取用者帳戶的 Microsoft Entra 安全性作業
取用者身分識別活動是組織保護及監視的重要領域。 本文適用於 Azure Active Directory B2C (Azure AD B2C) 租用戶,並提供監視取用者帳戶活動的指引。 這兩個活動為:
- 消費者帳戶
- 具特殊權限的帳戶
- 申請
- 基礎結構
開始之前
使用本文中的指引之前,建議您先閱讀,Microsoft Entra 安全性作業指南。
定義基準
若要探索異常行為,請定義什麼是正常和預期行為。 為組織定義預期行為,可協助您探索未預期的行為。 使用定義來協助降低監視和警示期間的誤判。
定義預期的行為後,執行基準監視來驗證預期。 然後,監視超出容錯範圍的記錄。
在正常程序之外建立的帳戶,使用 Microsoft Entra 稽核記錄、Microsoft Entra 登入記錄,以及目錄屬性作為您的資料來源。 下列建議可協助您定義何謂正常。
取用者帳戶建立
請評估下列清單:
- 用來建立和管理取用者帳戶之工具和程序的策略與準則
- 例如,是否有適用於取用者帳戶屬性的標準屬性和格式
- 已核准來建立帳戶的來源。
- 例如,上線自訂原則、客戶佈建或移轉工具
- 對於在已核准來源範圍之外建立的帳戶的警示策略。
- 建立與您組織共同作業的受控組織清單
- 未經核准的取用者帳戶管理員所建立、修改或停用的帳戶適用的策略和警示參數
- 缺少標準屬性 (例如,客戶編號或未遵循組織命名慣例) 的取用者帳戶適用的監視和警示策略
- 適用於帳戶刪除和保留的策略、準則及程序
查看位置
使用記錄檔來調查和監視。 欲深入了解,請參閱下列文章:
稽核記錄和自動化工具
從 Azure 入口網站,您可以檢視 Microsoft Entra 稽核記錄,並下載為逗號分隔值 (CSV) 或 JavaScript 物件標記法 (JSON) 檔案。 使用 Azure 入口網站可將 Microsoft Entra 記錄與其他工具整合,以自動化監視和警示:
- Microsoft Sentinel – 具有安全性資訊與事件管理 (SIEM) 功能的安全性分析
- Sigma 規則 - 是撰寫規則和範本的開放標準,讓自動化管理工具可用來剖析記錄檔。 若有建議的搜尋準則 Sigma 範本,我們已新增 Sigma 存放庫的連結。 Microsoft 不會寫入、測試或管理 Sigma 範本。 是由 IT 安全性社群建立及收集存放庫和範本。
- Azure 監視器 – 自動監視及警示各種狀況。 建立或使用活頁簿以合併來自不同來源的資料。
- 與 SIEM 整合的 Azure 事件中樞 - 與 SIEM 整合的 Microsoft Entra 記錄,例如與 Azure 事件中樞搭配的 Splunk、ArcSight、QRadar 和 Sumo Logic
- 適用於雲端的 Microsoft Defender 應用程式 - 探索及管理應用程式、跨應用程式和資源來控管,以及確認雲端應用程式的合規性
- Microsoft Entra ID Protection - 用於偵測跨登入行為的工作負載身分識別和離線入侵指標的風險
使用本文的其餘部分,以取得要監視和警示的建議。 請參閱依威脅類型組織的表格。 請參閱下列表格列出預先建立的解決方案或範例。 使用先前提及的工具組建警示。
取用者帳戶
| 監視對象 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 大量帳戶建立或刪除 | 高 | Microsoft Entra 稽核記錄 | 活動:新增使用者 狀態 = 成功 起始者 (執行者) = CPIM 服務 -及- 活動:刪除使用者 狀態 = 成功 起始者 (執行者) = CPIM 服務 |
定義基準閾值,接著監視和調整以符合您的組織行為。 限制誤判警示。 |
| 由未經核准的使用者或程序所建立並刪除的帳戶 | 中 | Microsoft Entra 稽核記錄 | 由 (執行者) 起始 - 使用者主體名稱 -及- 活動:新增使用者 狀態 = 成功 起始者 (執行者) != CPIM 服務 和-或 活動:刪除使用者 狀態 = 成功 起始者 (執行者) != CPIM 服務 |
如果執行者是未經核准的使用者,則設定為傳送警示。 |
| 指派給特殊權限角色的帳戶 | 高 | Microsoft Entra 稽核記錄 | 活動:新增使用者 狀態 = 成功 起始者 (執行者) == CPIM 服務 -及- 活動:將成員新增至角色 狀態 = 成功 |
如果將帳戶指派給 Microsoft Entra 角色、Azure 角色或特殊權限群組成員資格,則警示該調查並設定其優先順序。 |
| 失敗的登入嘗試 | 中 - 如果是獨立事件 高 - 如果有多個帳戶遇到相同的模式 |
Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 登入錯誤碼 50126 - 驗證認證時因使用者名稱或密碼無效而發生錯誤。 -及- 應用程式 == "CPIM PowerShell Client" -或- 應用程式 == "ProxyIdentityExperienceFramework" |
定義基準閾值,接著監視和調整以符合組織行為,並限制誤報警示的產生。 |
| 智慧鎖定事件 | 中 - 如果是獨立事件 高 - 如果有多個帳戶遇到相同的模式或 VIP |
Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 登入錯誤碼 = 50053 – IdsLocked -及- 應用程式 == "CPIM PowerShell Client" -或- 應用程式 =="ProxyIdentityExperienceFramework" |
定義基準閾值,接著監視和調整以符合組織行為,並限制誤報警示。 |
| 來自您未在其中營運之國家/地區的失敗驗證 | 中 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 位置 = <未經核准的位置> -及- 應用程式 == "CPIM PowerShell Client" -或- 應用程式 == "ProxyIdentityExperienceFramework" |
監視與您提供的城市名稱不同的項目。 |
| 已增加任何類型的失敗驗證 | 中 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 應用程式 == "CPIM PowerShell Client" -或- 應用程式 == "ProxyIdentityExperienceFramework" |
如果您未有閾值,請監視並在失敗數增加 10% 或更高時發出警示。 |
| 已針對登入停用/封鎖的帳戶 | 低 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 50057,使用者帳戶已停用。 |
此案例可能表示有人在離開組織後嘗試取得帳戶的存取權。 該帳戶遭到封鎖,不過記錄此活動並發出警示仍相當重要。 |
| 成功登入數顯著增加 | 低 | Microsoft Entra 登入記錄 | 狀態 = 成功 -及- 應用程式 == "CPIM PowerShell Client" -或- 應用程式 == "ProxyIdentityExperienceFramework" |
如果您未有閾值,請進行監視並在成功驗證增加 10% 或更高時發出警示。 |
特殊權限帳戶
| 監視對象 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 登入失敗,密碼錯誤閾值 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 50126 |
定義基準閾值與監視和調整以符合您的組織行為。 限制誤判警示。 |
| 因條件式存取需求而失敗 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 53003 -及- 失敗原因 = 因條件式存取而封鎖 |
此事件可能表示攻擊者正在嘗試進入此帳戶。 |
| 中斷 | 高、中等 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 53003 -及- 失敗原因 = 因條件式存取而封鎖 |
此事件可能表示攻擊者具有帳戶的密碼,但無法通過 MFA 挑戰。 |
| 帳戶鎖定 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 50053 |
定義基準閾值,接著監視和調整以符合您的組織行為。 限制誤判警示。 |
| 已針對登入停用或封鎖的帳戶 | 愛荷華州 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 目標 = 使用者 UPN -及- 錯誤碼 = 50057 |
此事件可能表示有人在離開組織後嘗試取得帳戶存取權。 儘管該帳戶遭到封鎖,仍會記錄此活動並發出警示。 |
| MFA 詐騙警示或封鎖 | 高 | Microsoft Entra 登入記錄/Azure Log Analytics | 登入和驗證詳細資料 結果詳細資料 = MFA 遭到拒絕,已輸入詐騙代碼 |
具特殊權限的使用者指出他們尚未啟動 MFA 提示,這可能表示攻擊者具有帳戶的密碼。 |
| MFA 詐騙警示或封鎖 | 高 | Microsoft Entra 登入記錄/Azure Log Analytics | 活動類型 = 詐騙回報 - 使用者被封鎖 MFA 或詐騙報告 - 根據詐騙報告的租用戶層級設定,不採取任何動作 | 特殊權限使用者指出 MFA 提示完全未觸發。 這案例可能表示攻擊者具有帳戶密碼。 |
| 在預期的控制項之外的具特殊權限帳戶登入 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 UserPricipalName = <系統管理員帳戶> 位置 = <未經核准的位置> IP 位址 = <未經核准的 IP> 裝置資訊 = <未經核准的瀏覽器、作業系統> |
監視和警示您定義為未核准的項目。 |
| 一般登入時間之外 | 高 | Microsoft Entra 登入記錄 | 狀態 = 成功 -及- 位置 = -及- 時間 = 工作時間之外 |
如果登入發生在預期的時間之外,請進行監視和發出警示。 請找出每個具特殊權限帳戶的正常運作模式,並對正常工作時間以外的非計畫變更發出警示。 在正常工作時間以外的登入可能表示入侵或可能的內部威脅。 |
| 密碼變更 | 高 | Microsoft Entra 稽核記錄 | 活動執行者 = 管理員/自助 -及- 目標 = 使用者 -及- 狀態 = 成功或失敗 |
當任何系統管理員帳戶密碼變更時發出警示。 寫入特殊權限帳戶的查詢。 |
| 對於驗證方法的變更 | 高 | Microsoft Entra 稽核記錄 | 活動:建立識別提供者 類別:ResourceManagement 目標:使用者主體名稱 |
這項變更可能表示攻擊者將驗證方法新增至帳戶,以便繼續存取。 |
| 由未經核准的執行者更新的識別提供者 | 高 | Microsoft Entra 稽核記錄 | 活動:更新識別提供者 類別:ResourceManagement 目標:使用者主體名稱 |
這項變更可能表示攻擊者將驗證方法新增至帳戶,以便繼續存取。 |
| 由未經核准的執行者刪除的識別提供者 | 高 | Microsoft Entra 存取權檢閱 | 活動:刪除識別提供者 類別:ResourceManagement 目標:使用者主體名稱 |
這項變更可能表示攻擊者將驗證方法新增至帳戶,以便繼續存取。 |
應用程式
| 監視對象 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 已將認證新增至應用程式 | 高 | Microsoft Entra 稽核記錄 | Service-Core 目錄、Category-ApplicationManagement 活動:更新 Application-Certificates 和祕密管理 -及- 活動:更新服務主體/更新應用程式 |
以下認證時發出警示:在正常上班時間或工作流程之外新增認證、環境中未使用的認證類型,或認證新增至支援服務主體的非 SAML 流程。 |
| 指派給 Azure 角色型存取控制 (RBAC) 角色 (或 Microsoft Entra 角色) 的應用程式 | 高至中 | Microsoft Entra 稽核記錄 | 類型:服務主體 活動:「將成員新增至角色」 或 「將合格成員新增至角色」 -或- 「將範圍成員新增至角色」。 |
N/A |
| 應用程式獲授與高特殊權限,例如具有 ".All" (Directory.ReadWrite.All) 或大範圍權限 (Mail.) | 高 | Microsoft Entra 稽核記錄 | N/A | 應用程式獲授與廣泛權限,例如 ".All" (Directory.ReadWrite.All) 或大範圍權限 (Mail.) |
| 授與應用程式權限 (應用程式角色) 或高特殊已委派權限的系統管理員 | 高 | Microsoft 365 入口網站 | 「將應用程式角色指派新增至服務主體」 - 其中 - 目標可識別具有機密性資料的 API (例如 Microsoft Graph)。「新增已委派的權限授與」 - 其中 - 目標可識別具有機密性資料的 API (例如 Microsoft Graph) -及- DelegatedPermissionGrant.Scope 包括高特殊權限。 |
在全域、應用程式或雲端應用程式管理員同意應用程式時發出警示。 特別尋找一般活動和變更程序外部的同意。 |
| 應用程式獲授與 Microsoft Graph、Exchange、SharePoint 或 Microsoft Entra ID 的權限。 | 高 | Microsoft Entra 稽核記錄 | 「新增已委派的權限授與」 -或- 「將應用程式角色指派新增至服務主體」 - 其中 - 目標可識別具有機密性資料的 API (例如 Microsoft Graph、Exchange Online 等) |
使用前一個資料列中的警示。 |
| 代表所有使用者授與高特殊已委派權限 | 高 | Microsoft Entra 稽核記錄 | 「新增已委派的權限授與」 where 目標可識別具有機密性資料的 API (例如 Microsoft Graph) DelegatedPermissionGrant.Scope 包括高特殊權限 -及- DelegatedPermissionGrant.ConsentType 是 "AllPrincipals"。 |
使用前一個資料列中的警示。 |
| 使用 ROPC 驗證流程的應用程式 | 中 | Microsoft Entra 登入記錄 | 狀態=成功 驗證通訊協定-ROPC |
高階信任會放在此應用程式中,因為可以快取或儲存認證。 如果可能的話,請移至更安全的驗證流程。 如果有的話,僅在自動化應用程式測試中使用該流程。 |
| 無關聯的 URI | 高 | Microsoft Entra 記錄和應用程式註冊 | 服務 - 核心目錄 類別 - ApplicationManagement 活動:更新應用程式 成功 – 屬性名稱 AppAddress |
例如,尋找無關聯的 URI,其指向不再存在的網域名稱,或您未擁有的網域名稱。 |
| 重新導向 URI 設定變更 | 高 | Microsoft Entra 記錄 | 服務 - 核心目錄 類別 - ApplicationManagement 活動:更新應用程式 成功 – 屬性名稱 AppAddress |
尋找未使用 HTTPS* 的 URI、在 URL 結尾或網域中具有萬用字元的 URI、「不」是應用程式特有的 URI、指向您未控制之網域的 URI。 |
| AppID URI 的變更 | 高 | Microsoft Entra 記錄 | 服務 - 核心目錄 類別 - ApplicationManagement 活動:更新應用程式 活動:更新服務主體 |
尋找 AppID URI 修改,例如新增、修改或移除 URI。 |
| 應用程式擁有權的變更 | 中 | Microsoft Entra 記錄 | 服務 - 核心目錄 類別 - ApplicationManagement 活動:將擁有者新增至應用程式 |
尋找在一般變更管理活動之外新增為應用程式擁有者的用戶執行個體。 |
| 登出 URL 的變更 | 低 | Microsoft Entra 記錄 | 服務 - 核心目錄 類別 - ApplicationManagement 活動:更新應用程式 -及- 活動:更新服務主體 |
尋找對登出 URL 所做的修改。 空白項目或不存在位置的項目會停止使用者終止工作階段。 |
基礎結構
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 非核准執行者所建立的新條件式存取原則 | 高 | Microsoft Entra 稽核記錄 | 活動:新增條件式存取原則 類別:原則 由 (執行者) 起始:使用者主體名稱 |
監視和警示條件式存取變更。 由 (執行者) 起始:是否核准可以對條件式存取進行變更? |
| 非核准執行者所移除的條件式存取原則 | 中 | Microsoft Entra 稽核記錄 | 活動:刪除條件式存取原則 類別:原則 由 (執行者) 起始:使用者主體名稱 |
監視和警示條件式存取變更。 由 (執行者) 起始:是否核准可以對條件式存取進行變更? |
| 非核准執行者所更新的條件式存取原則 | 高 | Microsoft Entra 稽核記錄 | 活動:更新條件式存取原則 類別:原則 由 (執行者) 起始:使用者主體名稱 |
監視和警示條件式存取變更。 由 (執行者) 起始:是否核准可以對條件式存取進行變更? 檢閱修改的屬性,並且比較舊的與新的值 |
| 由未經核准的執行者建立的 B2C 自訂原則 | 高 | Microsoft Entra 稽核記錄 | 活動:建立自訂原則 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示自訂原則變更。 是否核准起始者 (執行者) 對自訂原則進行變更? |
| 由未經核准的執行者更新的 B2C 自訂原則 | 高 | Microsoft Entra 稽核記錄 | 活動:取得自訂原則 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示自訂原則變更。 是否核准起始者 (執行者) 對自訂原則進行變更? |
| 由未經核准的執行者刪除的 B2C 自訂原則 | 中 | Microsoft Entra 稽核記錄 | 活動:刪除自訂原則 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示自訂原則變更。 是否核准起始者 (執行者) 對自訂原則進行變更? |
| 由未經核准的執行者建立的使用者流程 | 高 | Microsoft Entra 稽核記錄 | 活動:建立使用者流程 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示使用者流程變更。 是否核准起始者 (執行者) 對使用者流程進行變更? |
| 由未經核准的執行者更新的使用者流程 | 高 | Microsoft Entra 稽核記錄 | 活動:更新使用者流程 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示使用者流程變更。 是否核准起始者 (執行者) 對使用者流程進行變更? |
| 由未經核准的執行者刪除的使用者流程 | 中 | Microsoft Entra 稽核記錄 | 活動:刪除使用者流程 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示使用者流程變更。 是否核准起始者 (執行者) 對使用者流程進行變更? |
| 由未經核准的執行者建立的 API 連接器 | 中 | Microsoft Entra 稽核記錄 | 活動:建立 API 連接器 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示 API 連接器變更。 是否核准起始者 (執行者) 對 API 連接器進行變更? |
| 由未經核准的執行者更新的 API 連接器 | 中 | Microsoft Entra 稽核記錄 | 活動:更新 API 連接器 類別:ResourceManagement 目標:使用者主體名稱:ResourceManagement |
監視和警示 API 連接器變更。 是否核准起始者 (執行者) 對 API 連接器進行變更? |
| 由未經核准的執行者刪除的 API 連接器 | 中 | Microsoft Entra 稽核記錄 | 活動:更新 API 連接器 類別:ResourceManagment 目標:使用者主體名稱:ResourceManagment |
監視和警示 API 連接器變更。 是否核准起始者 (執行者) 對 API 連接器進行變更? |
| 由未經核准的執行者建立的識別提供者 (IdP) | 高 | Microsoft Entra 稽核記錄 | 活動:建立識別提供者 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示 IdP 變更。 是否核准起始者 (執行者) 對識別提供者設定進行變更? |
| 由未經核准的執行者更新的 IdP | 高 | Microsoft Entra 稽核記錄 | 活動:更新識別提供者 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示 IdP 變更。 是否核准起始者 (執行者) 對識別提供者設定進行變更? |
| 由未經核准的執行者刪除的 IdP | 中 | Microsoft Entra 稽核記錄 | 活動:刪除識別提供者 類別:ResourceManagement 目標:使用者主體名稱 |
監視和警示 IdP 變更。 是否核准起始者 (執行者) 對識別提供者設定進行變更? |
下一步
若要深入了解,請參閱下列安全性作業文章: