Dela via


Microsoft Entra-säkerhetsåtgärder för enheter

Enheter är inte ofta avsedda för identitetsbaserade attacker, men kan användas för att uppfylla och lura säkerhetskontroller, eller för att personifiera användare. Enheter kan ha en av fyra relationer med Microsoft Entra-ID:

Registrerade och anslutna enheter utfärdas en primär uppdateringstoken (PRT), som kan användas som en primär autentiseringsartefakt och i vissa fall som en artefakt för multifaktorautentisering. Angripare kan försöka registrera sina egna enheter, använda PRT på legitima enheter för att komma åt affärsdata, stjäla PRT-baserade token från legitima användarenheter eller hitta felkonfigurationer i enhetsbaserade kontroller i Microsoft Entra-ID. Med Hybridanslutna Microsoft Entra-enheter initieras och kontrolleras anslutningsprocessen av administratörer, vilket minskar de tillgängliga angreppsmetoderna.

Mer information om metoder för enhetsintegrering finns i Choose your integration methods in the article Plan your Microsoft Entra device deployment (Planera din Distribution av Microsoft Entra-enheter).

För att minska risken för att dåliga aktörer attackerar din infrastruktur via enheter övervakar du

  • Enhetsregistrering och Microsoft Entra-anslutning

  • Icke-kompatibla enheter som har åtkomst till program

  • BitLocker-nyckelhämtning

  • Enhetsadministratörsroller

  • Inloggningar till virtuella datorer

Var du ska titta

Loggfilerna som du använder för undersökning och övervakning är:

Från Azure Portal kan du visa Microsoft Entra-granskningsloggarna och ladda ned som kommaavgränsade värdefiler (CSV) eller JSON-filer (JavaScript Object Notation). Azure Portal har flera sätt att integrera Microsoft Entra-loggar med andra verktyg som möjliggör större automatisering av övervakning och aviseringar:

  • Microsoft Sentinel – möjliggör intelligent säkerhetsanalys på företagsnivå genom att tillhandahålla siem-funktioner (säkerhetsinformation och händelsehantering).

  • Sigma-regler – Sigma är en utvecklande öppen standard för att skriva regler och mallar som automatiserade hanteringsverktyg kan använda för att parsa loggfiler. Där Sigma-mallar finns för våra rekommenderade sökvillkor har vi lagt till en länk till Sigma-lagringsplatsen. Sigma-mallarna skrivs, testas och hanteras inte av Microsoft. Lagringsplatsen och mallarna skapas och samlas i stället in av den globala IT-säkerhetscommunityn.

  • Azure Monitor – möjliggör automatisk övervakning och avisering av olika villkor. Kan skapa eller använda arbetsböcker för att kombinera data från olika källor.

  • Azure Event Hubs - integrerat med en SIEM- Microsoft Entra-loggar kan integreras med andra SIEM:er som Splunk, ArcSight, QRadar och Sumo Logic via Azure Event Hubs-integreringen.

  • Microsoft Defender för molnet-appar – gör att du kan identifiera och hantera appar, styra mellan appar och resurser och kontrollera dina molnappars efterlevnad.

  • Skydda arbetsbelastningsidentiteter med Microsoft Entra ID Protection – Används för att identifiera risker för arbetsbelastningsidentiteter för inloggningsbeteende och offlineindikatorer för kompromisser.

Mycket av det du ska övervaka och varna för är effekterna av dina principer för villkorsstyrd åtkomst. Du kan använda insikter om villkorlig åtkomst och rapporteringsarbetsbok för att undersöka effekterna av en eller flera principer för villkorsstyrd åtkomst på dina inloggningar och resultatet av principer inklusive enhetstillstånd. Med den här arbetsboken kan du visa en sammanfattning och identifiera effekterna under en viss tidsperiod. Du kan också använda arbetsboken för att undersöka inloggningar för en viss användare.

Resten av den här artikeln beskriver vad vi rekommenderar att du övervakar och aviserar på, och ordnas efter typ av hot. Där det finns specifika fördefinierade lösningar länkar vi till dem eller tillhandahåller exempel som följer tabellen. Annars kan du skapa aviseringar med hjälp av föregående verktyg.

Enhetsregistreringar och kopplingar utanför principen

Microsoft Entra-registrerade och Microsoft Entra-anslutna enheter har primära uppdateringstoken (PRT), vilket motsvarar en enda autentiseringsfaktor. Dessa enheter kan ibland innehålla starka autentiseringsanspråk. Mer information om när PRT innehåller starka autentiseringsanspråk finns i När får en PRT ett MFA-anspråk? Om du vill hindra dåliga aktörer från att registrera eller ansluta enheter måste du kräva multifaktorautentisering (MFA) för att registrera eller ansluta enheter. Övervaka sedan för alla enheter som är registrerade eller anslutna utan MFA. Du måste också hålla utkik efter ändringar i MFA-inställningar och principer samt principer för enhetsefterlevnad.

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Enhetsregistrering eller anslutning har slutförts utan MFA Medium Inloggningsloggar Aktivitet: lyckad autentisering till enhetsregistreringstjänsten.
och
Ingen MFA krävs
Avisering när: Alla enheter som är registrerade eller anslutna utan MFA
Microsoft Sentinel-mall
Sigma-regler
Ändringar i MFA för enhetsregistrering i Microsoft Entra-ID Högt Granskningslogg Aktivitet: Ange enhetsregistreringsprinciper Leta efter: Växlingsknappen som ställs in på av. Det finns ingen granskningsloggpost. Schemalägg periodiska kontroller.
Sigma-regler
Ändringar av principer för villkorsstyrd åtkomst som kräver domänansluten eller kompatibel enhet. Högt Granskningslogg Ändringar i principer för villkorsstyrd åtkomst
Avisering när: Ändra till en princip som kräver domänansluten eller kompatibel, ändringar av betrodda platser eller konton eller enheter som har lagts till i MFA-principundantag.

Du kan skapa en avisering som meddelar lämpliga administratörer när en enhet är registrerad eller ansluten utan MFA med hjälp av Microsoft Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

Du kan också använda Microsoft Intune för att ange och övervaka enhetsefterlevnadsprinciper.

Inkompatibel enhetsinloggning

Det kanske inte går att blockera åtkomst till alla moln- och program som en tjänst-program med principer för villkorsstyrd åtkomst som kräver kompatibla enheter.

Hantering av mobila enheter (MDM) hjälper dig att hålla Windows 10-enheter kompatibla. Med Windows version 1809 släppte vi en säkerhetsbaslinje för principer. Microsoft Entra-ID kan integreras med MDM för att framtvinga enhetsefterlevnad med företagsprinciper och kan rapportera en enhets efterlevnadsstatus.

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Inloggningar av icke-kompatibla enheter Högt Inloggningsloggar DeviceDetail.isCompliant == false Om du behöver inloggning från kompatibla enheter, avisera när: logga in av icke-kompatibla enheter eller någon åtkomst utan MFA eller en betrodd plats.

Om du arbetar med att kräva enheter övervakar du misstänkta inloggningar.

Sigma-regler

Inloggningar av okända enheter Låg Inloggningsloggar DeviceDetail är tom, enfaktorautentisering eller från en icke-betrodd plats Leta efter: all åtkomst från enheter med bristande efterlevnad, all åtkomst utan MFA eller betrodd plats
Microsoft Sentinel-mall

Sigma-regler

Använda LogAnalytics för att fråga

Inloggningar av icke-kompatibla enheter

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Inloggningar av okända enheter


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Inaktuella enheter

Inaktuella enheter innehåller enheter som inte har loggat in under en angiven tidsperiod. Enheter kan bli inaktuella när en användare får en ny enhet eller förlorar en enhet, eller när en Microsoft Entra-ansluten enhet rensas eller återskapas. Enheter kan också förbli registrerade eller anslutna när användaren inte längre är associerad med klientorganisationen. Inaktuella enheter bör tas bort så att de primära uppdateringstoken (PRT) inte kan användas.

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Senaste inloggningsdatum Låg Graph API approxLastSignInDateTime Använd Graph API eller PowerShell för att identifiera och ta bort inaktuella enheter.

BitLocker-nyckelhämtning

Angripare som har komprometterat en användares enhet kan hämta BitLocker-nycklarna i Microsoft Entra-ID. Det är ovanligt att användare hämtar nycklar och bör övervakas och undersökas.

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Nyckelhämtning Medium Granskningsloggar OperationName == "Read BitLocker key" Leta efter: nyckelhämtning, annat avvikande beteende för användare som hämtar nycklar.
Microsoft Sentinel-mall

Sigma-regler

I LogAnalytics skapar du en fråga, till exempel

AuditLogs
| where OperationName == "Read BitLocker key" 

Enhetsadministratörsroller

Microsoft Entra-ansluten lokal administratör för enheter och globala administratörsroller får automatiskt lokal administratörsbehörighet på alla Microsoft Entra-anslutna enheter. Det är viktigt att övervaka vem som har dessa rättigheter för att skydda din miljö.

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Användare som har lagts till i globala roller eller enhetsadministratörsroller Högt Granskningsloggar Aktivitetstyp = Lägg till medlem i rollen. Leta efter: nya användare har lagts till i dessa Microsoft Entra-roller, efterföljande avvikande beteende av datorer eller användare.
Microsoft Sentinel-mall

Sigma-regler

Icke-Azure AD-inloggningar till virtuella datorer

Inloggningar till virtuella Windows- eller LINUX-datorer ska övervakas för inloggningar av andra konton än Microsoft Entra-konton.

Microsoft Entra-inloggning för LINUX

Med Microsoft Entra-inloggning för LINUX kan organisationer logga in på sina virtuella Azure LINUX-datorer med hjälp av Microsoft Entra-konton via SSH (Secure Shell Protocol).

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Inloggning med icke-Azure AD-konto, särskilt via SSH Högt Lokala autentiseringsloggar Ubuntu:
övervaka /var/log/auth.log för SSH-användning
RedHat:
övervaka /var/log/sssd/ för SSH-användning
Leta efter: poster där icke-Azure AD-konton ansluter till virtuella datorer. Se följande exempel.

Ubuntu-exempel:

9 maj 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; användare: localusertest01

9 maj 23:49:39 ubuntu1804 aad_certhandler[3915]: Användaren "localusertest01" är inte en Microsoft Entra-användare; returnerar ett tomt resultat.

9 maj 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; användare: localusertest01

9 maj 23:49:43 ubuntu1804 aad_certhandler[3916]: Användaren "localusertest01" är inte en Microsoft Entra-användare; returnerar ett tomt resultat.

9 maj 23:49:43 ubuntu1804 sshd[3909]: Accepterad offentligt för localusertest01 från 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

9 maj 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session öppen för användaren localusertest01 av (uid=0).

Du kan ange princip för inloggningar för virtuella LINUX-datorer och identifiera och flagga virtuella Linux-datorer som har icke-godkända lokala konton tillagda. Mer information finns i Använda Azure Policy för att säkerställa standarder och utvärdera efterlevnad.

Microsoft Entra-inloggningar för Windows Server

Med Microsoft Entra-inloggning för Windows kan din organisation logga in på dina virtuella Azure Windows 2019+-datorer med hjälp av Microsoft Entra-konton via fjärrskrivbordsprotokoll (RDP).

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Inloggning med icke-Azure AD-konto, särskilt via RDP Högt Windows Server-händelseloggar Interaktiv inloggning till en virtuell Windows-dator Händelse 528, inloggningstyp 10 (RemoteInteractive).
Visar när en användare loggar in via Terminal Services eller Fjärrskrivbord.

Nästa steg

Översikt över Microsoft Entra-säkerhetsåtgärder

Säkerhetsåtgärder för användarkonton

Säkerhetsåtgärder för konsumentkonton

Säkerhetsåtgärder för privilegierade konton

Säkerhetsåtgärder för Privileged Identity Management

Säkerhetsåtgärder för program

Säkerhetsåtgärder för infrastruktur