共用方式為


使用者帳戶的 Microsoft Entra 安全性作業

使用者身分識別是保護組織和資料的最重要層面之一。 此文章提供監視帳戶建立、刪除及帳戶使用方式的指引。 第一個部分說明如何監視異常帳戶的建立和刪除。 第二個部分說明如何監視異常帳戶使用方式。

如果您尚未閱讀 Microsoft Entra 安全性作業概觀 (部分機器翻譯),建議您在繼續之前先這麼做。

此文章涵蓋一般使用者帳戶。 如需特殊權限帳戶,請參閱「安全性作業 - 特殊權限帳戶」。

定義基準

若要探索異常行為,您必須先定義什麼是正常和預期行為。 為組織定義預期行為,可協助您判斷何時會發生未預期的行為。 定義也有助於降低在監視和警示時產生誤判為真的雜訊程度。

當您定義預期的內容之後,就可以執行基準監視來驗證期望。 有了該資訊,就能針對您定義的容錯範圍之外的任何內容來監視記錄。

針對在正常流程之外建立的帳戶,請使用 Microsoft Entra 稽核記錄、Microsoft Entra 登入記錄,以及目錄屬性作為您的資料來源。 下列建議可協助您思考和定義組織的常態。

  • 建立使用者帳戶:評估下列各項:

    • 用來建立和管理使用者帳戶之工具和程序的策略和準則。 例如,是否有標準屬性,套用至使用者帳戶屬性的格式。

    • 已核准來建立帳戶的來源。 例如,源自 Active Directory (AD)、Microsoft Entra ID 或 Workday 之類的 HR 系統。

    • 對於在已核准來源範圍之外建立的帳戶的警示策略。 是否有要與您組織共同作業的受控組織清單?

    • 對於在權利管理或其他正常程序範圍之外建立的帳戶,佈建來賓帳戶和警示參數。

    • 適用於由未經核准使用者管理員的帳戶所建立、修改或停用之帳戶的策略和警示參數。

    • 適用於遺失標準屬性之帳戶的監視和警示策略,例如,員工識別碼或未遵循組織命名慣例。

    • 適用於帳戶刪除和保留的策略、準則及程序。

  • 內部部署的使用者帳戶 - 針對已與 Microsoft Entra Connect 同步的帳戶評估下列各項:

    • 在同步範圍內的樹系、網域及組織單位 (OU)。 誰是核准的管理員、誰可以變更這些設定,以及檢查範圍的頻率為何?

    • 已同步的帳戶類型。 例如,使用者帳戶和/或服務帳戶。

    • 建立特殊權限內部部署帳戶,以及如何控制此類型帳戶同步的程序。

    • 建立內部部署的使用者帳戶,以及如何管理此類型帳戶同步的程序。

如需保護和監視內部部署帳戶的詳細資訊,請參閱保護 Microsoft 365 以防範內部部署攻擊

  • 雲端使用者帳戶:評估下列各項:

    • 直接在 Microsoft Entra ID 中佈建和管理雲端帳戶的流程。

    • 判斷已佈建為 Microsoft Entra 雲端帳戶之使用者類型的流程。 例如,您是否只允許特殊權限帳戶,還是也允許使用者帳戶?

    • 建立和維護信任人員清單的程序,和/或預期要建立和管理雲端使用者帳戶的程序。

    • 針對未經核准的雲端式帳戶建立和維護警示策略的程序。

查看位置

以下為您可用來調查和監視的記錄檔:

從 Azure 入口網站,您可以檢視 Microsoft Entra 稽核記錄,並下載為逗點分隔值 (CSV) 或 JavaScript 物件標記法 (JSON) 檔案。 Azure 入口網站有數種方式可將 Microsoft Entra 記錄與其他工具整合,以讓監視和警示的自動化程度變得更高:

  • Microsoft Sentinel (部分機器翻譯) - 提供安全性資訊與事件管理 (SIEM) 功能,以在企業層級啟用智慧型安全性分析。

  • Sigma 規則 (英文) - Sigma 是撰寫規則和範本的開放式標準,自動化管理工具可使用這些規則與範本來剖析記錄檔。 對於建議搜尋準則存在 Sigma 範本的情況,我們已新增 Sigma 存放庫的連結。 Sigma 範本不是由 Microsoft 所撰寫、測試及管理。 而是由全球 IT 安全性社群建立及收集存放庫和範本。

  • Azure 監視器 (部分機器翻譯) - 啟用對各種狀況的自動監視和警示。 可以建立或使用活頁簿以合併來自不同來源的資料。

  • 與 SIEM 整合的 Azure 事件中樞 (部分機器翻譯) - Microsoft Entra 記錄可以透過 Azure 事件中樞整合來整合到其他 SIEM (部分機器翻譯),例如 Splunk、ArcSight、QRadar 和 Sumo Logic。

  • Microsoft Defender for Cloud Apps (部分機器翻譯) - 可讓您探索和管理應用程式、跨應用程式和資源來控管,以及檢查雲端應用程式的合規性。

  • 使用 Microsoft Entra ID Protection 保護 工作負載身分識別 - 用來偵測跨登入行為和離線入侵指標的工作負載身分識別風險。

您將監視和警示的大部分內容是條件式存取原則的效果。 您可以使用條件式存取見解和報告活頁簿,檢查一或多個條件式存取原則對登入的效果,以及原則的結果,包括裝置狀態。 此活頁簿可讓您檢視摘要,以及識別特定時段內的影響。 您也可以使用活頁簿來調查特定使用者的登入。

此文章的其餘部分將描述我們建議您監視和警示的內容,並依威脅類型進行組織。 如果有特定的預先建立解決方案,我們會連結至這些解決方案,或在表格之後提供範例。 否則,您可以使用上述工具來建置警示。

帳戶建立

異常帳戶建立可能表示有安全性問題。 您應該調查存留期較短的帳戶、未遵循命名標準的帳戶,以及在正常程序範圍之外建立的帳戶。

存留期較短的帳戶

您應該在 Microsoft Entra ID 中監視在正常身分識別管理流程之外進行的帳戶建立和刪除。 存留期較短的帳戶是在短時間範圍內建立並刪除的帳戶。 建立並快速刪除此類型的帳戶,可能意味著惡意執行者嘗試透過建立帳戶、使用這些帳戶,然後刪除帳戶來避開偵測。

存留期較短的帳戶模式可能表示未經核准的人員或程序可能有權在已建立的程序和原則範圍之外建立並刪除帳戶。 此類型的行為會從目錄中移除可見的標記。

如果無法快速探索建立並刪除帳戶的資料軌跡,則調查事件所需的資訊可能已不存在。 例如,帳戶可能遭到刪除,接著從資源回收筒中清除。 稽核記錄會保留 30 天。 不過,您可以將記錄匯出至 Azure 監視器或安全性資訊與事件管理 (SIEM) 解決方案,以延長保留期。

監視對象 風險層級 其中 篩選/子篩選 備註
在近期內建立並刪除帳戶的事件。 Microsoft Entra 稽核記錄 活動:新增使用者
狀態 = 成功
-及-
活動:刪除使用者
狀態 = 成功
搜尋使用者主體名稱 (UPN) 事件。 尋找建立後接著在 24 小時內刪除的帳戶。
Microsoft Sentinel 範本 (英文)
由未經核准的使用者或程序所建立並刪除的帳戶。 Microsoft Entra 稽核記錄 由 (執行者) 起始 - 使用者主體名稱
-及-
活動:新增使用者
狀態 = 成功
和-或
活動:刪除使用者
狀態 = 成功
如果執行者是未經核准的使用者,則設定為傳送警示。
Microsoft Sentinel 範本 (英文)
來自未經核准來源的帳戶。 Microsoft Entra 稽核記錄 活動:新增使用者
狀態 = 成功
目標 = 使用者主體名稱
如果項目不是來自已核准的網域或是已知封鎖的網域,則設定為傳送警示。
Microsoft Sentinel 範本 (英文)
指派給特殊權限角色的帳戶。 Microsoft Entra 稽核記錄 活動:新增使用者
狀態 = 成功
-及-
活動:刪除使用者
狀態 = 成功
-及-
活動:將成員新增至角色
狀態 = 成功
如果將帳戶指派給 Microsoft Entra 角色、Azure 角色或特殊權限群組成員資格,則對該調查發出警示並提升其優先順序。
Microsoft Sentinel 範本 (英文)
Sigma 規則

特殊權限和非特殊權限的帳戶都應受到監視和警示。 不過,由於特殊權限帳戶具有系統管理權限,因此,在您的監視、警示和回應程序中應該具有較高的優先順序。

未遵循命名原則的帳戶

未遵循命名原則的使用者帳戶可能已在組織原則範圍之外建立。

最佳做法是擁有使用者物件的命名原則。 擁有命名原則可讓管理更容易,並有助於提供一致性。 此原則也有助於探索何時已在核准的程序範圍之外建立使用者。 惡意執行者可能不知道您的命名標準,而且可能更容易偵測在您的組織程序範圍之外佈建的帳戶。

組織往往具有用來建立使用者和/或特殊權限帳戶的特定格式和屬性。 例如:

  • 系統管理員帳戶 UPN = ADM_firstname.lastname@tenant.onmicrosoft.com

  • 使用者帳戶 UPN = Firstname.Lastname@contoso.com

通常,使用者帳戶具有可識別真實使用者的屬性。 例如,EMPID = XXXNNN。 使用下列建議來協助定義組織的正常狀態,以及定義帳戶未遵循命名慣例時的記錄項目基準:

  • 未遵循命名慣例的帳戶。 例如,nnnnnnn@contoso.comfirstname.lastname@contoso.com

  • 未填入標準屬性或格式不正確的帳戶。 例如,不具有效的員工識別碼。

監視對象 風險層級 其中 篩選/子篩選 備註
未定義預期屬性的使用者帳戶。 Microsoft Entra 稽核記錄 活動:新增使用者
狀態 = 成功
尋找具有標準屬性或 Null 或者格式錯誤的帳戶。 例如,EmployeeID
Microsoft Sentinel 範本 (英文)
使用不正確的命名格式所建立的使用者帳戶。 Microsoft Entra 稽核記錄 活動:新增使用者
狀態 = 成功
尋找 UPN 未遵循您命名原則的帳戶。
Microsoft Sentinel 範本 (英文)
未遵循命名原則的具特殊權限帳戶。 Azure 訂用帳戶 使用 Azure 入口網站列出 Azure 角色指派 - Azure RBAC 列出訂用帳戶的角色指派,並在登入名稱不符合您的組織格式時發出警示。 例如,ADM_ 為前置詞。
未遵循命名原則的具特殊權限帳戶。 Microsoft Entra 目錄 列出 Microsoft Entra 角色指派 列出 Microsoft Entra 角色的角色指派,並在 UPN 不符合您的組織格式時發出警示。 例如,ADM_ 為前置詞。

如需有關剖析的詳細資訊,請參閱:

在正常程序範圍之外建立的帳戶

擁有建立使用者和特殊權限帳戶的標準程序很重要,如此您就能安全地控制身分識別的生命週期。 如果使用者是在已建立的程序範圍之外進行佈建和取消佈建,可能就會引發安全性風險。 在已建立的程序範圍之外進行操作,也會引發身分識別管理問題。 潛在風險包括:

  • 使用者和特殊權限帳戶可能不受治理地遵守組織原則。 這可能導致對未正確管理的帳戶受攻擊面變得更大。

  • 當惡意執行者基於惡意用途建立帳戶時,就會變得更難偵測。 透過在已建立的程序範圍之外建立有效帳戶,就會變得更難偵測建立帳戶的時機,或基於惡意用途進行修改的權限。

建議您僅遵循組織原則來建立使用者和特殊權限帳戶。 例如,您應該使用正確的命名標準和組織資訊,在適當的身分識別治理範圍內建立帳戶。 組織應該嚴格控制有權建立、管理及刪除身分識別的人員。 建立這些帳戶的角色應該受到嚴格的管理,而且只有在遵循已建立的工作流程來核准並取得這些權限之後,才能取得這些權利。

監視對象 風險層級 其中 篩選/子篩選 備註
由未經核准的使用者或程序所建立或刪除的使用者帳戶。 Microsoft Entra 稽核記錄 活動:新增使用者
狀態 = 成功
和-或-
活動:刪除使用者
狀態 = 成功
-及-
由 (執行者) 起始 = 使用者主體名稱
警示由未經核准的使用者或程序所建立的帳戶。 為以提高的權限建立的帳戶設定優先順序。
Microsoft Sentinel 範本 (英文)
從未經核准的來源建立或刪除的使用者帳戶。 Microsoft Entra 稽核記錄 活動:新增使用者
狀態 = 成功
-或-
活動:刪除使用者
狀態 = 成功
-及-
目標 = 使用者主體名稱
當網域為未經核准或已知封鎖的網域時發出警示。

異常登入

看到使用者驗證失敗是正常的。 但是,看到失敗的模式或區塊,可能是表示使用者的身分識別發生問題的指標。 例如,在密碼噴灑或暴力密碼破解攻擊期間,或者,當使用者帳戶遭到盜用時。 您必須在模式出現時進行監視並發出警示,這點至關重要。 這有助於確保您可以保護使用者和組織的資料。

成功似乎說明了一切順利。 但是,這可能表示惡意執行者已成功存取了服務。 監視成功登入可協助您偵測正在取得存取權,但不是應具有存取權之使用者帳戶的使用者帳戶。 使用者驗證成功是 Microsoft Entra 登入記錄中的一般項目。 建議您進行監視並發出警示,以偵測模式何時出現。 這有助於確保您可以保護使用者帳戶和組織的資料。

當您設計記錄監視和警示策略並使其能夠運作時,請考慮可透過 Azure 入口網站使用的工具。 Microsoft Entra ID Protection 可讓您自動偵測、保護及補救身分識別式風險。 身分識別保護會使用智慧型機器學習和啟發學習法系統來偵測風險,並為使用者和登入指派風險分數。客戶可以根據風險層級來設定原則,以允許或拒絕存取,或允許使用者安全地從風險中自我補救。 下列 ID Protection 風險偵測可告知目前的風險層級:

監視對象 風險層級 其中 篩選/子篩選 備註
認證外洩使用者風險偵測 Microsoft Entra 風險偵測記錄 UX:認證外洩

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
Microsoft Entra 威脅情報使用者風險偵測 Microsoft Entra 風險偵測記錄 UX:Microsoft Entra 威脅情報

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
匿名 IP 位址登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:匿名 IP 位址

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
非慣用移動登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:非慣用移動

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
異常權杖 不定 Microsoft Entra 風險偵測記錄 UX:異常權杖

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
已連結惡意程式碼的 IP 位址登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:已連結惡意程式碼的 IP 位址

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
可疑的瀏覽器登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:可疑的瀏覽器

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
不熟悉的登入屬性登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:不熟悉的登入屬性

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
惡意 IP 位址登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:惡意 IP 位址

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
可疑的收件匣操作規則登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:可疑的收件匣操作規則

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
密碼噴灑登入風險偵測 Microsoft Entra 風險偵測記錄 UX:密碼噴灑

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
不可能的移動登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:不可能的移動

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
新國家/地區登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:新國家/地區

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
來自匿名 IP 位址的活動登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:來自匿名 IP 位址的活動

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
可疑的收件匣轉寄登入風險偵測 不定 Microsoft Entra 風險偵測記錄 UX:可疑的收件匣轉寄

API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則
Microsoft Entra 威脅情報登入風險偵測 Microsoft Entra 風險偵測記錄 UX:Microsoft Entra 威脅情報
API:請參閱 riskDetection 資源類型 - Microsoft Graph
請參閱什麼是風險?Microsoft Entra ID Protection (部分機器翻譯)
Sigma 規則

如需詳細資訊,請參閱《何謂身分識別保護》。

應該檢查哪些狀況

設定對 Microsoft Entra 登入記錄內的資料進行監視,以確保會發出警示,並遵守組織的安全性原則。 以下提供一些這類範例:

  • 驗證失敗:身為人類,我們都會時常弄錯密碼。 不過,許多失敗驗證可能表示有惡意執行者正嘗試取得存取權。 攻擊的凶猛程度各不相同,但範圍可從每小時數次到更高的頻率。 例如,密碼噴灑通常會以更簡單的方式掠奪許多帳戶的密碼,而暴力密碼破解會針對目標帳戶嘗試許多密碼。

  • 中斷的驗證:Microsoft Entra ID 的中斷表示插入流程來滿足驗證,例如在條件式存取原則中強制進行某個控制措施時。 這是正常事件,當應用程式的設定不正確時可能就會發生。 但是,當您看到某個使用者帳戶出現許多中斷時,可能表示該帳戶發生了問題。

    • 例如,如果您在登入記錄中篩選使用者,然後看到大量的登入狀態 = [已中斷] 且條件式存取 = [失敗]。 如果您挖掘更深入的資料,可能就會在驗證詳細資料中顯示密碼正確,但需要增強式驗證。 這可能意味著使用者並未完成多重要素驗證 (MFA),其可能表示使用者的密碼已遭盜用,但惡意執行者無法完成 MFA。
  • 智慧鎖定:Microsoft Entra ID 提供智慧鎖定服務,其能在驗證流程中引進熟悉與不熟悉位置的概念。 造訪熟悉位置的使用者帳戶可能會成功通過驗證,但不熟悉相同位置的惡意執行者會在進行數次嘗試之後遭到封鎖。 尋找已遭鎖定的帳戶並進一步調查。

  • IP 變更:看到源自不同 IP 位址的使用者是正常的。 不過,零信任狀態永遠不會信任且一律會進行驗證。 看到大量的 IP 位址和失敗登入,可能就是遭到入侵的指標。 尋找從多個 IP 位址發生許多失敗驗證的模式。 請注意,虛擬私人網路 (VPN) 連線可能導致誤判為真。 無論面臨何種挑戰,都建議您監視 IP 位址變更,並在可能的情況下使用 Microsoft Entra ID Protection 來自動偵測並降低這些風險。

  • 位置:一般而言,您預期使用者帳戶會位於相同的地理位置。 您也預期會從有員工或商務關係的位置登入。 如果使用者帳從不同國際位置到達的時間,比移動到那裡的時間還短,這可能表示使用者帳戶正遭到濫用。 請注意,VPN 可能導致誤判,建議您監視從地理位置較遠的位置登入的使用者帳戶,並在可能的情況下,使用 Microsoft Entra ID Protection 來自動偵測並降低這些風險。

針對此風險領域,建議您監視標準使用者帳戶和特殊權限帳戶,但為特殊權限帳戶的調查設定優先順序。 特殊權限帳戶在所有 Microsoft Entra 租用戶中都是最重要的帳戶。 如需特殊權限帳戶的專用指引,請參閱<安全性作業 - 特殊權限帳戶>。

如何偵測

您可以使用 Microsoft Entra ID Protection 和 Microsoft Entra 登入記錄,來協助探索異常登入特性所指出的威脅。 如需詳細資訊,請參閱本文《何謂身分識別保護》。 您也可以基於監視和警示用途,將資料複寫至 Azure 監視器或 SIEM。 若要定義環境的正常值並設定基準,請判斷:

  • 您認為對使用者群來說正常的參數。

  • 在使用者連絡服務台或執行自助式密碼重設之前,在一段時間內嘗試密碼的平均次數。

  • 您希望在警示之前允許的失敗嘗試次數,以及使用者帳戶和特殊權限帳戶是否有不同的嘗試次數。

  • 您希望在警示之前允許的 MFA 嘗試次數,以及使用者帳戶和特殊權限帳戶是否有不同的嘗試次數。

  • 是否已啟用舊版驗證,以及停止使用您的藍圖。

  • 已知的輸出 IP 位址適用於您的組織。

  • 使用者進行操作的來源國家/地區。

  • 是否有使用者群組在某個網路位置或國家/地區內保持靜止狀態。

  • 針對組織特定的異常登入,識別任何其他指標。 例如,組織不營運的當周或當年的數天或時間。

在您為環境中的帳戶設定正常範圍之後,請考慮下列清單,以協助判斷您想要監視和發出警示的情況,以及微調您的警示。

  • 如果設定了 Microsoft Entra ID Protection,還需要監視和警示嗎?

  • 是否有更嚴格的條件要套用至您可用來監視和警示的特殊權限帳戶? 例如,要求只能從信任的 IP 位址使用特殊權限帳戶。

  • 您設定的基準是否太過激進? 警示過多可能導致警示遭到忽略或遺漏。

設定 ID Protection,可協助確保支援您安全性基準原則的保護已就緒。 例如,如果風險 = 高,則封鎖使用者。 此風險層級以高可信度表示使用者帳戶已遭到盜用。 如需設定登入風險原則和使用者風險原則的詳細資訊,請參閱《ID Protection 原則》。

下列各項會根據項目的影響和嚴重性,依重要性順序列出。

監視外部使用者登入

監視對象 風險層級 其中 篩選/子篩選 備註
向其他 Microsoft Entra 租用戶進行驗證的使用者。 Microsoft Entra 登入記錄 狀態 = 成功
資源租用戶識別碼 != 主租用戶識別碼
偵測使用者使用您組織租用戶中的身分識別成功驗證至另一個 Microsoft Entra 租用戶的情況。
如果資源租用戶識別碼不等於主租用戶識別碼,則發出警示
Microsoft Sentinel 範本 (英文)
Sigma 規則
使用者狀態已從來賓變更為成員 Microsoft Entra 稽核記錄 活動:更新使用者
類別:UserManagement
UserType 已從來賓變更為成員
監視和警示使用者類型從來賓變更為成員。 這是預期行為嗎?
Microsoft Sentinel 範本 (英文)
Sigma 規則
由未核准的邀請者邀請加入租用戶的來賓使用者 Microsoft Entra 稽核記錄 活動:邀請外部使用者
類別:UserManagement
由 (執行者) 起始:使用者主體名稱
監視並警示未核准執行者邀請外部使用者。
Microsoft Sentinel 範本 (英文)
Sigma 規則

監視失敗的異常登入

監視對象 風險層級 其中 篩選/子篩選 備註
失敗的登入嘗試。 中:如果已隔離事件
高 - 如果有多個帳戶遇到相同的模式或 VIP。
Microsoft Entra 登入記錄 狀態 = 失敗
-及-
登入錯誤碼 50126 -
驗證認證時因為使用者名稱或密碼無效而發生錯誤。
定義基準閾值,接著監視和調整以符合組織行為,並限制誤報警示的產生。
Microsoft Sentinel 範本 (英文)
Sigma 規則
智慧鎖定事件。 中:如果已隔離事件
高 - 如果有多個帳戶遇到相同的模式或 VIP。
Microsoft Entra 登入記錄 狀態 = 失敗
-及-
登入錯誤碼 = 50053 – IdsLocked
定義基準閾值,接著監視和調整以符合組織行為,並限制誤報警示的產生。
Microsoft Sentinel 範本 (英文)
Sigma 規則
中斷 中:如果已隔離事件
高 - 如果有多個帳戶遇到相同的模式或 VIP。
Microsoft Entra 登入記錄 500121,在增強式驗證要求期間驗證失敗。
-或-
50097,需要裝置驗證或 50074,需要增強式驗證。
-或-
50155,DeviceAuthenticationFailed
-或-
50158,ExternalSecurityChallenge - 未滿足外部安全性挑戰
-或-
53003 和失敗原因 = 因條件式存取而封鎖
監視和警示中斷。
定義基準閾值,接著監視和調整以符合組織行為,並限制誤報警示的產生。
Microsoft Sentinel 範本 (英文)
Sigma 規則

下列各項會根據項目的影響和嚴重性,依重要性順序列出。

監視對象 風險層級 其中 篩選/子篩選 備註
多重要素驗證 (MFA) 詐騙警示。 Microsoft Entra 登入記錄 狀態 = 失敗
-及-
詳細資料 = MFA 已拒絕
監視和警示任何項目。
Microsoft Sentinel 範本 (英文)
Sigma 規則
來自您未在其中營運之國家/地區的失敗驗證。 Microsoft Entra 登入記錄 位置 = <未經核准的位置> 監視和警示任何項目。
Microsoft Sentinel 範本 (英文)
Sigma 規則
針對舊版通訊協定或未使用的通訊協定的失敗驗證。 Microsoft Entra 登入記錄 狀態 = 失敗
-及-
用戶端應用程式 = 其他用戶端、POP、IMAP、MAPI、SMTP、ActiveSync
監視和警示任何項目。
Microsoft Sentinel 範本 (英文)
Sigma 規則
因條件式存取而封鎖的失敗。 Microsoft Entra 登入記錄 錯誤碼 = 53003
-及-
失敗原因 = 因條件式存取而封鎖
監視和警示任何項目。
Microsoft Sentinel 範本 (英文)
Sigma 規則
已增加任何類型的失敗驗證。 Microsoft Entra 登入記錄 全面擷取失敗的增加數。 亦即,相較於前一周的同一天,今天的總失敗數 > 10%。 如果您未設定閾值,請監視並在失敗數增加 10% 或更高時發出警示。
Microsoft Sentinel 範本 (英文)
驗證在國家/地區未進行正常商務營運的當週時間和天數內發生。 Microsoft Entra 登入記錄 擷取在正常營運日期\時間範圍之外發生的互動式驗證。
狀態 = 成功
-及-
位置 = <位置>
-及-
日期\時間 = <非正常上班時間>
監視和警示任何項目。
Microsoft Sentinel 範本 (英文)
已針對登入停用/封鎖的帳戶 Microsoft Entra 登入記錄 狀態 = 失敗
-及-
錯誤碼 = 50057,使用者帳戶已停用。
這可能表示有人在離開組織後嘗試取得帳戶的存取權。 儘管該帳戶遭到封鎖,但記錄此活動並發出警示仍相當重要。
Microsoft Sentinel 範本 (英文)
Sigma 規則

監視成功的異常登入

監視對象 風險層級 其中 篩選/子篩選 備註
驗證超出預期控制範圍的特殊權限帳戶。 Microsoft Entra 登入記錄 狀態 = 成功
-及-
UserPricipalName = <系統管理員帳戶>
-及-
位置 = <未經核准的位置>
-及-
IP 位址 = <未經核准的 IP>
裝置資訊 = <未經核准的瀏覽器、作業系統>
監視和警示對超出預期控制範圍之特殊權限帳戶的成功驗證。 列出三個常見的控制項。
Microsoft Sentinel 範本 (英文)
Sigma 規則
只需要單一要素驗證的時機。 Microsoft Entra 登入記錄 狀態 = 成功
驗證需求 = 單一要素驗證
定期監視,並確保這是預期的行為。
Sigma 規則
探索未註冊 MFA 的特殊權限帳戶。 Azure Graph API 針對系統管理員帳戶查詢 IsMFARegistered = False。
列出 credentialUserRegistrationDetails - Microsoft Graph 搶鮮版 (Beta)
進行稽核和調查,以判斷是刻意為之,還是疏忽出錯。
來自您組織未在其中營運之國家/地區的成功驗證。 Microsoft Entra 登入記錄 狀態 = 成功
位置 = <未經核准的國家/地區>
監視和警示任何不等於您所提供之城市名稱的項目。
Sigma 規則
成功驗證,因條件式存取而封鎖的工作階段。 Microsoft Entra 登入記錄 狀態 = 成功
-及-
錯誤碼 = 53003 - 失敗原因,因條件式存取而封鎖
監視和調查驗證成功,但工作階段因條件式存取而封鎖的情況。
Microsoft Sentinel 範本 (英文)
Sigma 規則
在您停用舊版驗證之後的成功驗證。 Microsoft Entra 登入記錄 狀態 = 成功
-及-
用戶端應用程式 = 其他用戶端、POP、IMAP、MAPI、SMTP、ActiveSync
如果您的組織已停用舊版驗證,則會監視和警示成功進行舊版驗證的時機。
Microsoft Sentinel 範本 (英文)
Sigma 規則

建議您定期檢閱對只需單一要素驗證之中業務衝擊 (MBI) 和高業務衝擊 (HBI) 應用程式的驗證。 針對每一個,您都想要判斷是否預期會有單一要素驗證。 此外,您也可以根據位置,檢閱成功驗證數增加或未預期的次數。

監視對象 風險層級 其中 篩選/子篩選 備註
使用單一要素驗證來驗證 MBI 和 HBI 應用程式。 Microsoft Entra 登入記錄 狀態 = 成功
-及-
應用程式識別碼 = <HBI 應用程式>
-及-
驗證需求 = 單一要素驗證。
檢閱並驗證此設定是刻意為之。
Sigma 規則
在國家/地區未進行正常商務營運的當週或當年的天數或時間內進行驗證。 Microsoft Entra 登入記錄 擷取在正常營運日期\時間範圍之外發生的互動式驗證。
狀態 = 成功
位置 = <位置>
日期\時間 = <非正常上班時間>
監視和警示在國家/地區未進行正常商務營運的當週或當年的天數或時間內進行的驗證。
Sigma 規則
成功登入數顯著增加。 Microsoft Entra 登入記錄 全面擷取成功驗證的增加。 亦即,相較於前一周的同一天,今天的總成功數 > 10%。 如果您未設定閾值,請進行監視並在成功驗證增加 10% 或更高時發出警示。
Microsoft Sentinel 範本 (英文)
Sigma 規則

下一步

請參閱下列安全性作業指南文章:

Microsoft Entra 安全性作業概觀 (部分機器翻譯)

取用者帳戶的安全性作業

特殊權限帳戶的安全性作業 (部分機器翻譯)

Privileged Identity Management 的安全性作業

適用於應用程式的安全性作業

裝置的安全性作業

基礎結構的安全性作業