Microsoft Entra-SecOps für Privileged Identity Management
Die Sicherheit der Geschäftsressourcen hängt von der Integrität der privilegierten Konten ab, mit denen Ihre IT-Systeme verwaltet werden. Cyberangreifer haben es beim Diebstahl von Anmeldeinformationen besonders auf Administratorkonten und andere privilegierte Zugriffskonten abgesehen, um Zugriff auf vertrauliche Daten zu erhalten.
Bei Clouddiensten sind Cloud-Dienstanbieter und Kunde gemeinsam verantwortlich für Prävention und Reaktion.
Klassischerweise haben sich Unternehmen bezüglich der Sicherheit auf die Ein- und Ausstiegspunkte eines Netzwerks als Sicherheitsperimeter konzentriert. Mit SaaS-Apps und persönlichen Geräten hat dieser Ansatz jedoch an Wirksamkeit verloren. In Microsoft Entra ID wird der Netzwerksicherheitsperimeter durch eine Authentifizierung in der Identitätsschicht Ihrer Organisation ersetzt. Da Benutzern privilegierte Administratorrollen erteilt werden, muss ihr Zugriff in lokalen, cloudbasierten und hybriden Umgebungen geschützt werden.
Sie sind für alle Sicherheitsebenen Ihrer lokalen IT-Umgebung verantwortlich. Wenn Sie Azure-Dienste verwenden, liegen die Vorbeugung und Reaktion in der gemeinsamen Verantwortung von Microsoft als Clouddienstanbieter und Ihnen als Kunde.
Weitere Informationen zum Modell der gemeinsamen Verantwortung finden Sie unter Gemeinsame Verantwortung in der Cloud.
Weitere Informationen zum Schützen des Zugriffs für privilegierte Benutzer finden Sie unter Schützen des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Microsoft Entra ID.
Eine Vielzahl von Videos, Schrittanleitungen und Ressourcen zu wichtigen Konzepten zu privilegierten Identitäten finden Sie in der Dokumentation für Privileged Identity Management.
Privileged Identity Management (PIM) ist Microsoft Entra-Dienst, mit dem Sie den Zugriff auf wichtige Ressourcen innerhalb Ihrer Organisation verwalten, steuern und überwachen können. Diese Ressourcen umfassen Ressourcen in Microsoft Entra ID, Azure und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune. Mit PIM können Sie die folgenden Risiken minimieren:
Identifizieren und Minimieren der Anzahl der Personen, die Zugriff auf sichere Informationen oder Ressourcen haben
Erkennen übermäßiger, unnötiger oder missbräuchlich genutzter Zugriffsberechtigungen auf vertrauliche Ressourcen
Verringern der Wahrscheinlichkeit, dass böswillige Akteure Zugriff auf gesicherte Informationen oder Ressourcen haben
Verringern der Wahrscheinlichkeit, dass ein nicht autorisierter Benutzer versehentlich vertrauliche Ressourcen beeinträchtigen kann
In diesem Artikel finden Sie Anleitungen zum Festlegen von Baselines, zum Überprüfen von Anmeldungen und zur Verwendung von privilegierten Konten. Verwenden Sie die Überwachungsprotokollquelle, um die Integrität von privilegierten Konten sicherzustellen.
Zu untersuchende Protokolle
Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:
Zeigen Sie im Azure-Portal die Azure AD-Überwachungsprotokolle an und als CSV- oder JSON-Dateien (Comma-Separated Value bzw. JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine Automatisierung von Überwachung und Benachrichtigungen ermöglichen:
Microsoft Sentinel : Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene, indem SIEM-Funktionen (Security Information and Event Management) zur Verfügung gestellt werden.
Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, verweist ein Link zum Sigma-Repository. Sigma-Vorlagen werden von Microsoft weder geschrieben, noch getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.
Azure Monitor : ermöglicht die automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.
Azure Event Hubs mit Integration mit einem SIEM-System- Microsoft Entra-Protokolle können in andere SIEM-Systeme wie Splunk, ArcSight, QRadar und Sumo Logic über die Azure Event Hub-Integration integriert werden.
Microsoft Defender for Cloud Apps: Ermöglicht die Erkennung und Verwaltung von Apps, die Steuerung von Apps und Ressourcen sowie die Überprüfung der Kompatibilität von Cloud-Apps.
Sichern von Workload Identities mit Microsoft Entra ID Protection: Wird verwendet, um Risiken für Workload Identities über das Anmeldeverhalten und Offline-Kompromittierungsindikatoren zu erkennen.
Im weiteren Teil dieses Artikels erhalten Sie Empfehlungen zum Festlegen einer Baseline zur Überwachung und Benachrichtigung mithilfe eines Ebenenmodells. Links zu vordefinierten Lösungen werden im Anschluss an die Tabelle angezeigt. Sie können Warnungen mithilfe der oben genannten Tools erstellen. Der Inhalt ist in die folgenden Bereiche unterteilt:
Basislinien
Rollenzuweisung bei Microsoft Entra
Einstellungen für die Rollenzuweisung bei Microsoft Entra
Rollenzuweisung zu Azure-Ressourcen
Zugriffsverwaltung für Azure-Ressourcen
Erhöhte Zugriffsrechte zum Verwalten von Azure-Abonnements
Basislinien
Im Folgenden sind empfohlene Baselineeinstellungen angegeben:
Zu überwachende Elemente | Risikostufe | Empfehlung | Rollen | Hinweise |
---|---|---|---|---|
Rollenzuweisung bei Microsoft Entra | Hoch | Begründung für die Aktivierung erfordern Genehmigung für die Aktivierung erfordern Zweistufigen Genehmigungsprozess festlegen Bei Aktivierung die Multi-Faktor-Authentifizierung von Microsoft Entra anfordern. Maximale Dauer für die Rechteerweiterung auf 8 Stunden festlegen | Sicherheitsadministrator, Administrator für privilegierter Rolle, Globaler Administrator | Ein Administrator für privilegierte Rollen kann PIM in seiner Microsoft Entra-Organisation anpassen und hierbei auch die Art ändern, in der Benutzer eine berechtigte Rollenzuweisung aktivieren. |
Konfiguration von Azure-Ressourcenrollen | Hoch | Begründung für die Aktivierung erfordern Genehmigung für die Aktivierung erfordern Zweistufigen Genehmigungsprozess festlegen Bei Aktivierung die Multi-Faktor-Authentifizierung von Microsoft Entra anfordern. Maximale Dauer für die Rechteerweiterung auf 8 Stunden festlegen | Besitzer, Benutzerzugriffsadministrator | Wenn es sich um keine geplante Änderung handelt, sollten Sie sie sofort untersuchen. Diese Einstellung könnte einem Angreifer Zugriff auf Azure-Abonnements in Ihrer Umgebung ermöglichen. |
Privileged Identity Management-Warnungen
Privileged Identity Management (PIM) generiert bei verdächtigen oder nicht sicheren Aktivitäten in Ihrer Microsoft Entra-Organisation Warnungen. Wenn eine Warnung generiert wird, wird sie auf dem Privileged Identity Management-Dashboard angezeigt. Sie können auch eine E-Mail-Benachrichtigung konfigurieren oder die Benachrichtigung über die Graph-API an Ihr SIEM senden. Da sich diese Warnungen speziell auf administrative Rollen konzentrieren, sollten Sie alle Warnungen genau überwachen.
Rollenzuweisung bei Microsoft Entra
Ein Administrator für privilegierte Rollen kann PIM in seiner Microsoft Entra-Organisation anpassen und hierbei auch die Art ändern, in der Benutzer eine berechtigte Rollenzuweisung aktivieren:
Verhindern, dass ein böswilliger Akteur die Anforderungen für die Multi-Faktor-Authentifizierung von Microsoft Entra entfernt, um sich privilegierten Zugriff zu verschaffen.
Verhindern, dass ein böswilliger Akteur bei der Aktivierung des privilegierten Zugriffs die Begründung und Genehmigung umgeht
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Warnung zu „Add changes to privileged account permissions“ (Änderungen an Berechtigungen für privilegierter Konten hinzufügen) | Hoch | Microsoft Entra-Überwachungsprotokolle | Kategorie = Role Management (Rollenverwaltung) -und- Aktivitätstyp – Add eligible member (permanent) (Berechtigtes Mitglied hinzufügen (dauerhaft)) -und- Aktivitätstyp – Add eligible member (eligible) (Berechtigtes Mitglied hinzufügen (berechtigt)) -und- Status = Erfolg/Fehler - und - Geänderte Eigenschaften = Role.DisplayName |
Überwachen Sie Änderungen an den Rollen „Administrator für privilegierte Rollen“ und „Globaler Administrator“, und richten Sie Warnungen für jegliche Änderungen ein. Dies kann ein Hinweis darauf sein, dass ein Angreifer versucht, Berechtigungen zum Ändern von Rollenzuweisungseinstellungen zu erlangen. Wenn Sie keinen Schwellenwert definieren, sollten Sie für Benutzer bei 4 Änderungen innerhalb von 60 Minuten und für privilegierte Konten bei 2 Änderungen innerhalb von 60 Minuten warnen. Sigma-Regeln |
Warnung bei Änderungen der Massenlöschung von Berechtigungen privilegierter Konten | Hoch | Microsoft Entra-Überwachungsprotokolle | Kategorie = Role Management (Rollenverwaltung) -und- Aktivitätstyp – Remove eligible member (permanent) (Berechtigtes Mitglied entfernen (dauerhaft)) -und- Aktivitätstyp – Remove eligible member (eligible) (Berechtigtes Mitglied entfernen (berechtigt)) -und- Status = Erfolg/Fehler - und - Geänderte Eigenschaften = Role.DisplayName |
Wenn es sich um keine geplante Änderung handelt, sollten Sie sie sofort untersuchen. Diese Einstellung könnte einem Angreifer Zugriff auf Azure-Abonnements in Ihrer Umgebung ermöglichen. Microsoft Sentinel-Vorlage Sigma-Regeln |
Änderungen an PIM-Einstellungen | Hoch | Microsoft Entra Überwachungsprotokoll | Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp = Rolleneinstellung in PIM aktualisieren - und - Statusursache = MFA on activation disabled (MFA bei Aktivierung deaktiviert) (Beispiel) |
Überwachen Sie Änderungen an den Rollen „Administrator für privilegierte Rollen“ und „Globaler Administrator“, und richten Sie Warnungen für jegliche Änderungen ein. Dies kann ein Hinweis darauf sein, dass ein Angreifer Zugriff erhalten hat und die Einstellungen für Rollenzuweisungen ändern kann. Eine dieser Aktionen könnte die Sicherheit der PIM-Rechteerweiterungen verringern und Angreifern den Erwerb eines privilegierten Kontos erleichtern. Microsoft Sentinel-Vorlage Sigma-Regeln |
Rechteerweiterungen genehmigen und verweigern | Hoch | Microsoft Entra Überwachungsprotokoll | Dienst = Zugriffsüberprüfung - und - Kategorie = Benutzerverwaltung - und - Aktivitätstyp = Anforderung genehmigt/abgelehnt - und - Initiated actor (Initiierender Akteur) = UPN |
Alle Rechteerweiterungen sollten überwacht werden. Protokollieren Sie alle Rechteerweiterungen, um eine eindeutige Zeitachse für einen Angriff zu erhalten. Microsoft Sentinel-Vorlage Sigma-Regeln |
Deaktivierung von Warnungseinstellungen | Hoch | Microsoft Entra-Überwachungsprotokolle | Dienst = PIM - und - Kategorie = Role Management (Rollenverwaltung) - und - Aktivitätstyp = Disable PIM Alert (PIM-Warnung deaktivieren) - und - Status = Erfolg/Fehler |
Lassen Sie immer warnen. Hilft bei der Erkennung böswilliger Akteure, die Warnungen zu den Anforderungen bzgl. Multi-Faktor-Authentifizierung von Microsoft Entra entfernen, um sich privilegierten Zugriff zu verschaffen. Hilft bei der Erkennung verdächtiger oder unsicherer Aktivitäten Microsoft Sentinel-Vorlage Sigma-Regeln |
Weitere Informationen zum Identifizieren von Änderungen an Rolleneinstellungen im Microsoft Entra-Überwachungsprotokoll finden Sie unter Anzeigen des Überwachungsverlaufs für Microsoft Entra-Rollen in Privileged Identity Management.
Rollenzuweisung zu Azure-Ressourcen
Die Überwachung von Azure-Ressourcenrollenzuweisungen ermöglicht den Einblick in Aktivitäten und Aktivierungen für Ressourcenrollen. Diese Zuweisungen könnten missbräuchlich verwendet werden, um eine Angriffsfläche auf eine Ressource zu schaffen. Achten Sie bei der Überwachung solcher Aktivitäten auf Folgendes:
Abfragen von Rollenzuweisungen für bestimmte Ressourcen
Rollenzuweisungen für alle untergeordneten Ressourcen
Alle Änderungen an aktiven und berechtigten Rollenzuweisungen
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Überwachungswarnungen, Ressourcenüberwachungsprotokoll auf Aktivitäten für privilegierte Konten überprüfen | Hoch | In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“ | Aktion: Hinzufügen von berechtigtem Mitglied zu Rolle in PIM abgeschlossen (zeitgebunden) -und- Primäres Ziel -und- Type User (Typbenutzer) - und - Status = Erfolgreich |
Lassen Sie immer warnen. Hilft bei der Erkennung eines böswilligen Akteurs, der berechtigte Rollen hinzufügt, um alle Ressourcen in Azure zu verwalten |
Überwachungswarnungen, Ressourcenüberwachung für die Deaktivierung von Warnungen | Medium | In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“ | Aktion: Warnung deaktivieren - und - Primäres Ziel: Zu viele Besitzer zu Ressource zugewiesen - und - Status = Erfolgreich |
Hilft bei der Erkennung eines böswilligen Akteurs, der Warnungen im Warnungsbereich deaktiviert, womit die Untersuchung böswilliger Aktivitäten umgangen werden kann |
Überwachungswarnungen, Ressourcenüberwachung für die Deaktivierung von Warnungen | Medium | In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“ | Aktion: Warnung deaktivieren - und - Primäres Ziel: Zu viele dauerhafte Besitzer zu Ressource zugewiesen - und - Status = Erfolgreich |
Hindern Sie böswillige Akteure daran, Warnungen im Warnungsbereich zu deaktivieren, womit die Untersuchung böswilliger Aktivitäten umgangen werden kann. |
Überwachungswarnungen, Ressourcenüberwachung für die Deaktivierung von Warnungen | Medium | In PIM, unter „Azure-Ressourcen“, „Ressourcenüberwachung“ | Aktion: Warnung deaktivieren - und - Primäres Ziel: Doppelte Rolle erstellt - und - Status = Erfolgreich |
Hindern Sie böswillige Akteure daran, Warnungen im Warnungsbereich zu deaktivieren, womit die Untersuchung böswilliger Aktivitäten umgangen werden kann. |
Weitere Informationen zum Konfigurieren von Warnungen und Überwachen von Azure-Ressourcenrollen finden Sie unter:
Zugriffsverwaltung für Azure-Ressourcen und -Abonnements
Benutzer oder Gruppenmitglieder, die der Abonnementsrolle „Besitzer“ oder „Benutzerzugriffsadministrator“ zugewiesen sind, sowie globale Microsoft Entra-Administratoren, die die Abonnementverwaltung in Microsoft Entra ermöglichen, haben standardmäßig Ressourcenadministratorberechtigungen. Die Administratoren können Rollen zuweisen, Rolleneinstellungen konfigurieren und mit Privileged Identity Management (PIM) den Zugriff auf Azure-Ressourcen überprüfen.
Ein Benutzer mit Ressourcenadministratorberechtigungen kann PIM für Ressourcen verwalten. Das damit einhergehende Risiko, das Sie überwachen und minimieren müssen, besteht darin, dass die Funktion böswilligen Akteuren privilegierten Zugriff auf Azure-Abonnementressourcen wie virtuelle Computer (VMs) oder Speicherkonten ermöglichen kann.
Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
---|---|---|---|---|
Höhenangaben | Hoch | Microsoft Entra ID, unter Verwalten, Eigenschaften | Überprüfen Sie die Einstellung in regelmäßigen Abständen. Zugriffsverwaltung für Azure-Ressourcen |
Globale Administratoren können Rechte erhöhen, indem sie die Zugriffsverwaltung für Azure-Ressourcen aktivieren. Vergewissern Sie sich, dass keine böswilligen Akteure über Berechtigungen für das Zuweisen von Rollen in allen Azure-Abonnements und -Verwaltungsgruppen verfügen, die mit Active Directory verknüpft sind. |
Weitere Informationen finden Sie unter Zuweisen von Azure-Ressourcenrollen in Privileged Identity Management.
Nächste Schritte
Übersicht zu Microsoft Entra-SecOps
Sicherheitsvorgänge für Benutzerkonten
Sicherheitsvorgänge für Consumerkonten
Sicherheitsvorgänge für privilegierte Konten
Sicherheitsvorgänge für Anwendungen