Delen via


Handleiding voor microsoft Entra-beveiligingsbewerkingen voor toepassingen

Toepassingen hebben een kwetsbaarheid voor aanvallen op beveiligingsschendingen en moeten worden bewaakt. Hoewel het niet zo vaak is gericht als gebruikersaccounts, kunnen schendingen optreden. Omdat toepassingen vaak worden uitgevoerd zonder menselijke tussenkomst, kunnen de aanvallen moeilijker te detecteren zijn.

Dit artikel bevat richtlijnen voor het bewaken en waarschuwen van toepassingsevenementen. Deze wordt regelmatig bijgewerkt om ervoor te zorgen dat u het volgende doet:

  • Voorkomen dat kwaadwillende toepassingen niet-gewarsloos toegang krijgen tot gegevens

  • Voorkomen dat toepassingen worden aangetast door slechte actoren

  • Inzichten verzamelen waarmee u nieuwe toepassingen veiliger kunt bouwen en configureren

Als u niet bekend bent met de werking van toepassingen in Microsoft Entra ID, raadpleegt u Apps en service-principals in Microsoft Entra ID.

Notitie

Als u het overzicht van Microsoft Entra-beveiligingsbewerkingen nog niet hebt bekeken, kunt u dit nu overwegen.

Waar u naar moet zoeken

Wanneer u uw toepassingslogboeken voor beveiligingsincidenten bewaakt, bekijkt u de volgende lijst om normale activiteiten te onderscheiden van schadelijke activiteiten. De volgende gebeurtenissen kunnen duiden op beveiligingsproblemen. Elk wordt behandeld in het artikel.

  • Wijzigingen die zich buiten normale bedrijfsprocessen en planningen voordoen

  • Wijzigingen in toepassingsreferenties

  • Toepassingstoestemming

    • Service-principal die is toegewezen aan een Microsoft Entra-id of een RBAC-rol (op rollen gebaseerd toegangsbeheer) van Azure

    • Toepassingen verleenden machtigingen met hoge bevoegdheden

    • Wijzigingen in Azure Key Vault

    • Eindgebruiker die toepassingen toestemming verleent

    • Gestopte toestemming van eindgebruikers op basis van risiconiveau

  • Wijzigingen in toepassingsconfiguratie

    • Universal Resource Identifier (URI) gewijzigd of niet-standaard

    • Wijzigingen in toepassingseigenaren

    • Url's voor afmelden gewijzigd

Waar te zoeken

De logboekbestanden die u gebruikt voor onderzoek en controle zijn:

Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal heeft verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's, waardoor meer automatisering van bewaking en waarschuwingen mogelijk is:

  • Microsoft Sentinel : maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk met SIEM-mogelijkheden (Security Information and Event Management).

  • Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar er Sigma-sjablonen zijn voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.

  • Azure Monitor : geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.

  • Azure Event Hubs geïntegreerd met siem- Microsoft Entra-logboeken kunnen worden geïntegreerd met andere SIEM's, zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.

  • Microsoft Defender voor Cloud-apps – apps detecteren en beheren, beheren voor alle apps en resources, en de naleving van uw cloud-apps controleren.

  • Het beveiligen van workloadidentiteiten met Microsoft Entra ID Protection : detecteert risico's op workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.

Veel van wat u bewaakt en waarschuwt, zijn de effecten van uw beleid voor voorwaardelijke toegang. U kunt de werkmap Voor voorwaardelijke toegang en rapportage gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleidsregels, inclusief de apparaatstatus, te onderzoeken. Gebruik de werkmap om een samenvatting weer te geven en de effecten gedurende een bepaalde periode te identificeren. U kunt de werkmap gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken.

De rest van dit artikel is wat u wordt aangeraden te controleren en te waarschuwen. Het is georganiseerd op basis van het type bedreiging. Waar er vooraf gemaakte oplossingen zijn, koppelen we ze aan of bieden we voorbeelden na de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.

Toepassingsreferenties

Veel toepassingen gebruiken referenties voor verificatie in Microsoft Entra ID. Andere referenties die buiten de verwachte processen zijn toegevoegd, kunnen een kwaadwillende actor zijn die deze referenties gebruikt. We raden u aan X509-certificaten te gebruiken die zijn uitgegeven door vertrouwde autoriteiten of beheerde identiteiten in plaats van clientgeheimen te gebruiken. Als u echter clientgeheimen wilt gebruiken, volgt u goede hygiëneprocedures om toepassingen veilig te houden. Opmerking: updates van toepassings- en service-principals worden geregistreerd als twee vermeldingen in het auditlogboek.

  • Bewaak toepassingen om de verlooptijden van lange referenties te identificeren.

  • Vervang referenties met een lange levensduur door een korte levensduur. Zorg ervoor dat referenties niet worden doorgevoerd in codeopslagplaatsen en veilig worden opgeslagen.

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Referenties toegevoegd aan bestaande toepassingen Hoog Microsoft Entra-auditlogboeken Service-Core Directory, Category-ApplicationManagement
Activiteit: Beheer van toepassingscertificaten en geheimen bijwerken
en
Activiteit: Service-principal bijwerken/Toepassing bijwerken
Waarschuwing wanneer referenties worden toegevoegd: toegevoegd buiten normale kantooruren of werkstromen, van typen die niet in uw omgeving worden gebruikt of worden toegevoegd aan een niet-SAML-stroom die service-principal ondersteunt.
Microsoft Sentinel-sjabloon

Sigma-regels
Referenties met een levensduur die langer duren dan uw beleid toestaat. Gemiddeld Microsoft Graph Status en einddatum van referenties voor de toepassingssleutel
en
Referenties voor toepassingswachtwoorden
U kunt MS Graph API gebruiken om de begin- en einddatum van referenties te vinden en langer dan toegestane levensduur te evalueren. Zie Het PowerShell-script na deze tabel.

De volgende vooraf gebouwde bewaking en waarschuwingen zijn beschikbaar:

Toepassingstoestemming

Net als bij een beheerdersaccount kunnen toepassingen bevoorrechte rollen worden toegewezen. Apps kunnen worden toegewezen aan Microsoft Entra-rollen, zoals Gebruikersbeheerder of Azure RBAC-rollen, zoals Factureringslezer. Omdat ze kunnen worden uitgevoerd zonder een gebruiker en als achtergrondservice, moet u nauwkeurig controleren wanneer aan een toepassing bevoorrechte rollen of machtigingen worden verleend.

Service-principal die is toegewezen aan een rol

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
App toegewezen aan Azure RBAC-rol of Microsoft Entra-rol Hoog tot normaal Microsoft Entra-auditlogboeken Type: service-principal
Activiteit: 'Lid toevoegen aan rol' of 'In aanmerking komend lid toevoegen aan rol'
– of –
'Bereiklid toevoegen aan rol'.
Voor zeer bevoorrechte rollen is het risico hoog. Voor rollen met lagere bevoegdheden is het risico gemiddeld. Waarschuwing wanneer een toepassing wordt toegewezen aan een Azure-rol of Microsoft Entra-rol buiten normale wijzigingsbeheer- of configuratieprocedures.
Microsoft Sentinel-sjabloon

Sigma-regels

De toepassing heeft machtigingen met hoge bevoegdheden verleend

Toepassingen moeten het principe van minimale bevoegdheden volgen. Onderzoek toepassingsmachtigingen om ervoor te zorgen dat ze nodig zijn. U kunt een rapport voor het verlenen van app-toestemming maken om toepassingen te identificeren en machtigingen met bevoegdheden te markeren.

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
App heeft machtigingen met hoge bevoegdheden verleend, zoals machtigingen met '. All" (Directory.ReadWrite.All) of uitgebreide machtigingen (Mail.) Hoog Microsoft Entra-auditlogboeken 'App-roltoewijzing toevoegen aan service-principal',
-waar-
Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph)
en
AppRole.Value identificeert een toepassingsmachtiging met hoge bevoegdheden (app-rol).
Apps verleenden brede machtigingen, zoals '. All" (Directory.ReadWrite.All) of uitgebreide machtigingen (Mail.)
Microsoft Sentinel-sjabloon

Sigma-regels
Beheerder die toepassingsmachtigingen (app-rollen) of gedelegeerde machtigingen met hoge bevoegdheden verleent Hoog Microsoft 365-portal 'App-roltoewijzing toevoegen aan service-principal',
-waar-
Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph)
'Gedelegeerde machtigingstoestemming toevoegen',
-waar-
Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph)
en
DelegatedPermissionGrant.Scope bevat machtigingen met hoge bevoegdheden.
Waarschuw wanneer een beheerder toestemming verleent voor een toepassing. Zoek vooral naar toestemming buiten normale activiteiten en wijzigingsprocedures.
Microsoft Sentinel-sjabloon
Microsoft Sentinel-sjabloon
Microsoft Sentinel-sjabloon

Sigma-regels
De toepassing krijgt machtigingen voor Microsoft Graph, Exchange, SharePoint of Microsoft Entra ID. Hoog Microsoft Entra-auditlogboeken 'Gedelegeerde machtigingstoestemming toevoegen'
– of –
'App-roltoewijzing toevoegen aan service-principal',
-waar-
Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph, Exchange Online, enzovoort)
Waarschuwing zoals in de voorgaande rij.
Microsoft Sentinel-sjabloon

Sigma-regels
Toepassingsmachtigingen (app-rollen) voor andere API's worden verleend Gemiddeld Microsoft Entra-auditlogboeken 'App-roltoewijzing toevoegen aan service-principal',
-waar-
Doel(en) identificeert alle andere API's.
Waarschuwing zoals in de voorgaande rij.
Sigma-regels
Gedelegeerde machtigingen met hoge bevoegdheden worden verleend namens alle gebruikers Hoog Microsoft Entra-auditlogboeken 'Gedelegeerde machtigingstoestemming toevoegen', waarbij doel(en) een API identificeert met gevoelige gegevens (zoals Microsoft Graph),
DelegatedPermissionGrant.Scope bevat machtigingen met hoge bevoegdheden,
en
DelegatedPermissionGrant.ConsentType is AllPrincipals.
Waarschuwing zoals in de voorgaande rij.
Microsoft Sentinel-sjabloon
Microsoft Sentinel-sjabloon
Microsoft Sentinel-sjabloon

Sigma-regels

Zie deze zelfstudie voor meer informatie over het bewaken van app-machtigingen: Riskante OAuth-apps onderzoeken en herstellen.

Azure Key Vault

Gebruik Azure Key Vault om de geheimen van uw tenant op te slaan. U wordt aangeraden aandacht te besteden aan wijzigingen in de configuratie en activiteiten van Key Vault.

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Hoe en wanneer uw Key Vaults worden geopend en door wie Gemiddeld Azure Key Vault-logboeken Resourcetype: Sleutelkluizen Zoek naar: elke toegang tot Key Vault buiten reguliere processen en uren, eventuele wijzigingen in de ACL van Key Vault.
Microsoft Sentinel-sjabloon

Sigma-regels

Nadat u Azure Key Vault hebt ingesteld, schakelt u logboekregistratie in. Bekijk hoe en wanneer uw Key Vaults worden geopend en configureer waarschuwingen voor Key Vault om toegewezen gebruikers of distributielijsten te informeren via e-mail, telefoon, sms of Event Grid-melding als de status wordt beïnvloed. Daarnaast biedt het instellen van bewaking met Key Vault-inzichten een momentopname van Key Vault-aanvragen, prestaties, fouten en latentie. Log Analytics bevat ook enkele voorbeeldquery's voor Azure Key Vault die kunnen worden geopend nadat u uw Sleutelkluis hebt geselecteerd en vervolgens onder Bewaking de optie Logboeken selecteert.

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Toestemming van de eindgebruiker voor de toepassing Beperkt Microsoft Entra-auditlogboeken Activiteit: Toestemming voor toepassing/ConsentContext.IsAdminConsent = false Zoek naar: accounts met een hoog profiel of accounts met hoge bevoegdheden, app vraagt machtigingen met een hoog risico aan, apps met verdachte namen, bijvoorbeeld algemeen, verkeerd gespeld, enzovoort.
Microsoft Sentinel-sjabloon

Sigma-regels

De handeling van toestemming voor een toepassing is niet schadelijk. Onderzoek echter nieuwe toestemmingen van eindgebruikers die op zoek zijn naar verdachte toepassingen. U kunt bewerkingen voor gebruikerstoestemming beperken.

Zie de volgende bronnen voor meer informatie over toestemmingsbewerkingen:

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Toestemming van eindgebruikers is gestopt vanwege op risico gebaseerde toestemming Gemiddeld Microsoft Entra-auditlogboeken Core Directory/ApplicationManagement/Toestemming voor toepassing
Reden van foutstatus = Microsoft.online.Security.userConsent
BlockedForRiskyAppsExceptions
Controleer en analyseer op elk moment dat toestemming wordt gestopt vanwege risico' s. Zoek naar: accounts met een hoog profiel of accounts met hoge bevoegdheden, app vraagt machtigingen met een hoog risico of apps met verdachte namen aan, bijvoorbeeld algemeen, verkeerd gespelde, enzovoort.
Microsoft Sentinel-sjabloon

Sigma-regels

Stromen voor toepassingsverificatie

Er zijn verschillende stromen in het OAuth 2.0-protocol. De aanbevolen stroom voor een toepassing is afhankelijk van het type toepassing dat wordt gebouwd. In sommige gevallen is er een keuze uit stromen die beschikbaar zijn voor de toepassing. In dit geval worden sommige verificatiestromen aanbevolen voor andere. Vermijd met name wachtwoordreferenties van de resource-eigenaar (ROPC), omdat deze vereisen dat de gebruiker zijn huidige wachtwoordreferenties beschikbaar maakt voor de toepassing. De toepassing gebruikt vervolgens de referenties om de gebruiker te verifiëren bij de id-provider. De meeste toepassingen moeten gebruikmaken van de verificatiecodestroom of de verificatiecodestroom met PKCE (Proof Key for Code Exchange), omdat deze stroom wordt aanbevolen.

Het enige scenario waarin ROPC wordt voorgesteld, is voor geautomatiseerde toepassingstests. Zie Geautomatiseerde integratietests uitvoeren voor meer informatie.

Apparaatcodestroom is een andere OAuth 2.0-protocolstroom voor apparaten met beperkingen voor invoer en wordt niet gebruikt in alle omgevingen. Wanneer de apparaatcodestroom wordt weergegeven in de omgeving en niet wordt gebruikt in een scenario met beperkte invoerapparaten. Meer onderzoek is gerechtvaardigd voor een onjuist geconfigureerde toepassing of mogelijk iets schadelijks. De apparaatcodestroom kan ook worden geblokkeerd of toegestaan in voorwaardelijke toegang. Zie verificatiestromen voor voorwaardelijke toegang voor meer informatie.

Bewaak toepassingsverificatie met behulp van de volgende vorming:

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Toepassingen die gebruikmaken van de ROPC-verificatiestroom Gemiddeld Aanmeldingslogboek van Microsoft Entra Status=Geslaagd

Authentication Protocol-ROPC
Er wordt een hoog vertrouwensniveau in deze toepassing geplaatst, omdat de referenties in de cache kunnen worden opgeslagen of opgeslagen. Verplaats indien mogelijk naar een veiligere verificatiestroom. Dit mag alleen worden gebruikt bij geautomatiseerd testen van toepassingen, indien van toepassing. Zie Microsoft Identity Platform en OAuth 2.0-wachtwoordreferenties voor resource-eigenaar voor meer informatie

Sigma-regels
Toepassingen die gebruikmaken van de apparaatcodestroom Laag tot gemiddeld Aanmeldingslogboek van Microsoft Entra Status=Geslaagd

Verificatieprotocolapparaatcode
Apparaatcodestromen worden gebruikt voor apparaten met beperkte invoer, die zich mogelijk niet in alle omgevingen bevinden. Als geslaagde apparaatcodestromen worden weergegeven, zonder dat ze hiervoor nodig zijn, onderzoekt u op geldigheid. Zie Microsoft Identity Platform en de stroom voor het verlenen van OAuth 2.0-apparaatautorisatie voor meer informatie

Sigma-regels

Wijzigingen in toepassingsconfiguratie

Wijzigingen in de toepassingsconfiguratie controleren. Configuratiewijzigingen in de URI (Uniform Resource Identifier), eigendom en afmeldings-URL.

URI- en omleidings-URI-wijzigingen

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Zwevende URI Hoog Microsoft Entra-logboeken en toepassingsregistratie Service-Core Directory, Category-ApplicationManagement
Activiteit: Toepassing bijwerken
Geslaagd – Eigenschapsnaam AppAddress
Zoek bijvoorbeeld naar zwevende URI's die verwijzen naar een domeinnaam die niet meer bestaat of een domeinnaam die u niet expliciet bezit.
Microsoft Sentinel-sjabloon

Sigma-regels
Configuratiewijzigingen voor omleidings-URI Hoog Microsoft Entra-logboeken Service-Core Directory, Category-ApplicationManagement
Activiteit: Toepassing bijwerken
Geslaagd – Eigenschapsnaam AppAddress
Zoek naar URI's die niet gebruikmaken van HTTPS*, URI's met jokertekens aan het einde of het domein van de URL, URI's die NIET uniek zijn voor de toepassing, URI's die verwijzen naar een domein dat u niet beheert.
Microsoft Sentinel-sjabloon

Sigma-regels

Waarschuwing wanneer deze wijzigingen worden gedetecteerd.

AppID-URI toegevoegd, gewijzigd of verwijderd

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Wijzigingen in app-id-URI Hoog Microsoft Entra-logboeken Service-Core Directory, Category-ApplicationManagement
Activiteit: Bijwerken
Toepassing
Activiteit: Service-principal bijwerken
Zoek naar wijzigingen in de AppID-URI, zoals het toevoegen, wijzigen of verwijderen van de URI.
Microsoft Sentinel-sjabloon

Sigma-regels

Waarschuwing wanneer deze wijzigingen worden gedetecteerd buiten goedgekeurde procedures voor wijzigingsbeheer.

Nieuwe eigenaar

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Wijzigingen in toepassingseigendom Gemiddeld Microsoft Entra-logboeken Service-Core Directory, Category-ApplicationManagement
Activiteit: Eigenaar toevoegen aan toepassing
Zoek naar een exemplaar van een gebruiker dat wordt toegevoegd als een toepassingseigenaar buiten normale activiteiten voor wijzigingsbeheer.
Microsoft Sentinel-sjabloon

Sigma-regels

Afmeldings-URL gewijzigd of verwijderd

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Wijzigingen in afmeldings-URL Beperkt Microsoft Entra-logboeken Service-Core Directory, Category-ApplicationManagement
Activiteit: Toepassing bijwerken
en
Activiteit: Service-principal bijwerken
Zoek naar wijzigingen in een afmeldings-URL. Lege vermeldingen of vermeldingen op niet-bestaande locaties verhinderen dat een gebruiker een sessie beëindigt.
Microsoft Sentinel-sjabloon
Sigma-regels

Resources

Volgende stappen

Overzicht van Microsoft Entra-beveiligingsbewerkingen

Beveiligingsbewerkingen voor gebruikersaccounts

Beveiligingsbewerkingen voor consumentenaccounts

Beveiligingsbewerkingen voor bevoegde accounts

Beveiligingsbewerkingen voor Privileged Identity Management

Beveiligingsbewerkingen voor apparaten

Beveiligingsbewerkingen voor infrastructuur