Поделиться через


Руководство по операциям безопасности Microsoft Entra

Корпорация Майкрософт предлагает работающий и зарекомендовавший себя подход к защите по модели "Никому не доверяй" с использованием принципов углубленной защиты, которые применяют удостоверение в качестве уровня управления. Организации продолжают внедрять гибридные рабочие нагрузки, чтобы обеспечить большой масштаб, экономию и безопасность. Идентификатор Microsoft Entra играет ключевую роль в стратегии управления удостоверениями. В последнее время новости, касающиеся удостоверений и нарушений функционирования системы безопасности, все чаще заставляют ИТ-отделы корпораций рассматривать состояние безопасности удостоверений как показатель успеха оборонительной безопасности.

Все больше организаций вынуждено использовать комбинацию локальных и облачных приложений, доступ к которым пользователи получают с помощью как локальных, так и облачных учетных записей. Управление пользователями, приложениями и устройствами и в локальной среде, и в облаке — непростая задача.

Интеграция локальных каталогов с Azure Active Directory

Идентификатор Microsoft Entra создает общее удостоверение пользователя для проверки подлинности и авторизации для всех ресурсов независимо от расположения. Это называется гибридной идентификацией.

Для достижения гибридного удостоверения с помощью идентификатора Microsoft Entra можно использовать один из трех методов проверки подлинности в зависимости от ваших сценариев. Доступны следующие методы:

При аудите текущих операций безопасности или установке операций безопасности для среды Azure рекомендуется выполнить следующие действия.

  • Ознакомиться с конкретными частями руководства по безопасности Майкрософт, чтобы овладеть базовыми сведениями о защите облачной или гибридной среды Azure.
  • Провести аудит стратегии использования учетных записей и паролей, а также методов проверки подлинности для противодействия наиболее распространенным векторам атаки.
  • Создать стратегию непрерывного мониторинга и оповещения о действиях, которые могут указывать на угрозу безопасности.

Аудитория

Руководство По Microsoft Entra SecOps предназначено для корпоративных ит-удостоверений и групп операций безопасности и управляемых поставщиков служб, которые должны противостоять угрозам с помощью более эффективной конфигурации безопасности удостоверений и профилей мониторинга. Это руководство особенно актуально для ИТ-администраторов и архитекторов удостоверений, которые консультируют команды центра информационной безопасности по защите и тестированию на проникновение на предмет улучшения и поддержания состояния безопасности удостоверений.

Область

Это введение содержит рекомендации по аудиту паролей и стратегии работы с ними. В этой статье также представлен обзор средств, доступных для гибридных сред Azure, и полностью облачных сред Azure. Наконец, мы предоставляем список источников данных, которые можно использовать для мониторинга и оповещения, а также для настройки стратегии и среды управления сведениями о безопасности и событиями безопасности (SIEM). В остальной части руководства представлены стратегии мониторинга и оповещения в следующих областях.

  • Учетные записи пользователей. Рекомендации по непривилегированным учетным записям пользователей без прав администратора, в том числе по аномальному созданию и использованию учетной записи, а также необычных входах в систему.

  • Привилегированные учетные записи. Рекомендации по привилегированным учетным записям пользователей, которые имеют повышенные права для выполнения административных задач. К задачам относятся назначения ролей Microsoft Entra, назначения ролей ресурсов Azure и управление доступом для ресурсов и подписок Azure.

  • Управление привилегированными пользователями (PIM). Рекомендации по использованию PIM для управления доступом к ресурсам, а также для его контроля и мониторинга.

  • Приложения. Рекомендации по учетным записям, используемым для аутентификации в приложениях.

  • Устройства. Рекомендации по мониторингу и оповещению для устройств, зарегистрированных или присоединенных за пределами политик, информация по несоответствующему использованию, управлению ролями администрирования устройств и входами на виртуальные машины.

  • Инфраструктура. Рекомендации по мониторингу угроз для гибридных и исключительно облачных сред и по оповещениям для них.

Важные справочные материалы

Корпорация Майкрософт предлагает множество продуктов и услуг, которые позволяют настроить ИТ-среду в соответствии с вашими потребностями. Мы рекомендуем изучить следующие рекомендации для операционной среды:

Источники данных

Для исследования и мониторинга используйте файлы журнала:

В портал Azure можно просмотреть журналы аудита Microsoft Entra. Вы можете скачать журналы в виде файлов CSV (с разделенными запятыми значениями) или файлов JSON. В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:

  • Microsoft Sentinel включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).

  • Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.

  • Azure Monitor — включает автоматизированный мониторинг и оповещения по разным условиям. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.

  • Центры событий Azure, интегрированные с SIEM. Журналы Microsoft Entra можно интегрировать с другими SIEMs, такими как Splunk, ArcSight, QRadar и Sumo Logic с помощью интеграции Центры событий Azure. Дополнительные сведения см. в журналах Microsoft Entra Stream в концентратор событий Azure.

  • Microsoft Defender для облачных приложений — позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои облачные приложения на соответствие требованиям.

  • Защита удостоверений рабочей нагрузки с помощью Защита идентификации Microsoft Entra. Используется для обнаружения риска для удостоверений рабочей нагрузки в поведении входа и автономных индикаторах компрометации.

Большая часть того, что вы будете отслеживать и оповещать, — это эффекты действия политик условного доступа. Используйте книгу аналитических данных и отчетов для условного доступа для проверки влияния одной или нескольких политик условного доступа на входы, а также результатов применения политик, включая состояние устройств. Эта книга позволяет просматривать сводку по влиянию и выявляет влияние за определенный период времени. Кроме того, книгу можно использовать для исследования попыток входа конкретного пользователя. Дополнительные сведения см. в статье Аналитика и отчеты условного доступа.

В оставшейся части этой статьи описывается, для чего мы рекомендуем реализовать мониторинг и создание оповещений. Если существуют конкретные готовые решения, мы приводим ссылки на них или предоставляем примеры после таблицы. В противном случае можно создавать оповещения с помощью предыдущих средств.

  • Защита идентификаторов создает три ключевых отчета, которые можно использовать для изучения:

  • Рискованные пользователи — содержит сведения о том, какие пользователи подвергаются риску, сведения об обнаружении, журнал всех рискованных входов и журнал рисков.

  • Рискованные входы — содержит сведения, связанные с условиями входа, которые могут указывать на подозрительные обстоятельства. Дополнительные сведения об исследовании информации из этого отчета см. в статье Практическое руководство. Анализ риска.

  • Обнаружения рисков содержат сведения о сигналах риска, обнаруженных Защита идентификации Microsoft Entra, которые сообщают о входе и риске пользователя. Дополнительные сведения см. в руководстве по операциям безопасности Microsoft Entra для учетных записей пользователей.

Дополнительные сведения см. в разделе "Что такое Защита идентификации Microsoft Entra".

Источники данных для наблюдения за контроллерами домена

Для достижения наилучших результатов рекомендуется наблюдать за контроллерами домена с помощью Microsoft Defender для удостоверений. Этот подход обеспечивает доступ к наилучшим возможностям обнаружения и автоматизации. Воспользуйтесь рекомендациями из таких ресурсов:

Если вы не планируете использовать Microsoft Defender для удостоверений, обеспечьте мониторинг контроллеров доменов одним из следующих способов:

Компоненты гибридной проверки подлинности

В рамках гибридной среды Azure следующие компоненты необходимо добавить в число базовых показателей и включить в стратегию мониторинга и оповещения.

  • Агент PTA — агент сквозной проверки подлинности используется для включения сквозной проверки подлинности и устанавливается в локальной среде. Сведения о проверке версии и дальнейших шагах см . в агенте сквозной проверки подлинности Microsoft Entra: журнал выпусков версий агента.

  • AD FS/WAP — службы федерации Active Directory (AD FS) (Azure AD FS) и прокси-сервер веб-приложения (WAP) обеспечивают безопасный общий доступ к цифровым удостоверениям и правам прав на права в пределах безопасности и корпоративных границ. Сведения о рекомендациях по обеспечению безопасности см. в статье Рекомендации по защите служб федерации Active Directory (AD FS).

  • Microsoft Entra Connect Health Agent — агент , используемый для предоставления связи для Microsoft Entra Connect Health. Дополнительные сведения об установке агента см. в статье microsoft Entra Connect Health agent.

  • Модуль синхронизации Microsoft Entra Connect — локальный компонент, также называемый подсистемой синхронизации. Дополнительные сведения о функции см. в разделе "Функции службы синхронизации Microsoft Entra Connect".

  • Агент контроллера домена для защиты паролем — агент контроллера домена для защиты паролем Azure помогает организовать мониторинг и создание отчетов по сообщениям журнала событий. Дополнительные сведения см. в разделе "Принудительное применение локальной защиты паролей Microsoft Entra" для служб домен Active Directory.

  • Библиотека DLL фильтра паролей — библиотека DLL фильтра паролей агента контроллера домена получает запросы проверки пароля пользователя от операционной системы. Фильтр перенаправляет их в службу агента контроллера домена, которая работает локально на контроллере домена. Сведения об использовании библиотеки DLL см. в статье "Принудительное применение локальной защиты паролей Microsoft Entra Password Protection для служб домен Active Directory".

  • Агент обратной записи паролей — обратная запись паролей — это функция, включенная в Microsoft Entra Connect , которая позволяет записывать изменения паролей в облаке в существующий локальный каталог в режиме реального времени. Дополнительные сведения об этой функции см. в разделе "Как работает обратная запись самостоятельного сброса пароля" в идентификаторе Microsoft Entra.

  • Соединитель частной сети Microsoft Entra — упрощенные агенты, которые сидят в локальной среде и упрощают исходящее подключение к службе прокси приложения. Дополнительные сведения см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".

Компоненты облачной проверки подлинности

В рамках облачной среды Azure следующие компоненты необходимо добавить в число базовых показателей и включить в стратегию мониторинга и оповещения.

  • Прокси приложения Microsoft Entra — эта облачная служба обеспечивает безопасный удаленный доступ к локальным веб-приложениям. Дополнительные сведения см. в статье "Удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra".

  • Microsoft Entra Connect — службы, используемые для решения Microsoft Entra Connect . Дополнительные сведения см. в разделе "Что такое Microsoft Entra Connect".

  • Microsoft Entra Connect Health — работоспособность служб предоставляет настраиваемую панель мониторинга, которая отслеживает работоспособность служб Azure в регионах, где они используются. Дополнительные сведения см. в разделе Microsoft Entra Connect Health.

  • Многофакторная проверка подлинности Microsoft Entra — многофакторная проверка подлинности требует, чтобы пользователь предоставил несколько форм проверки подлинности. Такой подход обеспечивает упреждающие первые шаги по защите среды. Дополнительные сведения см. в разделе Многофакторная проверка подлинности Microsoft Entra.

  • Динамические группы — динамическая конфигурация членства в группах безопасности для администраторов Microsoft Entra может задавать правила для заполнения групп, созданных в идентификаторе Microsoft Entra на основе атрибутов пользователей. Дополнительные сведения см. в разделе "Динамические группы" и совместной работы Microsoft Entra B2B.

  • Условный доступ — условный доступ — это средство, используемое идентификатором Microsoft Entra ID для объединения сигналов, принятия решений и применения политик организации. Условный доступ становится новой основой для уровня управления, управляемого удостоверениями. Дополнительные сведения см. в разделе Что такое условный доступ.

  • Защита идентификации Microsoft Entra — средство, позволяющее организациям автоматизировать обнаружение и исправление рисков на основе удостоверений, исследовать риски с помощью данных на портале и экспортировать данные обнаружения рисков в SIEM. Дополнительные сведения см. в разделе "Что такое Защита идентификации Microsoft Entra".

  • Лицензирование на основе групп — лицензии можно назначать группам, а не напрямую пользователям. Идентификатор Microsoft Entra хранит сведения о состояниях назначения лицензий для пользователей.

  • Служба подготовки — отвечает за создание удостоверений и ролей пользователей в облачных приложениях, к которым пользователям требуется доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Дополнительные сведения см. в статье о работе подготовки приложений в идентификаторе Microsoft Entra.

  • API Microsoft Graph — это веб-API RESTful, который позволяет получать доступ к ресурсам службы Microsoft Cloud. После регистрации приложения и получения токена проверки подлинности для пользователя или службы можно выполнять запросы к API Microsoft Graph. Дополнительные сведения см. в статье Обзор Microsoft Graph.

  • Доменная служба — доменные службы Microsoft Entra (AD DS) предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика. Дополнительные сведения см. в разделе "Что такое доменные службы Microsoft Entra".

  • Azure Resource Manager — это служба развертывания и управления для Azure. Она обеспечивает уровень управления для создания, обновления и удаления ресурсов в учетной записи Azure. Дополнительные сведения см. в статье Azure Resource Manager.

  • Управляемые удостоверения позволяют разработчикам обойтись без управления учетными данными. Управляемые удостоверения предоставляют удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?.

  • управление привилегированными пользователями . PIM — это служба в идентификаторе Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. Дополнительные сведения см. в статье "Что такое Microsoft Entra управление привилегированными пользователями".

  • Проверки доступа . Проверки доступа Microsoft Entra позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ. Дополнительные сведения см. в разделе "Что такое проверки доступа Microsoft Entra".

  • Управление правами . Управление правами Microsoft Entra — это функция управления удостоверениями . Организации могут управлять жизненным циклом удостоверений и доступа в большом масштабе, автоматизировав рабочие процессы запросов на доступ, назначения доступа, проверки и обработку завершения срока действия. Дополнительные сведения см. в разделе "Что такое управление правами Microsoft Entra".

  • Журналы действий — журнал действий в Azure выполняет роль платформы журналов, которая предоставляет аналитические сведения о событиях уровня подписки. Этот журнал включает информацию о том, когда ресурс был изменен или когда была запущена виртуальная машина. Дополнительные сведения см. в разделе Журнал действий Azure.

  • Служба самостоятельного сброса пароля . Microsoft Entra самообслуживания сброс пароля (SSPR) дает пользователям возможность изменять или сбрасывать пароль. При этом не требуется помощь администратора или службы технической поддержки. Дополнительные сведения см. в статье о том, как это работает: самостоятельный сброс пароля Microsoft Entra.

  • Службы устройств — управление удостоверениями устройств лежит в основе условного доступа на основе устройств. Используя политику условного доступа на основе устройств, можно разрешать доступ к ресурсам в своей среде только управляемым устройствам. Дополнительные сведения см. в статье Что такое удостоверение устройства?.

  • Самостоятельное управление группами . Вы можете разрешить пользователям создавать собственные группы безопасности или группы Microsoft 365 в идентификаторе Microsoft Entra ID и управлять ими. Владелец группы может утверждать или отклонять запросы на членство, а также делегировать управление членством в группе. Функции самостоятельного управления группами недоступны для групп безопасности и списков рассылки с поддержкой электронной почты. Дополнительные сведения см. в разделе "Настройка самостоятельного управления группами" в идентификаторе Microsoft Entra ID.

  • Обнаружение рисков — содержит сведения о прочих рисках, регистрируемые при обнаружении риска, и другие соответствующие сведения, такие как расположение входа и другие данные из Microsoft Defender для облачных приложений.

Следующие шаги

См. следующие статьи с указаниями по обеспечению безопасности.

Операции безопасности для учетных записей пользователей

Операции безопасности для учетных записей потребителей

Операции безопасности для привилегированных учетных записей

Операции по обеспечению безопасности службы Azure Active Directory Privileged Identity Management

Операции безопасности для приложений

Операции безопасности для устройств

Операции безопасности для инфраструктуры