Handleiding voor microsoft Entra-beveiligingsbewerkingen voor toepassingen
Toepassingen hebben een kwetsbaarheid voor aanvallen op beveiligingsschendingen en moeten worden bewaakt. Hoewel het niet zo vaak is gericht als gebruikersaccounts, kunnen schendingen optreden. Omdat toepassingen vaak worden uitgevoerd zonder menselijke tussenkomst, kunnen de aanvallen moeilijker te detecteren zijn.
Dit artikel bevat richtlijnen voor het bewaken en waarschuwen van toepassingsevenementen. Deze wordt regelmatig bijgewerkt om ervoor te zorgen dat u het volgende doet:
Voorkomen dat kwaadwillende toepassingen niet-gewarsloos toegang krijgen tot gegevens
Voorkomen dat toepassingen worden aangetast door slechte actoren
Inzichten verzamelen waarmee u nieuwe toepassingen veiliger kunt bouwen en configureren
Als u niet bekend bent met de werking van toepassingen in Microsoft Entra ID, raadpleegt u Apps en service-principals in Microsoft Entra ID.
Notitie
Als u het overzicht van Microsoft Entra-beveiligingsbewerkingen nog niet hebt bekeken, kunt u dit nu overwegen.
Waar u naar moet zoeken
Wanneer u uw toepassingslogboeken voor beveiligingsincidenten bewaakt, bekijkt u de volgende lijst om normale activiteiten te onderscheiden van schadelijke activiteiten. De volgende gebeurtenissen kunnen duiden op beveiligingsproblemen. Elk wordt behandeld in het artikel.
Wijzigingen die zich buiten normale bedrijfsprocessen en planningen voordoen
Wijzigingen in toepassingsreferenties
Toepassingstoestemming
Service-principal die is toegewezen aan een Microsoft Entra-id of een RBAC-rol (op rollen gebaseerd toegangsbeheer) van Azure
Toepassingen verleenden machtigingen met hoge bevoegdheden
Wijzigingen in Azure Key Vault
Eindgebruiker die toepassingen toestemming verleent
Gestopte toestemming van eindgebruikers op basis van risiconiveau
Wijzigingen in toepassingsconfiguratie
Universal Resource Identifier (URI) gewijzigd of niet-standaard
Wijzigingen in toepassingseigenaren
Url's voor afmelden gewijzigd
Waar te zoeken
De logboekbestanden die u gebruikt voor onderzoek en controle zijn:
Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal heeft verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's, waardoor meer automatisering van bewaking en waarschuwingen mogelijk is:
Microsoft Sentinel : maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk met SIEM-mogelijkheden (Security Information and Event Management).
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar er Sigma-sjablonen zijn voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor : geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
Azure Event Hubs geïntegreerd met siem- Microsoft Entra-logboeken kunnen worden geïntegreerd met andere SIEM's, zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.
Microsoft Defender voor Cloud-apps – apps detecteren en beheren, beheren voor alle apps en resources, en de naleving van uw cloud-apps controleren.
Het beveiligen van workloadidentiteiten met Microsoft Entra ID Protection : detecteert risico's op workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.
Veel van wat u bewaakt en waarschuwt, zijn de effecten van uw beleid voor voorwaardelijke toegang. U kunt de werkmap Voor voorwaardelijke toegang en rapportage gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleidsregels, inclusief de apparaatstatus, te onderzoeken. Gebruik de werkmap om een samenvatting weer te geven en de effecten gedurende een bepaalde periode te identificeren. U kunt de werkmap gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken.
De rest van dit artikel is wat u wordt aangeraden te controleren en te waarschuwen. Het is georganiseerd op basis van het type bedreiging. Waar er vooraf gemaakte oplossingen zijn, koppelen we ze aan of bieden we voorbeelden na de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.
Toepassingsreferenties
Veel toepassingen gebruiken referenties voor verificatie in Microsoft Entra ID. Andere referenties die buiten de verwachte processen zijn toegevoegd, kunnen een kwaadwillende actor zijn die deze referenties gebruikt. We raden u aan X509-certificaten te gebruiken die zijn uitgegeven door vertrouwde autoriteiten of beheerde identiteiten in plaats van clientgeheimen te gebruiken. Als u echter clientgeheimen wilt gebruiken, volgt u goede hygiëneprocedures om toepassingen veilig te houden. Opmerking: updates van toepassings- en service-principals worden geregistreerd als twee vermeldingen in het auditlogboek.
Bewaak toepassingen om de verlooptijden van lange referenties te identificeren.
Vervang referenties met een lange levensduur door een korte levensduur. Zorg ervoor dat referenties niet worden doorgevoerd in codeopslagplaatsen en veilig worden opgeslagen.
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
Referenties toegevoegd aan bestaande toepassingen | Hoog | Microsoft Entra-auditlogboeken | Service-Core Directory, Category-ApplicationManagement Activiteit: Beheer van toepassingscertificaten en geheimen bijwerken en Activiteit: Service-principal bijwerken/Toepassing bijwerken |
Waarschuwing wanneer referenties worden toegevoegd: toegevoegd buiten normale kantooruren of werkstromen, van typen die niet in uw omgeving worden gebruikt of worden toegevoegd aan een niet-SAML-stroom die service-principal ondersteunt. Microsoft Sentinel-sjabloon Sigma-regels |
Referenties met een levensduur die langer duren dan uw beleid toestaat. | Gemiddeld | Microsoft Graph | Status en einddatum van referenties voor de toepassingssleutel en Referenties voor toepassingswachtwoorden |
U kunt MS Graph API gebruiken om de begin- en einddatum van referenties te vinden en langer dan toegestane levensduur te evalueren. Zie Het PowerShell-script na deze tabel. |
De volgende vooraf gebouwde bewaking en waarschuwingen zijn beschikbaar:
Microsoft Sentinel : waarschuwing wanneer nieuwe referenties voor app- of serviceprincipes zijn toegevoegd
Azure Monitor - Microsoft Entra-werkmap waarmee u Solorigate-risico's kunt beoordelen - Microsoft Tech Community
Defender voor Cloud Apps : handleiding voor het onderzoeken van anomaliedetectiewaarschuwingen voor Defender voor Cloud Apps
PowerShell- PowerShell-voorbeeldscript om de levensduur van referenties te vinden.
Toepassingstoestemming
Net als bij een beheerdersaccount kunnen toepassingen bevoorrechte rollen worden toegewezen. Apps kunnen worden toegewezen aan Microsoft Entra-rollen, zoals Gebruikersbeheerder of Azure RBAC-rollen, zoals Factureringslezer. Omdat ze kunnen worden uitgevoerd zonder een gebruiker en als achtergrondservice, moet u nauwkeurig controleren wanneer aan een toepassing bevoorrechte rollen of machtigingen worden verleend.
Service-principal die is toegewezen aan een rol
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
App toegewezen aan Azure RBAC-rol of Microsoft Entra-rol | Hoog tot normaal | Microsoft Entra-auditlogboeken | Type: service-principal Activiteit: 'Lid toevoegen aan rol' of 'In aanmerking komend lid toevoegen aan rol' – of – 'Bereiklid toevoegen aan rol'. |
Voor zeer bevoorrechte rollen is het risico hoog. Voor rollen met lagere bevoegdheden is het risico gemiddeld. Waarschuwing wanneer een toepassing wordt toegewezen aan een Azure-rol of Microsoft Entra-rol buiten normale wijzigingsbeheer- of configuratieprocedures. Microsoft Sentinel-sjabloon Sigma-regels |
De toepassing heeft machtigingen met hoge bevoegdheden verleend
Toepassingen moeten het principe van minimale bevoegdheden volgen. Onderzoek toepassingsmachtigingen om ervoor te zorgen dat ze nodig zijn. U kunt een rapport voor het verlenen van app-toestemming maken om toepassingen te identificeren en machtigingen met bevoegdheden te markeren.
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
App heeft machtigingen met hoge bevoegdheden verleend, zoals machtigingen met '. All" (Directory.ReadWrite.All) of uitgebreide machtigingen (Mail.) | Hoog | Microsoft Entra-auditlogboeken | 'App-roltoewijzing toevoegen aan service-principal', -waar- Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph) en AppRole.Value identificeert een toepassingsmachtiging met hoge bevoegdheden (app-rol). |
Apps verleenden brede machtigingen, zoals '. All" (Directory.ReadWrite.All) of uitgebreide machtigingen (Mail.) Microsoft Sentinel-sjabloon Sigma-regels |
Beheerder die toepassingsmachtigingen (app-rollen) of gedelegeerde machtigingen met hoge bevoegdheden verleent | Hoog | Microsoft 365-portal | 'App-roltoewijzing toevoegen aan service-principal', -waar- Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph) 'Gedelegeerde machtigingstoestemming toevoegen', -waar- Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph) en DelegatedPermissionGrant.Scope bevat machtigingen met hoge bevoegdheden. |
Waarschuw wanneer een beheerder toestemming verleent voor een toepassing. Zoek vooral naar toestemming buiten normale activiteiten en wijzigingsprocedures. Microsoft Sentinel-sjabloon Microsoft Sentinel-sjabloon Microsoft Sentinel-sjabloon Sigma-regels |
De toepassing krijgt machtigingen voor Microsoft Graph, Exchange, SharePoint of Microsoft Entra ID. | Hoog | Microsoft Entra-auditlogboeken | 'Gedelegeerde machtigingstoestemming toevoegen' – of – 'App-roltoewijzing toevoegen aan service-principal', -waar- Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph, Exchange Online, enzovoort) |
Waarschuwing zoals in de voorgaande rij. Microsoft Sentinel-sjabloon Sigma-regels |
Toepassingsmachtigingen (app-rollen) voor andere API's worden verleend | Gemiddeld | Microsoft Entra-auditlogboeken | 'App-roltoewijzing toevoegen aan service-principal', -waar- Doel(en) identificeert alle andere API's. |
Waarschuwing zoals in de voorgaande rij. Sigma-regels |
Gedelegeerde machtigingen met hoge bevoegdheden worden verleend namens alle gebruikers | Hoog | Microsoft Entra-auditlogboeken | 'Gedelegeerde machtigingstoestemming toevoegen', waarbij doel(en) een API identificeert met gevoelige gegevens (zoals Microsoft Graph), DelegatedPermissionGrant.Scope bevat machtigingen met hoge bevoegdheden, en DelegatedPermissionGrant.ConsentType is AllPrincipals. |
Waarschuwing zoals in de voorgaande rij. Microsoft Sentinel-sjabloon Microsoft Sentinel-sjabloon Microsoft Sentinel-sjabloon Sigma-regels |
Zie deze zelfstudie voor meer informatie over het bewaken van app-machtigingen: Riskante OAuth-apps onderzoeken en herstellen.
Azure Key Vault
Gebruik Azure Key Vault om de geheimen van uw tenant op te slaan. U wordt aangeraden aandacht te besteden aan wijzigingen in de configuratie en activiteiten van Key Vault.
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
Hoe en wanneer uw Key Vaults worden geopend en door wie | Gemiddeld | Azure Key Vault-logboeken | Resourcetype: Sleutelkluizen | Zoek naar: elke toegang tot Key Vault buiten reguliere processen en uren, eventuele wijzigingen in de ACL van Key Vault. Microsoft Sentinel-sjabloon Sigma-regels |
Nadat u Azure Key Vault hebt ingesteld, schakelt u logboekregistratie in. Bekijk hoe en wanneer uw Key Vaults worden geopend en configureer waarschuwingen voor Key Vault om toegewezen gebruikers of distributielijsten te informeren via e-mail, telefoon, sms of Event Grid-melding als de status wordt beïnvloed. Daarnaast biedt het instellen van bewaking met Key Vault-inzichten een momentopname van Key Vault-aanvragen, prestaties, fouten en latentie. Log Analytics bevat ook enkele voorbeeldquery's voor Azure Key Vault die kunnen worden geopend nadat u uw Sleutelkluis hebt geselecteerd en vervolgens onder Bewaking de optie Logboeken selecteert.
Toestemming van eindgebruikers
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
Toestemming van de eindgebruiker voor de toepassing | Beperkt | Microsoft Entra-auditlogboeken | Activiteit: Toestemming voor toepassing/ConsentContext.IsAdminConsent = false | Zoek naar: accounts met een hoog profiel of accounts met hoge bevoegdheden, app vraagt machtigingen met een hoog risico aan, apps met verdachte namen, bijvoorbeeld algemeen, verkeerd gespeld, enzovoort. Microsoft Sentinel-sjabloon Sigma-regels |
De handeling van toestemming voor een toepassing is niet schadelijk. Onderzoek echter nieuwe toestemmingen van eindgebruikers die op zoek zijn naar verdachte toepassingen. U kunt bewerkingen voor gebruikerstoestemming beperken.
Zie de volgende bronnen voor meer informatie over toestemmingsbewerkingen:
Toestemming voor toepassingen beheren en toestemmingsaanvragen evalueren in Microsoft Entra-id
Illegale toestemmingstoestemmingen detecteren en herstellen - Office 365
Playbook voor reactie op incidenten - Onderzoek van app-toestemming verlenen
Eindgebruiker gestopt vanwege op risico gebaseerde toestemming
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
Toestemming van eindgebruikers is gestopt vanwege op risico gebaseerde toestemming | Gemiddeld | Microsoft Entra-auditlogboeken | Core Directory/ApplicationManagement/Toestemming voor toepassing Reden van foutstatus = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Controleer en analyseer op elk moment dat toestemming wordt gestopt vanwege risico' s. Zoek naar: accounts met een hoog profiel of accounts met hoge bevoegdheden, app vraagt machtigingen met een hoog risico of apps met verdachte namen aan, bijvoorbeeld algemeen, verkeerd gespelde, enzovoort. Microsoft Sentinel-sjabloon Sigma-regels |
Stromen voor toepassingsverificatie
Er zijn verschillende stromen in het OAuth 2.0-protocol. De aanbevolen stroom voor een toepassing is afhankelijk van het type toepassing dat wordt gebouwd. In sommige gevallen is er een keuze uit stromen die beschikbaar zijn voor de toepassing. In dit geval worden sommige verificatiestromen aanbevolen voor andere. Vermijd met name wachtwoordreferenties van de resource-eigenaar (ROPC), omdat deze vereisen dat de gebruiker zijn huidige wachtwoordreferenties beschikbaar maakt voor de toepassing. De toepassing gebruikt vervolgens de referenties om de gebruiker te verifiëren bij de id-provider. De meeste toepassingen moeten gebruikmaken van de verificatiecodestroom of de verificatiecodestroom met PKCE (Proof Key for Code Exchange), omdat deze stroom wordt aanbevolen.
Het enige scenario waarin ROPC wordt voorgesteld, is voor geautomatiseerde toepassingstests. Zie Geautomatiseerde integratietests uitvoeren voor meer informatie.
Apparaatcodestroom is een andere OAuth 2.0-protocolstroom voor apparaten met beperkingen voor invoer en wordt niet gebruikt in alle omgevingen. Wanneer de apparaatcodestroom wordt weergegeven in de omgeving en niet wordt gebruikt in een scenario met beperkte invoerapparaten. Meer onderzoek is gerechtvaardigd voor een onjuist geconfigureerde toepassing of mogelijk iets schadelijks. De apparaatcodestroom kan ook worden geblokkeerd of toegestaan in voorwaardelijke toegang. Zie verificatiestromen voor voorwaardelijke toegang voor meer informatie.
Bewaak toepassingsverificatie met behulp van de volgende vorming:
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
Toepassingen die gebruikmaken van de ROPC-verificatiestroom | Gemiddeld | Aanmeldingslogboek van Microsoft Entra | Status=Geslaagd Authentication Protocol-ROPC |
Er wordt een hoog vertrouwensniveau in deze toepassing geplaatst, omdat de referenties in de cache kunnen worden opgeslagen of opgeslagen. Verplaats indien mogelijk naar een veiligere verificatiestroom. Dit mag alleen worden gebruikt bij geautomatiseerd testen van toepassingen, indien van toepassing. Zie Microsoft Identity Platform en OAuth 2.0-wachtwoordreferenties voor resource-eigenaar voor meer informatie Sigma-regels |
Toepassingen die gebruikmaken van de apparaatcodestroom | Laag tot gemiddeld | Aanmeldingslogboek van Microsoft Entra | Status=Geslaagd Verificatieprotocolapparaatcode |
Apparaatcodestromen worden gebruikt voor apparaten met beperkte invoer, die zich mogelijk niet in alle omgevingen bevinden. Als geslaagde apparaatcodestromen worden weergegeven, zonder dat ze hiervoor nodig zijn, onderzoekt u op geldigheid. Zie Microsoft Identity Platform en de stroom voor het verlenen van OAuth 2.0-apparaatautorisatie voor meer informatie Sigma-regels |
Wijzigingen in toepassingsconfiguratie
Wijzigingen in de toepassingsconfiguratie controleren. Configuratiewijzigingen in de URI (Uniform Resource Identifier), eigendom en afmeldings-URL.
URI- en omleidings-URI-wijzigingen
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
Zwevende URI | Hoog | Microsoft Entra-logboeken en toepassingsregistratie | Service-Core Directory, Category-ApplicationManagement Activiteit: Toepassing bijwerken Geslaagd – Eigenschapsnaam AppAddress |
Zoek bijvoorbeeld naar zwevende URI's die verwijzen naar een domeinnaam die niet meer bestaat of een domeinnaam die u niet expliciet bezit. Microsoft Sentinel-sjabloon Sigma-regels |
Configuratiewijzigingen voor omleidings-URI | Hoog | Microsoft Entra-logboeken | Service-Core Directory, Category-ApplicationManagement Activiteit: Toepassing bijwerken Geslaagd – Eigenschapsnaam AppAddress |
Zoek naar URI's die niet gebruikmaken van HTTPS*, URI's met jokertekens aan het einde of het domein van de URL, URI's die NIET uniek zijn voor de toepassing, URI's die verwijzen naar een domein dat u niet beheert. Microsoft Sentinel-sjabloon Sigma-regels |
Waarschuwing wanneer deze wijzigingen worden gedetecteerd.
AppID-URI toegevoegd, gewijzigd of verwijderd
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
Wijzigingen in app-id-URI | Hoog | Microsoft Entra-logboeken | Service-Core Directory, Category-ApplicationManagement Activiteit: Bijwerken Toepassing Activiteit: Service-principal bijwerken |
Zoek naar wijzigingen in de AppID-URI, zoals het toevoegen, wijzigen of verwijderen van de URI. Microsoft Sentinel-sjabloon Sigma-regels |
Waarschuwing wanneer deze wijzigingen worden gedetecteerd buiten goedgekeurde procedures voor wijzigingsbeheer.
Nieuwe eigenaar
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
Wijzigingen in toepassingseigendom | Gemiddeld | Microsoft Entra-logboeken | Service-Core Directory, Category-ApplicationManagement Activiteit: Eigenaar toevoegen aan toepassing |
Zoek naar een exemplaar van een gebruiker dat wordt toegevoegd als een toepassingseigenaar buiten normale activiteiten voor wijzigingsbeheer. Microsoft Sentinel-sjabloon Sigma-regels |
Afmeldings-URL gewijzigd of verwijderd
Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
---|---|---|---|---|
Wijzigingen in afmeldings-URL | Beperkt | Microsoft Entra-logboeken | Service-Core Directory, Category-ApplicationManagement Activiteit: Toepassing bijwerken en Activiteit: Service-principal bijwerken |
Zoek naar wijzigingen in een afmeldings-URL. Lege vermeldingen of vermeldingen op niet-bestaande locaties verhinderen dat een gebruiker een sessie beëindigt. Microsoft Sentinel-sjabloon Sigma-regels |
Resources
GitHub Microsoft Entra toolkit - https://github.com/microsoft/AzureADToolkit
Azure Key Vault-beveiligingsoverzicht en beveiligingsrichtlijnen - Azure Key Vault-beveiligingsoverzicht
Informatie en hulpprogramma's voor Solorigate-risico's - Microsoft Entra-werkmap om u te helpen toegang te krijgen tot Solorigate-risico's
Richtlijnen voor detectie van OAuth-aanvallen : ongebruikelijke toevoeging van referenties aan een OAuth-app
Configuratie-informatie over Microsoft Entra-bewaking voor SIEM's - Partnerhulpprogramma's met Azure Monitor-integratie
Volgende stappen
Overzicht van Microsoft Entra-beveiligingsbewerkingen
Beveiligingsbewerkingen voor gebruikersaccounts
Beveiligingsbewerkingen voor consumentenaccounts
Beveiligingsbewerkingen voor bevoegde accounts
Beveiligingsbewerkingen voor Privileged Identity Management