Microsoft Entra-beveiligingsbewerkingen voor Privileged Identity Management
De beveiliging van bedrijfsassets is afhankelijk van de integriteit van de bevoegde accounts waarmee de IT-systemen worden beheerd. Cyberaanvallers gebruiken aanvallen op referentiediefstal om beheerdersaccounts en andere bevoegde toegangsaccounts te targeten om toegang te krijgen tot gevoelige gegevens.
Voor cloudservices zijn preventie en respons de gezamenlijke verantwoordelijkheden van de cloudserviceprovider en de klant.
Normaal gesproken is de beveiliging van de organisatie gericht op de ingangs- en afsluitpunten van een netwerk als de beveiligingsperimeter. SaaS-apps en persoonlijke apparaten hebben deze aanpak echter minder effectief gemaakt. In Microsoft Entra ID vervangen we de perimeter van de netwerkbeveiliging door verificatie in de identiteitslaag van uw organisatie. Omdat gebruikers worden toegewezen aan bevoorrechte beheerdersrollen, moet hun toegang worden beveiligd in on-premises, cloud- en hybride omgevingen.
U bent volledig verantwoordelijk voor alle beveiligingslagen voor uw on-premises IT-omgeving. Wanneer u Azure-cloudservices gebruikt, zijn preventie en respons gezamenlijke verantwoordelijkheden van Microsoft als cloudserviceprovider en u als klant.
Zie Gedeelde verantwoordelijkheid in de cloud voor meer informatie over het model voor gedeelde verantwoordelijkheid.
Zie Privileged Access beveiligen voor hybride en cloudimplementaties in Microsoft Entra ID voor meer informatie over het beveiligen van de toegang voor bevoegde gebruikers.
Ga naar de documentatie van Privileged Identity Management voor een breed scala aan video's, instructiegidsen en inhoud van belangrijke concepten voor bevoorrechte identiteiten.
Privileged Identity Management (PIM) is een Microsoft Entra-service waarmee u de toegang tot belangrijke resources in uw organisatie kunt beheren, beheren en bewaken. Deze resources omvatten resources in Microsoft Entra ID, Azure en andere Microsoft Online Services, zoals Microsoft 365 of Microsoft Intune. U kunt PIM gebruiken om de volgende risico's te beperken:
Identificeer en minimaliseer het aantal personen dat toegang heeft tot beveiligde informatie en resources.
Detecteer overmatige, onnodige of misbruikte toegangsmachtigingen voor gevoelige resources.
Verminder de kans dat een kwaadwillende actor toegang krijgt tot beveiligde informatie of resources.
Verminder de kans dat een onbevoegde gebruiker per ongeluk van invloed is op gevoelige resources.
In dit artikel vindt u richtlijnen voor het instellen van basislijnen, het controleren van aanmeldingen en het gebruik van bevoegde accounts. Gebruik de bron van het auditlogboek om de integriteit van bevoegde accounts te behouden.
Waar te zoeken
De logboekbestanden die u gebruikt voor onderzoek en controle zijn:
Bekijk in De Azure-portal de auditlogboeken van Microsoft Entra en download ze als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). Azure Portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's om bewaking en waarschuwingen te automatiseren:
Microsoft Sentinel: maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor: maakt geautomatiseerde bewaking en waarschuwingen voor verschillende omstandigheden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
- kunnen worden geïntegreerd met andere SIEM's, zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.
Microsoft Defender voor Cloud-apps: hiermee kunt u apps detecteren en beheren, apps en resources beheren en de naleving van uw cloud-apps controleren.
Workloadidentiteiten beveiligen met Microsoft Entra ID Protection : wordt gebruikt voor het detecteren van risico's voor workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.
De rest van dit artikel bevat aanbevelingen voor het instellen van een basislijn voor het bewaken en waarschuwen van een laagmodel. Koppelingen naar vooraf gebouwde oplossingen worden weergegeven na de tabel. U kunt waarschuwingen maken met behulp van de voorgaande hulpprogramma's. De inhoud is ingedeeld in de volgende gebieden:
Basislijnen
Microsoft Entra-roltoewijzing
Waarschuwingsinstellingen voor Microsoft Entra-rollen
Toewijzing van Azure-resourcerol
Toegangsbeheer voor Azure-resources
Verhoogde toegang voor het beheren van Azure-abonnementen
Basislijnen
Hier volgen de aanbevolen basislijninstellingen:
| Wat moet er worden bewaakt | Risiconiveau | Aanbeveling | Rollen | Opmerkingen |
|---|---|---|---|---|
| Toewijzing van Microsoft Entra-rollen | Hoog | Reden vereisen voor activering. Goedkeuring vereisen om te activeren. Stel het proces voor fiatteur op twee niveaus in. Bij activering moet u Meervoudige Verificatie van Microsoft Entra vereisen. Stel de maximale hoogteduur in op 8 uur. | Beveiligingsbeheerder, beheerder met bevoorrechte rol, globale beheerder | Een beheerder van bevoorrechte rollen kan PIM aanpassen in hun Microsoft Entra-organisatie, inclusief het wijzigen van de ervaring voor gebruikers die een in aanmerking komende roltoewijzing activeren. |
| Configuratie van Azure-resourcerol | Hoog | Reden vereisen voor activering. Goedkeuring vereisen om te activeren. Stel het proces voor fiatteur op twee niveaus in. Bij activering moet u Meervoudige Verificatie van Microsoft Entra vereisen. Stel de maximale hoogteduur in op 8 uur. | Eigenaar, beheerder van gebruikerstoegang | Onderzoek onmiddellijk of er geen geplande wijziging is. Met deze instelling heeft aanvallers mogelijk toegang tot Azure-abonnementen in uw omgeving. |
Waarschuwingen voor Privileged Identity Management
Pim (Privileged Identity Management) genereert waarschuwingen wanneer er verdachte of onveilige activiteiten zijn in uw Microsoft Entra-organisatie. Wanneer een waarschuwing wordt gegenereerd, wordt deze weergegeven in het dashboard Privileged Identity Management. U kunt ook een e-mailmelding configureren of verzenden naar uw SIEM via GraphAPI. Omdat deze waarschuwingen specifiek gericht zijn op beheerdersrollen, moet u nauwkeurig controleren op waarschuwingen.
Toewijzing van Microsoft Entra-rollen
Een beheerder van bevoorrechte rollen kan PIM aanpassen in hun Microsoft Entra-organisatie, waaronder het wijzigen van de gebruikerservaring voor het activeren van een in aanmerking komende roltoewijzing:
Voorkom dat een slechte actor microsoft Entra-verificatievereisten voor meervoudige verificatie verwijdert om bevoegde toegang te activeren.
Voorkom dat kwaadwillende gebruikers de reden en goedkeuring van het activeren van bevoegde toegang omzeilen.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Waarschuwing bij Wijzigingen toevoegen aan machtigingen voor bevoegde accounts | Hoog | Microsoft Entra-auditlogboeken | Categorie = Rolbeheer en Activiteitstype : in aanmerking komend lid toevoegen (permanent) en Activiteitstype : in aanmerking komend lid toevoegen (in aanmerking komend) en Status = Geslaagd/mislukt en Gewijzigde eigenschappen = Role.DisplayName |
Bewaak en waarschuw altijd voor eventuele wijzigingen in Beheerder van bevoorrechte rollen en globale beheerder. Dit kan een indicatie zijn dat een aanvaller probeert bevoegdheden te krijgen om de instellingen voor roltoewijzing te wijzigen. Als u geen gedefinieerde drempelwaarde hebt, waarschuwt u 4 in 60 minuten voor gebruikers en 2 in 60 minuten voor bevoegde accounts. Sigma-regels |
| Waarschuwing over wijzigingen in bulksgewijs verwijderen van machtigingen voor bevoegde accounts | Hoog | Microsoft Entra-auditlogboeken | Categorie = Rolbeheer en Activiteitstype : in aanmerking komend lid verwijderen (permanent) en Activiteitstype : in aanmerking komend lid verwijderen (in aanmerking komend) en Status = Geslaagd/mislukt en Gewijzigde eigenschappen = Role.DisplayName |
Onderzoek onmiddellijk of er geen geplande wijziging is. Met deze instelling kan een aanvaller toegang krijgen tot Azure-abonnementen in uw omgeving. Microsoft Sentinel-sjabloon Sigma-regels |
| Wijzigingen in PIM-instellingen | Hoog | Microsoft Entra-auditlogboek | Service = PIM en Categorie = Rolbeheer en Activiteitstype = Instelling rol bijwerken in PIM en Statusreden = MFA bij activering uitgeschakeld (voorbeeld) |
Bewaak en waarschuw altijd voor eventuele wijzigingen in Beheerder van bevoorrechte rollen en globale beheerder. Dit kan een indicatie zijn dat een aanvaller toegang heeft om instellingen voor roltoewijzing te wijzigen. Een van deze acties kan de beveiliging van de PIM-uitbreiding verminderen en het voor aanvallers gemakkelijker maken om een bevoegd account te verkrijgen. Microsoft Sentinel-sjabloon Sigma-regels |
| Goedkeuringen en uitbreiding weigeren | Hoog | Microsoft Entra-auditlogboek | Service = Toegangsbeoordeling en Categorie = UserManagement en Activiteitstype = Aanvraag goedgekeurd/geweigerd en Geïnitieerde actor = UPN |
Alle uitbreidingen moeten worden bewaakt. Registreer alle uitbreidingen om een duidelijke indicatie te geven van de tijdlijn voor een aanval. Microsoft Sentinel-sjabloon Sigma-regels |
| Instelling van waarschuwingen wordt uitgeschakeld. | Hoog | Microsoft Entra-auditlogboeken | Service =PIM en Categorie = Rolbeheer en Activiteitstype = PIM-waarschuwing uitschakelen en Status = geslaagd /mislukt |
Altijd waarschuwen. Helpt bij het detecteren van ongeldige actor die waarschuwingen verwijdert die zijn gekoppeld aan de meervoudige verificatievereisten van Microsoft Entra om bevoegde toegang te activeren. Hiermee kunt u verdachte of onveilige activiteiten detecteren. Microsoft Sentinel-sjabloon Sigma-regels |
Zie Controlegeschiedenis weergeven voor Microsoft Entra-rollen in Privileged Identity Management voor meer informatie over het identificeren van wijzigingen in rolinstellingen in het Auditlogboek van Microsoft Entra.
Toewijzing van Azure-resourcerol
Door azure-resourceroltoewijzingen te bewaken, kunt u inzicht krijgen in activiteiten en activeringen voor resourcesrollen. Deze toewijzingen kunnen worden misbruikt om een aanvalsoppervlak voor een resource te maken. Terwijl u dit type activiteit bewaakt, probeert u het volgende te detecteren:
Query uitvoeren op roltoewijzingen bij specifieke resources
Roltoewijzingen voor alle onderliggende resources
Alle actieve en in aanmerking komende roltoewijzingswijzigingen
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Auditlogboek voor resourcecontrolewaarschuwingen voor activiteiten van bevoegde accounts | Hoog | In PIM, onder Azure-resources, resourcecontrole | Actie: Voeg in aanmerking komend lid toe aan de rol in PIM voltooid (tijdsgebonden) en Primair doel en Gebruiker typen en Status = Geslaagd |
Altijd waarschuwen. Hiermee kunt u slechte actor detecteren die in aanmerking komende rollen toevoegen om alle resources in Azure te beheren. |
| Controle van waarschuwingsresourcecontrole voor waarschuwing uitschakelen | Gemiddeld | In PIM, onder Azure-resources, resourcecontrole | Actie: Waarschuwing uitschakelen en Primair doel: te veel eigenaren die zijn toegewezen aan een resource en Status = Geslaagd |
Hiermee kunt u slechte actor detecteren die waarschuwingen uitschakelt, in het deelvenster Waarschuwingen, waardoor schadelijke activiteiten kunnen worden overgeslagen die worden onderzocht |
| Controle van waarschuwingsresourcecontrole voor waarschuwing uitschakelen | Gemiddeld | In PIM, onder Azure-resources, resourcecontrole | Actie: Waarschuwing uitschakelen en Primair doel: te veel permanente eigenaren die zijn toegewezen aan een resource en Status = Geslaagd |
Voorkomen dat slechte actor waarschuwingen uitschakelt, in het deelvenster Waarschuwingen, waardoor schadelijke activiteiten die worden onderzocht, kunnen worden overgeslagen |
| Controle van waarschuwingsresourcecontrole voor waarschuwing uitschakelen | Gemiddeld | In PIM, onder Azure-resources, resourcecontrole | Actie: Waarschuwing uitschakelen en Primaire doelduplicaatrol gemaakt en Status = Geslaagd |
Voorkomen dat slechte actor waarschuwingen uitschakelt in het deelvenster Waarschuwingen, waardoor schadelijke activiteiten die worden onderzocht, kunnen worden overgeslagen |
Zie voor meer informatie over het configureren van waarschuwingen en het controleren van Azure-resourcerollen:
Beveiligingswaarschuwingen voor Azure-resourcerollen configureren in Privileged Identity Management
Controlerapport weergeven voor Azure-resourcerollen in Privileged Identity Management (PIM)
Toegangsbeheer voor Azure-resources en -abonnementen
Gebruikers of groepsleden hebben de rollen Eigenaar of Beheerder voor gebruikerstoegang toegewezen, en globale beheerders van Microsoft Entra die abonnementsbeheer in Microsoft Entra-id hebben ingeschakeld, beschikken standaard over machtigingen voor resourcebeheerder. De beheerders wijzen rollen toe, configureren rolinstellingen en controleren de toegang met behulp van Privileged Identity Management (PIM) voor Azure-resources.
Een gebruiker met machtigingen voor resourcebeheerder kan PIM voor resources beheren. Bewaak op en verminder dit geïntroduceerde risico: de mogelijkheid kan worden gebruikt om slechte actoren bevoegde toegang tot Azure-abonnementsresources toe te staan, zoals virtuele machines (VM's) of opslagaccounts.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Hoogtetoenames | Hoog | Microsoft Entra-id, onder Beheren, Eigenschappen | Controleer de instelling regelmatig. Toegangsbeheer voor Azure-resources |
Globale beheerders kunnen de toegangsbeheer voor Azure-resources uitbreiden. Controleer of slechte actoren geen machtigingen hebben gekregen om rollen toe te wijzen in alle Azure-abonnementen en -beheergroepen die zijn gekoppeld aan Active Directory. |
Zie Azure-resourcerollen toewijzen in Privileged Identity Management voor meer informatie
Volgende stappen
Overzicht van Microsoft Entra-beveiligingsbewerkingen
Beveiligingsbewerkingen voor gebruikersaccounts
Beveiligingsbewerkingen voor consumentenaccounts
Beveiligingsbewerkingen voor bevoegde accounts
Beveiligingsbewerkingen voor toepassingen