Microsoft Entra security operations for Privileged Identity Management
Bezpieczeństwo zasobów biznesowych zależy od integralności uprzywilejowanych kont, które administrowają systemami IT. Cyber-atakujący używają ataków kradzieży poświadczeń w celu kierowania kont administratorów i innych uprzywilejowanych kont dostępu, aby spróbować uzyskać dostęp do poufnych danych.
W przypadku usług w chmurze zapobieganie i reagowanie są wspólnymi obowiązkami dostawcy usług w chmurze i klienta.
Tradycyjnie zabezpieczenia organizacji koncentrowały się na punktach wejścia i wyjścia sieci jako obwodu zabezpieczeń. Jednak aplikacje SaaS i urządzenia osobiste sprawiły, że takie podejście było mniej skuteczne. W usłudze Microsoft Entra ID zastąpimy obwód zabezpieczeń sieci uwierzytelnianiem w warstwie tożsamości organizacji. Ponieważ użytkownicy są przypisani do uprzywilejowanych ról administracyjnych, ich dostęp musi być chroniony w środowiskach lokalnych, w chmurze i hybrydowych.
Całkowicie odpowiadasz za wszystkie warstwy zabezpieczeń dla lokalnego środowiska IT. W przypadku korzystania z usług w chmurze platformy Azure zapobieganie i reagowanie są wspólnymi obowiązkami firmy Microsoft jako dostawcy usług w chmurze i klienta.
Aby uzyskać więcej informacji na temat modelu wspólnej odpowiedzialności, zobacz Wspólna odpowiedzialność w chmurze.
Aby uzyskać więcej informacji na temat zabezpieczania dostępu dla uprzywilejowanych użytkowników, zobacz Zabezpieczanie dostępu uprzywilejowanego na potrzeby wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID.
Aby zapoznać się z szeroką gamą filmów wideo, przewodników z instrukcjami i zawartością kluczowych pojęć dotyczących tożsamości uprzywilejowanej, odwiedź dokumentację usługi Privileged Identity Management.
Privileged Identity Management (PIM) to usługa firmy Microsoft Entra, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji. Te zasoby obejmują zasoby w usłudze Microsoft Entra ID, Azure i innych usługach online firmy Microsoft, takich jak Microsoft 365 lub Microsoft Intune. Za pomocą usługi PIM można ograniczyć następujące zagrożenia:
Zidentyfikuj i zminimalizuj liczbę osób, które mają dostęp do bezpiecznych informacji i zasobów.
Wykrywanie nadmiernych, niepotrzebnych lub niewłaściwie używanych uprawnień dostępu do poufnych zasobów.
Zmniejsz prawdopodobieństwo, że złośliwy aktor uzyska dostęp do zabezpieczonych informacji lub zasobów.
Zmniejsz możliwość nieautoryzowanego użytkownika przypadkowo wpływającego na poufne zasoby.
Ten artykuł zawiera wskazówki dotyczące ustawiania punktów odniesienia, inspekcji logowania i używania kont uprzywilejowanych. Użyj źródła źródłowego dziennika inspekcji, aby zapewnić integralność uprzywilejowanego konta.
Gdzie szukać
Pliki dziennika używane do badania i monitorowania to:
W witrynie Azure Portal wyświetl dzienniki inspekcji firmy Microsoft Entra i pobierz je jako pliki z wartością rozdzielaną przecinkami (CSV) lub JavaScript Object Notation (JSON). Witryna Azure Portal oferuje kilka sposobów integrowania dzienników firmy Microsoft Entra z innymi narzędziami do automatyzowania monitorowania i zgłaszania alertów:
Microsoft Sentinel — umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa, zapewniając funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Reguły Sigma — Sigma to rozwijający się otwarty standard pisania reguł i szablonów, za pomocą których zautomatyzowane narzędzia do zarządzania mogą służyć do analizowania plików dziennika. Gdzie szablony Sigma istnieją dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.
Azure Monitor — umożliwia automatyczne monitorowanie i zgłaszanie alertów o różnych warunkach. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.
Usługa Azure Event Hubs zintegrowana z dziennikami SIEM- firmy Microsoft Entra może być zintegrowana z innymi rozwiązaniami SIEM, takimi jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji z usługą Azure Event Hubs.
aplikacje Microsoft Defender dla Chmury — umożliwia odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.
Zabezpieczanie tożsamości obciążeń przy użyciu Ochrona tożsamości Microsoft Entra — służy do wykrywania ryzyka związanego z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia zabezpieczeń w trybie offline.
W pozostałej części tego artykułu przedstawiono zalecenia dotyczące ustawiania planu bazowego na potrzeby monitorowania i zgłaszania alertów przy użyciu modelu warstwowego. Linki do wstępnie utworzonych rozwiązań są wyświetlane po tabeli. Alerty można tworzyć przy użyciu poprzednich narzędzi. Zawartość jest zorganizowana w następujące obszary:
Podstaw
Przypisanie roli Entra firmy Microsoft
Ustawienia alertu roli Entra firmy Microsoft
Przypisanie roli zasobów platformy Azure
Zarządzanie dostępem dla zasobów platformy Azure
Podwyższony poziom dostępu do zarządzania subskrypcjami platformy Azure
Podstaw
Poniżej przedstawiono zalecane ustawienia punktu odniesienia:
| Co monitorować | Poziom ryzyka | Zalecenie | Role | Uwagi |
|---|---|---|---|---|
| Przypisanie ról w usłudze Microsoft Entra | Wys. | Wymagaj uzasadnienia aktywacji. Wymagaj zatwierdzenia do aktywowania. Ustaw proces osoby zatwierdzającej na poziomie dwóch poziomów. Po aktywacji wymagaj uwierzytelniania wieloskładnikowego firmy Microsoft. Ustaw maksymalny czas trwania podniesienia na 8 godzin. | Administrator zabezpieczeń, administrator ról uprzywilejowanych, administrator globalny | Administrator ról uprzywilejowanych może dostosować usługę PIM w swojej organizacji firmy Microsoft Entra, w tym zmienić środowisko dla użytkowników aktywujących kwalifikujące się przypisanie roli. |
| Konfiguracja roli zasobów platformy Azure | Wys. | Wymagaj uzasadnienia aktywacji. Wymagaj zatwierdzenia do aktywowania. Ustaw proces osoby zatwierdzającej na poziomie dwóch poziomów. Po aktywacji wymagaj uwierzytelniania wieloskładnikowego firmy Microsoft. Ustaw maksymalny czas trwania podniesienia na 8 godzin. | Właściciel, administrator dostępu użytkowników | Zbadaj natychmiast, jeśli nie planowana zmiana. To ustawienie może umożliwić atakującemu dostęp do subskrypcji platformy Azure w danym środowisku. |
Alerty usługi Privileged Identity Management
Usługa Privileged Identity Management (PIM) generuje alerty w przypadku podejrzanej lub niebezpiecznej aktywności w organizacji firmy Microsoft Entra. Po wygenerowaniu alertu zostanie wyświetlony na pulpicie nawigacyjnym usługi Privileged Identity Management. Możesz również skonfigurować powiadomienie e-mail lub wysłać do rozwiązania SIEM za pośrednictwem interfejsu GraphAPI. Ponieważ te alerty koncentrują się specjalnie na rolach administracyjnych, należy uważnie monitorować wszystkie alerty.
Przypisanie ról w usłudze Microsoft Entra
Administrator ról uprzywilejowanych może dostosować usługę PIM w swojej organizacji firmy Microsoft Entra, która obejmuje zmianę środowiska użytkownika aktywowania kwalifikującego się przypisania roli:
Zapobiegaj usunięciu wymagań uwierzytelniania wieloskładnikowego firmy Microsoft w celu aktywowania uprzywilejowanego dostępu.
Zapobiegaj pomijaniu uzasadnienia i zatwierdzania uprzywilejowanego dostępu przez złośliwych użytkowników.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Alert dotyczący dodawania zmian do uprawnień uprzywilejowanego konta | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Kategoria = Zarządzanie rolami — i — Typ działania — dodawanie kwalifikującego się elementu członkowskiego (stałego) — i — Typ działania — dodawanie uprawnionego członka (kwalifikującego się) — i — Stan = powodzenie/niepowodzenie — i — Zmodyfikowane właściwości = Role.DisplayName |
Monitoruj i zawsze ostrzegaj o wszelkich zmianach administratora ról uprzywilejowanych i administratora globalnego. Może to oznaczać, że osoba atakująca próbuje uzyskać uprawnienia do modyfikowania ustawień przypisania roli. Jeśli nie masz zdefiniowanego progu, alert dotyczący 4 na 60 minut dla użytkowników i 2 na 60 minut dla kont uprzywilejowanych. Reguły Sigma |
| Alert dotyczący zmian zbiorczego usuwania uprawnień uprzywilejowanego konta | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Kategoria = Zarządzanie rolami — i — Typ działania — usuwanie kwalifikującego się elementu członkowskiego (trwałego) — i — Typ działania — usuwanie uprawnionego członka (kwalifikującego się) — i — Stan = powodzenie/niepowodzenie — i — Zmodyfikowane właściwości = Role.DisplayName |
Zbadaj natychmiast, jeśli nie planowana zmiana. To ustawienie może umożliwić atakującemu dostęp do subskrypcji platformy Azure w danym środowisku. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zmiany ustawień usługi PIM | Wys. | Dziennik inspekcji firmy Microsoft Entra | Usługa = PIM — i — Kategoria = Zarządzanie rolami — i — Typ działania = aktualizowanie ustawienia roli w usłudze PIM — i — Przyczyna stanu = uwierzytelnianie wieloskładnikowe w przypadku wyłączenia aktywacji (przykład) |
Monitoruj i zawsze ostrzegaj o wszelkich zmianach administratora ról uprzywilejowanych i administratora globalnego. Może to wskazywać, że osoba atakująca ma dostęp do modyfikowania ustawień przypisania roli. Jedna z tych akcji może zmniejszyć bezpieczeństwo podniesienia uprawnień usługi PIM i ułatwić osobom atakującym uzyskanie uprzywilejowanego konta. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zatwierdzenia i odmowa podniesienia uprawnień | Wys. | Dziennik inspekcji firmy Microsoft Entra | Usługa = Przegląd dostępu — i — Kategoria = UserManagement — i — Typ działania = Żądanie zatwierdzone/odrzucone — i — Zainicjowany aktor = NAZWA UPN |
Wszystkie wysokości powinny być monitorowane. Zarejestruj wszystkie podniesienia uprawnień, aby jasno wskazać oś czasu ataku. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Ustawienie alertu zmienia się na wyłączone. | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Usługa =PIM — i — Kategoria = Zarządzanie rolami — i — Typ działania = Wyłączanie alertu PIM — i — Stan = Powodzenie /Niepowodzenie |
Zawsze ostrzegaj. Pomaga wykrywać złego aktora usuwanie alertów skojarzonych z wymaganiami uwierzytelniania wieloskładnikowego firmy Microsoft w celu aktywowania dostępu uprzywilejowanego. Pomaga wykrywać podejrzane lub niebezpieczne działania. Szablon usługi Microsoft Sentinel Reguły Sigma |
Aby uzyskać więcej informacji na temat identyfikowania zmian ustawień ról w dzienniku inspekcji firmy Microsoft Entra, zobacz Wyświetlanie historii inspekcji ról firmy Microsoft Entra w usłudze Privileged Identity Management.
Przypisanie roli zasobów platformy Azure
Monitorowanie przypisań ról zasobów platformy Azure umożliwia wgląd w działania i aktywacje dla ról zasobów. Te przypisania mogą być niewłaściwie wykorzystywane w celu utworzenia obszaru podatnego na ataki na zasób. Podczas monitorowania tego typu działań próbujesz wykryć:
Wykonywanie zapytań dotyczących przypisań ról w określonych zasobach
Przypisania ról dla wszystkich zasobów podrzędnych
Wszystkie aktywne i kwalifikujące się zmiany przypisania roli
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Inspekcja dziennika inspekcji zasobów alertu dla działań konta uprzywilejowanego | Wys. | W usłudze PIM w obszarze Zasoby platformy Azure inspekcja zasobów | Akcja: Dodawanie uprawnionego członka do roli w usłudze PIM ukończono (ograniczenie czasu) — i — Podstawowy element docelowy — i — Wpisz użytkownika — i — Stan = Powodzenie |
Zawsze ostrzegaj. Pomaga wykrywać nieprawidłowe aktory dodające kwalifikujące się role, aby zarządzać wszystkimi zasobami na platformie Azure. |
| Inspekcja inspekcji inspekcji zasobów alertu w celu wyłączenia alertu | Śred. | W usłudze PIM w obszarze Zasoby platformy Azure inspekcja zasobów | Akcja: Wyłączanie alertu — i — Cel podstawowy: zbyt wielu właścicieli przypisanych do zasobu — i — Stan = Powodzenie |
Pomaga wykrywać nieprawidłowe działanie wyłączające alerty w okienku Alerty, co może pominąć badane złośliwe działanie |
| Inspekcja inspekcji inspekcji zasobów alertu w celu wyłączenia alertu | Śred. | W usłudze PIM w obszarze Zasoby platformy Azure inspekcja zasobów | Akcja: Wyłączanie alertu — i — Podstawowy cel: zbyt wielu stałych właścicieli przypisanych do zasobu — i — Stan = Powodzenie |
Zapobiegaj wyłączeniu alertów przez złego aktora w okienku Alerty, które mogą pomijać badane złośliwe działanie |
| Inspekcja inspekcji inspekcji zasobów alertu w celu wyłączenia alertu | Śred. | W usłudze PIM w obszarze Zasoby platformy Azure inspekcja zasobów | Akcja: Wyłączanie alertu — i — Utworzono podstawową rolę zduplikowaną docelową — i — Stan = Powodzenie |
Uniemożliwianie nieprawidłowemu aktorowi wyłączenia alertów w okienku Alerty, które może pominąć badane złośliwe działanie |
Aby uzyskać więcej informacji na temat konfigurowania alertów i inspekcji ról zasobów platformy Azure, zobacz:
Zarządzanie dostępem dla zasobów i subskrypcji platformy Azure
Użytkownicy lub członkowie grupy przypisyli role subskrypcji Właściciel lub Administrator dostępu użytkowników, a administratorzy globalni firmy Microsoft Entra, którzy domyślnie włączyli zarządzanie subskrypcjami w usłudze Microsoft Entra ID, mają uprawnienia administratora zasobów. Administratorzy przypisują role, konfigurują ustawienia roli i przeglądają dostęp przy użyciu usługi Privileged Identity Management (PIM) dla zasobów platformy Azure.
Użytkownik mający uprawnienia administratora zasobów może zarządzać usługą PIM for Resources. Monitoruj i ograniczaj to ryzyko: możliwość może służyć do zezwalania złych podmiotów na uprzywilejowany dostęp do zasobów subskrypcji platformy Azure, takich jak maszyny wirtualne lub konta magazynu.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Elewacje | Wys. | Microsoft Entra ID, w obszarze Zarządzanie, Właściwości | Okresowo przeglądaj ustawienie. Zarządzanie dostępem dla zasobów platformy Azure |
Administratorzy globalni mogą podnieść poziom, włączając zarządzanie dostępem dla zasobów platformy Azure. Sprawdź, czy źli aktorzy nie uzyskali uprawnień do przypisywania ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z usługą Active Directory. |
Aby uzyskać więcej informacji, zobacz Przypisywanie ról zasobów platformy Azure w usłudze Privileged Identity Management
Następne kroki
Omówienie operacji zabezpieczeń firmy Microsoft Entra
Operacje zabezpieczeń dla kont użytkowników
Operacje zabezpieczeń dla kont konsumentów
Operacje zabezpieczeń dla kont uprzywilejowanych
Operacje zabezpieczeń dla aplikacji