Dela via


Microsoft Entra-säkerhetsåtgärder för Privileged Identity Management

Säkerheten för affärstillgångar beror på integriteten för de privilegierade konton som administrerar dina IT-system. Cyberattacker använder stöldattacker för autentiseringsuppgifter för att rikta in sig på administratörskonton och andra privilegierade åtkomstkonton för att försöka få åtkomst till känsliga data.

För molntjänster är förebyggande och svar molntjänstleverantörens och kundens gemensamma ansvarsområden.

Traditionellt har organisationens säkerhet fokuserat på in- och slutpunkter i ett nätverk som säkerhetsperimeter. SaaS-appar och personliga enheter har dock gjort den här metoden mindre effektiv. I Microsoft Entra-ID ersätter vi nätverkssäkerhetsperimetern med autentisering i organisationens identitetslager. När användare tilldelas till privilegierade administrativa roller måste deras åtkomst skyddas i lokala miljöer, molnmiljöer och hybridmiljöer.

Du är helt ansvarig för alla säkerhetslager för din lokala IT-miljö. När du använder Azure-molntjänster är förebyggande och svar gemensamma ansvarsområden för Microsoft som molntjänstleverantör och du som kund.

Privileged Identity Management (PIM) är en Microsoft Entra-tjänst som gör att du kan hantera, kontrollera och övervaka åtkomst till viktiga resurser i din organisation. Dessa resurser omfattar resurser i Microsoft Entra-ID, Azure och andra Microsoft Online-tjänster som Microsoft 365 eller Microsoft Intune. Du kan använda PIM för att minimera följande risker:

  • Identifiera och minimera antalet personer som har åtkomst till säker information och resurser.

  • Identifiera överdrivna, onödiga eller missbrukade åtkomstbehörigheter för känsliga resurser.

  • Minska risken för att en illasinnad aktör får åtkomst till skyddad information eller resurser.

  • Minska risken för att obehöriga användare oavsiktligt påverkar känsliga resurser.

Använd den här artikeln innehåller vägledning för att ange baslinjer, granskningsinloggningar och användning av privilegierade konton. Använd källgranskningsloggkällan för att upprätthålla privilegierad kontointegritet.

Var du ska titta

Loggfilerna som du använder för undersökning och övervakning är:

I Azure Portal visar du Microsoft Entra-granskningsloggarna och laddar ned dem som kommaavgränsade värdefiler (CSV) eller JSON-filer (JavaScript Object Notation). Azure Portal har flera sätt att integrera Microsoft Entra-loggar med andra verktyg för att automatisera övervakning och aviseringar:

  • Microsoft Sentinel – möjliggör intelligent säkerhetsanalys på företagsnivå genom att tillhandahålla siem-funktioner (säkerhetsinformation och händelsehantering).

  • Sigma-regler – Sigma är en utvecklande öppen standard för att skriva regler och mallar som automatiserade hanteringsverktyg kan använda för att parsa loggfiler. Där Sigma-mallar finns för våra rekommenderade sökvillkor har vi lagt till en länk till Sigma-lagringsplatsen. Sigma-mallarna skrivs, testas och hanteras inte av Microsoft. Lagringsplatsen och mallarna skapas och samlas i stället in av den globala IT-säkerhetscommunityn.

  • Azure Monitor – möjliggör automatisk övervakning och avisering av olika villkor. Kan skapa eller använda arbetsböcker för att kombinera data från olika källor.

  • Azure Event Hubs som är integrerade med en SIEM- Microsoft Entra-loggar kan integreras med andra SIEM:er som Splunk, ArcSight, QRadar och Sumo Logic via Azure Event Hubs-integreringen.

  • Microsoft Defender för molnet-appar – gör att du kan identifiera och hantera appar, styra mellan appar och resurser och kontrollera dina molnappars efterlevnad.

  • Skydda arbetsbelastningsidentiteter med Microsoft Entra ID Protection – Används för att identifiera risker för arbetsbelastningsidentiteter för inloggningsbeteende och offlineindikatorer för kompromisser.

Resten av den här artikeln innehåller rekommendationer för att ange en baslinje som ska övervakas och aviseras med en nivåmodell. Länkar till färdiga lösningar visas efter tabellen. Du kan skapa aviseringar med hjälp av föregående verktyg. Innehållet är indelat i följande områden:

  • Originalplaner

  • Microsoft Entra-rolltilldelning

  • Aviseringsinställningar för Microsoft Entra-roll

  • Tilldelning av Azure-resursroll

  • Åtkomsthantering för Azure-resurser

  • Utökad åtkomst för att hantera Azure-prenumerationer

Originalplaner

Följande är rekommenderade baslinjeinställningar:

Vad du ska övervaka Risknivå Rekommendation Roller Kommentar
Tilldelning av Microsoft Entra-roller Högt Kräv motivering för aktivering. Kräv godkännande för att aktivera. Ange godkännandeprocess på två nivåer. Vid aktivering kräver du Microsoft Entra multifaktorautentisering. Ange maximal varaktighet för utökade privilegier till 8 timmar. Säkerhetsadministratör, privilegierad rolladministratör, global administratör En privilegierad rolladministratör kan anpassa PIM i sin Microsoft Entra-organisation, inklusive att ändra upplevelsen för användare som aktiverar en berättigad rolltilldelning.
Konfiguration av Azure-resursroll Högt Kräv motivering för aktivering. Kräv godkännande för att aktivera. Ange godkännandeprocess på två nivåer. Vid aktivering kräver du Microsoft Entra multifaktorautentisering. Ange maximal varaktighet för utökade privilegier till 8 timmar. Ägare, administratör för användaråtkomst Undersök omedelbart om inte en planerad ändring. Den här inställningen kan ge angripare åtkomst till Azure-prenumerationer i din miljö.

Aviseringar om privileged Identity Management

Privileged Identity Management (PIM) genererar aviseringar när det finns misstänkt eller osäker aktivitet i din Microsoft Entra-organisation. När en avisering genereras visas den på instrumentpanelen Privileged Identity Management. Du kan också konfigurera ett e-postmeddelande eller skicka till din SIEM via GraphAPI. Eftersom dessa aviseringar fokuserar specifikt på administrativa roller bör du noga övervaka eventuella aviseringar.

Vad du ska övervaka Risknivå Där Filter-/underfilter-UX Kommentar
Roller tilldelas utanför Privileged Identity Management Högt Privileged Identity Management, Aviseringar Roller tilldelas utanför Privileged Identity Management Konfigurera säkerhetsaviseringar
Sigma-regler
Potentiella inaktuella konton i en privilegierad roll Medium Privileged Identity Management, Aviseringar Potentiella inaktuella konton i en privilegierad roll Konfigurera säkerhetsaviseringar
Sigma-regler
Administratörer använder inte sina privilegierade roller Låg Privileged Identity Management, Aviseringar Administratörer använder inte sina privilegierade roller Konfigurera säkerhetsaviseringar
Sigma-regler
Roller kräver inte multifaktorautentisering för aktivering Låg Privileged Identity Management, Aviseringar Roller kräver inte multifaktorautentisering för aktivering Konfigurera säkerhetsaviseringar
Sigma-regler
Organisationen har inte Microsoft Entra ID P2 eller Microsoft Entra ID Governance Låg Privileged Identity Management, Aviseringar Organisationen har inte Microsoft Entra ID P2 eller Microsoft Entra ID Governance Konfigurera säkerhetsaviseringar
Sigma-regler
Det finns för många globala administratörer Låg Privileged Identity Management, Aviseringar Det finns för många globala administratörer Konfigurera säkerhetsaviseringar
Sigma-regler
Roller aktiveras för ofta Låg Privileged Identity Management, Aviseringar Roller aktiveras för ofta Konfigurera säkerhetsaviseringar
Sigma-regler

Tilldelning av Microsoft Entra-roller

En privilegierad rolladministratör kan anpassa PIM i sin Microsoft Entra-organisation, vilket innefattar att ändra användarupplevelsen för att aktivera en berättigad rolltilldelning:

  • Förhindra felaktig aktör för att ta bort autentiseringskrav för Microsoft Entra-multifaktor för att aktivera privilegierad åtkomst.

  • Förhindra att skadliga användare kringgår motivering och godkännande av aktivering av privilegierad åtkomst.

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Avisering om Att lägga till ändringar i privilegierade kontobehörigheter Högt Microsoft Entra-granskningsloggar Kategori = Rollhantering
-och-
Aktivitetstyp – Lägg till berättigad medlem (permanent)
-och-
Aktivitetstyp – Lägg till berättigad medlem (berättigad)
-och-
Status = Lyckad/misslyckad
-och-
Ändrade egenskaper = Role.DisplayName
Övervaka och varna alltid för ändringar av privilegierad rolladministratör och global administratör. Detta kan vara en indikation på att en angripare försöker få behörighet att ändra rolltilldelningsinställningar. Om du inte har ett definierat tröskelvärde aviserar du på 4 på 60 minuter för användare och 2 på 60 minuter för privilegierade konton.

Sigma-regler
Avisering om massborttagning av ändringar i behörigheter för privilegierade konton Högt Microsoft Entra-granskningsloggar Kategori = Rollhantering
-och-
Aktivitetstyp – Ta bort berättigad medlem (permanent)
-och-
Aktivitetstyp – Ta bort berättigad medlem (berättigad)
-och-
Status = Lyckad/misslyckad
-och-
Ändrade egenskaper = Role.DisplayName
Undersök omedelbart om inte en planerad ändring. Den här inställningen kan ge en angripare åtkomst till Azure-prenumerationer i din miljö.
Microsoft Sentinel-mall

Sigma-regler
Ändringar i PIM-inställningar Högt Microsoft Entra-granskningslogg Tjänst = PIM
-och-
Kategori = Rollhantering
-och-
Aktivitetstyp = Uppdatera rollinställning i PIM
-och-
Statusorsak = MFA vid aktivering inaktiverad (exempel)
Övervaka och varna alltid för ändringar av privilegierad rolladministratör och global administratör. Detta kan vara en indikation på att en angripare har åtkomst till att ändra rolltilldelningsinställningar. En av dessa åtgärder kan minska säkerheten för PIM-höjningen och göra det enklare för angripare att skaffa ett privilegierat konto.
Microsoft Sentinel-mall

Sigma-regler
Godkännanden och neka höjning Högt Microsoft Entra-granskningslogg Tjänst = Åtkomstgranskning
-och-
Kategori = UserManagement
-och-
Aktivitetstyp = Godkänd/nekad begäran
-och-
Initierad aktör = UPN
Alla utökade privilegier bör övervakas. Logga alla utökade privilegier för att ge en tydlig indikation på tidslinjen för en attack.
Microsoft Sentinel-mall

Sigma-regler
Aviseringsinställningen ändras till inaktiverad. Högt Microsoft Entra-granskningsloggar Tjänst =PIM
-och-
Kategori = Rollhantering
-och-
Aktivitetstyp = Inaktivera PIM-avisering
-och-
Status = Lyckad/misslyckad
Alltid avisering. Hjälper till att identifiera felaktig aktör som tar bort aviseringar som är associerade med Microsoft Entra multifaktorautentiseringskrav för att aktivera privilegierad åtkomst. Hjälper till att identifiera misstänkt eller osäker aktivitet.
Microsoft Sentinel-mall

Sigma-regler

Mer information om hur du identifierar ändringar av rollinställningar i Microsoft Entra-granskningsloggen finns i Visa granskningshistorik för Microsoft Entra-roller i Privileged Identity Management.

Tilldelning av Azure-resursroll

Genom att övervaka tilldelningar av Azure-resursroller kan du se aktivitet och aktiveringar för resursroller. Dessa tilldelningar kan missbrukas för att skapa en attackyta till en resurs. När du övervakar den här typen av aktivitet försöker du identifiera:

  • Fråga rolltilldelningar på specifika resurser

  • Rolltilldelningar för alla underordnade resurser

  • Alla aktiva och berättigade ändringar i rolltilldelningen

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Granska resursgranskningslogg för privilegierade kontoaktiviteter Högt I PIM, under Azure-resurser, resursgranskning Åtgärd: Lägg till berättigad medlem i rollen i PIM slutförd (tidsbunden)
-och-
Primärt mål
-och-
Skriv användare
-och-
Status = Lyckades
Alltid avisering. Hjälper till att identifiera felaktig aktör som lägger till berättigade roller för att hantera alla resurser i Azure.
Granska aviseringsresursgranskning för inaktivera avisering Medium I PIM, under Azure-resurser, resursgranskning Åtgärd: Inaktivera avisering
-och-
Primärt mål: För många ägare tilldelade till en resurs
-och-
Status = Lyckades
Hjälper till att identifiera felaktig aktör som inaktiverar aviseringar i fönstret Aviseringar, vilket kan kringgå skadlig aktivitet som undersöks
Granska aviseringsresursgranskning för inaktivera avisering Medium I PIM, under Azure-resurser, resursgranskning Åtgärd: Inaktivera avisering
-och-
Primärt mål: För många permanenta ägare tilldelade till en resurs
-och-
Status = Lyckades
Förhindra att felaktig aktör inaktiverar aviseringar i fönstret Aviseringar, vilket kan kringgå skadlig aktivitet som undersöks
Granska aviseringsresursgranskning för inaktivera avisering Medium I PIM, under Azure-resurser, resursgranskning Åtgärd: Inaktivera avisering
-och-
Primär mål duplicerad roll har skapats
-och-
Status = Lyckades
Förhindra att felaktig aktör inaktiverar aviseringar från fönstret Aviseringar, vilket kan kringgå skadlig aktivitet som undersöks

Mer information om hur du konfigurerar aviseringar och granskar Azure-resursroller finns i:

Åtkomsthantering för Azure-resurser och prenumerationer

Användare eller gruppmedlemmar som tilldelats prenumerationsrollerna Ägare eller Administratör för användaråtkomst och Microsoft Entra Globala administratörer som aktiverat prenumerationshantering i Microsoft Entra-ID har som standard behörighet som resursadministratör. Administratörerna tilldelar roller, konfigurerar rollinställningar och granskar åtkomsten med privileged Identity Management (PIM) för Azure-resurser.

En användare som har behörighet som resursadministratör kan hantera PIM för resurser. Övervaka och minska den här införda risken: funktionen kan användas för att ge dåliga aktörer privilegierad åtkomst till Azure-prenumerationsresurser, till exempel virtuella datorer eller lagringskonton.

Vad du ska övervaka Risknivå Där Filtrera/underfilter Kommentar
Höjder Högt Microsoft Entra-ID, under Hantera, Egenskaper Granska inställningen regelbundet.
Åtkomsthantering för Azure-resurser
Globala administratörer kan höja genom att aktivera Åtkomsthantering för Azure-resurser.
Kontrollera att dåliga aktörer inte har behörighet att tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med Active Directory.

Mer information finns i Tilldela Azure-resursroller i Privileged Identity Management

Nästa steg

Översikt över Microsoft Entra-säkerhetsåtgärder

Säkerhetsåtgärder för användarkonton

Säkerhetsåtgärder för konsumentkonton

Säkerhetsåtgärder för privilegierade konton

Säkerhetsåtgärder för program

Säkerhetsåtgärder för enheter

Säkerhetsåtgärder för infrastruktur