Beveiligingswaarschuwingen configureren voor Microsoft Entra-rollen in Privileged Identity Management
Pim (Privileged Identity Management) genereert waarschuwingen wanneer er verdachte of onveilige activiteiten in uw organisatie zijn in Microsoft Entra-id. Wanneer een waarschuwing wordt geactiveerd, wordt deze weergegeven op het dashboard Privileged Identity Management. Selecteer de waarschuwing om een rapport weer te geven met de gebruikers of rollen die de waarschuwing hebben geactiveerd.
Notitie
Eén gebeurtenis in Privileged Identity Management kan e-mailmeldingen genereren voor meerdere geadresseerden: toegewezen personen, goedkeurders of beheerders. Het maximum aantal meldingen dat per gebeurtenis wordt verzonden, is 1000. Als het aantal geadresseerden groter is dan 1000, ontvangen alleen de eerste 1000 geadresseerden een e-mailmelding. Dit voorkomt niet dat andere toegewezen personen, beheerders of goedkeurders hun machtigingen gebruiken in Microsoft Entra ID en Privileged Identity Management.
Licentievereisten
Voor het gebruik van Privileged Identity Management zijn licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties voor meer informatie over licenties.
Beveiligingswaarschuwingen
In deze sectie worden alle beveiligingswaarschuwingen voor Microsoft Entra-rollen vermeld, samen met hoe u dit kunt oplossen en voorkomen. Ernst heeft de volgende betekenis:
- Hoog: vereist onmiddellijke actie vanwege een beleidsschending.
- Gemiddeld: er is geen onmiddellijke actie vereist, maar er wordt een mogelijke beleidsschending signalen weergegeven.
- Laag: er is geen onmiddellijke actie vereist, maar er wordt een voorkeurswijziging van het beleid voorgesteld.
Notitie
Alleen de volgende rollen kunnen PIM-beveiligingswaarschuwingen lezen voor Microsoft Entra-rollen: globale beheerder, beheerder met bevoorrechte rollen, globale lezer, beveiligingsbeheerder en beveiligingslezer.
Beheerders gebruiken hun bevoorrechte rollen niet
Ernst: Laag
Beschrijving | |
---|---|
Waarom krijg ik deze waarschuwing? | Gebruikers aan wie bevoorrechte rollen zijn toegewezen, hebben ze niet nodig, vergroot de kans op een aanval. Het is ook eenvoudiger voor aanvallers om onopgemerkt te blijven in accounts die niet actief worden gebruikt. |
Hoe kunt u dit oplossen? | Controleer de gebruikers in de lijst en verwijder ze uit bevoorrechte rollen die ze niet nodig hebben. |
Preventie | Wijs bevoorrechte rollen alleen toe aan gebruikers met een zakelijke reden. Plan regelmatig toegangsbeoordelingen om te controleren of gebruikers nog steeds hun toegang nodig hebben. |
In-portal-risicobeperkingsactie | Hiermee verwijdert u het account uit de bevoorrechte rol. |
Trigger | Geactiveerd als een gebruiker een opgegeven aantal dagen duurt zonder een rol te activeren. |
Aantal dagen | Met deze instelling geeft u het maximum aantal dagen op, van 0 tot 100, dat een gebruiker kan gaan zonder een rol te activeren. |
Voor rollen is geen meervoudige verificatie vereist voor activering
Ernst: Laag
Beschrijving | |
---|---|
Waarom krijg ik deze waarschuwing? | Zonder meervoudige verificatie kunnen gecompromitteerde gebruikers bevoorrechte rollen activeren. |
Hoe kunt u dit oplossen? | Bekijk de lijst met rollen en vereist meervoudige verificatie voor elke rol. |
Preventie | MFA vereisen voor elke rol. |
In-portal-risicobeperkingsactie | Maakt meervoudige verificatie vereist voor de activering van de bevoorrechte rol. |
De organisatie heeft geen Microsoft Entra ID P2 of Microsoft Entra ID-governance
Ernst: Laag
Beschrijving | |
---|---|
Waarom krijg ik deze waarschuwing? | De huidige Microsoft Entra-organisatie heeft geen Microsoft Entra ID P2 of Microsoft Entra ID-governance. |
Hoe kunt u dit oplossen? | Bekijk informatie over Microsoft Entra-edities. Voer een upgrade uit naar Microsoft Entra ID P2 of Microsoft Entra ID-governance. |
Potentiële verouderde accounts in een bevoorrechte rol
Ernst: gemiddeld
Beschrijving | |
---|---|
Waarom krijg ik deze waarschuwing? | Deze waarschuwing wordt niet meer geactiveerd op basis van de laatste wachtwoordwijzigingsdatum van een account. Deze waarschuwing is bedoeld voor accounts met een bevoorrechte rol die zich niet hebben aangemeld tijdens de afgelopen n dagen, waarbij n veel dagen is dat kan worden geconfigureerd tussen 1 en 365 dagen. Deze accounts kunnen service- of gedeelde accounts zijn die niet worden onderhouden en kwetsbaar zijn voor aanvallers. |
Hoe kunt u dit oplossen? | Controleer de accounts in de lijst. Als ze geen toegang meer nodig hebben, verwijdert u ze uit hun bevoorrechte rollen. |
Preventie | Zorg ervoor dat accounts die worden gedeeld sterke wachtwoorden roteren wanneer er een wijziging is in de gebruikers die het wachtwoord kennen. Controleer regelmatig accounts met bevoorrechte rollen met behulp van toegangsbeoordelingen en verwijder roltoewijzingen die niet meer nodig zijn. |
In-portal-risicobeperkingsactie | Hiermee verwijdert u het account uit de bevoorrechte rol. |
Aanbevolen procedures | Gedeelde, service- en noodtoegangsaccounts die worden geverifieerd met behulp van een wachtwoord en worden toegewezen aan beheerdersrollen met hoge bevoegdheden, zoals globale beheerder of beveiligingsbeheerder, moeten hun wachtwoorden voor de volgende gevallen worden geroteerd:
|
Rollen worden buiten Privileged Identity Management toegewezen
Ernst: Hoog
Beschrijving | |
---|---|
Waarom krijg ik deze waarschuwing? | Bevoorrechte roltoewijzingen die buiten Privileged Identity Management zijn gemaakt, worden niet goed bewaakt en kunnen duiden op een actieve aanval. |
Hoe kunt u dit oplossen? | Controleer de gebruikers in de lijst en verwijder ze uit bevoorrechte rollen die buiten Privileged Identity Management zijn toegewezen. U kunt zowel de waarschuwing als de bijbehorende e-mailmelding ook in- of uitschakelen in de waarschuwingsinstellingen. |
Preventie | Onderzoek waar gebruikers bevoorrechte rollen buiten Privileged Identity Management krijgen toegewezen en verbied toekomstige toewijzingen daar. |
In-portal-risicobeperkingsactie | Hiermee verwijdert u de gebruiker uit de bevoorrechte rol. |
Notitie
PIM verzendt e-mailmeldingen voor de rol die buiten PIM-waarschuwing is toegewezen wanneer de waarschuwing is ingeschakeld vanuit waarschuwingsinstellingen voor Microsoft Entra-rollen in PIM, e-mailberichten worden verzonden naar beheerders van bevoorrechte rollen, beveiligingsbeheerders en globale beheerders waarvoor Privileged Identity Management is ingeschakeld. Voor Azure-resources in PIM worden e-mailberichten verzonden naar eigenaren en beheerders van gebruikerstoegang.
Er zijn te veel globale beheerders
Ernst: Laag
Beschrijving | |
---|---|
Waarom krijg ik deze waarschuwing? | Globale beheerder is de hoogste bevoorrechte rol. Als een globale beheerder is gecompromitteerd, krijgt de aanvaller toegang tot al hun machtigingen, waardoor uw hele systeem risico loopt. |
Hoe kunt u dit oplossen? | Controleer de gebruikers in de lijst en verwijder alle gebruikers die de rol globale beheerder niet absoluut nodig hebben. Wijs in plaats daarvan rollen met lagere bevoegdheden toe aan deze gebruikers. |
Preventie | Wijs gebruikers de minst bevoorrechte rol toe die ze nodig hebben. |
In-portal-risicobeperkingsactie | Hiermee verwijdert u het account uit de bevoorrechte rol. |
Trigger | Geactiveerd als aan twee verschillende criteria wordt voldaan en u beide kunt configureren. Eerst moet u een bepaalde drempelwaarde voor roltoewijzingen van globale beheerder bereiken. Ten tweede moet een bepaald percentage van uw totale roltoewijzingen globale beheerders zijn. Als u slechts aan een van deze metingen voldoet, wordt de waarschuwing niet weergegeven. |
Minimum aantal globale beheerders | Met deze instelling geeft u het aantal roltoewijzingen van globale beheerder op, van 2 tot 100, die u als te weinig beschouwt voor uw Microsoft Entra-organisatie. |
Percentage globale beheerders | Met deze instelling geeft u het minimumpercentage van beheerders aan die globale beheerders zijn, van 0% tot 100%, waaronder u niet wilt dat uw Microsoft Entra-organisatie dipt. |
Rollen worden te vaak geactiveerd
Ernst: Laag
Beschrijving | |
---|---|
Waarom krijg ik deze waarschuwing? | Meerdere activeringen voor dezelfde bevoorrechte rol door dezelfde gebruiker is een teken van een aanval. |
Hoe kunt u dit oplossen? | Controleer de gebruikers in de lijst en zorg ervoor dat de activeringsduur voor hun bevoorrechte rol lang genoeg is ingesteld om hun taken uit te voeren. |
Preventie | Zorg ervoor dat de activeringsduur voor bevoorrechte rollen lang genoeg is ingesteld voor gebruikers om hun taken uit te voeren. Meervoudige verificatie vereisen voor bevoorrechte rollen die accounts hebben die door meerdere beheerders worden gedeeld. |
In-portal-risicobeperkingsactie | N.v.t. |
Trigger | Geactiveerd als een gebruiker dezelfde bevoorrechte rol meerdere keren binnen een opgegeven periode activeert. U kunt zowel de periode als het aantal activeringen configureren. |
Tijdsbestek voor activeringsvernieuwing | Met deze instelling geeft u op in dagen, uren, minuten en ten tweede de periode die u wilt gebruiken om verdachte verlengingen bij te houden. |
Aantal activeringsverlengingen | Met deze instelling geeft u het aantal activeringen op, van 2 tot 100, waarvoor u een melding wilt ontvangen, binnen het door u gekozen tijdsbestek. U kunt deze instelling wijzigen door de schuifregelaar te verplaatsen of een getal in het tekstvak te typen. |
Instellingen voor beveiligingswaarschuwingen aanpassen
Volg deze stappen om beveiligingswaarschuwingen te configureren voor Microsoft Entra-rollen in Privileged Identity Management:
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.
Blader naar De instelling voor waarschuwingen voor waarschuwingen>voor Identiteitsbeheer>met Privileged Identity Management>Microsoft Entra.> Raadpleeg Aan de slag met Privileged Identity Management voor meer informatie over het toevoegen van de tegel Privileged Identity Management aan uw dashboard.
Pas instellingen voor de verschillende waarschuwingen aan om te werken met uw omgevings- en beveiligingsdoelen.