Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra
Firma Microsoft ma udane i sprawdzone podejście do zabezpieczeń Zero Trust przy użyciu zasad obrony w głębi systemu , które używają tożsamości jako płaszczyzny sterowania. Organizacje nadal stosują hybrydowy świat obciążeń na potrzeby skalowania, oszczędności kosztów i bezpieczeństwa. Identyfikator Entra firmy Microsoft odgrywa kluczową rolę w strategii zarządzania tożsamościami. Ostatnio wiadomości dotyczące naruszenia tożsamości i zabezpieczeń coraz częściej skłoniły przedsiębiorstwa IT do rozważenia stanu zabezpieczeń tożsamości jako miary sukcesu bezpieczeństwa obronnego.
Coraz częściej organizacje muszą korzystać z kombinacji aplikacji lokalnych i aplikacji w chmurze, do których użytkownicy uzyskują dostęp zarówno przy użyciu kont lokalnych, jak i tylko w chmurze. Zarządzanie użytkownikami, aplikacjami i urządzeniami zarówno lokalnie, jak i w chmurze stanowi trudne scenariusze.
Tożsamość hybrydowa
Identyfikator entra firmy Microsoft tworzy wspólną tożsamość użytkownika na potrzeby uwierzytelniania i autoryzacji dla wszystkich zasobów, niezależnie od lokalizacji. Nazywamy to tożsamością hybrydową.
Aby osiągnąć tożsamość hybrydową za pomocą identyfikatora Entra firmy Microsoft, można użyć jednej z trzech metod uwierzytelniania w zależności od scenariuszy. Te trzy metody to:
Podczas inspekcji bieżących operacji zabezpieczeń lub ustanawiania operacji zabezpieczeń dla środowiska platformy Azure zalecamy:
- Przeczytaj konkretne części wskazówek dotyczących zabezpieczeń firmy Microsoft, aby ustanowić punkt odniesienia wiedzy na temat zabezpieczania środowiska platformy Azure opartego na chmurze lub hybrydowego.
- Przeprowadź inspekcję strategii konta i haseł oraz metod uwierzytelniania, aby ułatwić odstraszanie najbardziej typowych wektorów ataków.
- Utwórz strategię ciągłego monitorowania i zgłaszania alertów dotyczących działań, które mogą wskazywać na zagrożenie bezpieczeństwa.
Odbiorcy
Przewodnik firmy Microsoft Entra SecOps jest przeznaczony dla zespołów ds. obsługi tożsamości i zabezpieczeń przedsiębiorstwa oraz dostawców usług zarządzanych, którzy muszą przeciwdziałać zagrożeniom dzięki lepszym profilom konfiguracji i monitorowania zabezpieczeń tożsamości. Ten przewodnik jest szczególnie istotny dla administratorów IT i architektów tożsamości doradzających zespołom ds. testów obronnych i penetracyjnych usługi Security Operations Center (SOC), aby poprawić i utrzymać stan zabezpieczeń tożsamości.
Scope
To wprowadzenie zawiera sugerowane zalecenia dotyczące inspekcji i strategii haseł. Ten artykuł zawiera również omówienie narzędzi dostępnych dla hybrydowych środowisk platformy Azure i w pełni opartych na chmurze środowisk platformy Azure. Na koniec udostępniamy listę źródeł danych, których można użyć do monitorowania i zgłaszania alertów oraz konfigurowania strategii i środowiska zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Pozostałe wskazówki przedstawiają strategie monitorowania i zgłaszania alertów w następujących obszarach:
Konta użytkowników. Wskazówki specyficzne dla kont użytkowników niebędących uprzywilejowanymi bez uprawnień administracyjnych, w tym nietypowe tworzenie i użycie konta oraz nietypowe logowania.
Uprzywilejowane konta. Wskazówki dotyczące uprzywilejowanych kont użytkowników z podwyższonym poziomem uprawnień do wykonywania zadań administracyjnych. Zadania obejmują przypisania ról firmy Microsoft Entra, przypisania ról zasobów platformy Azure oraz zarządzanie dostępem dla zasobów i subskrypcji platformy Azure.
Privileged Identity Management (PIM). Wskazówki dotyczące używania usługi PIM do zarządzania, kontrolowania i monitorowania dostępu do zasobów.
Aplikacje. Wskazówki dotyczące kont używanych do zapewnienia uwierzytelniania dla aplikacji.
i stojaka (PRD). Wskazówki dotyczące monitorowania i zgłaszania alertów dla urządzeń zarejestrowanych lub dołączonych poza zasadami, niezgodnego użycia, zarządzania rolami administrowania urządzeniami i logowaniami do maszyn wirtualnych.
Infrastruktura. Wskazówki specyficzne dla monitorowania i zgłaszania alertów dotyczących zagrożeń w środowiskach hybrydowych i wyłącznie w chmurze.
Ważna zawartość referencyjna
Firma Microsoft oferuje wiele produktów i usług, które umożliwiają dostosowanie środowiska IT do własnych potrzeb. Zalecamy zapoznanie się z następującymi wskazówkami dotyczącymi środowiska operacyjnego:
System operacyjny Windows
Środowiska lokalne
- Architektura usługi Microsoft Defender for Identity
- Łączenie usługi Microsoft Defender for Identity z usługą Active Directory — szybki start
- Punkt odniesienia zabezpieczeń platformy Azure dla usługi Microsoft Defender for Identity
- Monitorowanie usługi Active Directory pod kątem oznak naruszenia zabezpieczeń
Środowiska platformy Azure oparte na chmurze
Active Directory Domain Services (AD DS)
Usługi federacyjne Active Directory (AD FS)
Źródła danych
Pliki dziennika używane do badania i monitorowania to:
- Dzienniki inspekcji firmy Microsoft Entra
- Dzienniki logowania
- Dzienniki inspekcji platformy Microsoft 365
- Dzienniki usługi Azure Key Vault
W witrynie Azure Portal możesz wyświetlić dzienniki inspekcji firmy Microsoft Entra. Pobierz dzienniki jako pliki z wartością rozdzielaną przecinkami (CSV) lub JavaScript Object Notation (JSON). Witryna Azure Portal oferuje kilka sposobów integracji dzienników firmy Microsoft z innymi narzędziami, które umożliwiają większą automatyzację monitorowania i zgłaszania alertów:
Microsoft Sentinel — umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa, zapewniając funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Reguły Sigma — Sigma to rozwijający się otwarty standard pisania reguł i szablonów, za pomocą których zautomatyzowane narzędzia do zarządzania mogą służyć do analizowania plików dziennika. Gdzie szablony Sigma istnieją dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.
Azure Monitor — umożliwia automatyczne monitorowanie i alerty różnych warunków. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.
Usługa Azure Event Hubs zintegrowana z rozwiązaniem SIEM. Dzienniki firmy Microsoft Entra można zintegrować z innymi rozwiązaniami SIEM, takimi jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji z usługą Azure Event Hubs. Aby uzyskać więcej informacji, zobacz Stream Microsoft Entra logs to an Azure event hub (Przesyłanie dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure).
aplikacje Microsoft Defender dla Chmury — Umożliwia odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.
Zabezpieczanie tożsamości obciążeń przy użyciu Ochrona tożsamości Microsoft Entra — służy do wykrywania ryzyka związanego z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia zabezpieczeń w trybie offline.
Wiele z tego, co będziesz monitorować i otrzymywać alerty, to skutki zasad dostępu warunkowego. Możesz użyć szczegółowych informacji o dostępie warunkowym i skoroszytu raportowania, aby sprawdzić wpływ co najmniej jednej zasady dostępu warunkowego na logowania i wyniki zasad, w tym stanu urządzenia. Ten skoroszyt umożliwia wyświetlenie podsumowania wpływu i zidentyfikowanie wpływu w określonym przedziale czasu. Możesz również użyć skoroszytu, aby zbadać logowania określonego użytkownika. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje i raportowanie dostępu warunkowego.
W pozostałej części tego artykułu opisano, co należy monitorować i otrzymywać alerty. Gdzie istnieją konkretne wstępnie utworzone rozwiązania, łączymy się z nimi lub udostępniamy przykłady poniżej tabeli. W przeciwnym razie można tworzyć alerty przy użyciu poprzednich narzędzi.
Usługa ID Protection generuje trzy kluczowe raporty, których można użyć, aby ułatwić badanie:
Ryzykowni użytkownicy zawierają informacje o zagrożonych użytkownikach , szczegółowe informacje o wykrywaniu, historii wszystkich ryzykownych logowaniu i historii ryzyka.
Ryzykowne logowania zawierają informacje dotyczące okoliczności logowania, które mogą wskazywać podejrzane okoliczności. Aby uzyskać więcej informacji na temat badania informacji z tego raportu, zobacz Instrukcje: badanie ryzyka.
Wykrywanie ryzyka zawiera informacje na temat sygnałów ryzyka wykrytych przez Ochrona tożsamości Microsoft Entra, które informują o ryzyku logowania i użytkownika. Aby uzyskać więcej informacji, zobacz Przewodnik po operacjach zabezpieczeń firmy Microsoft dla kont użytkowników.
Aby uzyskać więcej informacji, zobacz Co to jest Ochrona tożsamości Microsoft Entra.
Źródła danych na potrzeby monitorowania kontrolera domeny
Aby uzyskać najlepsze wyniki, zalecamy monitorowanie kontrolerów domeny przy użyciu usługi Microsoft Defender for Identity. Takie podejście umożliwia najlepsze możliwości wykrywania i automatyzacji. Postępuj zgodnie ze wskazówkami z tych zasobów:
- Architektura usługi Microsoft Defender for Identity
- Łączenie usługi Microsoft Defender for Identity z usługą Active Directory — szybki start
Jeśli nie planujesz używania usługi Microsoft Defender for Identity, monitoruj kontrolery domeny przy użyciu jednego z następujących podejść:
- Komunikaty dziennika zdarzeń. Zobacz Monitorowanie usługi Active Directory, aby uzyskać informacje o oznakach naruszenia zabezpieczeń.
- Polecenia cmdlet programu PowerShell. Zobacz Rozwiązywanie problemów z wdrażaniem kontrolera domeny.
Składniki uwierzytelniania hybrydowego
W ramach środowiska hybrydowego platformy Azure następujące elementy powinny być punktami bazowymi i uwzględnione w strategii monitorowania i zgłaszania alertów.
Agent PTA — agent uwierzytelniania przekazywanego służy do włączania uwierzytelniania przekazywanego i jest instalowany lokalnie. Zobacz Microsoft Entra pass-through authentication agent: Version release history (Agent uwierzytelniania z przekazywaniem firmy Microsoft: historia wersji wersji), aby uzyskać informacje na temat weryfikowania wersji agenta i następnych kroków.
USŁUGI AD FS/WAP — usługi Active Directory Federation Services (Azure AD FS) i sieci Web serwer proxy aplikacji (WAP) umożliwiają bezpieczne udostępnianie tożsamości cyfrowej i praw uprawnień w granicach zabezpieczeń i przedsiębiorstwa. Aby uzyskać informacje na temat najlepszych rozwiązań w zakresie zabezpieczeń, zobacz Najlepsze rozwiązania dotyczące zabezpieczania usług Active Directory Federation Services.
Microsoft Entra Connect Health Agent — agent używany do udostępniania linku komunikacyjnego dla programu Microsoft Entra Connect Health. Aby uzyskać informacje na temat instalowania agenta, zobacz Instalacja agenta programu Microsoft Entra Connect Health.
Aparat synchronizacji programu Microsoft Entra Connect — składnik lokalny, nazywany również aparatem synchronizacji. Aby uzyskać informacje na temat funkcji, zobacz Funkcje usługi Microsoft Entra Connect Sync.
Agent dc ochrony haseł — agent dc ochrony haseł platformy Azure służy do monitorowania i raportowania komunikatów dziennika zdarzeń. Aby uzyskać informacje, zobacz Wymuszanie lokalnej ochrony haseł firmy Microsoft dla usług domena usługi Active Directory.
Biblioteka DLL filtru haseł — biblioteka DLL filtru haseł agenta kontrolera domeny odbiera żądania weryfikacji haseł użytkownika z systemu operacyjnego. Filtr przekazuje je do usługi agenta kontrolera domeny uruchomionej lokalnie na kontrolerze domeny. Aby uzyskać informacje na temat korzystania z biblioteki DLL, zobacz Wymuszanie lokalnej ochrony haseł firmy Microsoft dla usług domena usługi Active Directory.
Agent zapisywania zwrotnego haseł — funkcja zapisywania zwrotnego haseł jest włączona w programie Microsoft Entra Connect , która umożliwia zapisywanie zmian haseł w chmurze w istniejącym katalogu lokalnym w czasie rzeczywistym. Aby uzyskać więcej informacji na temat tej funkcji, zobacz Jak działa samoobsługowe zapisywanie zwrotne resetowania haseł w usłudze Microsoft Entra ID.
Łącznik sieci prywatnej firmy Microsoft Entra — uproszczoni agenci, którzy znajdują się lokalnie i ułatwiają połączenie wychodzące z usługą serwer proxy aplikacji. Aby uzyskać więcej informacji, zobacz Omówienie łączników sieci prywatnych firmy Microsoft Entra.
Składniki uwierzytelniania opartego na chmurze
W ramach środowiska opartego na chmurze platformy Azure następujące elementy powinny być oparte na planach bazowych i uwzględniane w strategii monitorowania i zgłaszania alertów.
Serwer proxy aplikacji Firmy Microsoft Entra — ta usługa w chmurze zapewnia bezpieczny dostęp zdalny do lokalnych aplikacji internetowych. Aby uzyskać więcej informacji, zobacz Dostęp zdalny do aplikacji lokalnych za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra.
Microsoft Entra Connect — usługi używane na potrzeby rozwiązania Microsoft Entra Connect. Aby uzyskać więcej informacji, zobacz Co to jest Microsoft Entra Connect.
Microsoft Entra Connect Health — usługa Service Health udostępnia dostosowywalny pulpit nawigacyjny, który śledzi kondycję usług platformy Azure w regionach, w których są one używane. Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect Health.
Uwierzytelnianie wieloskładnikowe firmy Microsoft — uwierzytelnianie wieloskładnikowe wymaga od użytkownika podania więcej niż jednej formy weryfikacji uwierzytelniania. Takie podejście może zapewnić proaktywny pierwszy krok w celu zabezpieczenia środowiska. Aby uzyskać więcej informacji, zobacz Microsoft Entra multifactor authentication (Uwierzytelnianie wieloskładnikowe firmy Microsoft).
Grupy dynamiczne — dynamiczna konfiguracja członkostwa w grupie zabezpieczeń dla administratorów firmy Microsoft Entra może ustawiać reguły wypełniania grup utworzonych w identyfikatorze Entra firmy Microsoft na podstawie atrybutów użytkownika. Aby uzyskać więcej informacji, zobacz Dynamiczne grupy i współpraca firmy Microsoft Entra B2B.
Dostęp warunkowy — dostęp warunkowy to narzędzie używane przez firmę Microsoft Entra ID do łączenia sygnałów, podejmowania decyzji i wymuszania zasad organizacji. Dostęp warunkowy znajduje się w centrum nowej płaszczyzny sterowania sterowanej tożsamościami. Aby uzyskać więcej informacji, zobacz Co to jest dostęp warunkowy.
Ochrona tożsamości Microsoft Entra — narzędzie, które umożliwia organizacjom automatyzowanie wykrywania i korygowania zagrożeń opartych na tożsamościach, badanie ryzyka przy użyciu danych w portalu i eksportowanie danych wykrywania ryzyka do rozwiązania SIEM. Aby uzyskać więcej informacji, zobacz Co to jest Ochrona tożsamości Microsoft Entra.
Licencjonowanie oparte na grupach — licencje można przypisać do grup, a nie bezpośrednio do użytkowników. Identyfikator Entra firmy Microsoft przechowuje informacje o stanach przypisywania licencji dla użytkowników.
Aprowizacja — aprowizowanie dotyczy tworzenia tożsamości użytkowników i ról w aplikacjach w chmurze, do których użytkownicy potrzebują dostępu. Oprócz tworzenia tożsamości użytkowników automatyczna aprowizacja obejmuje konserwację i usuwanie tożsamości użytkowników w miarę zmiany stanu lub ról. Aby uzyskać więcej informacji, zobacz How Application Provisioning works in Microsoft Entra ID (Jak działa aprowizacja aplikacji w usłudze Microsoft Entra ID).
Interfejs API programu Graph — interfejs API programu Microsoft Graph to internetowy interfejs API RESTful, który umożliwia dostęp do zasobów usługi Microsoft Cloud. Po zarejestrowaniu aplikacji i pobraniu tokenów uwierzytelniania dla użytkownika lub usługi możesz wysyłać żądania do interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz Omówienie programu Microsoft Graph.
Domain Service — Microsoft Entra Domain Services (AD DS) udostępnia zarządzane usługi domenowe, takie jak przyłączanie do domeny, zasady grupy. Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Entra Domain Services.
Azure Resource Manager — usługa Azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Zapewnia warstwę zarządzania, która umożliwia tworzenie, aktualizowanie i usuwanie zasobów na koncie platformy Azure. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Resource Manager.
Tożsamość zarządzana — tożsamości zarządzane eliminują potrzebę zarządzania poświadczeniami przez deweloperów. Tożsamości zarządzane zapewniają tożsamość aplikacji do użycia podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure.
Privileged Identity Management — PIM to usługa w usłudze Microsoft Entra ID, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji. Aby uzyskać więcej informacji, zobacz Co to jest microsoft Entra Privileged Identity Management.
Przeglądy dostępu — przeglądy dostępu firmy Microsoft Entra umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkownika można regularnie przeglądać, aby upewnić się, że tylko odpowiednie osoby mają stały dostęp. Aby uzyskać więcej informacji, zobacz Co to są przeglądy dostępu firmy Microsoft Entra.
Zarządzanie upoważnieniami — zarządzanie upoważnieniami firmy Microsoft jest funkcją zarządzania tożsamościami. Organizacje mogą zarządzać cyklem życia tożsamości i dostępu na dużą skalę, automatyzując przepływy pracy żądań dostępu, przypisania dostępu, przeglądy i wygaśnięcie. Aby uzyskać więcej informacji, zobacz Co to jest zarządzanie upoważnieniami firmy Microsoft.
Dzienniki aktywności — dziennik aktywności to dziennik platformy Azure, który zapewnia wgląd w zdarzenia na poziomie subskrypcji. Ten dziennik zawiera takie informacje, jak czas modyfikacji zasobu lub uruchomienia maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Dziennik aktywności platformy Azure.
Samoobsługowa usługa resetowania haseł — usługa samoobsługowego resetowania haseł (SSPR) firmy Microsoft umożliwia użytkownikom zmianę lub zresetowanie hasła. Administrator lub dział pomocy technicznej nie jest wymagany. Aby uzyskać więcej informacji, zobacz Jak to działa: samoobsługowe resetowanie hasła przez firmę Microsoft Entra.
Usługi urządzeń — zarządzanie tożsamościami urządzeń jest podstawą dostępu warunkowego opartego na urządzeniach. Dzięki zasadom dostępu warunkowego opartego na urządzeniach można zagwarantować, że dostęp do zasobów w danym środowisku jest możliwy tylko w przypadku urządzeń zarządzanych. Aby uzyskać więcej informacji, zobacz Co to jest tożsamość urządzenia.
Samoobsługowe zarządzanie grupami — możesz umożliwić użytkownikom tworzenie własnych grup zabezpieczeń lub grup platformy Microsoft 365 i zarządzanie nimi w usłudze Microsoft Entra ID. Właściciel grupy może zatwierdzać lub odrzucać żądania członkostwa i delegować kontrolę nad członkostwem w grupie. Funkcje samoobsługowego zarządzania grupami nie są dostępne dla grup zabezpieczeń ani list dystrybucyjnych z obsługą poczty. Aby uzyskać więcej informacji, zobacz Konfigurowanie samoobsługowego zarządzania grupami w usłudze Microsoft Entra ID.
Wykrywanie ryzyka — zawiera informacje o innych czynnikach ryzyka wyzwalanych po wykryciu ryzyka i innych odpowiednich informacjach, takich jak lokalizacja logowania i wszelkie szczegóły z Microsoft Defender dla Chmury Apps.
Następne kroki
Zapoznaj się z następującymi artykułami w przewodniku po operacjach zabezpieczeń:
Operacje zabezpieczeń dla kont użytkowników
Operacje zabezpieczeń dla kont konsumentów
Operacje zabezpieczeń dla kont uprzywilejowanych
Operacje zabezpieczeń dla usługi Privileged Identity Management
Operacje zabezpieczeń dla aplikacji