Operace zabezpečení Microsoft Entra pro Privileged Identity Management
Zabezpečení obchodních prostředků závisí na integritě privilegovaných účtů, které spravují vaše IT systémy. Kyber-útočníci používají útoky krádeže přihlašovacích údajů k cílení účtů správců a dalších privilegovaných přístupových účtů, aby se pokusili získat přístup k citlivým datům.
Pro cloudové služby jsou prevence a reakce společné odpovědnosti poskytovatele cloudových služeb a zákazníka.
Zabezpečení organizace se tradičně zaměřilo na vstupní a výstupní body sítě jako bezpečnostní obvod. Díky aplikacím SaaS a osobním zařízením je ale tento přístup méně efektivní. V Microsoft Entra ID nahradíme obvod zabezpečení sítě ověřováním ve vrstvě identity vaší organizace. Když jsou uživatelé přiřazovaní k privilegovaným rolím pro správu, musí být jejich přístup chráněný v místních, cloudových a hybridních prostředích.
Zcela zodpovídáte za všechny vrstvy zabezpečení vašeho místního IT prostředí. Při používání cloudových služeb Azure jsou prevence a reakce společnými povinnostmi Microsoftu jako poskytovatele cloudových služeb a vy jako zákazník.
Další informace o modelu sdílené odpovědnosti najdete v tématu Sdílená odpovědnost v cloudu.
Další informace o zabezpečení přístupu pro privilegované uživatele najdete v tématu Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID.
Širokou škálu videí, návodů a obsahu klíčových konceptů pro privilegovanou identitu najdete v dokumentaci k Privileged Identity Management.
Privileged Identity Management (PIM) je služba Microsoft Entra, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci. Mezi tyto prostředky patří prostředky v Microsoft Entra ID, Azure a dalších online službách Microsoftu, jako je Microsoft 365 nebo Microsoft Intune. PIM můžete použít ke zmírnění následujících rizik:
Identifikujte a minimalizujte počet lidí, kteří mají přístup k zabezpečeným informacím a prostředkům.
Zjistěte nadměrná, nepotřebná nebo zneužitá přístupová oprávnění k citlivým prostředkům.
Snižte riziko, že herec se zlými úmysly získá přístup k zabezpečeným informacím nebo prostředkům.
Snižte možnost neúmyslného neoprávněného uživatele, který má vliv na citlivé prostředky.
Tento článek obsahuje pokyny k nastavení standardních hodnot, auditování přihlášení a používání privilegovaných účtů. Zdroj protokolu auditování zdrojového kódu vám pomůže zachovat integritu privilegovaného účtu.
Kam se podívat
Soubory protokolů, které používáte pro šetření a monitorování, jsou:
Na webu Azure Portal si prohlédněte protokoly auditu Microsoft Entra a stáhněte si je jako soubory JSON (Hodnoty oddělené čárkami) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Microsoft Entra s dalšími nástroji pro automatizaci monitorování a upozorňování:
Microsoft Sentinel – umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje možnosti správy informací o zabezpečení a událostí (SIEM).
Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které mohou automatizované nástroje pro správu použít k analýze souborů protokolu. Kde existují šablony Sigma pro naše doporučená kritéria hledání, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, otestované a spravované Microsoftem. Úložiště a šablony se vytvářejí a shromažďují komunitou zabezpečení IT po celém světě.
Azure Monitor – umožňuje automatizované monitorování a upozorňování různých podmínek. Můžete vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.
Azure Event Hubs integrované s protokoly SIEM- Microsoft Entra je možné integrovat do jiných prostředí SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic prostřednictvím integrace azure Event Hubs.
Microsoft Defender for Cloud Apps – umožňuje zjišťovat a spravovat aplikace, řídit se napříč aplikacemi a prostředky a kontrolovat dodržování předpisů cloudových aplikací.
Zabezpečení identit úloh pomocí služby Microsoft Entra ID Protection – používá se ke zjišťování rizik u identit úloh napříč chováním přihlašování a offline indikátory ohrožení.
Zbytek tohoto článku obsahuje doporučení k nastavení směrného plánu pro monitorování a upozorňování s modelem vrstev. Odkazy na předdefinovaná řešení se zobrazí za tabulkou. Výstrahy můžete vytvářet pomocí předchozích nástrojů. Obsah je uspořádaný do následujících oblastí:
Směrných plánů
Přiřazení role Microsoft Entra
Nastavení upozornění role Microsoft Entra
Přiřazení role prostředku Azure
Správa přístupu pro prostředky Azure
Zvýšený přístup ke správě předplatných Azure
Směrných plánů
Následující jsou doporučená základní nastavení:
| Co monitorovat | Úroveň rizika | Doporučení | Role | Notes |
|---|---|---|---|---|
| Přiřazení rolí Microsoft Entra | Vysoká | Vyžadovat odůvodnění aktivace. Vyžadovat schválení k aktivaci. Nastavte proces schvalovatele na dvou úrovních. Při aktivaci vyžadovat vícefaktorové ověřování Microsoft Entra. Nastavte maximální dobu trvání zvýšení na 8 hodin. | Správce zabezpečení, správce privilegovaných rolí, globální správce | Správce privilegovaných rolí může přizpůsobit PIM ve své organizaci Microsoft Entra, včetně změny prostředí pro uživatele, kteří aktivují oprávněné přiřazení role. |
| Konfigurace role prostředku Azure | Vysoká | Vyžadovat odůvodnění aktivace. Vyžadovat schválení k aktivaci. Nastavte proces schvalovatele na dvou úrovních. Při aktivaci vyžadovat vícefaktorové ověřování Microsoft Entra. Nastavte maximální dobu trvání zvýšení na 8 hodin. | Vlastník, Správce uživatelských přístupů | Okamžitě prozkoumejte, pokud se nejedná o plánovanou změnu. Toto nastavení může útočníkovi umožnit přístup k předplatným Azure ve vašem prostředí. |
Upozornění služby Privileged Identity Management
Privileged Identity Management (PIM) generuje výstrahy, když ve vaší organizaci Microsoft Entra existuje podezřelá nebo nebezpečná aktivita. Když se vygeneruje výstraha, zobrazí se na řídicím panelu Privileged Identity Management. Můžete také nakonfigurovat e-mailové oznámení nebo odeslat siem přes GraphAPI. Vzhledem k tomu, že se tyto výstrahy zaměřují konkrétně na role pro správu, měli byste pečlivě sledovat všechny výstrahy.
Přiřazení rolí Microsoft Entra
Správce privilegovaných rolí může přizpůsobit PIM ve své organizaci Microsoft Entra, což zahrnuje změnu uživatelského prostředí aktivace oprávněného přiřazení role:
Zabránit chybnému objektu actor odebrat vícefaktorové požadavky na vícefaktorové ověřování microsoftu pro aktivaci privilegovaného přístupu.
Znemožnit uživatelům se zlými úmysly obejít odůvodnění a schválení aktivace privilegovaného přístupu.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Upozornění na přidání změn oprávnění privilegovaného účtu | Vysoká | Protokoly auditu Microsoft Entra | Category = Správa rolí a Typ aktivity – Přidání oprávněného člena (trvalé) a Typ aktivity – Přidání oprávněného člena (způsobilý) a Stav = úspěch/selhání a Změněné vlastnosti = Role.DisplayName |
Monitorování a vždy upozorňování na všechny změny správce privilegovaných rolí a globálního správce To může značit, že se útočník pokouší získat oprávnění k úpravě nastavení přiřazení role. Pokud nemáte definovanou prahovou hodnotu, upozorňování na 4 za 60 minut pro uživatele a 2 za 60 minut pro privilegované účty. Pravidla Sigma |
| Upozornění na hromadné odstranění změn oprávnění privilegovaného účtu | Vysoká | Protokoly auditu Microsoft Entra | Category = Správa rolí a Typ aktivity – Odebrání oprávněného člena (trvalé) a Typ aktivity – Odebrání oprávněného člena (oprávněný) a Stav = úspěch/selhání a Změněné vlastnosti = Role.DisplayName |
Okamžitě prozkoumejte, pokud se nejedná o plánovanou změnu. Toto nastavení by mohlo útočníkovi umožnit přístup k předplatným Azure ve vašem prostředí. Šablona Microsoft Sentinelu Pravidla Sigma |
| Změny nastavení PIM | Vysoká | Protokol auditu Microsoft Entra | Služba = PIM a Category = Správa rolí a Typ aktivity = Aktualizace nastavení role v PIM a Důvod stavu = MFA při aktivaci zakázáno (příklad) |
Monitorování a vždy upozorňování na všechny změny správce privilegovaných rolí a globálního správce To může značit, že útočník má přístup k úpravě nastavení přiřazení role. Jedna z těchto akcí může snížit zabezpečení zvýšení oprávnění PIM a usnadnit útočníkům získání privilegovaného účtu. Šablona Microsoft Sentinelu Pravidla Sigma |
| Schválení a odepření zvýšení oprávnění | Vysoká | Protokol auditu Microsoft Entra | Služba = Kontrola přístupu a Category = UserManagement a Typ aktivity = Žádost schválena/odepřena a Iniciovaný objekt actor = hlavní název uživatele (UPN) |
Všechny zvýšení oprávnění by se měly monitorovat. Zaznamte všechny zvýšení oprávnění, abyste jasně naznačili časovou osu útoku. Šablona Microsoft Sentinelu Pravidla Sigma |
| Nastavení upozornění se změní na zakázané. | Vysoká | Protokoly auditu Microsoft Entra | Služba =PIM a Category = Správa rolí a Typ aktivity = Zakázat upozornění PIM a Stav = úspěch /selhání |
Vždy upozorňovat. Pomáhá rozpoznat chybné objekty actor, které odebírají výstrahy spojené s vícefaktorovými požadavky na vícefaktorové ověřování Microsoftu pro aktivaci privilegovaného přístupu. Pomáhá rozpoznat podezřelou nebo nebezpečnou aktivitu. Šablona Microsoft Sentinelu Pravidla Sigma |
Další informace o identifikaci změn nastavení rolí v protokolu auditu Microsoft Entra naleznete v tématu Zobrazení historie auditu pro role Microsoft Entra v Privileged Identity Management.
Přiřazení role prostředku Azure
Monitorování přiřazení rolí prostředků Azure umožňuje přehled o aktivitách a aktivacích pro role prostředků. Tato přiřazení mohou být zneužita k vytvoření prostoru pro útok na prostředek. Při monitorování tohoto typu aktivity se pokoušíte zjistit:
Dotazování přiřazení rolí u konkrétních prostředků
Přiřazení rolí pro všechny podřízené prostředky
Všechny aktivní a způsobilé změny přiřazení rolí
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Auditovat protokol auditu prostředků upozornění pro aktivity privilegovaného účtu | Vysoká | V PIM v části Prostředky Azure audit prostředků | Akce: Přidání oprávněného člena do role v PIM dokončeno (vázaný čas) a Primární cíl a Typ uživatele a Stav = Úspěch |
Vždy upozorňovat. Pomáhá odhalit chybného objektu actor přidáním oprávněných rolí ke správě všech prostředků v Azure. |
| Auditovat auditování auditu prostředků upozornění pro zakázání výstrahy | Střední | V PIM v části Prostředky Azure audit prostředků | Akce: Zakázat upozornění a Primární cíl: Příliš mnoho vlastníků přiřazených k prostředku a Stav = Úspěch |
Pomáhá rozpoznat chybné objekty actor, které zakazují výstrahy, v podokně Výstrahy, které můžou obejít prošetřovanou škodlivou aktivitu. |
| Auditovat auditování auditu prostředků upozornění pro zakázání výstrahy | Střední | V PIM v části Prostředky Azure audit prostředků | Akce: Zakázat upozornění a Primární cíl: Příliš mnoho trvalých vlastníků přiřazených k prostředku a Stav = Úspěch |
Zakázat výstrahy špatným aktérem v podokně Výstrahy, které můžou obejít prošetřovanou škodlivou aktivitu |
| Auditovat auditování auditu prostředků upozornění pro zakázání výstrahy | Střední | V PIM v části Prostředky Azure audit prostředků | Akce: Zakázat upozornění a Vytvořená primární cílovou duplicitní role a Stav = Úspěch |
Zabránění zneužití objektu actor v zakázání výstrah, v podokně Výstrahy, které můžou obejít prošetřovanou škodlivou aktivitu |
Další informace o konfiguraci výstrah a auditování rolí prostředků Azure najdete tady:
Konfigurace výstrah zabezpečení pro role prostředků Azure ve službě Privileged Identity Management
Zobrazení sestavy auditu pro role prostředků Azure ve službě Privileged Identity Management (PIM)
Správa přístupu pro prostředky a předplatná Azure
Uživatelé nebo členové skupiny přiřadili role předplatných Vlastník nebo Správce uživatelských přístupů a globální správci Microsoft Entra, kteří povolili správu předplatného v Microsoft Entra ID, mají ve výchozím nastavení oprávnění správce prostředků. Správci přiřazují role, konfiguruje nastavení rolí a kontroluje přístup pomocí privileged Identity Management (PIM) pro prostředky Azure.
Uživatel, který má oprávnění správce prostředků, může spravovat PIM pro prostředky. Monitorujte a zmírněte toto riziko: Tato funkce se dá použít k povolení privilegovaného přístupu herců k prostředkům předplatného Azure, jako jsou virtuální počítače nebo účty úložiště.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Nadmořských výškách | Vysoká | ID Microsoft Entra v části Spravovat, Vlastnosti | Nastavení pravidelně kontrolujte. Správa přístupu pro prostředky Azure |
Globální správci můžou zvýšit úroveň povolením správy přístupu pro prostředky Azure. Ověřte, že chybní aktéři nezístili oprávnění k přiřazování rolí ve všech předplatných Azure a skupinách pro správu přidružených ke službě Active Directory. |
Další informace najdete v tématu Přiřazení rolí prostředků Azure ve službě Privileged Identity Management.
Další kroky
Přehled operací zabezpečení Microsoft Entra
Operace zabezpečení uživatelských účtů
Operace zabezpečení pro uživatelské účty
Operace zabezpečení pro privilegované účty
Operace zabezpečení pro aplikace