Delen via


Microsoft Entra-beveiligingsbewerkingen voor apparaten

Apparaten zijn niet vaak het doelwit bij aanvallen op basis van identiteit, maar kunnen worden gebruikt om beveiligingscontroles te doorstaan en te omzeilen of om gebruikers te imiteren. Apparaten kunnen een van de vier relaties hebben met Microsoft Entra ID:

Aan geregistreerde en gekoppelde apparaten wordt een Primair vernieuwingstoken (PRT) uitgegeven, dat kan worden gebruikt als een artefact voor primaire verificatie en in sommige gevallen als een artefact voor meervoudige verificatie. Aanvallers proberen hun eigen apparaten te registreren, PRT's te gebruiken op legitieme apparaten om toegang te krijgen tot bedrijfsgegevens, prT-tokens te stelen van legitieme gebruikersapparaten of onjuiste configuraties te vinden in besturingselementen op basis van apparaten in Microsoft Entra ID. Met hybride apparaten van Microsoft Entra wordt het joinproces gestart en beheerd door beheerders, waardoor de beschikbare aanvalsmethoden worden verminderd.

Zie Uw integratiemethoden kiezen in het artikel Uw Microsoft Entra-apparaatimplementatie plannen voor meer informatie over methoden voor apparaatintegratie.

Om het risico te verkleinen dat kwaadwillende actoren uw infrastructuur aanvallen via apparaten, bewaakt u

  • Apparaatregistratie en Microsoft Entra join

  • Niet-compatibele apparaten die toegang hebben tot toepassingen

  • Ophaling van BitLocker-sleutels

  • Rollen van apparaatbeheerders

  • Aanmeldingen bij virtuele machines

Waar te zoeken

De logboekbestanden die u gebruikt voor onderzoek en controle zijn:

Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:

  • Microsoft Sentinel: maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.

  • Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.

  • Azure Monitor: maakt geautomatiseerde bewaking en waarschuwingen voor verschillende omstandigheden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.

  • Azure Event Hubs - geïntegreerd met een SIEM- Microsoft Entra-logboeken kunnen worden geïntegreerd in andere SIEM's , zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.

  • Microsoft Defender voor Cloud-apps: hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.

  • Workloadidentiteiten beveiligen met Microsoft Entra ID Protection : wordt gebruikt voor het detecteren van risico's voor workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.

Veel van wat u bewaakt en waarschuwt, zijn de gevolgen van uw beleid voor voorwaardelijke toegang. U kunt de inzichten en rapportagewerkmap voor voorwaardelijke toegang gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleidsregels, inclusief de apparaatstatus, te onderzoeken. Met deze werkmap kunt u een samenvatting bekijken en de effecten gedurende een specifieke periode identificeren. U kunt de werkmap ook gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken.

In de rest van dit artikel wordt beschreven waarop u wordt aangeraden te bewaken en te waarschuwen. De informatie is ingedeeld op basis van het type bedreiging. Als er specifieke vooraf gebouwde oplossingen zijn, bieden we koppelingen daarnaar of geven we voorbeelden na de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.

Apparaatregistraties en koppelingen buiten het beleid

Bij Microsoft Entra geregistreerde apparaten en aan Microsoft Entra gekoppelde apparaten beschikken over primaire vernieuwingstokens (PRT's), die hetzelfde zijn als één verificatiefactor. Deze apparaten kunnen soms sterke verificatieclaims bevatten. Zie Wanneer krijgt een PRT een MFA-claim? voor meer informatie over wanneer PRT's sterke verificatieclaims bevatten. Als u wilt voorkomen dat slechte actoren apparaten registreren of samenvoegen, moet u meervoudige verificatie (MFA) registreren of toevoegen aan apparaten. Controleer vervolgens op apparaten die zijn geregistreerd of gekoppeld zonder MFA. U moet ook controleren op wijzigingen in MFA-instellingen en -beleidsregels en nalevingsbeleid voor apparaten.

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Apparaatregistratie of -koppeling voltooid zonder MFA Gemiddeld Aanmeldingslogboeken Activiteit: geslaagde verificatie bij Device Registration Service.
And
Geen MFA vereist
Waarschuwing wanneer: Elk apparaat is geregistreerd of toegevoegd zonder MFA
Microsoft Sentinel-sjabloon
Sigma-regels
Wijzigingen in de wisselknop MFA voor apparaatregistratie in Microsoft Entra-id Hoog Auditlogboek Activiteit: Beleidsregels voor apparaatregistratie instellen Zoek naar: De wisselknop wordt uitgeschakeld. Er is geen vermelding in het auditlogboek. Planning van periodieke controles.
Sigma-regels
Wijzigingen in beleid voor voorwaardelijke toegang waarvoor een domein-gekoppeld of -compatibel apparaat is vereist. Hoog Auditlogboek Wijzigingen in beleid voor voorwaardelijke toegang
Waarschuwing wanneer: Wijzigen in beleid dat lid is van een domein of compatibel, wijzigingen in vertrouwde locaties of accounts of apparaten die zijn toegevoegd aan MFA-beleidsonderzondering.

U kunt een waarschuwing maken waarmee de juiste beheerders worden gewaarschuwd wanneer een apparaat wordt geregistreerd of gekoppeld zonder MFA, met behulp van Microsoft Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

U kunt ook gebruikmaken van Microsoft Intune om nalevingsbeleid voor apparaten in te stellen en te bewaken.

Niet-compatibele apparaat-aanmelding

Het is wellicht niet mogelijk om de toegang tot alle cloud- en Software as a Service-toepassingen te blokkeren met beleid voor voorwaardelijke toegang waarvoor compatibele apparaten zijn vereist.

Met Mobile Device Management (MDM) kunt u Windows 10-apparaten compatibel houden. Met Windows versie 1809 hebben we een beveiligingsbasislijn van beleid uitgebracht. Microsoft Entra ID kan worden geïntegreerd met MDM om naleving van apparaten af te dwingen met bedrijfsbeleid en kan de nalevingsstatus van een apparaat rapporteren.

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Aanmeldingen door niet-compatibele apparaten Hoog Aanmeldingslogboeken DeviceDetail.isCompliant == false Als u aanmelding vanaf compatibele apparaten vereist, waarschuwt u wanneer: een aanmelding door niet-compatibele apparaten of toegang zonder MFA of een vertrouwde locatie.

Als u apparaten wilt vereisen, controleert u op verdachte aanmeldingen.

Sigma-regels

Aanmeldingen door onbekende apparaten Beperkt Aanmeldingslogboeken DeviceDetail is leeg, verificatie met één factor of vanaf een niet-vertrouwde locatie Zoek naar: alle toegang vanaf apparaten die niet voldoen aan de naleving, elke toegang zonder MFA of vertrouwde locatie
Microsoft Sentinel-sjabloon

Sigma-regels

LogAnalytics gebruiken om query's uit te voeren

Aanmeldingen door niet-compatibele apparaten

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Aanmeldingen door onbekende apparaten


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Verlopen apparaten

Verlopen apparaten omvatten apparaten die niet zijn aangemeld gedurende een opgegeven periode. Apparaten kunnen verlopen wanneer een gebruiker een nieuw apparaat krijgt of een apparaat verliest, of wanneer een aan Microsoft Entra gekoppeld apparaat wordt gewist of opnieuw wordt ingericht. Apparaten blijven mogelijk ook geregistreerd of lid wanneer de gebruiker niet meer is gekoppeld aan de tenant. Verouderde apparaten moeten worden verwijderd, zodat de primaire vernieuwingstokens (PRT's) niet kunnen worden gebruikt.

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Laatste aanmeldingsdatum Beperkt Graph API approximateLastSignInDateTime Gebruik de Graph-API of PowerShell om verlopen apparaten te identificeren en te verwijderen.

Ophaling van BitLocker-sleutels

Aanvallers die inbreuk hebben op het apparaat van een gebruiker kunnen de BitLocker-sleutels ophalen in Microsoft Entra-id. Het is ongebruikelijk dat gebruikers sleutels ophalen, dus dit moet worden bewaakt en onderzocht.

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Ophaling van sleutels Gemiddeld Auditlogboeken OperationName == "BitLocker-sleutel lezen" Zoek naar: sleutel ophalen, ander afwijkend gedrag door gebruikers die sleutels ophalen.
Microsoft Sentinel-sjabloon

Sigma-regels

Maak in LogAnalytics een query zoals

AuditLogs
| where OperationName == "Read BitLocker key" 

Rollen van apparaatbeheerders

De lokale beheerder van Microsoft Entra-apparaten en de rol Globale beheerder krijgen automatisch lokale beheerdersrechten op alle apparaten die zijn toegevoegd aan Microsoft Entra. Het is belangrijk om te controleren wie deze rechten heeft om uw omgeving veilig te houden.

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Gebruikers toegevoegd aan globale rollen of apparaatbeheerdersrollen Hoog Auditlogboeken Activiteitstype = Lid toevoegen aan rol. Zoek naar: nieuwe gebruikers die zijn toegevoegd aan deze Microsoft Entra-rollen, volgend afwijkend gedrag door computers of gebruikers.
Microsoft Sentinel-sjabloon

Sigma-regels

Niet-Azure AD-aanmeldingen bij virtuele machines

Aanmeldingen bij virtuele Windows- of LINUX-machines (VM's) moeten worden gecontroleerd op aanmeldingen door andere accounts dan Microsoft Entra-accounts.

Microsoft Entra-aanmelding voor LINUX

Met Microsoft Entra-aanmelding voor LINUX kunnen organisaties zich aanmelden bij hun Azure LINUX-VM's met behulp van Microsoft Entra-accounts via SSH (Secure Shell Protocol).

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Niet-Azure AD-account dat zich aanmeldt, met name via SSH Hoog Lokale verificatielogboeken Ubuntu:
controleren /var/log/auth.log voor SSH-gebruik
RedHat:
controleer /var/log/sssd/ op SSH-gebruik
Zoek naar: vermeldingen waarbij niet-Azure AD-accounts verbinding maken met VM's. Zie het volgende voorbeeld.

Ubuntu-voorbeeld:

9 mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Versie: 1.0.015570001; gebruiker: localusertest01

9 mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Gebruiker 'localusertest01' is geen Microsoft Entra-gebruiker; retourneert een leeg resultaat.

9 mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Versie: 1.0.015570001; gebruiker: localusertest01

9 mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Gebruiker 'localusertest01' is geen Microsoft Entra-gebruiker; retourneert een leeg resultaat.

9 mei 23:49:43 ubuntu1804 sshd[3909]: Openbaar geaccepteerd voor localusertest01 vanaf 192.168.0.15 poort 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

9 mei 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sessie geopend voor gebruiker localusertest01 door (uid=0).

U kunt beleid instellen voor aanmeldingen voor LINUX-VM's, en Linux-VM's detecteren en markeren waarvoor niet-goedgekeurde lokale accounts zijn toegevoegd. Zie het Azure-beleid gebruiken om standaarden te garanderen en naleving te beoordelen voor meer informatie.

Microsoft Entra-aanmeldingen voor Windows Server

Met Microsoft Entra-aanmelding voor Windows kan uw organisatie zich aanmelden bij uw Azure Windows 2019+-VM's met behulp van Microsoft Entra-accounts via RDP (Remote Desktop Protocol).

Wat moet er worden bewaakt Risiconiveau Waar Filter/subfilter Opmerkingen
Niet-Azure AD-account aanmelden, met name via RDP Hoog Windows Server-gebeurtenislogboeken Interactieve aanmelding bij Windows-VM Gebeurtenis 528, aanmeldingstype 10 (RemoteInteractive).
Wordt weergegeven wanneer een gebruiker zich aanmeldt via Terminal Services of Remote Desktop.

Volgende stappen

Overzicht van Microsoft Entra-beveiligingsbewerkingen

Beveiligingsbewerkingen voor gebruikersaccounts

Beveiligingsbewerkingen voor consumentenaccounts

Beveiligingsbewerkingen voor bevoegde accounts

Beveiligingsbewerkingen voor Privileged Identity Management

Beveiligingsbewerkingen voor toepassingen

Beveiligingsbewerkingen voor infrastructuur