Microsoft Entra ID 中適用於具特殊權限帳戶的安全性作業
商務資產的安全性取決於管理您 IT 系統的特殊權限帳戶完整性。 網路攻擊者會使用認證竊取攻擊,並使用瞄準具特殊權限帳戶的其他方法來存取敏感性資料。
傳統上,組織安全性著重於以網路的進入點和離開點作為安全界限。 不過,在網際網路上軟體即服務 (SaaS) 應用程式和個人裝置,使得這種方法的效率較低。
Microsoft Entra ID 會使用身分識別與存取權管理 (IAM) 作為控制平面。 在您組織的身分識別層中,指派給具特殊權限系統管理角色的使用者會受到控制。 無論環境是在內部部署、雲端或混合式環境中,都必須保護用於存取的帳戶。
您完全負責內部部署 IT 環境中所有層級的安全性。 當您使用 Azure 服務時,身為雲端服務提供者的 Microsoft 和身為客戶的您需共同負責預防和應變。
- 如需共用責任模型的詳細資訊,請參閱 在雲端中的共同責任。
- 如需有關保護具特殊權限使用者存取權的詳細資訊,請參閱在 Microsoft Entra ID 中保護混合式和雲端部署的具特殊權限存取。
- 如需具特殊權限身分識別的各種影片、操作指南和重要概念內容,請參閱 Privileged Identity Management 文件。
要監視的記錄檔
以下為您可用來調查和監視的記錄檔:
從 Azure 入口網站,您可以檢視 Microsoft Entra 稽核記錄,並下載為逗點分隔值 (CSV) 或 JavaScript 物件標記法 (JSON) 檔案。 Azure 入口網站有數種方式可將 Microsoft Entra 記錄與其他工具整合,以讓監視和警示的自動化程度變得更高:
Microsoft Sentinel (部分機器翻譯)。 提供安全性資訊與事件管理 (SIEM) 功能,以在企業層級啟用智慧型安全性分析。
Sigma 規則 (英文) - Sigma 是撰寫規則和範本的開放式標準,自動化管理工具可使用這些規則與範本來剖析記錄檔。 對於建議搜尋準則存在 Sigma 範本的情況,我們已新增 Sigma 存放庫的連結。 Sigma 範本並非由 Microsoft 所撰寫、測試及管理。 而是由全球 IT 安全性社群建立及收集存放庫和範本。
Azure 監視器。 能夠自動監視和警示各種狀況。 可以建立或使用活頁簿以合併來自不同來源的資料。
Azure 事件中樞 (部分機器翻譯) 與 SIEM 整合。 允許透過 Azure 事件中樞整合將 Microsoft Entra 記錄推送至其他 SIEM,例如 Splunk、ArcSight、QRadar 和 Sumo Logic。 如需詳細資訊,請參閱將 Microsoft Entra 記錄串流到 Azure 事件中樞 (部分機器翻譯)。
Microsoft Defender for Cloud Apps (部分機器翻譯)。 可讓您探索和管理應用程式、跨應用程式和資源進行控管,以及檢查雲端應用程式的合規性。
Microsoft Graph。 可讓您匯出資料,並使用 Microsoft Graph 來執行更多分析。 如需詳細資訊,請參閱 Microsoft Graph PowerShell SDK 和 Microsoft Entra ID Protection。
Microsoft Entra ID 保護。 產生三個可用來協助您調查的重要報告:
具風險的使用者。 包含有風險的使用者、偵測的詳細資料、所有具風險登入的歷程記錄,以及風險歷程記錄的相關資訊。
風險性登入。包含可能指出可疑情況之登入的相關資訊。 如需調查此報告資訊的詳細資訊,請參閱調查風險。
風險偵測。 包含偵測到風險時觸發的其他風險資訊,以及其他相關資訊,例如登入位置,以及 Microsoft Defender for Cloud Apps 的任何詳細資料。
使用 Microsoft Entra ID Protection 保護工作負載身分識別。 用於偵測跨登入行為的工作負載身分識別和離線入侵指標的風險。
雖然我們不鼓勵這種做法,但是具特殊權限的帳戶可能具有常設的系統管理權限。 如果您選擇使用「常設」權限,而且該帳戶遭到入侵,則可能會有強烈的負面影響。 建議您設定監視具特殊權限帳戶的優先順序,並在 Privileged Identity Management (PIM) 設定中包含這些帳戶。 如需 PIM 的詳細資訊,請參閱開始使用 Privileged Identity Management。 此外,我們建議您驗證系統管理員帳戶:
- 是必要的。
- 具有執行要求活動的最低權限。
- 至少使用多重要素驗證受到保護。
- 從具特殊權限的存取工作站 (PAW) 或安全管理員工作站 (SAW) 裝置執行。
本文的其餘部分將說明我們建議您監視及警示的內容。 本文是依威脅類型進行編排。 如果有特定的預建解決方案,我們會在資料表之後連結到那些解決方案。 否則,您可以使用上述工具來建置警示。
本文將詳細說明如何設定基準,以及稽核具特殊權限帳戶的登入和使用情況。 其也會討論您可以用來協助維護具特殊權限帳戶完整性的工具和資源。 內容會分成下列主題:
- 緊急的「緊急安全窗口」帳戶
- 具特殊權限的帳戶登入
- 具特殊權限的帳戶變更
- 具特殊權限的群組
- 權限指派和提高權限
緊急存取帳戶
請務必避免不小心被鎖定在 Microsoft Entra 租用戶之外。
Microsoft 建議組織擁有兩個僅限雲端,並永久指派為全域管理員 (部分機器翻譯) 角色的緊急存取帳戶。 這些帳戶具有高度特殊權限,不會指派給特定個人。 這些帳戶僅限於無法使用一般帳戶,或所有其他管理員均意外鎖在系統外的緊急狀況或「破窗」案例。應遵循緊急存取帳戶建議 (部分機器翻譯) 來建立這些帳戶。
每次使用緊急存取帳戶時,傳送高優先順序的警示。
探索
由於只有在發生緊急狀況時才會使用緊急安全窗口帳戶,因此您的監視不應該探索任何帳戶活動。 每次使用或變更緊急存取帳戶時,傳送高優先順序的警示。 下列任何一個事件可能表示不良執行者正在嘗試危害您的環境:
- 登入。
- 帳戶密碼變更。
- 帳戶權限或角色已變更。
- 新增或變更了認證或驗證方法。
如需管理緊急存取帳戶的詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取管理員帳戶 (部分機器翻譯)。 如需建立緊急帳戶警示的詳細資訊,請參閱建立警示規則。
具特殊權限的帳戶登入
使用 Microsoft Entra 登入記錄作為資料來源,以監視所有特殊權限帳戶登入活動。 除了登入成功和失敗資訊之外,記錄還包含下列詳細資料:
- 中斷
- 裝置
- Location
- 風險
- 申請
- 日期和時間
- 帳戶是否停用
- 鎖定
- MFA 詐騙
- 條件式存取失敗
要監視的項目
您可以在 Microsoft Entra 登入記錄中監視特殊權限帳戶登入事件。 警示並調查具特殊權限帳戶的下列事件。
| 監視對象 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 登入失敗,密碼錯誤閾值 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 50126 |
定義基準閾值,接著監視和調整以符合組織行為,並限制誤報警示的產生。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 因條件式存取需求而失敗 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 53003 -及- 失敗原因 = 因條件式存取而封鎖 |
此事件可能表示攻擊者正在嘗試進入此帳戶。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 未遵循命名原則的具特殊權限帳戶 | Azure 訂用帳戶 | 使用 Azure 入口網站列出 Azure 角色指派 | 列出訂用帳戶的角色指派,並在登入名稱不符合組織格式時發出警示。 例如,使用 ADM_ 做為前置詞。 | |
| 中斷 | 高、中等 | Microsoft Entra 登入 | 狀態 = 已中斷 -及- 錯誤碼 = 50074 -及- 失敗原因 = 需要增強式驗證 狀態 = 已中斷 -及- 錯誤碼 = 500121 失敗原因 = 在增強式驗證要求期間驗證失敗 |
此事件可能表示攻擊者具有帳戶的密碼,但無法通過多重要素驗證挑戰。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 未遵循命名原則的具特殊權限帳戶 | 高 | Microsoft Entra 目錄 | 列出 Microsoft Entra 角色指派 | 列出 Microsoft Entra 角色的角色指派,以及 UPN 不符合您組織格式的警示。 例如,使用 ADM_ 做為前置詞。 |
| 探索未註冊多重要素驗證的具特殊權限帳戶 | 高 | Microsoft Graph API | 針對系統管理員帳戶查詢 IsMFARegistered eq false。 列出 credentialUserRegistrationDetails - Microsoft Graph 搶鮮版 (Beta) | 進行稽核和調查,以判斷事件是刻意為之,還是疏忽出錯。 |
| 帳戶鎖定 | 高 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 錯誤碼 = 50053 |
定義基準閾值,接著監視和調整以符合組織行為,並限制誤報警示的產生。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 已針對登入停用或封鎖的帳戶 | 低 | Microsoft Entra 登入記錄 | 狀態 = 失敗 -及- 目標 = 使用者 UPN -及- 錯誤碼 = 50057 |
此事件可能表示有人在離開組織後嘗試取得帳戶存取權。 儘管該帳戶遭到封鎖,但記錄此活動並發出警示仍相當重要。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| MFA 詐騙警示或封鎖 | 高 | Microsoft Entra 登入記錄/Azure Log Analytics | 登入>驗證詳細資料結果詳細資料 = 已拒絕 MFA,已輸入詐騙代碼 | 具特殊權限的使用者指出他們尚未啟動多重要素驗證提示,這可能表示攻擊者具有帳戶的密碼。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| MFA 詐騙警示或封鎖 | 高 | Microsoft Entra 稽核記錄/Azure Log Analytics | 活動類型 = 詐騙回報 - 使用者被封鎖 MFA 或詐騙報告 - 不採取任何動作 (根據詐騙報告的租用戶等級設定) | 具特殊權限的使用者指出他們尚未啟動多重要素驗證提示,這可能表示攻擊者具有帳戶的密碼。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 在預期的控制項之外的具特殊權限帳戶登入 | Microsoft Entra 登入記錄 | 狀態 = 失敗 UserPricipalName = <系統管理員帳戶> 位置 = <未經核准的位置> IP 位址 = <未經核准的 IP> 裝置資訊 = <未經核准的瀏覽器、作業系統> |
針對您已定義為未核准的任何項目進行監視和警示。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
|
| 一般登入時間之外 | 高 | Microsoft Entra 登入記錄 | 狀態 = 成功 -及- 位置 = -及- 時間 = 工作時間之外 |
如果登入發生在預期的時間之外,請進行監視和發出警示。 請務必找出每個具特殊權限帳戶的正常運作模式,並在正常工作時間以外的非計畫變更時發出警示。 在正常工作時間以外的登入可能表示入侵或可能的內部威脅。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| Microsoft Entra ID Protection 風險 | 高 | ID Protection 記錄 | 風險狀態 = 有風險 -及- 風險等級 = 低、中、高 -及- 活動 = 不熟悉的登入/TOR 等等 |
此事件表示有一些異常已偵測到此帳戶的登入,應會收到警示。 |
| 密碼變更 | 高 | Microsoft Entra 稽核記錄 | 活動執行者 = 管理員/自助 -及- 目標 = 使用者 -及- 狀態 = 成功或失敗 |
當任何系統管理員帳戶密碼變更時發出警示。 寫入具特殊權限帳戶的查詢。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 舊版驗證通訊協定的變更 | 高 | Microsoft Entra 登入記錄 | 用戶端應用程式 = 其他用戶端、IMAP、POP3、MAPI、SMTP 等 -及- 使用者名稱 = UPN -及- 應用程式 = Exchange (範例) |
許多攻擊都會使用舊版驗證,所以如果使用者的驗證通訊協定有變更,可能就是攻擊的指示。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 新的裝置或位置 | 高 | Microsoft Entra 登入記錄 | 裝置資訊 = 裝置識別碼 -及- 瀏覽器 -及- OS -及- 符合規範/受控 -及- 目標 = 使用者 -及- Location |
大部分的管理員活動都應該來自具有有限位置數量的具特殊權限存取裝置。 基於這個理由,請對新的裝置或位置發出警示。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| Audit 警示設定已變更 | 高 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動 = 停用 PIM 警示 -及- 狀態 = 成功 |
如果對核心警示的變更是非預期的,則應發出警示。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 向其他 Microsoft Entra 租用戶進行驗證的系統管理員 | 中 | Microsoft Entra 登入記錄 | 狀態 = 成功 資源租用戶識別碼 != 主租用戶識別碼 |
當範圍設定為「具權限的使用者」時,此監視器會偵測系統管理員是否已成功向另一個具有組織租用戶中身分識別的租用戶驗證另一個 Microsoft Entra 租用戶。 如果資源租用戶識別碼不等於主租用戶識別碼,則發出警示 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 系統管理員使用者狀態已從來賓變更為成員 | 中 | Microsoft Entra 稽核記錄 | 活動:更新使用者 類別:UserManagement UserType 已從來賓變更為成員 |
監視和警示使用者類型從來賓變更為成員。 這是否為預期的變更? Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 由未核准的邀請者邀請加入租用戶的來賓使用者 | 中 | Microsoft Entra 稽核記錄 | 活動:邀請外部使用者 類別:UserManagement 由 (執行者) 起始:使用者主體名稱 |
監視並警示未核准執行者邀請外部使用者。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
具特殊權限帳戶的變更
透過具特殊權限帳戶來監視所有已完成和嘗試的變更。 這項資料可讓您建立每個具特殊權限帳戶的一般活動,以及偏離預期的活動警示。 Microsoft Entra 稽核記錄是用來記錄這種類型的事件。 如需 Microsoft Entra 稽核記錄的詳細資訊,請參閱 Microsoft Entra ID 中的稽核記錄。
Microsoft Entra 網域服務
在 Microsoft Entra Domain Services 中已獲指派權限的具特殊權限帳戶,可以執行 Microsoft Entra Domain Services 的工作,這些工作會影響使用 Microsoft Entra Domain Services 之 Azure 託管虛擬機器的安全性態勢。 在虛擬機器上啟用安全性稽核,並監視記錄。 如需有關啟用 Microsoft Entra Domain Services 稽核和敏感性權限清單的詳細資訊,請參閱下列資源:
- 針對 Microsoft Entra Domain Services 啟用安全性稽核 (部分機器翻譯)
- 稽核機密特殊權限使用 (英文)
| 監視對象 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 已嘗試和已完成的變更 | 高 | Microsoft Entra 稽核記錄 | 日期和時間 -及- 服務 -及- 活動分類和名稱 ([事件]) -及- 狀態 = 成功或失敗 -及- Target -及- 啟動器或執行者 (誰) |
任何未規劃的變更都應該立即收到警示。 您應該保留這些記錄,以協助進行任何調查。 任何租用戶等級的變更都應該立即調查 (連結到基礎文件),以降低租用戶的安全性態勢。 範例為將帳戶從多重要素驗證或條件式存取排除。 針對對應用程式的任何新增或變更發出警示。 請參閱 Microsoft Entra 應用程式安全性作業指南。 |
| 範例 已嘗試或已完成對高價值應用程式或服務的變更 |
高 | 稽核記錄 | 服務 -及- 活動的類別和名稱 |
活動的日期和時間、服務、類別和名稱、狀態 = 成功或失敗、目標、起始者或執行者 (誰) |
| Microsoft Entra Domain Services 中的具特殊權限變更 | 高 | Microsoft Entra 網域服務 | 尋找事件 4673 | 針對 Microsoft Entra Domain Services 啟用安全性稽核 (部分機器翻譯) 如需所有特殊權限事件的清單,請參閱稽核機密特殊權限使用。 |
具特殊權限帳戶的變更
調查具特殊權限帳戶的驗證規則和權限的變更,特別是如果變更提供更高的權限或在 Microsoft Entra 環境中執行工作的能力。
| 監視對象 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 具特殊權限的帳戶建立 | 中 | Microsoft Entra 稽核記錄 | 服務 = 核心目錄 -及- 類別 = 使用者管理 -及- 活動類型 = 新增使用者 -相互關聯- 類別類型 = 角色管理 -及- 活動類型 = 將成員新增至角色 -及- 修改的屬性 = Role.DisplayName |
監視任何具特殊權限帳戶的建立。 尋找在帳戶建立和刪除之間有短暫時間範圍的相互關聯。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 對於驗證方法的變更 | 高 | Microsoft Entra 稽核記錄 | 服務 = 驗證方法 -及- 活動類型 = 使用者註冊的安全性資訊 -及- 類別 = 使用者管理 |
這項變更可能表示攻擊者將驗證方法新增至帳戶,讓他們可以繼續存取。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 具特殊權限帳戶的權限發生變更時發出警示 | 高 | Microsoft Entra 稽核記錄 | 類別 = 角色管理 -及- 活動類型 = 新增合格成員 (永久) -或- 活動類型 = 新增合格成員 (合格) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
這項警示特別適用於以下帳戶:被指派不為人知或非一般責任的角色。 Sigma 規則 |
| 未使用的具特殊權限帳戶 | 中 | Microsoft Entra 存取權檢閱 | 針對非使用中的具特殊權限使用者帳戶執行每月檢閱。 Sigma 規則 |
|
| 豁免條件式存取的帳戶 | 高 | Azure 監視器記錄 -或- 存取權檢閱 |
條件式存取 = 深入解析和報告 | 豁免條件式存取的任何帳戶最有可能略過安全性控制項,而且更容易遭到入侵。 緊急安全窗口帳戶已獲得豁免。 請參閱本文後面有關如何監視緊急安全窗口帳戶的資訊。 |
| 將臨時存取密碼新增至具特殊權限的帳戶 | 高 | Microsoft Entra 稽核記錄 | 活動:系統管理員已註冊安全性資訊 狀態原因:系統管理員已為使用者註冊臨時存取密碼方法 類別:UserManagement 由 (執行者) 起始:使用者主體名稱 目標:使用者主體名稱 |
監視和警示針對具權限的使用者建立臨時存取密碼。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
如需有關如何監視條件式存取原則例外狀況的詳細資訊,請參閱條件式存取深入解析和報告。
如需探索未使用的具特殊權限帳戶的詳細資訊,請參閱在 Privileged Identity Management 中建立 Microsoft Entra 角色的存取權檢閱 (部分機器翻譯)。
指派和提高權限
擁有以較高的能力永久佈建的具特殊權限帳戶,可能會增加攻擊面和安全性界限的風險。 相反地,使用提高權限程序來採用即時存取。 這種類型的系統可讓您指派具特殊權限角色的資格。 只有當管理員執行需要這些權限的工作時,才會將其權限提升至這些角色。 使用提高權限程序可讓您監視具特殊權限帳戶的提升和不使用情況。
建立基準
若要監視例外狀況,您必須先建立基準。 判斷下列元素的以下資訊
系統管理員帳戶
- 具特殊權限的帳戶策略
- 使用內部部署帳戶來管理內部部署資源
- 使用雲端式帳戶來管理雲端式資源
- 分隔和監視內部部署和雲端式資源之系統管理權限的方法
具特殊權限的角色保護
- 具有系統管理權限之角色的保護策略
- 使用具特殊權限帳戶的組織原則
- 維護永久權限與提供時間限制和核准存取的策略和準則
下列概念和資訊可協助您判斷原則:
- Just-In-Time 管理準則. 使用 Microsoft Entra 記錄來取得在您的環境中執行常見系統管理工作的資訊。 判斷完成工作所需的一般時間。
- Just Enough 管理準則。 判斷系統管理工作所需的最低權限角色 (可能是自訂角色)。 如需詳細資訊,請參閱 Microsoft Entra ID 中依工作排序的最低特殊權限角色。
- 建立提高權限原則。 當您深入了解所需的更高權限類型,以及每項工作需要多久的時間之後,請建立原則來反映您環境的提高權限使用情況。 例如,定義原則以將角色提高權限限制為一小時。
建立基準和設定原則之後,您可以設定監視來偵測原則之外的使用狀況,並發出警示。
探索
特別注意和調查指派和權限提高的變更。
要監視的項目
您可以使用 Microsoft Entra 稽核記錄和 Azure 監視器記錄,來監視具特殊權限帳戶的變更。 請在您的監視程序中包含下列變更。
| 監視對象 | 風險等級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 已新增至合格的具特殊權限角色 | 高 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 已完成將成員新增至角色 (符合資格) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
任何符合角色資格的帳戶現在都會獲得具有特殊權限的存取權。 如果指派是未預期的,或分配到不是帳戶持有者責任的角色,請加以調查。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 從 PIM 指派的角色 | 高 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 將成員新增至角色 (永久) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
這些角色應該會受到嚴密的監視和警示。 在可能的情況下,不應將 PIM 之外的角色指派給使用者。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 提高權限 | 中 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 已完成將成員新增到角色 (PIM 啟用) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
提高帳戶的特殊權限之後,其現在可以進行可能會影響您租用戶安全性的變更。 所有提高權限都應該記錄下來,如果是在該使用者的標準模式之外發生,應發出警示,如果是未規劃的情況下,則應進行調查。 |
| 核准和拒絕提高權限 | 低 | Microsoft Entra 稽核記錄 | 服務 = 存取權檢閱 -及- 類別 = UserManagement -及- 活動類型 = 已核准或已拒絕要求 -及- 起始的執行者 = UPN |
監視所有提高權限,因為其可能會清楚指出受攻擊的時間軸。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| PIM 設定的變更 | 高 | Microsoft Entra 稽核記錄 | 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 在 PIM 中更新角色設定 -及- 狀態原因 = 啟用時 MFA 已停用 (範例) |
其中一個動作可能降低 PIM 提高權限的安全性,讓攻擊者更容易取得具特殊權限的帳戶。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 未在 SAW/PAW 上發生提高權限 | 高 | Microsoft Entra 登入記錄 | 裝置識別碼 -及- 瀏覽器 -及- OS -及- 符合規範/受控 相互關聯: 服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 已完成將成員新增到角色 (PIM 啟用) -及- 狀態 = 成功或失敗 -及- 修改的屬性 = Role.DisplayName |
如果設定這項變更,則應該立即調查任何在非 PAW/SAW 裝置上提高權限的嘗試,因為這可能表示攻擊者嘗試使用該帳戶。 Sigma 規則 |
| 提高權限以管理所有 Azure 訂用帳戶 | 高 | Azure 監視器 | 活動記錄索引標籤 目錄活動索引標籤 作業名稱 = 將呼叫者指派給使用者存取管理員 -和- 事件類別 = 系統管理 -及- 狀態 = 成功、開始、失敗 -及- 事件發起者 |
如果未規劃此變更,應立即進行調查。 此設定可能讓攻擊者存取環境中的 Azure 訂用帳戶。 |
如需管理提高權限的詳細資訊,請參閱提高存取權以管理所有 Azure 訂用帳戶和管理群組。 如需使用 Microsoft Entra 記錄中可用資訊來監視提高權限的相關資訊,請參閱 Azure 監視器文件中的 Azure 活動記錄 (部分機器翻譯)。
如需有關設定 Azure 角色警示的詳細資訊,請參閱在 Privileged Identity Management 中設定 Azure 資源角色的安全性警示。
下一步
請參閱下列安全性作業指南文章:
Microsoft Entra 安全性作業概觀 (部分機器翻譯)
使用者帳戶的安全性作業 (部分機器翻譯)