针对使用者帐户的 Microsoft Entra 安全操作
使用者标识活动是组织保护和监视的重要领域。 本文适用于 Azure Active Directory B2C (Azure AD B2C) 租户,提供了有关监视使用者帐户活动的指导。 活动包括:
- 使用者帐户
- 特权帐户
- 应用程序
- 基础结构
开始之前
在使用本文中的指导之前,建议先阅读 Microsoft Entra 安全操作指南。
定义基线
若要发现异常行为,请定义正常和预期行为。 为组织定义预期行为有助于发现意外行为。 使用定义来帮助减少监视和发出警报期间的误报。
定义预期行为后,执行基线监视以验证预期。 然后,监视日志,了解超出容错范围的内容。
对于非按照正常进程创建的帐户,请使用 Microsoft Entra 审核日志、Microsoft Entra 登录日志和目录属性作为数据源。 以下建议可帮助你定义正常情形。
使用者帐户创建
评估以下列表:
- 用于创建和管理使用者帐户的工具和流程的策略和原则
- 例如,应用于消费者帐户属性的标准属性和格式
- 已批准的帐户创建源。
- 例如,加入自定义策略、客户预配或迁移工具
- 非使用已批准源创建的帐户的警报策略。
- 创建与你的组织协作的组织的受控列表
- 由未批准的使用者帐户管理员创建、修改或禁用的帐户的策略和警报参数
- 缺少标准属性(如客户编号)或未遵循组织命名约定的使用者帐户的监视和警报策略。
- 帐户删除和保留的策略、原则和进程
要查看的地方
使用日志文件进行调查和监视。 有关详细信息,请参阅以下文章:
审核日志和自动化工具
在 Azure 门户中,可查看 Microsoft Entra 审核日志,并将其下载为逗号分隔值 (CSV) 或 JavaScript 对象表示法 (JSON) 文件。 使用 Azure 门户将 Microsoft Entra 日志与其他工具集成,以便自动监视和发出警报:
- Microsoft Sentinel – 具有安全信息和事件管理 (SIEM) 功能的安全分析
- Sigma 规则 - 一个用于编写规则和模板的开放标准,自动化管理工具可以使用这些规则和模板来分析日志文件。 如果针对我们建议的搜索条件设置了 Sigma 模板,我们添加了指向 Sigma 存储库的链接。 Microsoft 不会编写、测试或管理 Sigma 模板。 存储库和模板由 IT 安全社区创建和收集。
- Azure Monitor - 对各种情况的自动监视和警报。 创建或使用工作簿来合并来自不同源的数据。
- 与 SIEM 集成的 Azure 事件中心 - 通过 Azure 事件中心将 Microsoft Entra 日志与 SIEM(例如 Splunk、ArcSight、QRadar 和 Sumo Logic)集成
- Microsoft Defender for Cloud Apps – 发现和管理应用、跨应用和资源进行治理以及确认云应用合规性
- Microsoft Entra ID 保护 - 通过登录行为和脱机入侵指标检测工作负载标识的风险
使用本文的其余部分获取有关监视和发出警报对象的建议。 请参阅按威胁类型组织的表。 请参阅表后面的预生成解决方案或示例的链接。 使用前面提到的工具生成警报。
使用者帐户
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| 创建或删除大量帐户 | 高 | Microsoft Entra 审核日志 | 活动:添加用户 状态 = 成功 发起者(行动者)= CPIM 服务 -和- 活动:删除用户 状态 = 成功 发起者(行动者)= CPIM 服务 |
定义基线阈值,然后监视并调整以适应组织的行为。 限制虚假警报。 |
| 由未经批准的用户或进程创建和删除的帐户 | 中 | Microsoft Entra 审核日志 | 发起者(行动者)– 用户主体名称 -和- 活动:添加用户 状态 = 成功 发起者(行动者)!= CPIM 服务 和/或 活动:删除用户 状态 = 成功 发起者(行动者)!= CPIM 服务 |
如果行动者不是已批准的用户,请配置以发送警报。 |
| 分配给特权角色的帐户 | 高 | Microsoft Entra 审核日志 | 活动:添加用户 状态 = 成功 发起者(行动者)== CPIM 服务 -和- 活动 = 将成员添加到角色 状态 = 成功 |
如果帐户被分配到 Microsoft Entra 角色、Azure 角色或特权组成员身份,请发送警报并优先进行调查。 |
| 登录尝试失败 | 中 - 如果是独立事件 高 - 如果许多帐户遇到相同的模式 |
Microsoft Entra 登录日志 | 状态 = 失败 -和- 登录错误代码 50126 - 由于用户名或密码无效,验证凭据时出错。 -和- 应用程序 == "CPIM PowerShell 客户端" -或- 应用程序 == "ProxyIdentityExperienceFramework" |
定义基线阈值,监视并调整以适应组织的行为,并限制生成虚假警报。 |
| 智能锁定事件 | 中 - 如果是独立事件 高 - 如果许多帐户遇到相同的模式或 VIP |
Microsoft Entra 登录日志 | 状态 = 失败 -和- 登录错误代码 = 50053 – IdsLocked -和- 应用程序 == "CPIM PowerShell 客户端" -或- 应用程序 =="ProxyIdentityExperienceFramework" |
定义基线阈值,然后监视并调整以适应组织的行为,并限制虚假警报。 |
| 来自非运营的国家或地区的身份验证失败 | 中 | Microsoft Entra 登录日志 | 状态 = 失败 -和- 位置 = <未批准的位置> -和- 应用程序 == "CPIM PowerShell 客户端" -或- 应用程序 == "ProxyIdentityExperienceFramework" |
监视不等于提供的城市名称的条目。 |
| 增加了任何类型的失败身份验证 | 中 | Microsoft Entra 登录日志 | 状态 = 失败 -和- 应用程序 == "CPIM PowerShell 客户端" -或- 应用程序 == "ProxyIdentityExperienceFramework" |
如果没有阈值,则监视失败次数是否增加 10% 或更高并发出警报。 |
| 帐户已禁用/被阻止登录 | 低 | Microsoft Entra 登录日志 | 状态 = 失败 -和- 错误代码 = 50057,该用户帐户已被禁用。 |
这种情况可能指示有人在他们离开组织后试图获取帐户访问权限。 该帐户已被阻止,但记录这类活动并发出警报很重要。 |
| 可量化的成功登录增加情况 | 低 | Microsoft Entra 登录日志 | 状态 = 成功 -和- 应用程序 == "CPIM PowerShell 客户端" -或- 应用程序 == "ProxyIdentityExperienceFramework" |
如果没有阈值,则监视成功身份验证是否增加 10% 或更高并发出警报。 |
特权帐户
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| 登录失败,超出密码阈值 | 高 | Microsoft Entra 登录日志 | 状态 = 失败 -和- 错误代码 = 50126 |
定义基线阈值,监视并调整以适应组织的行为。 限制虚假警报。 |
| 由于条件访问要求而失败 | 高 | Microsoft Entra 登录日志 | 状态 = 失败 -和- 错误代码 = 53003 -和- 失败原因 = 被条件访问阻止 |
该事件可能表示攻击者正在尝试入侵帐户。 |
| 中断 | 高、中 | Microsoft Entra 登录日志 | 状态 = 失败 -和- 错误代码 = 53003 -和- 失败原因 = 被条件访问阻止 |
该事件可能表示攻击者拥有帐户密码,但无法通过 MFA 质询。 |
| 帐户锁定 | 高 | Microsoft Entra 登录日志 | 状态 = 失败 -和- 错误代码 = 50053 |
定义基线阈值,然后监视并调整以适应组织的行为。 限制虚假警报。 |
| 帐户已禁用或被阻止登录 | low | Microsoft Entra 登录日志 | 状态 = 失败 -和- 目标 = 用户 UPN -和- 错误代码 = 50057 |
此事件可能表示某人在离开组织后尝试获取对帐户的访问权限。 虽然该帐户已被阻止,但应记录这类活动并发出警报。 |
| MFA 欺诈警报或阻止 | 高 | Microsoft Entra 登录日志/Azure Log Analytics | 登录>身份验证详细信息 结果详细信息 = MFA 被拒绝,输入了欺诈代码 |
特权用户表示其尚未启动 MFA 提示,这可能表示攻击者拥有帐户密码。 |
| MFA 欺诈警报或阻止 | 高 | Microsoft Entra 登录日志/Azure Log Analytics | 活动类型 = 已报告欺诈 - 用户因 MFA 而被阻止或报告欺诈 - 未采取任何操作(根据欺诈报告租户级别设置) | 特权用户指示没有诱导 MFA 提示。 该情形可能表示攻击者拥有帐户密码。 |
| 特权帐户在预期控制之外登录 | 高 | Microsoft Entra 登录日志 | 状态 = 失败 UserPricipalName = <管理员帐户> 位置 = <未批准的位置> IP 地址 = <未批准的 IP> 设备信息 = <未批准的浏览器、操作系统> |
监视你定义为未批准的条目并发出警报。 |
| 在正常登录时间之外 | 高 | Microsoft Entra 登录日志 | 状态 = 成功 -和- 位置 = -和- 时间 = 在工作时间之外 |
监视登录是否发生在预期时间之外并发出警报。 寻找每个特权帐户的正常工作模式,并在正常工作时间之外发生计划外更改时发出警报。 在正常工作时间之外登录可能表示存在入侵或可能的内部威胁。 |
| 密码更改 | 高 | Microsoft Entra 审核日志 | 活动参与者 = 管理员/自助服务 -和- 目标 = 用户 -和- 状态 = 成功或失败 |
当任何管理员帐户密码发生更改时发出警报。 编写特权帐户的查询。 |
| 身份验证方法的更改 | 高 | Microsoft Entra 审核日志 | 活动:创建标识提供者 类别:ResourceManagement 目标:用户主体名称 |
该更改可能表示攻击者为帐户添加了一种身份验证方法,以便能够持续访问。 |
| 未经批准的行动者更新了标识提供者 | 高 | Microsoft Entra 审核日志 | 活动:更新标识提供者 类别:ResourceManagement 目标:用户主体名称 |
该更改可能表示攻击者为帐户添加了一种身份验证方法,以便能够持续访问。 |
| 未经批准的行动者删除了标识提供者 | 高 | Microsoft Entra 访问评审 | 活动:删除标识提供者 类别:ResourceManagement 目标:用户主体名称 |
该更改可能表示攻击者为帐户添加了一种身份验证方法,以便能够持续访问。 |
应用程序
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
|---|---|---|---|---|
| 向应用程序添加了凭据 | 高 | Microsoft Entra 审核日志 | Service-Core Directory、Category-ApplicationManagement 活动:更新应用程序证书和密码管理 -和- 活动:更新服务主体/更新应用程序 |
当凭据出现以下情况时发出警报:在正常工作时间或工作流以外添加,类型是环境中未使用过的类型,或者添加到支持服务主体的非 SAML 流。 |
| 分配到 Azure 基于角色的访问控制 (RBAC) 角色或 Microsoft Entra 角色的应用 | 高到中 | Microsoft Entra 审核日志 | 类型:服务主体 活动:“将成员添加到角色” 或 “将符合条件的成员添加到角色” -或- “将作用域内的成员添加到角色”。 |
空值 |
| 授予了高特权权限的应用,例如“.All”权限 (Directory.ReadWrite.All),或广泛权限 (Mail.) | 高 | Microsoft Entra 审核日志 | 不可用 | 授予了全部权限的应用,例如“.All”(Directory.ReadWrite.All) 或广泛权限 (Mail.) |
| 授予应用程序权限(应用角色)或高特权委托权限的管理员 | 高 | Microsoft 365 门户 | “向服务主体添加应用角色分配” -其中- 目标标识包含敏感数据的 API(例如 Microsoft Graph)“添加委托的权限授予” -其中- 目标识别包含敏感数据的 API(例如 Microsoft Graph) -和- DelegatedPermissionGrant.Scope 包括高特权权限。 |
全局管理员、应用程序管理员或云应用程序管理员同意使用应用程序时发出警报。 尤其查找正常活动和更改过程以外的同意。 |
| 应用程序获得授权使用 Microsoft Graph、Exchange、SharePoint 或 Microsoft Entra ID。 | 高 | Microsoft Entra 审核日志 | “添加委托的权限授予” -或- “向服务主体添加应用角色分配” -其中- 目标识别包含敏感数据的 API(例如 Microsoft Graph、Exchange Online 等) |
使用上一行中的警报。 |
| 代表所有用户授予高特权委托权限 | 高 | Microsoft Entra 审核日志 | “添加委托的权限授予” where 目标识别包含敏感数据的 API(例如 Microsoft Graph) DelegatedPermissionGrant.Scope 包括高特权权限 -和- DelegatedPermissionGrant.ConsentType 为“AllPrincipals”。 |
使用上一行中的警报。 |
| 使用 ROPC 身份验证流的应用程序 | 中 | Microsoft Entra 登录日志 | 状态 = 成功 身份验证协议 - ROPC |
在此应用程序中设定高级别信任,因为可以缓存或存储凭据。 如果可能,转换为更安全的身份验证流。 仅在自动应用程序测试中使用该过程(如果有)。 |
| 无关联的 URI | 高 | Microsoft Entra 日志和应用程序注册 | 服务 - 核心目录 类别 - ApplicationManagement 活动:更新应用程序 成功 - 属性名称 AppAddress |
例如,查找指向已删除或你未拥有的域名的无关联 URI。 |
| 重定向 URI 配置更改 | 高 | Microsoft Entra 日志 | 服务 - 核心目录 类别 - ApplicationManagement 活动:更新应用程序 成功 - 属性名称 AppAddress |
查找未使用 HTTPS* 的 URI、通配符在末尾或包含 URL 域的 URI、对应用程序不唯一的 URI、指向非所控域的 URI。 |
| AppID URI 的更改 | 高 | Microsoft Entra 日志 | 服务 - 核心目录 类别 - ApplicationManagement 活动:更新应用程序 活动:更新服务主体 |
查找 AppID URI 修改,例如添加、修改或删除 URI。 |
| 应用程序所有权的更改 | 中 | Microsoft Entra 日志 | 服务 - 核心目录 类别 - ApplicationManagement 活动:将所有者添加到应用程序 |
查找在正常更改管理活动之外添加为应用程序所有者的用户实例。 |
| 对注销 URL 的更改 | 低 | Microsoft Entra 日志 | 服务 - 核心目录 类别 - ApplicationManagement 活动:更新应用程序 -和- 活动:更新服务主体 |
查找对注销 URL 的修改。 空白条目或位置不存在的条目会阻止用户终止会话。 |
基础结构
| 要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 备注 |
|---|---|---|---|---|
| 由未经批准的行动者创建的新条件访问策略 | 高 | Microsoft Entra 审核日志 | 活动:添加条件访问策略 类别:策略 发起者(行动者):用户主体名称 |
监视条件访问更改并发出警报。 发起者(行动者):是否已批准对条件访问进行更改? |
| 由未经批准的行动者创建的条件访问策略 | 中 | Microsoft Entra 审核日志 | 活动:删除条件访问策略 类别:策略 发起者(行动者):用户主体名称 |
监视条件访问更改并发出警报。 发起者(行动者):是否已批准对条件访问进行更改? |
| 由未经批准的行动者更新的条件访问策略 | 高 | Microsoft Entra 审核日志 | 活动:更新条件访问策略 类别:策略 发起者(行动者):用户主体名称 |
监视条件访问更改并发出警报。 发起者(行动者):是否已批准对条件访问进行更改? 查看修改的属性并比较旧值和新值 |
| 由未经批准的行动者创建的 B2C 自定义策略 | 高 | Microsoft Entra 审核日志 | 活动:创建自定义策略 类别:ResourceManagement 目标:用户主体名称 |
监视自定义策略更改并发出警报。 发起者(行动者):是否已批准对自定义策略进行更改? |
| 由未经批准的行动者更新的 B2C 自定义策略 | 高 | Microsoft Entra 审核日志 | 活动:获取自定义策略 类别:ResourceManagement 目标:用户主体名称 |
监视自定义策略更改并发出警报。 发起者(行动者):是否已批准对自定义策略进行更改? |
| 由未经批准的行动者删除的 B2C 自定义策略 | 中 | Microsoft Entra 审核日志 | 活动:删除自定义策略 类别:ResourceManagement 目标:用户主体名称 |
监视自定义策略更改并发出警报。 发起者(行动者):是否已批准对自定义策略进行更改? |
| 由未经批准的行动者创建的用户流 | 高 | Microsoft Entra 审核日志 | 活动:创建用户流 类别:ResourceManagement 目标:用户主体名称 |
监视用户流更改并发出警报。 发起者(行动者):是否已批准对用户流进行更改? |
| 由未经批准的行动者更新的用户流 | 高 | Microsoft Entra 审核日志 | 活动:更新用户流 类别:ResourceManagement 目标:用户主体名称 |
监视用户流更改并发出警报。 发起者(行动者):是否已批准对用户流进行更改? |
| 由未经批准的行动者删除的用户流 | 中 | Microsoft Entra 审核日志 | 活动:删除用户流 类别:ResourceManagement 目标:用户主体名称 |
监视用户流更改并发出警报。 发起者(行动者):是否已批准对用户流进行更改? |
| 由未经批准的行动者创建的 API 连接器 | 中 | Microsoft Entra 审核日志 | 活动:创建 API 连接器 类别:ResourceManagement 目标:用户主体名称 |
监视 API 连接器更改并发出警报。 发起者(行动者):是否已批准对 API 连接器进行更改? |
| 由未经批准的行动者更新的 API 连接器 | 中 | Microsoft Entra 审核日志 | 活动:更新 API 连接器 类别:ResourceManagement 目标:用户主体名称:ResourceManagement |
监视 API 连接器更改并发出警报。 发起者(行动者):是否已批准对 API 连接器进行更改? |
| 由未经批准的行动者删除的 API 连接器 | 中 | Microsoft Entra 审核日志 | 活动:更新 API 连接器 类别:ResourceManagment 目标:用户主体名称:ResourceManagment |
监视 API 连接器更改并发出警报。 发起者(行动者):是否已批准对 API 连接器进行更改? |
| 由未经批准的行动者创建的标识提供者 (IdP) | 高 | Microsoft Entra 审核日志 | 活动:创建标识提供者 类别:ResourceManagement 目标:用户主体名称 |
监视 IdP 更改并发出警报。 发起者(行动者):是否已批准对 IdP 配置进行更改? |
| 由未经批准的行动者更新的 IdP | 高 | Microsoft Entra 审核日志 | 活动:更新标识提供者 类别:ResourceManagement 目标:用户主体名称 |
监视 IdP 更改并发出警报。 发起者(行动者):是否已批准对 IdP 配置进行更改? |
| 由未经批准的行动者删除的 IdP | 中 | Microsoft Entra 审核日志 | 活动:删除标识提供者 类别:ResourceManagement 目标:用户主体名称 |
监视 IdP 更改并发出警报。 发起者(行动者):是否已批准对 IdP 配置进行更改? |
后续步骤
若要了解更多信息,请参阅以下安全操作文章: