备忘录 22-09 中所述的其他零信任领域
本指南中的其他文章涉及零信任原则的标识支柱,如美国管理和预算办公室 (OMB) M 22-09 行政部门和机构负责人备忘录中所述。 本文介绍标识支柱之外的零信任成熟度模型领域,并讨论了以下主题:
- 可见性
- 分析
- 自动化和业务流程
- 调控
能见度
监视 Microsoft Entra 租户非常重要。 假定数据泄露思维方式,满足备忘录 22-09 和备忘录 21-31 中的合规性标准。 以下三种主要日志类型用于安全分析和引入:
- Azure 审核日志,用于监视目录的操作活动,例如创建、删除、更新对象(如用户或组)
- 还可用于对 Microsoft Entra 配置进行更改,例如修改条件访问策略
- 请参阅 Microsoft Entra ID 中的审核日志
- 预配日志提供有关通过 Microsoft Identity Manager 从 Microsoft Entra ID 同步到 Service Now 等应用程序的对象的信息
- Microsoft Entra 登录日志,用于监视与用户、应用程序和服务主体关联的登录活动。
- 登录日志具有不同类别,以便区分
- 交互式登录显示成功和失败的登录、应用的策略和其他元数据
- 非交互式用户登录在登录期间显示无交互:代表用户登录的客户端,例如移动应用程序或电子邮件客户端
- 服务主体登录显示服务主体或应用程序登录:通过 REST API 访问服务、应用程序或 Microsoft Entra 目录的服务或应用程序
- Azure 资源托管标识登录:访问 Azure 资源的 Azure 资源或应用程序,例如向 Azure SQL 后端进行身份验证的 Web 应用程序服务。
- 请参阅 Microsoft Entra ID 中的登录日志(预览版)
在 Microsoft Entra ID 免费租户中,日志条目会存储 7 天。 具有 Microsoft Entra ID P1 或 P2 许可证的租户将日志条目保留 30 天。
确保安全信息和事件管理 (SIEM) 工具引入日志。 使用登录和审核事件与应用程序、基础结构、数据、设备和网络日志相关联。
建议将 Microsoft Entra 日志与 Microsoft Sentinel 集成。 配置连接器以引入 Microsoft Entra 租户日志。
了解详细信息:
对于 Microsoft Entra 租户,可配置诊断设置,以将数据发送到 Azure 存储帐户、Azure 事件中心或 Log Analytics 工作区。 使用这些存储选项集成其他 SIEM 工具来收集数据。
了解详细信息:
分析
可使用以下工具中的分析来聚合来自 Microsoft Entra ID 的信息,并显示安全态势中的趋势(与基线比较)。 还可以使用分析来跨 Microsoft Entra ID 评估和查找模式或威胁。
- Microsoft Entra ID 保护会分析登录和其他遥测数据源以检测风险行为
- 保护会向登录事件分配风险评分
- 阻止登录,或强制执行升级身份验证,以根据风险评分访问资源或应用程序
- 请参阅什么是 ID 保护?
- Microsoft Entra 使用情况和见解报表具有类似于 Azure Sentinel 工作簿的信息,包括哪些应用程序具有最多的用量或登录趋势。
- 使用报表了解可能指示攻击或其他事件的聚合趋势
- 请参阅 Microsoft Entra ID 中的使用情况和见解
- Microsoft Sentinel 会分析来自 Microsoft Entra ID 的信息:
- Microsoft Sentinel 用户和实体行为分析 (UEBA) 提供来自用户、主机、IP 地址和应用程序实体的潜在威胁的情报。
- 使用分析规则模板来搜寻 Microsoft Entra 日志中的威胁和警报。 你的安全或运营分析师可以会审并修正威胁。
- Microsoft Sentinel 工作簿有助于直观呈现 Microsoft Entra 数据源。 按国家/地区或应用程序查看登录信息。
- 请参阅常用的 Microsoft Sentinel 工作簿
- 请参阅可视化收集的数据
- 请参阅在 Microsoft Sentinel 中使用 UEBA 识别高级威胁
自动化和业务流程
零信任中的自动化有助于修正因威胁或安全更改而导致的警报。 在 Microsoft Entra ID 中,自动集成可帮助理清用于提升安全态势的操作。 自动化基于从监视和分析获得的信息。
使用 Microsoft Graph API REST 调用以编程方式访问 Microsoft Entra ID。 要进行此访问,需要一个具有授权和范围的 Microsoft Entra 标识。 使用图形 API 集成其他工具。
我们建议将 Azure 函数或 Azure 逻辑应用设置为使用系统分配的托管标识。 逻辑应用或函数有步骤或代码来实现操作的自动化。 将权限分配给托管标识,以向服务主体授予执行操作的目录权限。 授予托管标识最低权限。
了解更多:什么是 Azure 资源托管标识?
另一个自动化集成点是 Microsoft Graph PowerShell 模块。 使用 Microsoft Graph PowerShell 在 Microsoft Entra ID 中执行常见任务或配置,或者合并到 Azure 函数或 Azure 自动化 runbook 中。
调控
记录运行 Microsoft Entra 环境的过程。 使用 Microsoft Entra 功能来实现应用于 Microsoft Entra ID 中的范围的治理功能。
了解详细信息: