Entra ID, přečtěte si téma Aplikace a instanční objekty v Microsoft Entra ID.
Poznámka:
Pokud jste si ještě neprostudovali přehled operací zabezpečení Microsoft Entra, zvažte to teď.
Co hledat
Při monitorování protokolů aplikace pro incidenty zabezpečení si projděte následující seznam, který vám pomůže odlišit normální aktivitu od škodlivých aktivit. Následující události můžou znamenat obavy týkající se zabezpečení. Každý z nich je popsaný v článku.
Všechny změny, ke kterým dochází mimo běžné obchodní procesy a plány
Změny přihlašovacích údajů aplikace
Oprávnění aplikace
Instanční objekt přiřazený k ID Microsoft Entra nebo roli řízení přístupu na základě role (RBAC) Azure
Aplikace udělily vysoce privilegovaná oprávnění
Změny ve službě Azure Key Vault
Souhlas s udělením souhlasu koncových uživatelů
Ukončení souhlasu koncového uživatele na základě úrovně rizika
Změny konfigurace aplikace
Identifikátor URI (Universal Resource Identifier) změněný nebo nestandardní
Změny vlastníků aplikací
Změněné adresy URL pro odhlášení
Kam se podívat
Soubory protokolů, které používáte pro šetření a monitorování, jsou:
Na webu Azure Portal můžete zobrazit protokoly auditu Microsoft Entra a stáhnout je jako soubory s hodnotami oddělenými čárkami (CSV) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Microsoft Entra s dalšími nástroji, které umožňují větší automatizaci monitorování a upozorňování:
Microsoft Sentinel – umožňuje inteligentní analýzy zabezpečení na podnikové úrovni díky možnostem správy informací o zabezpečení a událostí (SIEM).
Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které mohou automatizované nástroje pro správu použít k analýze souborů protokolu. Tam, kde jsou šablony Sigma pro naše doporučená kritéria hledání, jsme přidali odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, otestované a spravované Microsoftem. Úložiště a šablony se vytvářejí a shromažďují komunitou zabezpečení IT po celém světě.
Azure Monitor – automatizované monitorování a upozorňování různých podmínek Můžete vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.
Azure Event Hubs integrované s protokoly SIEM- Microsoft Entra je možné integrovat do jiných prostředí SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic prostřednictvím integrace azure Event Hubs.
Microsoft Defender for Cloud Apps – zjišťování a správa aplikací, řízení napříč aplikacemi a prostředky a kontrola dodržování předpisů cloudových aplikací
Zabezpečení identit úloh pomocí služby Microsoft Entra ID Protection – detekuje rizika identit úloh napříč chováním přihlašování a offline indikátory ohrožení.
Velká část toho, co monitorujete a na které upozorníte, jsou účinky zásad podmíněného přístupu. Pomocí přehledů podmíněného přístupu a sešitu vytváření sestav můžete prozkoumat účinky jedné nebo více zásad podmíněného přístupu na vaše přihlášení a výsledky zásad, včetně stavu zařízení. Pomocí sešitu můžete zobrazit souhrn a identifikovat účinky v časovém období. Sešit můžete použít k prozkoumání přihlášení konkrétního uživatele.
Zbývající část tohoto článku je to, co doporučujeme monitorovat a upozorňovat na. Je uspořádaná podle typu hrozby. Pokud existují předdefinovaná řešení, propojíme je nebo za ní poskytneme ukázky. V opačném případě můžete vytvářet výstrahy pomocí předchozích nástrojů.
Přihlašovací údaje aplikace
Mnoho aplikací používá přihlašovací údaje k ověření v Microsoft Entra ID. Jakékoli další přihlašovací údaje přidané mimo očekávané procesy můžou být škodlivým aktérem, který tyto přihlašovací údaje používá. Místo použití tajných klíčů klienta doporučujeme používat certifikáty X509 vydané důvěryhodnými autoritami nebo spravovanými identitami. Pokud ale potřebujete používat tajné kódy klientů, postupujte podle osvědčených hygieniských postupů, abyste udrželi aplikace v bezpečí. Všimněte si, že aktualizace aplikace a instančního objektu se protokolují jako dvě položky v protokolu auditu.
Monitorujte aplikace a identifikujte dlouhé doby vypršení platnosti přihlašovacích údajů.
Nahraďte dlouhodobé přihlašovací údaje krátkým rozsahem životnosti. Ujistěte se, že přihlašovací údaje nejsou potvrzené v úložištích kódu a bezpečně se ukládají.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Přidání přihlašovacích údajů do existujících aplikací | Vysoká | Protokoly auditu Microsoft Entra | Adresář Jádra služby, Kategorie – ApplicationManagement Aktivita: Aktualizace certifikátů aplikací a správy tajných kódů a Aktivita: Aktualizace instančního objektu nebo aplikace aktualizace |
Upozornění, když jsou přihlašovací údaje: přidány mimo normální pracovní dobu nebo pracovní postupy, typy, které se ve vašem prostředí nepoužívají, nebo přidané do toku bez SAML podporujícího instanční objekt. Šablona Microsoft Sentinelu Pravidla Sigma |
| Přihlašovací údaje s delší životností, než umožňují vaše zásady. | Střední | Microsoft Graph | Stav a koncové datum přihlašovacích údajů klíče aplikace a Přihlašovací údaje pro heslo aplikace |
Rozhraní MS Graph API můžete použít k vyhledání počátečního a koncového data přihlašovacích údajů a vyhodnocení delších než povolených životností. Podívejte se na skript PowerShellu, který následuje v této tabulce. |
K dispozici jsou následující předem připravené monitorování a výstrahy:
Microsoft Sentinel – upozornění při přidání nových přihlašovacích údajů k aplikaci nebo instančnímu objektu
Azure Monitor – sešit Microsoft Entra, který vám pomůže vyhodnotit rizika Solorigate – Technická komunita Microsoftu
Průvodce vyšetřováním upozornění detekce anomálií Defenderu for Cloud Apps pro Defender for Cloud Apps
PowerShell – Ukázkový skript PowerShellu pro vyhledání životnosti přihlašovacích údajů
Oprávnění aplikace
Stejně jako účet správce můžou být aplikace přiřazeny privilegovaným rolím. Aplikace je možné přiřadit libovolné role Microsoft Entra, jako je správce uživatelů nebo role Azure RBAC, jako je čtenář fakturace. Protože můžou běžet bez uživatele a jako služba na pozadí, pečlivě monitorují, kdy má aplikace udělené privilegované role nebo oprávnění.
Instanční objekt přiřazený k roli
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Aplikace přiřazená k roli Azure RBAC nebo roli Microsoft Entra | Vysoká až střední | Protokoly auditu Microsoft Entra | Typ: instanční objekt Aktivita: Přidání člena do role nebo Přidání oprávněného člena do role nebo Přidání člena s vymezeným oborem do role |
Riziko vysoce privilegovaných rolí je vysoké. Riziko nižších privilegovaných rolí je střední. Upozornění kdykoli je aplikace přiřazená k roli Azure nebo k roli Microsoft Entra mimo běžné postupy správy změn nebo konfigurace. Šablona Microsoft Sentinelu Pravidla Sigma |
Aplikace udělila vysoce privilegovaná oprávnění
Aplikace by měly dodržovat zásadu nejnižších oprávnění. Prozkoumejte oprávnění aplikace, abyste měli jistotu, že jsou potřeba. Můžete vytvořit sestavu udělení souhlasu aplikace, která pomáhá identifikovat aplikace a zvýraznit privilegovaná oprávnění.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Aplikace udělila vysoce privilegovaná oprávnění, například oprávnění s ". All( Directory.ReadWrite.All) nebo široká rozsahová oprávnění (Pošta.) | Vysoká | Protokoly auditu Microsoft Entra | "Přidání přiřazení role aplikace k instančnímu objektu", -kde- Cíle identifikují rozhraní API s citlivými daty (například Microsoft Graph). a AppRole.Value identifikuje vysoce privilegované oprávnění aplikace (role aplikace). |
Aplikace udělily široká oprávnění, například ". All( Directory.ReadWrite.All) nebo široká rozsahová oprávnění (Pošta.) Šablona Microsoft Sentinelu Pravidla Sigma |
| Správce uděluje oprávnění aplikace (role aplikací) nebo vysoce privilegovaná delegovaná oprávnění | Vysoká | Portál Microsoftu 365 | "Přidání přiřazení role aplikace k instančnímu objektu", -kde- Cíle identifikují rozhraní API s citlivými daty (například Microsoft Graph). "Přidání delegovaného udělení oprávnění", -kde- Cíle identifikují rozhraní API s citlivými daty (například Microsoft Graph). a DelegatedPermissionGrant.Scope zahrnuje oprávnění s vysokými oprávněními. |
Upozornit, když správce souhlasí s aplikací. Zejména hledejte souhlas mimo běžné činnosti a postupy změny. Šablona Microsoft Sentinelu Šablona Microsoft Sentinelu Šablona Microsoft Sentinelu Pravidla Sigma |
| Aplikace má udělená oprávnění pro Microsoft Graph, Exchange, SharePoint nebo Microsoft Entra ID. | Vysoká | Protokoly auditu Microsoft Entra | Přidání delegovaného udělení oprávnění nebo "Přidání přiřazení role aplikace k instančnímu objektu", -kde- Cíle identifikují rozhraní API s citlivými daty (například Microsoft Graph, Exchange Online atd.) |
Výstraha jako na předchozím řádku Šablona Microsoft Sentinelu Pravidla Sigma |
| Oprávnění aplikace (role aplikací) pro jiná rozhraní API jsou udělena. | Střední | Protokoly auditu Microsoft Entra | "Přidání přiřazení role aplikace k instančnímu objektu", -kde- Cíle identifikují jakékoli jiné rozhraní API. |
Výstraha jako na předchozím řádku Pravidla Sigma |
| Vysoce privilegovaná delegovaná oprávnění jsou udělena jménem všech uživatelů. | Vysoká | Protokoly auditu Microsoft Entra | "Přidání delegovaného udělení oprávnění", kde cíle identifikují rozhraní API s citlivými daty (například Microsoft Graph), DelegatedPermissionGrant.Scope zahrnuje oprávnění s vysokými oprávněními, a DelegatedPermissionGrant.ConsentType je AllPrincipals. |
Výstraha jako na předchozím řádku Šablona Microsoft Sentinelu Šablona Microsoft Sentinelu Šablona Microsoft Sentinelu Pravidla Sigma |
Další informace o monitorování oprávnění aplikace najdete v tomto kurzu: Zkoumání a náprava rizikových aplikací OAuth.
Azure Key Vault
K ukládání tajných kódů tenanta použijte Azure Key Vault. Doporučujeme věnovat pozornost všem změnám konfigurace a aktivit služby Key Vault.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Jak a kdy se ke službě Key Vault přistupuje a kdo | Střední | Protokoly služby Azure Key Vault | Typ prostředku: Trezory klíčů | Hledejte: jakýkoli přístup ke službě Key Vault mimo běžné procesy a hodiny, všechny změny seznamu ACL služby Key Vault. Šablona Microsoft Sentinelu Pravidla Sigma |
Po nastavení služby Azure Key Vault povolte protokolování. Podívejte se, jak a kdy se ke službě Key Vault přistupuje, a nakonfigurujte upozornění ve službě Key Vault tak, aby v případě ovlivnění stavu upozorňovala přiřazené uživatele nebo distribuční seznamy prostřednictvím e-mailu, telefonu, textu nebo oznámení event gridu. Kromě toho vám nastavení monitorování pomocí přehledů služby Key Vault poskytuje snímek požadavků služby Key Vault, výkonu, selhání a latence. Log Analytics má také několik ukázkových dotazů pro Azure Key Vault, ke kterým je možné získat přístup po výběru služby Key Vault, a pak v části Monitorování vyberte Protokoly.
Souhlas koncového uživatele
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Souhlas koncového uživatele s aplikací | Nízká | Protokoly auditu Microsoft Entra | Aktivita: Souhlas s aplikací / ConsentContext.IsAdminConsent = false | Hledejte: vysoké profily nebo vysoce privilegované účty, žádosti aplikací o vysoce riziková oprávnění, aplikace s podezřelými názvy, například obecné, chybně napsané atd. Šablona Microsoft Sentinelu Pravidla Sigma |
Akce souhlasu s aplikací není škodlivá. Prozkoumejte ale nové udělení souhlasu koncového uživatele s hledáním podezřelých aplikací. Můžete omezit operace souhlasu uživatele.
Další informace o operacích souhlasu najdete v následujících zdrojích informací:
Správa souhlasu s aplikacemi a vyhodnocení žádostí o souhlas v Microsoft Entra ID
Zjišťování a náprava neoprávněných udělení souhlasu – Office 365
Playbook reakce na incidenty – Šetření udělení souhlasu aplikace
Koncový uživatel se zastavil kvůli souhlasu na základě rizika
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Souhlas koncového uživatele se zastavil kvůli souhlasu na základě rizika | Střední | Protokoly auditu Microsoft Entra | Základní adresář / ApplicationManagement / Souhlas s aplikací Důvod stavu selhání = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Monitorování a analýza veškerého časového ukončení souhlasu z důvodu rizika Hledejte: účty s vysokým profilem nebo vysoce privilegovanými účty, žádosti o vysoce riziková oprávnění nebo aplikace s podezřelými názvy, například obecné, chybně napsané atd. Šablona Microsoft Sentinelu Pravidla Sigma |
Toky ověřování aplikací
Protokol OAuth 2.0 obsahuje několik toků. Doporučený tok aplikace závisí na typu vytvářené aplikace. V některýchpřípadechch V tomto případě se některé toky ověřování doporučují i u jiných. Konkrétně se vyhněte přihlašovacím údajům vlastníka prostředku (ROPC), protože to vyžaduje, aby uživatel zpřístupnil své aktuální přihlašovací údaje k heslu aplikaci. Aplikace pak pomocí přihlašovacích údajů ověří uživatele vůči zprostředkovateli identity. Většina aplikací by měla používat tok ověřovacího kódu nebo tok ověřovacího kódu s ověřovacím klíčem pro výměnu kódu (PKCE), protože tento tok se doporučuje.
Jediným scénářem, ve kterém se navrhuje ROPC, je automatizované testování aplikací. Podrobnosti najdete v tématu Spouštění automatizovaných integračních testů .
Tok kódu zařízení je další tok protokolu OAuth 2.0 pro zařízení s omezeným vstupem a nepoužívá se ve všech prostředích. Když se v prostředí zobrazí tok kódu zařízení a nepoužívá se ve scénáři vstupního omezeného zařízení. Další šetření je oprávněné pro chybně nakonfigurovanou aplikaci nebo potenciálně něco škodlivého. Tok kódu zařízení je také možné zablokovat nebo povolit v podmíněném přístupu. Podrobnosti najdete v tématu Toky ověřování podmíněného přístupu.
Monitorování ověřování aplikací pomocí následující formace:
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Aplikace, které používají tok ověřování ROPC | Střední | Protokol přihlášení Microsoft Entra | Status=Success Ověřovací protokol –ROPC |
V této aplikaci je umístěna vysoká úroveň důvěryhodnosti, protože přihlašovací údaje je možné ukládat do mezipaměti nebo ukládat. Pokud je to možné, přesuňte se do bezpečnějšího toku ověřování. To by se mělo používat jenom při automatizovaném testování aplikací, pokud vůbec. Další informace najdete v tématu Microsoft Identity Platform a přihlašovací údaje vlastníka prostředku OAuth 2.0. Pravidla Sigma |
| Aplikace využívající tok kódu zařízení | Nízká až střední | Protokol přihlášení Microsoft Entra | Status=Success Ověřovací kód zařízení |
Toky kódu zařízení se používají pro vstupní omezená zařízení, která nemusí být ve všech prostředích. Pokud se zobrazí úspěšné toky kódu zařízení, aniž by je bylo potřeba, prověřte platnost. Další informace najdete v tématu Microsoft Identity Platform a tok udělení autorizace zařízení OAuth 2.0. Pravidla Sigma |
Změny konfigurace aplikace
Monitorujte změny konfigurace aplikace. Konkrétně se změní konfigurace identifikátoru URI (Uniform Resource Identifier), vlastnictví a odhlasování adresy URL.
Změny identifikátoru URI pro dangling a redirect URI
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Dangling URI | Vysoká | Protokoly Microsoft Entra a registrace aplikací | Adresář Jádra služby, Kategorie – ApplicationManagement Aktivita: Aktualizace aplikace Success – Název vlastnosti AppAddress |
Hledejte například přeskakující identifikátory URI, které odkazují na název domény, který už neexistuje nebo které explicitně nevlastníte. Šablona Microsoft Sentinelu Pravidla Sigma |
| Změny konfigurace identifikátoru URI přesměrování | Vysoká | Protokoly Microsoft Entra | Adresář Jádra služby, Kategorie – ApplicationManagement Aktivita: Aktualizace aplikace Success – Název vlastnosti AppAddress |
Hledejte identifikátory URI, které nepoužívají HTTPS*, identifikátory URI se zástupnými cardy na konci nebo doménu adresy URL, identifikátory URI, které nejsou jedinečné pro aplikaci, identifikátory URI odkazované na doménu, kterou neřídíte. Šablona Microsoft Sentinelu Pravidla Sigma |
Výstraha při zjištění těchto změn
Identifikátor URI ID aplikace přidaný, upravený nebo odebraný
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Změny identifikátoru URI ID aplikace | Vysoká | Protokoly Microsoft Entra | Adresář Jádra služby, Kategorie – ApplicationManagement Aktivita: Aktualizace Aplikace Aktivita: Aktualizace instančního objektu |
Vyhledejte všechny úpravy identifikátoru URI ID appID, například přidání, úpravy nebo odebrání identifikátoru URI. Šablona Microsoft Sentinelu Pravidla Sigma |
Upozornění, když se tyto změny zjistí mimo schválené postupy správy změn.
Nový vlastník
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Změny vlastnictví aplikace | Střední | Protokoly Microsoft Entra | Adresář Jádra služby, Kategorie – ApplicationManagement Aktivita: Přidání vlastníka do aplikace |
Vyhledejte jakoukoli instanci uživatele, který se přidává jako vlastník aplikace mimo běžné aktivity správy změn. Šablona Microsoft Sentinelu Pravidla Sigma |
Odhlašovací adresa URL změněná nebo odebraná
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Změny adresy URL pro odhlášení | Nízká | Protokoly Microsoft Entra | Adresář Jádra služby, Kategorie – ApplicationManagement Aktivita: Aktualizace aplikace a Aktivita: Aktualizace instance |
Vyhledejte všechny úpravy adresy URL odhlášení. Prázdné položky nebo položky do neexistujících umístění by zastavily ukončení relace uživatelem. Šablona Microsoft Sentinelu Pravidla Sigma |
Zdroje informací
GitHub Microsoft Entra toolkit – https://github.com/microsoft/AzureADToolkit
Přehled zabezpečení služby Azure Key Vault a pokyny k zabezpečení – Přehled zabezpečení služby Azure Key Vault
Informace o riziku Solorigate a nástroje – sešit Microsoft Entra, který vám pomůže získat přístup k riziku Solorigate
Pokyny k detekci útoků OAuth – Neobvyklé přidání přihlašovacích údajů do aplikace OAuth
Informace o konfiguraci monitorování Microsoft Entra pro SIEMs – Partnerské nástroje s integrací služby Azure Monitor
Další kroky
Přehled operací zabezpečení Microsoft Entra
Operace zabezpečení uživatelských účtů
Operace zabezpečení pro uživatelské účty
Operace zabezpečení pro privilegované účty
Operace zabezpečení pro Privileged Identity Management