Guide för Microsoft Entra-säkerhetsåtgärder

Microsoft har en framgångsrik och beprövad metod för att Nolltillit säkerhet med hjälp av principer för skydd i djup som använder identitet som kontrollplan. Organisationer fortsätter att använda en hybridarbetsbelastningsvärld för skalning, kostnadsbesparingar och säkerhet. Microsoft Entra ID spelar en central roll i din strategi för identitetshantering. Nyligen har nyheter kring identitets- och säkerhetskompromisser i allt högre grad fått företagets IT att betrakta sin identitetssäkerhetsstatus som ett mått på defensiv säkerhetsframgång.

Organisationer måste i allt högre grad ta till sig en blandning av lokala program och molnprogram, som användarna får åtkomst till med både lokala och endast molnbaserade konton. Att hantera användare, program och enheter både lokalt och i molnet innebär utmanande scenarier.

Hybrididentitet

Microsoft Entra-ID skapar en gemensam användaridentitet för autentisering och auktorisering för alla resurser, oavsett plats. Vi kallar det för hybrididentitet.

För att uppnå hybrididentitet med Microsoft Entra-ID kan en av tre autentiseringsmetoder användas, beroende på dina scenarier. De tre metoderna är:

• Synkronisering av lösenordshash (PHS)
• Direktautentisering (PTA)
• Federation (AD FS)

När du granskar dina aktuella säkerhetsåtgärder eller upprättar säkerhetsåtgärder för din Azure-miljö rekommenderar vi att du:

• Läs specifika delar av Microsofts säkerhetsvägledning för att upprätta en baslinje för kunskap om hur du skyddar din molnbaserade eller hybridbaserade Azure-miljö.
• Granska dina metoder för konto- och lösenordsstrategi och autentisering för att avskräcka från de vanligaste attackvektorerna.
• Skapa en strategi för kontinuerlig övervakning och aviseringar om aktiviteter som kan tyda på ett säkerhetshot.

Målgrupp

Microsoft Entra SecOps-guiden är avsedd för företagets IT-identitets- och säkerhetsteam och hanterade tjänstleverantörer som behöver motverka hot genom bättre identitetssäkerhetskonfiguration och övervakningsprofiler. Den här guiden är särskilt relevant för IT-administratörer och identitetsarkitekter som ger råd till säkerhets- och penetrationstestteamen i Security Operations Center (SOC) för att förbättra och upprätthålla sin identitetssäkerhetsstatus.

Omfattning

Den här introduktionen innehåller de föreslagna rekommendationerna för förläsning och lösenordsgranskning och strategi. Den här artikeln innehåller också en översikt över de verktyg som är tillgängliga för Azure-hybridmiljöer och helt molnbaserade Azure-miljöer. Slutligen tillhandahåller vi en lista över datakällor som du kan använda för att övervaka och avisera och konfigurera din strategi och miljö för säkerhetsinformation och händelsehantering (SIEM). Resten av vägledningen visar övervaknings- och aviseringsstrategier inom följande områden:

• Användarkonton. Vägledning som är specifik för icke-privilegierade användarkonton utan administratörsbehörighet, inklusive skapande och användning av avvikande konton och ovanliga inloggningar.

• Privilegierade konton. Vägledning som är specifik för privilegierade användarkonton som har utökade behörigheter för att utföra administrativa uppgifter. Uppgifter omfattar Microsoft Entra-rolltilldelningar, Tilldelningar av Azure-resursroller och åtkomsthantering för Azure-resurser och prenumerationer.

• Privileged Identity Management (PIM). Vägledning som är specifik för att använda PIM för att hantera, kontrollera och övervaka åtkomst till resurser.

• Program. Vägledning som är specifik för konton som används för att tillhandahålla autentisering för program.

• Enheter. Vägledning som är specifik för övervakning och aviseringar för enheter som är registrerade eller anslutna utanför principer, icke-kompatibel användning, hantering av enhetsadministrationsroller och inloggningar till virtuella datorer.

• Infrastruktur. Vägledning som är specifik för övervakning och aviseringar om hot mot hybridmiljöer och rent molnbaserade miljöer.

Viktigt referensinnehåll

Microsoft har många produkter och tjänster som gör att du kan anpassa DIN IT-miljö efter dina behov. Vi rekommenderar att du läser följande vägledning för din driftsmiljö:

• Windows-operativsystem

  • Säkerhetsbaslinje (FINAL) för Windows 10 v1909 och Windows Server v1909
  • Säkerhetsbaslinje för Windows 11
  • Säkerhetsbaslinje för Windows Server 2022

• Lokala miljöer

  • Microsoft Defender för identitetsarkitektur
  • Snabbstart för att ansluta Microsoft Defender för identitet till Active Directory
  • Azure-säkerhetsbaslinje för Microsoft Defender för identitet
  • Övervaka Active Directory för tecken på kompromisser

• Molnbaserade Azure-miljöer

  • Övervaka inloggningar med Inloggningsloggen för Microsoft Entra
  • Granska aktivitetsrapporter i Azure Portal
  • Undersöka risker med Microsoft Entra ID Protection
  • Ansluta Microsoft Entra ID Protection-data till Microsoft Sentinel

• Active Directory-domän Services (AD DS)

  • Rekommendationer för granskningsprincip

• Active Directory Federation Services (AD FS)

  • AD FS-felsökning – Granskningshändelser och loggning

Datakällor

Loggfilerna som du använder för undersökning och övervakning är:

• Microsoft Entra-granskningsloggar
• Inloggningsloggar
• Microsoft 365-granskningsloggar
• Azure Key Vault-loggar

Från Azure Portal kan du visa Microsoft Entra-granskningsloggarna. Ladda ned loggar som kommaavgränsade filer (CSV) eller JSON-filer (JavaScript Object Notation). Azure Portal har flera sätt att integrera Microsoft Entra-loggar med andra verktyg som möjliggör större automatisering av övervakning och aviseringar:

• Microsoft Sentinel – Möjliggör intelligent säkerhetsanalys på företagsnivå genom att tillhandahålla siem-funktioner (säkerhetsinformation och händelsehantering).

• Sigma-regler – Sigma är en utvecklande öppen standard för att skriva regler och mallar som automatiserade hanteringsverktyg kan använda för att parsa loggfiler. Där Sigma-mallar finns för våra rekommenderade sökvillkor har vi lagt till en länk till Sigma-lagringsplatsen. Sigma-mallarna är inte skrivna, testade och hanterade av Microsoft. Lagringsplatsen och mallarna skapas och samlas i stället in av den globala IT-säkerhetscommunityn.

• Azure Monitor – Möjliggör automatisk övervakning och avisering av olika villkor. Kan skapa eller använda arbetsböcker för att kombinera data från olika källor.

• Azure Event Hubs integrerat med en SIEM. Microsoft Entra-loggar kan integreras med andra SIEM:er som Splunk, ArcSight, QRadar och Sumo Logic via Azure Event Hubs-integreringen. Mer information finns i Strömma Microsoft Entra-loggar till en Azure-händelsehubb.

• Microsoft Defender för molnet-appar – Gör att du kan identifiera och hantera appar, styra mellan appar och resurser och kontrollera efterlevnaden för dina molnappar.

• Skydda arbetsbelastningsidentiteter med Microsoft Entra ID Protection – Används för att identifiera risker för arbetsbelastningsidentiteter för inloggningsbeteende och offlineindikatorer för kompromisser.

Mycket av det du kommer att övervaka och varna för är effekterna av dina principer för villkorsstyrd åtkomst. Du kan använda insikter om villkorlig åtkomst och rapporteringsarbetsbok för att undersöka effekterna av en eller flera principer för villkorsstyrd åtkomst på dina inloggningar och resultatet av principer, inklusive enhetstillstånd. Med den här arbetsboken kan du visa en sammanfattning av påverkan och identifiera effekten under en viss tidsperiod. Du kan också använda arbetsboken för att undersöka inloggningar för en viss användare. Mer information finns i Insikter och rapportering om villkorsstyrd åtkomst.

Resten av den här artikeln beskriver vad du ska övervaka och avisera om. Där det finns specifika fördefinierade lösningar länkar vi till dem eller tillhandahåller exempel som följer tabellen. Annars kan du skapa aviseringar med hjälp av föregående verktyg.

• ID Protection genererar tre viktiga rapporter som du kan använda för att hjälpa dig med din undersökning:

• Riskfyllda användare innehåller information om vilka användare som är i riskzonen, information om identifieringar, historik för alla riskfyllda inloggningar och riskhistorik.

• Riskfyllda inloggningar innehåller information om omständigheterna för en inloggning som kan tyda på misstänkta omständigheter. Mer information om hur du undersöker information från den här rapporten finns i Så här: Undersöka risker.

• Riskidentifieringar innehåller information om risksignaler som identifierats av Microsoft Entra ID Protection som informerar inloggning och användarrisk. Mer information finns i Säkerhetsåtgärdsguiden för Microsoft Entra för användarkonton.

Mer information finns i Vad är Microsoft Entra ID Protection.

Datakällor för övervakning av domänkontrollanter

För bästa resultat rekommenderar vi att du övervakar dina domänkontrollanter med hjälp av Microsoft Defender för identitet. Den här metoden möjliggör bästa möjliga identifierings- och automatiseringsfunktioner. Följ riktlinjerna från dessa resurser:

• Microsoft Defender för identitetsarkitektur
• Snabbstart för att ansluta Microsoft Defender för identitet till Active Directory

Om du inte planerar att använda Microsoft Defender för identitet övervakar du domänkontrollanterna med någon av följande metoder:

• Händelseloggmeddelanden. Se Övervaka Active Directory för tecken på kompromisser.
• PowerShell-cmdletar. Se Felsöka distribution av domänkontrollant.

Komponenter i hybridautentisering

Som en del av en Azure-hybridmiljö bör följande objekt vara baslinjebaserade och inkluderas i din övervaknings- och aviseringsstrategi.

• PTA-agent – Direktautentiseringsagenten används för att aktivera direktautentisering och installeras lokalt. Mer information om hur du verifierar agentversionen och nästa steg finns i Microsoft Entra-direktautentiseringsagenten: Versionshistorik .

• AD FS/WAP – Active Directory Federation Services (AD FS) (Azure AD FS) och Web Programproxy (WAP) möjliggör säker delning av digitala identitets- och rättighetsrättigheter över dina säkerhets- och företagsgränser. Information om metodtips för säkerhet finns i Metodtips för att skydda Active Directory Federation Services (AD FS).

• Microsoft Entra Connect Health Agent – agenten som används för att tillhandahålla en kommunikationslänk för Microsoft Entra Connect Health. Information om hur du installerar agenten finns i Microsoft Entra Connect Health-agentinstallation.

• Microsoft Entra Connect Sync Engine – den lokala komponenten, även kallad synkroniseringsmotorn. Information om funktionen finns i Microsoft Entra Connect Sync-tjänstfunktioner.

• Dc-agent för lösenordsskydd – Dc-agenten för Azure-lösenordsskydd används för att övervaka och rapportera händelseloggmeddelanden. Mer information finns i Framtvinga lokalt Microsoft Entra-lösenordsskydd för Active Directory-domän-tjänster.

• DLL för lösenordsfilter – DLL för lösenordsfiltret för DC-agenten tar emot begäranden om lösenordsverifiering från operativsystemet. Filtret vidarebefordrar dem till dc-agenttjänsten som körs lokalt på domänkontrollanten. Information om hur du använder DLL finns i Framtvinga lokalt Microsoft Entra-lösenordsskydd för Active Directory-domän-tjänster.

• Tillbakaskrivning av lösenord – Tillbakaskrivning av lösenord är en funktion som är aktiverad med Microsoft Entra Connect som gör att lösenordsändringar i molnet kan skrivas tillbaka till en befintlig lokal katalog i realtid. Mer information om den här funktionen finns i How does self-service password reset writeback work in Microsoft Entra ID .

• Microsoft Entra private network connector – Lightweight-agenter som sitter lokalt och underlättar utgående anslutning till Programproxy-tjänsten. Mer information finns i Förstå anslutningsprogram för privata Microsoft Entra-nätverk.

Komponenter i molnbaserad autentisering

Som en del av en molnbaserad Azure-miljö bör följande objekt vara baslinjebaserade och inkluderas i din övervaknings- och aviseringsstrategi.

• Microsoft Entra-programproxy – Den här molntjänsten ger säker fjärråtkomst till lokala webbprogram. Mer information finns i Fjärråtkomst till lokala program via Microsoft Entra-programproxy.

• Microsoft Entra Connect – Tjänster som används för en Microsoft Entra Connect-lösning. Mer information finns i Vad är Microsoft Entra Connect.

• Microsoft Entra Connect Health – Service Health ger dig en anpassningsbar instrumentpanel som spårar hälsotillståndet för dina Azure-tjänster i de regioner där du använder dem. Mer information finns i Microsoft Entra Connect Health.

• Microsoft Entra multifaktorautentisering – multifaktorautentisering kräver att en användare tillhandahåller mer än en form av bevis för autentisering. Den här metoden kan vara ett proaktivt första steg för att skydda din miljö. Mer information finns i Microsoft Entra multifaktorautentisering.

• Dynamiska grupper – Dynamisk konfiguration av medlemskap i säkerhetsgrupper för Microsoft Entra-administratörer kan ange regler för att fylla i grupper som skapas i Microsoft Entra-ID baserat på användarattribut. Mer information finns i Dynamiska grupper och Microsoft Entra B2B-samarbete.

• Villkorlig åtkomst – villkorsstyrd åtkomst är det verktyg som används av Microsoft Entra-ID för att samla signaler, fatta beslut och tillämpa organisationsprinciper. Villkorlig åtkomst är kärnan i det nya identitetsdrivna kontrollplanet. Mer information finns i Vad är villkorlig åtkomst.

• Microsoft Entra ID Protection – ett verktyg som gör det möjligt för organisationer att automatisera identifiering och reparation av identitetsbaserade risker, undersöka risker med hjälp av data i portalen och exportera riskidentifieringsdata till SIEM. Mer information finns i Vad är Microsoft Entra ID Protection.

• Gruppbaserad licensiering – Licenser kan tilldelas till grupper i stället för direkt till användare. Microsoft Entra ID lagrar information om licenstilldelningstillstånd för användare.

• Etableringstjänst – Etablering syftar på att skapa användaridentiteter och roller i de molnprogram som användarna behöver åtkomst till. Förutom att skapa användaridentiteter inkluderar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras. Mer information finns i Så här fungerar programetablering i Microsoft Entra-ID.

• Graph API – Microsoft Graph API är ett RESTful-webb-API som gör att du kan komma åt Microsoft Cloud-tjänstresurser. När du har registrerat din app och hämtat autentiseringstoken för en användare eller tjänst kan du göra begäranden till Microsoft Graph-API:et. Mer information finns i Översikt över Microsoft Graph.

• Domäntjänst – Microsoft Entra Domain Services (AD DS) tillhandahåller hanterade domäntjänster som domänanslutning, grupprincip. Mer information finns i Vad är Microsoft Entra Domain Services.

• Azure Resource Manager – Azure Resource Manager är distributions- och hanteringstjänsten för Azure. Den ger dig ett hanteringslager där du kan skapa, uppdatera och ta bort resurser i ditt Azure-konto. Mer information finns i Vad är Azure Resource Manager.

• Hanterad identitet – Hanterade identiteter eliminerar behovet av att utvecklare hanterar autentiseringsuppgifter. Hanterade identiteter tillhandahåller en identitet som program kan använda när de ansluter till resurser som stöder Microsoft Entra-autentisering. Mer information finns i Vad är hanterade identiteter för Azure-resurser.

• Privileged Identity Management – PIM är en tjänst i Microsoft Entra-ID som gör att du kan hantera, kontrollera och övervaka åtkomst till viktiga resurser i din organisation. Mer information finns i Vad är Microsoft Entra Privileged Identity Management.

• Åtkomstgranskningar – Microsoft Entra-åtkomstgranskningar gör det möjligt för organisationer att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användarens åtkomst kan granskas regelbundet för att se till att endast rätt personer har fortsatt åtkomst. Mer information finns i Vad är Microsoft Entra-åtkomstgranskningar.

• Berättigandehantering – Microsoft Entra-berättigandehantering är en funktion för identitetsstyrning . Organisationer kan hantera identitets- och åtkomstlivscykeln i stor skala genom att automatisera arbetsflöden för åtkomstbegäran, åtkomsttilldelningar, granskningar och förfallodatum. Mer information finns i Vad är Microsoft Entra-berättigandehantering.

• Aktivitetsloggar – Aktivitetsloggen är en Azure-plattformslogg som ger insikter om händelser på prenumerationsnivå. Den här loggen innehåller sådan information som när en resurs ändras eller när en virtuell dator startas. Mer information finns i Azure-aktivitetsloggen.

• Självbetjäning av tjänsten för lösenordsåterställning – Microsoft Entra självbetjäning av lösenordsåterställning (SSPR) ger användarna möjlighet att ändra eller återställa sitt lösenord. Administratören eller supportavdelningen krävs inte. Mer information finns i How it works: Microsoft Entra self-service password reset (Så här fungerar det): Självbetjäning av lösenordsåterställning i Microsoft Entra.

• Enhetstjänster – Enhetsidentitetshantering är grunden för enhetsbaserad villkorlig åtkomst. Med enhetsbaserade principer för villkorsstyrd åtkomst kan du se till att åtkomst till resurser i din miljö endast är möjlig med hanterade enheter. Mer information finns i Vad är en enhetsidentitet.

• Grupphantering med självbetjäning – Du kan göra det möjligt för användare att skapa och hantera sina egna säkerhetsgrupper eller Microsoft 365-grupper i Microsoft Entra-ID. Gruppens ägare kan godkänna eller neka medlemskapsbegäranden och delegera kontrollen över gruppmedlemskap. Grupphanteringsfunktioner med självbetjäning är inte tillgängliga för e-postaktiverade säkerhetsgrupper eller distributionslistor. Mer information finns i Konfigurera grupphantering med självbetjäning i Microsoft Entra-ID.

• Riskidentifieringar – Innehåller information om andra risker som utlöses när en risk identifieras och annan relevant information, till exempel inloggningsplats och information från Microsoft Defender för molnet Apps.

Nästa steg

Se följande artiklar i guiden för säkerhetsåtgärder:

Säkerhetsåtgärder för användarkonton

Säkerhetsåtgärder för konsumentkonton

Säkerhetsåtgärder för privilegierade konton

Säkerhetsåtgärder för Privileged Identity Management

Säkerhetsåtgärder för program

Säkerhetsåtgärder för enheter

Säkerhetsåtgärder för infrastruktur