Dela via


Säkerhetsåtgärder för infrastruktur

Infrastrukturen har många komponenter där sårbarheter kan inträffa om de inte är korrekt konfigurerade. Som en del av din övervaknings- och aviseringsstrategi för infrastruktur, övervakar och aviserar händelser inom följande områden:

  • Autentisering och auktorisering

  • Hybridautentiseringskomponenter inkl. Federationsservrar

  • Policyer

  • Prenumerationer

Det är viktigt att övervaka och varna komponenterna i din autentiseringsinfrastruktur. Alla kompromisser kan leda till en fullständig kompromiss i hela miljön. Många företag som använder Microsoft Entra-ID fungerar i en hybridautentiseringsmiljö. Molnbaserade och lokala komponenter bör ingå i din övervaknings- och aviseringsstrategi. Om du har en hybridautentiseringsmiljö introduceras även en annan attackvektor i din miljö.

Vi rekommenderar att alla komponenter betraktas som kontrollplan/nivå 0-tillgångar och de konton som används för att hantera dem. Se Skydda privilegierade tillgångar (SPA) för vägledning om hur du utformar och implementerar din miljö. Den här vägledningen innehåller rekommendationer för var och en av de hybridautentiseringskomponenter som potentiellt kan användas för en Microsoft Entra-klientorganisation.

Ett första steg för att identifiera oväntade händelser och potentiella attacker är att upprätta en baslinje. Alla lokala komponenter som anges i den här artikeln finns i Distribution av privilegierad åtkomst, som ingår i guiden Skydda privilegierade tillgångar (SPA).

Var du ska titta

Loggfilerna som du använder för undersökning och övervakning är:

Från Azure Portal kan du visa Microsoft Entra-granskningsloggarna och ladda ned som kommaavgränsade värdefiler (CSV) eller JSON-filer (JavaScript Object Notation). Azure Portal har flera sätt att integrera Microsoft Entra-loggar med andra verktyg som möjliggör större automatisering av övervakning och aviseringar:

  • Microsoft Sentinel – Möjliggör intelligent säkerhetsanalys på företagsnivå genom att tillhandahålla siem-funktioner (säkerhetsinformation och händelsehantering).

  • Sigma-regler – Sigma är en utvecklande öppen standard för att skriva regler och mallar som automatiserade hanteringsverktyg kan använda för att parsa loggfiler. Där Sigma-mallar finns för våra rekommenderade sökvillkor har vi lagt till en länk till Sigma-lagringsplatsen. Sigma-mallarna skrivs, testas och hanteras inte av Microsoft. Lagringsplatsen och mallarna skapas och samlas i stället in av den globala IT-säkerhetscommunityn.

  • Azure Monitor – Möjliggör automatisk övervakning och avisering av olika villkor. Kan skapa eller använda arbetsböcker för att kombinera data från olika källor.

  • Azure Event Hubs integrerat med en SIEM – Microsoft Entra-loggar kan integreras med andra SIEM:er som Splunk, ArcSight, QRadar och Sumo Logic via Azure Event Hubs-integreringen.

  • Microsoft Defender för molnet-appar – Gör att du kan identifiera och hantera appar, styra mellan appar och resurser och kontrollera dina molnappars efterlevnad.

  • Skydda arbetsbelastningsidentiteter med Microsoft Entra ID Protection – Används för att identifiera risker för arbetsbelastningsidentiteter för inloggningsbeteende och offlineindikatorer för kompromisser.

Resten av den här artikeln beskriver vad du ska övervaka och avisera om. Den organiseras efter typ av hot. Där det finns fördefinierade lösningar hittar du länkar till dem efter tabellen. Annars kan du skapa aviseringar med hjälp av föregående verktyg.

Infrastruktur för autentisering

I hybridmiljöer som innehåller både lokala och molnbaserade resurser och konton är Active Directory-infrastrukturen en viktig del av autentiseringsstacken. Stacken är också ett mål för attacker, så måste konfigureras för att upprätthålla en säker miljö och måste övervakas korrekt. Exempel på aktuella typer av attacker som används mot din autentiseringsinfrastruktur använder tekniker för lösenordsspray och solorigate. Följande är länkar till artiklar som vi rekommenderar:

  • Översikt över privilegierad åtkomst – Den här artikeln innehåller en översikt över aktuella tekniker som använder Nolltillit tekniker för att skapa och upprätthålla säker privilegierad åtkomst.

  • Microsoft Defender för identitetsövervakade domänaktiviteter – Den här artikeln innehåller en omfattande lista över aktiviteter att övervaka och ange aviseringar för.

  • Självstudie om microsoft Defender för identitetssäkerhetsaviseringar – Den här artikeln innehåller vägledning om hur du skapar och implementerar en strategi för säkerhetsaviseringar.

Följande är länkar till specifika artiklar som fokuserar på övervakning och avisering av din autentiseringsinfrastruktur:

Följande är specifika saker att leta efter:

Vad du ska övervaka Risknivå Där Kommentar
Trender för extranätsutelåsning Högt Microsoft Entra Connect Health Se Övervaka AD FS med Hjälp av Microsoft Entra Connect Health för verktyg och tekniker för att identifiera trender för extranätslåsning.
Misslyckade inloggningar Högt Anslut hälsoportalen Exportera eller ladda ned den riskfyllda IP-rapporten och följ anvisningarna i Riskfylld IP-rapport (offentlig förhandsversion) för nästa steg.
Uppfyller sekretesskrav Låg Microsoft Entra Connect Health Konfigurera Microsoft Entra Connect Health för att inaktivera datasamlingar och övervakning med hjälp av artikeln Användarsekretess och Microsoft Entra Connect Health .
Potentiell råstyrkeattack på LDAP Medium Microsoft Defender for Identity Använd sensorn för att identifiera potentiella råstyrkeattacker mot LDAP.
Kontouppräkningsspaning Medium Microsoft Defender for Identity Använd sensorn för att utföra kontouppräkningsspaning.
Allmän korrelation mellan Microsoft Entra ID och Azure AD FS Medium Microsoft Defender for Identity Använd funktioner för att korrelera aktiviteter mellan dina Microsoft Entra-ID och Azure AD FS-miljöer.

Direktautentiseringsövervakning

Microsoft Entra-direktautentisering loggar in användare genom att verifiera sina lösenord direkt mot lokal Active Directory.

Följande är specifika saker att leta efter:

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Autentiseringsfel för Microsoft Entra-direktautentisering Medium Program- och tjänstloggar\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80001 – Det går inte att ansluta till Active Directory Se till att agentservrarna är medlemmar i samma AD-skog som de användare vars lösenord måste verifieras och att de kan ansluta till Active Directory.
Autentiseringsfel för Microsoft Entra-direktautentisering Medium Program- och tjänstloggar\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS8002 – Det uppstod en tidsgräns vid anslutning till Active Directory Kontrollera att Active Directory är tillgängligt och svarar på begäranden från agenterna.
Autentiseringsfel för Microsoft Entra-direktautentisering Medium Program- och tjänstloggar\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80004 – Användarnamnet som skickades till agenten var inte giltigt Kontrollera att användaren försöker logga in med rätt användarnamn.
Autentiseringsfel för Microsoft Entra-direktautentisering Medium Program- och tjänstloggar\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80005 – Validering påträffade oförutsägbar WebException Ett tillfälligt fel. Försök igen med begäran. Om det fortsätter att misslyckas kontaktar du Microsofts support.
Autentiseringsfel för Microsoft Entra-direktautentisering Medium Program- och tjänstloggar\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80007 – Ett fel uppstod vid kommunikation med Active Directory Kontrollera agentloggarna för mer information och kontrollera att Active Directory fungerar som förväntat.
Autentiseringsfel för Microsoft Entra-direktautentisering Högt Win32 LogonUserA-funktions-API Logga in händelser 4624(s): Ett konto har loggats in
- korrelera med –
4625(F): Det gick inte att logga in på ett konto
Använd med de misstänkta användarnamnen på domänkontrollanten som autentiserar begäranden. Vägledning vid funktionen LogonUserA (winbase.h)
Autentiseringsfel för Microsoft Entra-direktautentisering Medium PowerShell-skript för domänkontrollant Se frågan efter tabellen. Använd informationen på Microsoft Entra Connect: Felsöka direktautentiseringför vägledning.

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>

</Query>

</QueryList>

Övervakning för att skapa nya Microsoft Entra-klienter

Organisationer kan behöva övervaka och avisera om att nya Microsoft Entra-klienter skapas när åtgärden initieras av identiteter från organisationens klientorganisation. Övervakning för det här scenariot ger insyn i hur många klienter som skapas och kan nås av slutanvändare.

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Skapa en ny Microsoft Entra-klientorganisation med hjälp av en identitet från din klientorganisation. Medium Microsoft Entra-granskningsloggar Kategori: Kataloghantering

Aktivitet: Skapa företag
Mål visar det skapade TenantID

Privat nätverksanslutning

Microsoft Entra ID och Microsoft Entra-programproxy ger fjärranvändare en enkel inloggning (SSO). Användare ansluter säkert till lokala appar utan ett virtuellt privat nätverk (VPN) eller servrar med dubbla hem och brandväggsregler. Om din privata Microsoft Entra-nätverksanslutningsserver komprometteras kan angripare ändra SSO-upplevelsen eller ändra åtkomsten till publicerade program.

Information om hur du konfigurerar övervakning för Programproxy finns i Felsöka Programproxy problem och felmeddelanden. Datafilen som loggar information finns i Program- och tjänstloggar\Microsoft\Microsoft Entra privat nätverk\Connector\Admin. En fullständig referensguide för granskningsaktivitet finns i Referens för Microsoft Entra-granskningsaktivitet. Specifika saker att övervaka:

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Kerberos-fel Medium Olika verktyg Medium Felvägledning för Kerberos-autentisering under Kerberos-fel i Felsöka Programproxy problem och felmeddelanden.
Dc-säkerhetsproblem Högt Domänkontrollantens säkerhetsgranskningsloggar Händelse-ID 4742(S): Ett datorkonto har ändrats
-och-
Flagga – betrodd för delegering
-eller-
Flagga – Betrodd att autentisera för delegering
Undersök eventuella flaggändringar.
Pass-the-ticket-liknande attacker Högt Följ vägledningen i:
Rekognosering av säkerhetsobjekt (LDAP) (externt ID 2038)
Självstudie: Aviseringar om komprometterade autentiseringsuppgifter
Förstå och använda laterala förflyttningsvägar med Microsoft Defender för identitet
Förstå entitetsprofiler

Äldre autentiseringsinställningar

För att multifaktorautentisering (MFA) ska vara effektivt måste du också blockera äldre autentisering. Sedan måste du övervaka din miljö och avisera om all användning av äldre autentisering. Äldre autentiseringsprotokoll som POP, SMTP, IMAP och MAPI kan inte framtvinga MFA. Detta gör dessa protokoll till de föredragna startpunkterna för angripare. Mer information om verktyg som du kan använda för att blockera äldre autentisering finns i Nya verktyg för att blockera äldre autentisering i din organisation.

Äldre autentisering registreras i Inloggningsloggen för Microsoft Entra som en del av detaljerna i händelsen. Du kan använda Azure Monitor-arbetsboken för att identifiera äldre autentiseringsanvändning. Mer information finns i Inloggningar med äldre autentisering, som är en del av Hur du använder Azure Monitor-arbetsböcker för Microsoft Entra-rapporter. Du kan också använda arbetsboken Osäkra protokoll för Microsoft Sentinel. Mer information finns i Implementeringsguide för arbetsbok för osäkra protokoll i Microsoft Sentinel. Specifika aktiviteter som ska övervakas är:

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Äldre autentiseringar Högt Inloggningslogg för Microsoft Entra ClientApp: POP
ClientApp : IMAP
ClientApp: MAPI
ClientApp: SMTP
ClientApp: ActiveSync går till EXO
Andra klienter = SharePoint och EWS
I federerade domänmiljöer registreras inte misslyckade autentiseringar och visas inte i loggen.

Microsoft Entra Connect

Microsoft Entra Connect tillhandahåller en central plats som möjliggör konto- och attributsynkronisering mellan din lokala och molnbaserade Microsoft Entra-miljö. Microsoft Entra Connect är Microsoft-verktyget som utformats för att uppfylla och uppnå dina hybrididentitetsmål. Den tillhandahåller följande funktioner:

  • Synkronisering av lösenordshash – en inloggningsmetod som synkroniserar en hash för en användares lokala AD-lösenord med Microsoft Entra-ID.

  • Synkronisering – Ansvarar för att skapa användare, grupper och andra objekt. Och se till att identitetsinformationen för dina lokala användare och grupper matchar molnet. Den här synkroniseringen omfattar även lösenordshasher.

  • Hälsoövervakning – Microsoft Entra Connect Health kan tillhandahålla robust övervakning och tillhandahålla en central plats i Azure Portal för att visa den här aktiviteten.

Genom att synkronisera identiteten mellan din lokala miljö och din molnmiljö introduceras en ny attackyta för din lokala och molnbaserade miljö. Vi rekommenderar följande åtgärder:

  • Du behandlar dina primära Servrar och mellanlagringsservrar i Microsoft Entra Connect som nivå 0-system i kontrollplanet.

  • Du följer en standarduppsättning principer som styr varje typ av konto och dess användning i din miljö.

  • Du installerar Microsoft Entra Connect och Connect Health. Dessa tillhandahåller främst driftdata för miljön.

Loggning av Microsoft Entra Connect-åtgärder sker på olika sätt:

  • Microsoft Entra Connect-guiden loggar data till \ProgramData\AADConnect. Varje gång guiden anropas skapas en tidsstämplad spårningsloggfil. Spårningsloggen kan importeras till Sentinel eller andra SIEM-verktyg (3rd party security information and event management) för analys.

  • Vissa åtgärder initierar ett PowerShell-skript för att samla in loggningsinformation. Om du vill samla in dessa data måste du se till att loggning av skriptblock är aktiverat.

Övervaka konfigurationsändringar

Microsoft Entra ID använder Microsoft SQL Server Data Engine eller SQL för att lagra konfigurationsinformation för Microsoft Entra Connect. Därför bör övervakning och granskning av loggfiler som är associerade med konfiguration ingå i din övervaknings- och granskningsstrategi. Mer specifikt inkluderar du följande tabeller i din övervaknings- och aviseringsstrategi.

Vad du ska övervaka Där Kommentar
mms_management_agent SQL-tjänstgranskningsposter Se SQL Server-granskningsposter
mms_partition SQL-tjänstgranskningsposter Se SQL Server-granskningsposter
mms_run_profile SQL-tjänstgranskningsposter Se SQL Server-granskningsposter
mms_server_configuration SQL-tjänstgranskningsposter Se SQL Server-granskningsposter
mms_synchronization_rule SQL-tjänstgranskningsposter Se SQL Server-granskningsposter

Information om vad och hur du övervakar konfigurationsinformation finns i:

Övervakning och felsökning av synkronisering

En funktion i Microsoft Entra Connect är att synkronisera hash-synkronisering mellan en användares lokala lösenord och Microsoft Entra-ID. Om lösenord inte synkroniseras som förväntat kan synkroniseringen påverka en delmängd av användare eller alla användare. Använd följande för att verifiera korrekt åtgärd eller felsöka problem:

Viktiga resurser för övervakning

Vad du ska övervaka Resurser
Verifiering av hashsynkronisering Se Felsöka synkronisering av lösenordshash med Microsoft Entra Connect Sync
Ändringar av anslutningsutrymmen se Felsöka Microsoft Entra Connect-objekt och -attribut
Ändringar av regler som du har konfigurerat Övervaka ändringar i: filtrering, domän och organisationsenhet, attribut och gruppbaserade ändringar
SQL- och MSDE-ändringar Ändringar i loggningsparametrar och tillägg av anpassade funktioner

Övervaka följande:

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Ändringar i Scheduler Högt PowerShell Set-ADSyncScheduler Leta efter ändringar att schemalägga
Ändringar i schemalagda aktiviteter Högt Microsoft Entra-granskningsloggar Aktivitet = 4699(S): En schemalagd aktivitet har tagits bort
-eller-
Aktivitet = 4701(s): En schemalagd aktivitet inaktiverades
-eller-
Aktivitet = 4702(s): En schemalagd aktivitet uppdaterades
Övervaka alla

Övervaka sömlös enkel inloggning

Microsoft Entra sömlös enkel inloggning (sömlös enkel inloggning) loggar automatiskt in användare när de är på sina företagsskrivbord som är anslutna till företagets nätverk. Sömlös enkel inloggning ger användarna enkel åtkomst till dina molnbaserade program utan andra lokala komponenter. Enkel inloggning använder funktionerna för direktautentisering och synkronisering av lösenordshash som tillhandahålls av Microsoft Entra Connect.

Övervakning av enkel inloggning och Kerberos-aktivitet kan hjälpa dig att identifiera allmänna mönster för stöld av autentiseringsuppgifter. Övervaka med hjälp av följande information:

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Fel som är associerade med SSO- och Kerberos-valideringsfel Medium Inloggningslogg för Microsoft Entra Lista med enkel inloggning med felkoder vid enkel inloggning.
Fråga efter felsökningsfel Medium PowerShell Se fråga efter tabell. checka in varje skog med enkel inloggning aktiverat. Checka in varje skog med enkel inloggning aktiverat.
Kerberos-relaterade händelser Högt Microsoft Defender för identitetsövervakning Läs vägledningen som är tillgänglig på Microsoft Defender for Identity Lateral Movement Paths (LMPs)
<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>

</Query>

</QueryList>

Lösenordsskyddsprinciper

Om du distribuerar Microsoft Entra Password Protection är övervakning och rapportering viktiga uppgifter. Följande länkar innehåller information som hjälper dig att förstå olika övervakningstekniker, inklusive var varje tjänst loggar information och hur du rapporterar om användningen av Microsoft Entra Password Protection.

Domänkontrollantagenten (DC) och proxytjänsterna loggar både händelseloggmeddelanden. Alla PowerShell-cmdletar som beskrivs nedan är endast tillgängliga på proxyservern (se PowerShell-modulen AzureADPasswordProtection). DC-agentprogramvaran installerar inte någon PowerShell-modul.

Detaljerad information för planering och implementering av lokalt lösenordsskydd finns i Planera och distribuera lokalt Microsoft Entra Password Protection. Mer information om övervakning finns i Övervaka lokalt Microsoft Entra-lösenordsskydd. På varje domänkontrollant skriver DC-agenttjänstens programvara resultatet av varje enskild lösenordsverifieringsåtgärd (och annan status) till följande lokala händelselogg:

  • \Program- och tjänstloggar\Microsoft\AzureADPasswordProtection\DCAgent\Admin

  • \Program- och tjänstloggar\Microsoft\AzureADPasswordProtection\DCAgent\Operational

  • \Program- och tjänstloggar\Microsoft\AzureADPasswordProtection\DCAgent\Trace

Administratörsloggen för DC-agenten är den primära informationskällan för hur programvaran beter sig. Spårningsloggen är inaktiverad som standard och måste aktiveras innan data loggas. För att felsöka problem med programproxy och felmeddelanden finns detaljerad information på Felsöka Microsoft Entra-programproxy. Information om dessa händelser loggas in:

  • Program- och tjänstloggar\Microsoft\Microsoft Entra privat nätverk\Connector\Admin

  • Microsoft Entra-granskningslogg, kategori Programproxy

Fullständig referens för Microsoft Entra-granskningsaktiviteter finns på Microsoft Entra-granskningsaktivitetsreferens.

Villkorlig åtkomst

I Microsoft Entra-ID kan du skydda åtkomsten till dina resurser genom att konfigurera principer för villkorlig åtkomst. Som IT-administratör vill du se till att dina principer för villkorsstyrd åtkomst fungerar som förväntat för att säkerställa att dina resurser skyddas. Övervakning och aviseringar vid ändringar i tjänsten för villkorsstyrd åtkomst säkerställer att principer som definierats av din organisation för åtkomst till data framtvingas. Microsoft Entra loggar när ändringar görs i villkorsstyrd åtkomst och tillhandahåller även arbetsböcker för att säkerställa att dina principer ger den förväntade täckningen.

Arbetsbokslänkar

Övervaka ändringar i principer för villkorsstyrd åtkomst med hjälp av följande information:

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Ny princip för villkorlig åtkomst som skapats av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Lägg till princip för villkorsstyrd åtkomst

Kategori: Princip

Initierad av (aktör): Användarens huvudnamn
Övervaka och avisera om ändringar i villkorsstyrd åtkomst. Initieras av (aktör): godkänns för att göra ändringar i villkorlig åtkomst?
Microsoft Sentinel-mall

Sigma-regler
Princip för villkorlig åtkomst har tagits bort av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Ta bort princip för villkorsstyrd åtkomst

Kategori: Princip

Initierad av (aktör): Användarens huvudnamn
Övervaka och avisera om ändringar i villkorsstyrd åtkomst. Initieras av (aktör): godkänns för att göra ändringar i villkorlig åtkomst?
Microsoft Sentinel-mall

Sigma-regler
Princip för villkorlig åtkomst har uppdaterats av icke-godkända aktörer Medium Microsoft Entra-granskningsloggar Aktivitet: Uppdatera principen för villkorsstyrd åtkomst

Kategori: Princip

Initierad av (aktör): Användarens huvudnamn
Övervaka och avisera om ändringar i villkorsstyrd åtkomst. Initieras av (aktör): godkänns för att göra ändringar i villkorlig åtkomst?

Granska Ändrade egenskaper och jämför "gammalt" och "nytt" värde
Microsoft Sentinel-mall

Sigma-regler
Borttagning av en användare från en grupp som används för att begränsa viktiga principer för villkorsstyrd åtkomst Medium Microsoft Entra-granskningsloggar Aktivitet: Ta bort medlem från grupp

Kategori: GroupManagement

Mål: Användarens huvudnamn
Montior och Avisering för grupper som används för att begränsa kritiska principer för villkorsstyrd åtkomst.

"Mål" är den användare som har tagits bort.

Sigma-regler
Tillägg av en användare till en grupp som används för att begränsa viktiga principer för villkorsstyrd åtkomst Låg Microsoft Entra-granskningsloggar Aktivitet: Lägg till medlem i grupp

Kategori: GroupManagement

Mål: Användarens huvudnamn
Montior och Avisering för grupper som används för att begränsa kritiska principer för villkorsstyrd åtkomst.

"Target" är den användare som har lagts till.

Sigma-regler

Nästa steg

Översikt över Microsoft Entra-säkerhetsåtgärder

Säkerhetsåtgärder för användarkonton

Säkerhetsåtgärder för konsumentkonton

Säkerhetsåtgärder för privilegierade konton

Säkerhetsåtgärder för Privileged Identity Management

Säkerhetsåtgärder för program

Säkerhetsåtgärder för enheter