Privileged Identity Management 的 Microsoft Entra 安全操作
业务资产的安全性取决于管理 IT 系统的特权帐户的完整性。 网络攻击者会针对管理员帐户和其他特权访问权限帐户发起凭据盗窃攻击,以尝试获取对敏感数据的访问权限。
就云服务来说,预防此类攻击并对其做出响应是云服务提供商和客户的共同责任。
传统上,组织安全侧重于将网络的入口点和出口点作为安全外围。 但是,SaaS 应用程序和个人设备降低了这种方法的效率。 在 Microsoft Entra ID 中,我们会将网络安全外围替代为组织标识层中的身份验证。 为用户分配特权管理角色后,必须在本地、云和混合环境中保护其访问权限。
你完全负责本地 IT 环境的所有安全层。 使用 Azure 云服务时,预防和响应是 Microsoft 作为云服务提供商和你作为客户的共同责任。
有关共担责任模型的详细信息,请访问云中共担责任。
有关保护特权用户访问权限的详细信息,请参阅确保 Microsoft Entra ID 中混合部署和云部署的特权访问安全性。
如需特权标识的各种视频、操作指南和重要概念的内容,请访问 Privileged Identity Management 文档。
Privileged Identity Management (PIM) 是一项 Microsoft Entra 服务,可以通过该服务管理、控制和监视对组织中重要资源的访问。 这些资源包括 Microsoft Entra ID、Azure 和其他 Microsoft Online Services(例如 Microsoft 365 或 Microsoft Intune)中的资源。 你可以使用 PIM 来减轻以下风险:
确定和最大限度地减少有权访问安全信息和资源的人数。
检测对敏感资源的过多、不必要或误用的访问权限。
降低恶意参与者获得受保护信息或资源的访问权限的几率。
降低未经授权的用户意外影响敏感资源的可能性。
本文提供了设置基线、审核登录和特权帐户使用情况的相关指导。 使用源审核日志源来帮助维护特权帐户完整性。
要查阅的内容
用于调查和监视的日志文件包括:
在 Azure 门户中,可以查看 Microsoft Entra 审核日志,并将其下载为逗号分隔值 (CSV) 或 JavaScript 对象表示法 (JSON) 文件。 Microsoft Entra 门户提供多种方法来将 Azure AD 日志与其他工具相集成,以便自动执行监视和警报:
Microsoft Sentinel - 通过提供安全信息与事件管理 (SIEM) 功能,实现企业级智能安全分析。
Sigma 规则 - Sigma 是不断发展的开放标准,用于编写自动化管理工具可用于解析日志文件的规则和模板。 在我们建议的搜索条件存在 Sigma 模板的位置,我们添加了指向 Sigma 存储库的链接。 Sigma 模板并不是由 Microsoft 编写、测试和管理。 实际上,存储库和模板由全球 IT 安全社区创建和收集。
Azure Monitor – 实现对各种情况的自动监视和警报。 可以创建或使用工作簿来合并不同源的数据。
Azure 事件中心与 SIEM 集成- 通过 Azure 事件中心集成,可将 Microsoft Entra 日志集成到其他 SIEM,例如 Splunk、ArcSight、QRadar 和 Sumo Logic。
Microsoft Defender for Cloud Apps – 可用于发现和管理应用、跨应用和资源进行治理以及检查云应用的合规性。
使用Microsoft Entra ID 保护保护工作负载标识 - 用于通过登录行为和脱机入侵指标检测工作负载标识的风险。
本文的其余部分提供了有关使用层模型设置基线以监视和发出警报的建议。 指向预生成解决方案的链接显示在表后面。 你可以使用前面的工具生成警报。 具体内容分为以下领域:
基线
Microsoft Entra 角色分配
Microsoft Entra 角色警报设置
Azure 资源角色分配
Azure 资源的访问权限管理
提升访问权限来管理 Azure 订阅
基线
下面是建议的基线设置:
要监视的内容 | 风险级别 | 建议 | 角色 | 说明 |
---|---|---|---|---|
Microsoft Entra 角色分配 | 高 | 需要激活的理由。 需要批准才能激活。 设置两级审批者进程。 激活时,需要进行 Microsoft Entra 多重身份验证。 将最长特权提升持续时间设置为 8 小时。 | 安全管理员、特权角色管理员、全局管理员 | 特权角色管理员可以在其 Microsoft Entra 组织中自定义 PIM,包括更改激活合格角色分配的用户的体验。 |
Azure 资源角色配置 | 高 | 需要激活的理由。 需要批准才能激活。 设置两级审批者进程。 激活时,需要进行 Microsoft Entra 多重身份验证。 将最长特权提升持续时间设置为 8 小时。 | 所有者、用户访问管理员 | 如果不是计划内更改,请立即进行调查。 此设置可使攻击者访问你的环境中的 Azure 订阅。 |
Privileged Identity Management 警报
当 Microsoft Entra 组织中存在可疑或不安全的活动时,Privileged Identity Management (PIM) 会生成警报。 警报生成后,会显示在 Privileged Identity Management 仪表板上。 还可配置电子邮件通知或通过 GraphAPI 发送到 SIEM。 由于这些警报专门针对管理角色,因此应密切监视任何警报。
要监视的内容 | 风险级别 | 其中 | 筛选器/子筛选器 UX | 说明 |
---|---|---|---|---|
在 Privileged Identity Management 之外分配角色 | 高 | Privileged Identity Management,警报 | 在 Privileged Identity Management 之外分配角色 | 如何配置安全警报 Sigma 规则 |
可能有过时的帐户充当特权角色 | 中 | Privileged Identity Management,警报 | 可能有过时的帐户充当特权角色 | 如何配置安全警报 Sigma 规则 |
管理员不使用其特权角色 | 低 | Privileged Identity Management,警报 | 管理员不使用其特权角色 | 如何配置安全警报 Sigma 规则 |
角色无需多重身份验证进行激活 | 低 | Privileged Identity Management,警报 | 角色无需多重身份验证进行激活 | 如何配置安全警报 Sigma 规则 |
组织没有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理 | 低 | Privileged Identity Management,警报 | 组织没有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理 | 如何配置安全警报 Sigma 规则 |
全局管理员过多 | 低 | Privileged Identity Management,警报 | 全局管理员过多 | 如何配置安全警报 Sigma 规则 |
角色激活过于频繁 | 低 | Privileged Identity Management,警报 | 角色激活过于频繁 | 如何配置安全警报 Sigma 规则 |
Microsoft Entra 角色分配
特权角色管理员可以在其 Microsoft Entra 组织中自定义 PIM,包括更改激活合格角色分配的用户体验:
防止不良行动者删除 Microsoft Entra 多重身份验证要求,以激活特权访问。
防止恶意用户绕过对激活特权访问的论证和批准。
要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
---|---|---|---|---|
在对特权帐户权限添加更改时发出警报 | 高 | Microsoft Entra 审核日志 | 类别 = 角色管理 -以及- 活动类型 – 添加符合条件的成员(永久) -以及- 活动类型 – 添加符合条件的成员(符合条件) - 和 - 状态 = 成功/失败 -和- 修改的属性 = Role.DisplayName |
监视特权角色管理员和全局管理员的任何更改并始终发出警报。 这可能表示攻击者试图获取修改角色分配设置的权限。 如果没有定义的阈值,则在 60 分钟内向用户发出 4 次警报,并在 60 分钟内向特权帐户发出警报 2 次。 Sigma 规则 |
对特权帐户权限进行批量删除更改时发出警报 | 高 | Microsoft Entra 审核日志 | 类别 = 角色管理 -以及- 活动类型 – 删除符合条件的成员(永久) -以及- 活动类型 – 删除符合条件的成员(符合条件) -以及- 状态 = 成功/失败 -和- 修改的属性 = Role.DisplayName |
如果不是计划内更改,请立即进行调查。 此设置可使攻击者访问你的环境中的 Azure 订阅。 Microsoft Sentinel 模板 Sigma 规则 |
更改 PIM 设置 | 高 | Microsoft Entra 审核日志 | 服务 = PIM -和- 类别 = 角色管理 -和- 活动类型 = 在 PIM 中更新角色设置 -和- 状态原因 = 禁用激活时进行 MFA(示例) |
监视特权角色管理员和全局管理员的任何更改并始终发出警报。 这可能表示攻击者具有修改角色分配设置的访问权限。 这些操作可能会降低 PIM 提升的安全性,使攻击者更容易获取特权帐户。 Microsoft Sentinel 模板 Sigma 规则 |
批准和拒绝特权提升 | 高 | Microsoft Entra 审核日志 | 服务 = 访问评审 -和- 类别 = UserManagement -和- 活动类型 = 请求获批/被拒 -和- 发起的参与者 = UPN |
应监视所有特权提升。 记录所有特权提升,以清楚地显示出攻击的时间线。 Microsoft Sentinel 模板 Sigma 规则 |
警报设置更改为已禁用。 | 高 | Microsoft Entra 审核日志 | 服务 = PIM -和- 类别 = 角色管理 -和- 活动类型 = 禁用 PIM 警报 -和- 状态 = 成功/失败 |
始终发出警报。 帮助检测不良参与者删除与 Microsoft Entra 多重身份验证要求关联的警报以激活特权访问的行为。 帮助检测可疑或不安全的活动。 Microsoft Sentinel 模板 Sigma 规则 |
有关确定 Microsoft Entra 审核日志中的角色设置更改的详细信息,请参阅在 Privileged Identity Management 中查看 Microsoft Entra 角色的审核历史。
Azure 资源角色分配
通过监视 Azure 资源角色分配,可以了解资源角色的活动和激活情况。 这些分配可能被误用,让资源产生攻击面。 监视此类活动时,尝试检测:
特定资源中的查询角色分配
所有子资源的角色分配
所有活动的和符合条件的角色分配更改
要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
---|---|---|---|---|
特权帐户活动的审核警报资源审核日志 | 高 | 在 PIM 中的“Azure 资源”中选择“资源审核” | 操作:已将符合条件的成员添加到 PIM 中的角色(时间限制) -以及- 主目标 - 和 - 类型用户 -和- 状态 = 已成功 |
始终发出警报。 帮助检测添加符合条件的角色以管理 Azure 中所有资源的不良参与者。 |
禁用警报的审核警报资源审核 | 中等 | 在 PIM 中的“Azure 资源”中选择“资源审核” | 操作:禁用警报 -和- 主目标:向资源分配的所有者过多 -和- 状态 = 已成功 |
帮助从“警报”窗格检测不良参与者禁用警报(此行为可绕过正在调查的恶意活动)的行为 |
禁用警报的审核警报资源审核 | 中等 | 在 PIM 中的“Azure 资源”中选择“资源审核” | 操作:禁用警报 -和- 主目标:向资源分配的永久所有者过多 -和- 状态 = 已成功 |
从“警报”窗格防止不良参与者禁用警报(此行为可绕过正在调查的恶意活动) |
禁用警报的审核警报资源审核 | 中等 | 在 PIM 中的“Azure 资源”中选择“资源审核” | 操作:禁用警报 -和- 已创建“主目标重复”角色 -和- 状态 = 已成功 |
从“警报”窗格防止不良参与者禁用警报(此行为可绕过正在调查的恶意活动) |
有关配置警报和审核 Azure 资源角色的信息,请参阅:
Azure 资源和订阅的访问管理
默认情况下,分配到“所有者”或“用户访问管理员”订阅角色的用户或组成员以及在 Microsoft Entra 中启用订阅管理的 Microsoft Entra 全局管理员具有资源管理员权限。 这些管理员可以对 Azure 资源使用 Privileged Identity Management (PIM) 来分配角色、配置角色设置,以及审查访问权限。
具有资源管理员权限的用户可以管理资源的 PIM。 这种情况所带来的监视和缓解的风险在于,该功能可用于允许不良行动者获得 Azure 订阅资源(例如虚拟机 (VM) 或存储帐户)的特权访问权限。
要监视的内容 | 风险级别 | Where | 筛选器/子筛选器 | 说明 |
---|---|---|---|---|
提升 | 高 | Microsoft Entra ID,位于“管理”“属性”下 | 定期查看设置。 Azure 资源的访问权限管理 |
全局管理员可以通过为 Azure 资源启用访问管理来提升权限。 确认不良行动者未获得在与 Active Directory 关联的所有 Azure 订阅和管理组中分配角色的权限。 |
有关详细信息,请参阅在 Privileged Identity Management 中分配 Azure 资源角色