Průvodce operacemi zabezpečení Microsoft Entra

Microsoft má úspěšný a prověřený přístup k zabezpečení nulová důvěra (Zero Trust) pomocí principů hloubkové ochrany, které používají identitu jako řídicí rovinu. Organizace budou i nadále používat hybridní svět úloh pro škálování, úsporu nákladů a zabezpečení. Id Microsoft Entra hraje ve vaší strategii pro správu identit klíčovou roli. V poslední době se informační zprávy týkající se ohrožení identity a zabezpečení stále častěji vyzývají k tomu, aby podnikoví IT zvážili stav zabezpečení identity jako měření úspěšnosti obranného zabezpečení.

Organizace musí stále častěji používat kombinaci místních a cloudových aplikací, ke kterým uživatelé přistupují pomocí místních i cloudových účtů. Správa uživatelů, aplikací a zařízení v místním prostředí i v cloudu představuje náročné scénáře.

Hybridní identita

Microsoft Entra ID vytvoří společnou identitu uživatele pro ověřování a autorizaci pro všechny prostředky bez ohledu na umístění. Tuto hybridní identitu nazýváme.

Pokud chcete dosáhnout hybridní identity s ID Microsoft Entra, můžete použít jednu ze tří metod ověřování v závislosti na vašich scénářích. Tři metody jsou:

• Synchronizace hodnot hash hesel (PHS)
• Předávací ověřování (PTA)
• Federace (AD FS)

Při auditování aktuálních operací zabezpečení nebo vytváření operací zabezpečení pro vaše prostředí Azure doporučujeme:

• Přečtěte si konkrétní části pokynů k zabezpečení Microsoftu, abyste vytvořili základní informace o zabezpečení cloudového nebo hybridního prostředí Azure.
• Auditujte strategii účtu a hesla a metody ověřování, abyste mohli odstrašovat nejběžnější vektory útoku.
• Vytvořte strategii pro průběžné monitorování a upozorňování na aktivity, které můžou znamenat bezpečnostní hrozbu.

Cílová skupina

Příručka Microsoft Entra SecOps je určená pro podnikové provozní týmy IT a provozní týmy a poskytovatele spravovaných služeb, kteří potřebují proti hrozbám prostřednictvím lepší konfigurace zabezpečení identit a profilů monitorování. Tato příručka je obzvláště důležitá pro správce IT a architekty identit s doporučením týmů pro obranné a penetrační testování služby Security Operations Center (SOC), aby zlepšili a zachovali stav zabezpečení identit.

Obor

Tento úvod obsahuje navrhovaná doporučení pro auditování hesel a strategii pro předběžné čtení a hesla. Tento článek obsahuje také přehled nástrojů dostupných pro hybridní prostředí Azure a plně cloudová prostředí Azure. Nakonec poskytujeme seznam zdrojů dat, které můžete použít k monitorování a upozorňování a konfiguraci strategie a správy událostí (SIEM) zabezpečení a prostředí. Zbývající pokyny představují strategie monitorování a upozorňování v následujících oblastech:

• Uživatelské účty. Pokyny specifické pro neprivilegované uživatelské účty bez oprávnění správce, včetně neobvyklého vytváření a používání účtu a neobvyklých přihlášení.

• Privilegované účty. Pokyny specifické pro privilegované uživatelské účty se zvýšenými oprávněními k provádění úloh správy Mezi úkoly patří přiřazení rolí Microsoft Entra, přiřazení rolí prostředků Azure a správa přístupu pro prostředky a předplatná Azure.

• Privileged Identity Management (PIM) Pokyny týkající se používání PIM ke správě, řízení a monitorování přístupu k prostředkům

• Aplikace. Pokyny specifické pro účty používané k ověřování pro aplikace

• Zařízení. Pokyny týkající se monitorování a upozorňování pro zařízení zaregistrovaná nebo připojená mimo zásady, nevyhovující využití, správa rolí správy zařízení a přihlášení k virtuálním počítačům.

• Infrastruktura. Pokyny týkající se monitorování a upozorňování na hrozby pro hybridní a čistě cloudová prostředí

Důležitý referenční obsah

Microsoft má mnoho produktů a služeb, které vám umožňují přizpůsobit vaše IT prostředí tak, aby vyhovovalo vašim potřebám. Doporučujeme projít si následující pokyny pro vaše provozní prostředí:

• Operační systémy Windows

  • Standardní hodnoty zabezpečení (FINAL) pro Windows 10 v1909 a Windows Server v1909
  • Standardní hodnoty zabezpečení pro Windows 11
  • Standardní hodnoty zabezpečení pro Windows Server 2022

• Místní prostředí

  • Architektura Microsoft Defenderu for Identity
  • Rychlý start pro připojení Microsoft Defenderu for Identity ke službě Active Directory
  • Standardní hodnoty zabezpečení Azure pro Microsoft Defender for Identity
  • Monitorování ohrožení zabezpečení ve službě Active Directory

• Cloudová prostředí Azure

  • Monitorování přihlášení pomocí protokolu přihlašování Microsoft Entra
  • Sestavy aktivit auditu na webu Azure Portal
  • Zkoumání rizik pomocí služby Microsoft Entra ID Protection
  • Připojení dat microsoft Entra ID Protection k Microsoft Sentinelu

• Služba Active Directory Domain Services (AD DS)

  • Doporučení týkající se zásad auditu

• AD FS (Active Directory Federation Services)

  • Řešení potíží se službou AD FS – Události a protokolování auditování

Zdroje dat

Soubory protokolů, které používáte pro šetření a monitorování, jsou:

• Protokoly auditu Microsoft Entra
• Protokoly přihlašování
• Protokoly auditu Microsoftu 365
• Protokoly služby Azure Key Vault

Na webu Azure Portal můžete zobrazit protokoly auditu Microsoft Entra. Stáhněte si protokoly jako soubory JSON (Hodnoty oddělené čárkami) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Microsoft Entra s dalšími nástroji, které umožňují větší automatizaci monitorování a upozorňování:

• Microsoft Sentinel – Umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje možnosti správy informací o zabezpečení a událostí (SIEM).

• Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které mohou automatizované nástroje pro správu použít k analýze souborů protokolu. Kde pro naše doporučená kritéria hledání existují šablony Sigma, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, otestované a spravované Microsoftem. Úložiště a šablony se vytvářejí a shromažďují komunitou zabezpečení IT po celém světě.

• Azure Monitor – Umožňuje automatizované monitorování a upozorňování různých podmínek. Můžete vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.

• Služba Azure Event Hubs integrovaná se systémem SIEM. Protokoly Microsoft Entra je možné integrovat do jiných prostředí SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic prostřednictvím integrace služby Azure Event Hubs. Další informace najdete v tématu Streamování protokolů Microsoft Entra do centra událostí Azure.

• Microsoft Defender for Cloud Apps – Umožňuje zjišťovat a spravovat aplikace, řídit se napříč aplikacemi a prostředky a kontrolovat dodržování předpisů cloudových aplikací.

• Zabezpečení identit úloh pomocí služby Microsoft Entra ID Protection – používá se ke zjišťování rizik u identit úloh napříč chováním přihlašování a offline indikátory ohrožení.

Většina toho, co budete monitorovat a upozorňovat, jsou účinky zásad podmíněného přístupu. Pomocí přehledů podmíněného přístupu a sešitu vytváření sestav můžete prozkoumat účinky jedné nebo více zásad podmíněného přístupu na vaše přihlášení a výsledky zásad, včetně stavu zařízení. Tento sešit umožňuje zobrazit souhrn dopadu a identifikovat dopad v určitém časovém období. Sešit můžete také použít k prozkoumání přihlášení konkrétního uživatele. Další informace najdete v tématu Přehledy a vytváření sestav podmíněného přístupu.

Zbývající část tohoto článku popisuje, co se má monitorovat a upozorňovat na to. Pokud existují konkrétní předdefinovaná řešení, která na ně propojíme, nebo poskytneme ukázky podle tabulky. V opačném případě můžete vytvářet výstrahy pomocí předchozích nástrojů.

• Id Protection vygeneruje tři klíčové sestavy, které můžete použít k usnadnění vyšetřování:

• Rizikoví uživatelé obsahují informace o tom, kteří uživatelé jsou ohroženi, podrobnosti o detekcích, historii všech rizikových přihlášení a historii rizik.

• Riziková přihlášení obsahují informace o okolnostech přihlášení, které můžou znamenat podezřelé okolnosti. Další informace o zkoumání informací z této sestavy najdete v tématu Postupy: Prozkoumání rizika.

• Detekce rizik obsahují informace o rizikových signálech zjištěných službou Microsoft Entra ID Protection, která informuje o riziku přihlášení a uživatele. Další informace najdete v průvodci operacemi zabezpečení Microsoft Entra pro uživatelské účty.

Další informace naleznete v tématu Co je Microsoft Entra ID Protection.

Zdroje dat pro monitorování řadiče domény

Pro zajištění nejlepších výsledků doporučujeme monitorovat řadiče domény pomocí programu Microsoft Defender for Identity. Tento přístup umožňuje nejlepší možnosti detekce a automatizace. Postupujte podle pokynů z těchto zdrojů informací:

• Architektura Microsoft Defenderu for Identity
• Rychlý start pro připojení Microsoft Defenderu for Identity ke službě Active Directory

Pokud nemáte v úmyslu používat Microsoft Defender for Identity, monitorujte řadiče domény jedním z těchto přístupů:

• Zprávy protokolu událostí. Informace o ohrožení zabezpečení najdete v tématu Monitorování služby Active Directory.
• Rutiny PowerShellu Viz Řešení potíží s nasazením řadiče domény.

Komponenty hybridního ověřování

V rámci hybridního prostředí Azure by měly být do strategie monitorování a upozorňování zahrnuté následující položky.

• Agent PTA – Agent předávacího ověřování se používá k povolení předávacího ověřování a je nainstalovaný místně. Informace o ověření verze a dalších krocích najdete v tématu Předávací agent Microsoft Entra: Historie verzí verze.

• AD FS/WAP – Active Directory Federation Services (AD FS) (Azure AD FS) a webových proxy aplikací (WAP) umožňují zabezpečené sdílení práv k digitálním identitám a nárokům napříč hranicemi zabezpečení a podniku. Informace o osvědčených postupech zabezpečení najdete v tématu Osvědčené postupy pro zabezpečení Active Directory Federation Services (AD FS).

• Microsoft Entra Connect Health Agent – agent použitý k poskytnutí komunikačního odkazu pro Microsoft Entra Connect Health. Informace o instalaci agenta naleznete v tématu Instalace agenta Microsoft Entra Connect Health.

• Microsoft Entra Connect Sync Engine – místní komponenta, označovaná také jako synchronizační modul. Informace o této funkci naleznete v tématu Funkce služby Microsoft Entra Connect Sync.

• Agent DC pro ochranu heslem – Agent dc ochrany hesel Azure pomáhá s monitorováním a generováním sestav zpráv protokolu událostí. Informace naleznete v tématu Vynucení místní ochrany heslem Microsoft Entra pro Doména služby Active Directory Services.

• KNIHOVNA DLL filtru hesel – Knihovna DLL filtru hesel agenta řadiče domény přijímá žádosti o ověření hesla uživatele z operačního systému. Filtr je přepošluje do služby agenta dc, která běží místně na řadiči domény. Informace o použití knihovny DLL naleznete v tématu Vynucení místní ochrany heslem Microsoft Entra pro Doména služby Active Directory Services.

• Agent zpětného zápisu hesla – Zpětný zápis hesla je funkce povolená službou Microsoft Entra Connect , která umožňuje zápis hesel v cloudu zpět do existujícího místního adresáře v reálném čase. Další informace o této funkci naleznete v tématu Jak samoobslužné resetování hesla zpětný zápis v Microsoft Entra ID.

• Konektor privátní sítě Microsoft Entra – Odlehčené agenty, kteří sedí místně a usnadňují odchozí připojení ke službě proxy aplikací. Další informace najdete v tématu Principy privátních síťových konektorů Microsoft Entra.

Komponenty cloudového ověřování

V rámci cloudového prostředí Azure by měly být do strategie monitorování a upozorňování zahrnuté následující položky.

• Proxy aplikací Microsoft Entra – tato cloudová služba poskytuje zabezpečený vzdálený přístup k místním webovým aplikacím. Další informace naleznete v tématu Vzdálený přístup k místním aplikacím prostřednictvím proxy aplikací Microsoft Entra.

• Microsoft Entra Connect – Služby používané pro řešení Microsoft Entra Connect. Další informace naleznete v tématu Co je Microsoft Entra Connect.

• Microsoft Entra Connect Health – Service Health poskytuje přizpůsobitelný řídicí panel, který sleduje stav služeb Azure v oblastech, ve kterých je používáte. Další informace naleznete v tématu Microsoft Entra Connect Health.

• Vícefaktorové ověřování Microsoft Entra – vícefaktorové ověřování vyžaduje, aby uživatel zadal více než jednu formu ověření. Tento přístup může poskytnout proaktivní první krok zabezpečení vašeho prostředí. Další informace naleznete v tématu Vícefaktorové ověřování Microsoft Entra.

• Dynamické skupiny – Dynamická konfigurace členství ve skupinách zabezpečení pro Microsoft Entra Administrators může nastavit pravidla pro naplnění skupin vytvořených v MICROSOFT Entra ID na základě atributů uživatele. Další informace naleznete v tématu Dynamické skupiny a spolupráce Microsoft Entra B2B.

• Podmíněný přístup – Podmíněný přístup je nástroj, který microsoft Entra ID používá k propojení signálů, k rozhodování a vynucování zásad organizace. Podmíněný přístup je jádrem nové řídicí roviny řízené identitou. Další informace najdete v tématu Co je podmíněný přístup.

• Microsoft Entra ID Protection – nástroj, který organizacím umožňuje automatizovat zjišťování a nápravu rizik založených na identitách, zkoumat rizika pomocí dat na portálu a exportovat data detekce rizik do systému SIEM. Další informace naleznete v tématu Co je Microsoft Entra ID Protection.

• Licencování na základě skupin – Licence se dají přiřadit skupinám, nikoli přímo uživatelům. Id Microsoft Entra ukládá informace o stavech přiřazení licencí pro uživatele.

• Služba zřizování – Zřizování odkazuje na vytváření identit a rolí uživatelů v cloudových aplikacích, ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování údržbu a odebrání identit uživatelů při změně stavu nebo rolí. Další informace naleznete v tématu Jak funguje zřizování aplikací v Microsoft Entra ID.

• Graph API – Microsoft Graph API je webové rozhraní RESTful, které umožňuje přístup k prostředkům cloudové služby Microsoftu. Po registraci aplikace a získání ověřovacích tokenů pro uživatele nebo službu můžete vyhovět rozhraní Microsoft Graph API. Další informace najdete v tématu Přehled Microsoft Graphu.

• Domain Service – Služba Microsoft Entra Domain Services (AD DS) poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny. Další informace naleznete v tématu Co je Microsoft Entra Domain Services.

• Azure Resource Manager – Azure Resource Manager je služba pro nasazení a správu Pro Azure. Poskytuje úroveň správy, která vám umožňuje vytvářet, aktualizovat a odstraňovat prostředky v účtu Azure. Další informace najdete v tématu Co je Azure Resource Manager.

• Spravovaná identita – Spravované identity eliminují potřebu vývojářů spravovat přihlašovací údaje. Spravované identity poskytují identitu pro aplikace, které se mají použít při připojování k prostředkům, které podporují ověřování Microsoft Entra. Další informace najdete v tématu Co jsou spravované identity pro prostředky Azure.

• Privileged Identity Management – PIM je služba v Microsoft Entra ID, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci. Další informace naleznete v tématu Co je Microsoft Entra Privileged Identity Management.

• Kontroly přístupu – Kontroly přístupu Microsoft Entra umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Přístup uživatele je možné pravidelně kontrolovat, abyste měli jistotu, že k přístupu budou mít nadále přístup jenom ti správní uživatelé. Další informace naleznete v tématu Co jsou kontroly přístupu Microsoft Entra.

• Správa nároků – Správa nároků Microsoft Entra je funkce zásad správného řízení identit. Organizace můžou spravovat životní cyklus identit a přístupu ve velkém měřítku automatizací pracovních postupů žádostí o přístup, přiřazení přístupu, kontrol a vypršení platnosti. Další informace naleznete v tématu Co je správa nároků Microsoft Entra.

• Protokoly aktivit – Protokol aktivit je protokol platformy Azure, který poskytuje přehled o událostech na úrovni předplatného. Tento protokol obsahuje takové informace, jako je změna prostředku nebo spuštění virtuálního počítače. Další informace najdete v protokolu aktivit Azure.

• Samoobslužné resetování hesla – Samoobslužné resetování hesla (SSPR) společnosti Microsoft entra umožňuje uživatelům změnit nebo resetovat heslo. Správce nebo helpdesk se nevyžaduje. Další informace naleznete v tématu Jak to funguje: Microsoft Entra samoobslužné resetování hesla.

• Služby zařízení – Správa identit zařízení je základem podmíněného přístupu založeného na zařízeních. Pomocí zásad podmíněného přístupu na základě zařízení můžete zajistit, aby byl přístup k prostředkům ve vašem prostředí možný jenom se spravovanými zařízeními. Další informace najdete v tématu Co je identita zařízení.

• Samoobslužná správa skupin – Uživatelům můžete povolit vytváření a správu vlastních skupin zabezpečení nebo skupin Microsoftu 365 v Microsoft Entra ID. Vlastník skupiny může schválit nebo odepřít žádosti o členství a může delegovat kontrolu nad členstvím ve skupině. Funkce samoobslužné správy skupin nejsou k dispozici pro skupiny zabezpečení s podporou pošty ani distribuční seznamy. Další informace naleznete v tématu Nastavení samoobslužné správy skupin v Microsoft Entra ID.

• Detekce rizik – Obsahuje informace o dalších rizicích aktivovaných při zjištění rizika a dalších relevantních informacích, jako je umístění přihlášení a všechny podrobnosti z Microsoft Defenderu for Cloud Apps.

Další kroky

Projděte si tyto články s průvodcem operacemi zabezpečení:

Operace zabezpečení uživatelských účtů

Operace zabezpečení pro uživatelské účty

Operace zabezpečení pro privilegované účty

Operace zabezpečení pro Privileged Identity Management

Operace zabezpečení pro aplikace

Operace zabezpečení pro zařízení

Operace zabezpečení pro infrastrukturu