Operace zabezpečení pro privilegované účty v Microsoft Entra ID
Zabezpečení obchodních prostředků závisí na integritě privilegovaných účtů, které spravují vaše IT systémy. Kyberzločinci používají útoky na krádež přihlašovacích údajů a další prostředky k zacílení privilegovaných účtů a získání přístupu k citlivým datům.
Zabezpečení organizace se tradičně zaměřilo na vstupní a výstupní body sítě jako bezpečnostní obvod. Aplikace SaaS (Software jako služba) a osobní zařízení na internetu ale tento přístup méně efektivní.
Microsoft Entra ID používá jako řídicí rovinu správu identit a přístupu (IAM). Ve vrstvě identit vaší organizace mají uživatelé přiřazené k privilegovaným rolím správy kontrolu. Účty používané pro přístup musí být chráněné bez ohledu na to, jestli je prostředí místní, v cloudu nebo v hybridním prostředí.
Zcela zodpovídáte za všechny vrstvy zabezpečení vašeho místního IT prostředí. Když používáte služby Azure, prevence a reakce jsou společnými odpovědnostmi Microsoftu jako poskytovatele cloudových služeb a vy jako zákazník.
- Další informace o modelu sdílené odpovědnosti najdete v tématu Sdílená odpovědnost v cloudu.
- Další informace o zabezpečení přístupu pro privilegované uživatele najdete v tématu Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID.
- Širokou škálu videí, návodů a obsahu klíčových konceptů pro privilegovanou identitu najdete v dokumentaci k Privileged Identity Management.
Soubory protokolů, které se mají monitorovat
Soubory protokolů, které používáte pro šetření a monitorování, jsou:
Na webu Azure Portal můžete zobrazit protokoly auditu Microsoft Entra a stáhnout je jako soubory s hodnotami oddělenými čárkami (CSV) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Microsoft Entra s dalšími nástroji, které umožňují větší automatizaci monitorování a upozorňování:
Microsoft Sentinel. Umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje možnosti správy informací o zabezpečení a událostí (SIEM).
Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které mohou automatizované nástroje pro správu použít k analýze souborů protokolu. Kde pro naše doporučená kritéria hledání existují šablony Sigma, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, otestované a spravované Microsoftem. Úložiště a šablony se vytvářejí a shromažďují komunitou zabezpečení IT po celém světě.
Azure Monitor Umožňuje automatizované monitorování a upozorňování různých podmínek. Můžete vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.
Služba Azure Event Hubs integrovaná se systémem SIEM. Umožňuje nasdílení protokolů Microsoft Entra do jiných siEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic, prostřednictvím integrace azure Event Hubs. Další informace najdete v tématu Streamování protokolů Microsoft Entra do centra událostí Azure.
Microsoft Defender for Cloud Apps. Umožňuje zjišťovat a spravovat aplikace, řídit se napříč aplikacemi a prostředky a kontrolovat dodržování předpisů cloudových aplikací.
Microsoft Graph. Umožňuje exportovat data a používat Microsoft Graph k další analýze. Další informace najdete v sadě Microsoft Graph PowerShell SDK a Microsoft Entra ID Protection.
Ochrana identit. Vygeneruje tři klíčové sestavy, které můžete použít k usnadnění šetření:
Rizikoví uživatelé. Obsahuje informace o tom, kteří uživatelé jsou ohroženi, podrobnosti o detekcích, historii všech rizikových přihlášení a historii rizik.
Riziková přihlášení. Obsahuje informace o přihlášení, které můžou indikovat podezřelé okolnosti. Další informace o zkoumání informací z této sestavy najdete v tématu Zkoumání rizika.
Detekce rizik. Obsahuje informace o dalších rizicích aktivovaných při zjištění rizika a dalších relevantních informacích, jako je umístění přihlášení a veškeré podrobnosti z Microsoft Defenderu for Cloud Apps.
Zabezpečení identit úloh pomocí identity Identity Protection Preview Slouží ke zjišťování rizik u identit úloh napříč chováním přihlašování a offline indikátory ohrožení zabezpečení.
I když tento postup nedoporučujeme, privilegované účty můžou mít stálá práva pro správu. Pokud se rozhodnete používat stálé oprávnění a účet je ohrožen, může mít silně negativní vliv. Doporučujeme nastavit prioritu monitorování privilegovaných účtů a zahrnout je do konfigurace PIM (Privileged Identity Management). Další informace o PIM najdete v tématu Začínáme používat Privileged Identity Management. Doporučujeme také ověřit, že účty správců:
- Vyžaduje se.
- Mít nejnižší oprávnění ke spuštění požadované aktivity.
- Jsou chráněny minimálně vícefaktorovým ověřováním.
- Běží z pracovní stanice s privilegovaným přístupem (PAW) nebo ze zařízení s zabezpečenou pracovní stanicí pro správu (SAW).
Zbytek tohoto článku popisuje, co doporučujeme monitorovat a upozorňovat na. Článek je uspořádaný podle typu hrozby. Pokud existují konkrétní předem připravená řešení, propojíme je podle tabulky. V opačném případě můžete vytvářet výstrahy pomocí výše popsaných nástrojů.
Tento článek obsahuje podrobnosti o nastavení standardních hodnot a auditování přihlášení a použití privilegovaných účtů. Popisuje také nástroje a prostředky, které můžete použít k zajištění integrity privilegovaných účtů. Obsah je uspořádaný do následujících témat:
- Nouzové účty break-glass
- Přihlášení k privilegovanému účtu
- Změny privilegovaného účtu
- Privilegované skupiny
- Přiřazení oprávnění a zvýšení oprávnění
Nouzové přístupové účty
Je důležité, abyste zabránili náhodnému uzamčení tenanta Microsoft Entra.
Microsoft doporučuje, aby organizace měly trvale přiřazenou roli globálního Správa istratoru dva účty pro nouzový přístup jen pro cloud. Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty jsou omezené na scénáře tísňového volání nebo prolomení skla, kdy se nedají použít normální účty nebo všichni ostatní správci jsou omylem uzamčeni. Tyto účty by se měly vytvořit podle doporučení k účtu pro nouzový přístup.
Odešle upozornění s vysokou prioritou při každém použití účtu pro nouzový přístup.
Zjišťování
Vzhledem k tomu, že se účty break-glass používají pouze v případě tísňového volání, monitorování by nemělo zjistit žádnou aktivitu účtu. Odešlete výstrahu s vysokou prioritou při každém použití nebo změně účtu pro nouzový přístup. Některá z následujících událostí může znamenat, že se chybný objekt actor pokouší ohrozit vaše prostředí:
- Přihlaste se.
- Změna hesla účtu
- Oprávnění nebo role účtu se změnily.
- Přidané nebo změněné přihlašovací údaje nebo metoda ověřování
Další informace o správě účtů pro nouzový přístup najdete v tématu Správa účtů pro správu tísňového přístupu v Microsoft Entra ID. Podrobné informace o vytvoření výstrahy pro účet tísňového volání najdete v tématu Vytvoření pravidla upozornění.
Přihlášení k privilegovanému účtu
Monitorujte všechny aktivity přihlašování k privilegovanému účtu pomocí protokolů přihlašování Microsoft Entra jako zdroje dat. Kromě informací o úspěchu a selhání přihlášení obsahují protokoly následující podrobnosti:
- Přerušení
- Zařízení
- Umístění
- Riziko
- Aplikace
- Datum a čas
- Je účet zakázaný.
- Uzamčení
- Podvod s vícefaktorové ověřování
- Selhání podmíněného přístupu
Co je potřeba monitorovat
Události přihlášení k privilegovanému účtu můžete monitorovat v protokolech přihlášení Microsoft Entra. Upozorňování na následující události pro privilegované účty a prošetřování těchto událostí
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Selhání přihlášení, chybná prahová hodnota hesla | Vysoká | Protokol přihlášení Microsoft Entra | Stav = Selhání a kód chyby = 50126 |
Definujte prahovou hodnotu směrného plánu a pak monitorujte a upravte tak, aby vyhovovalo chování vaší organizace a omezte generování falešných výstrah. Šablona Microsoft Sentinelu Pravidla Sigma |
| Selhání kvůli požadavku podmíněného přístupu | Vysoká | Protokol přihlášení Microsoft Entra | Stav = Selhání a kód chyby = 53003 a Důvod selhání = blokován podmíněným přístupem |
Tato událost může značit, že se útočník pokouší dostat k účtu. Šablona Microsoft Sentinelu Pravidla Sigma |
| Privilegované účty, které nedodržují zásady pojmenování | Předplatné Azure | Výpis přiřazení rolí Azure pomocí webu Azure Portal | Zobrazení seznamu přiřazení rolí pro předplatná a upozornění, kde se přihlašovací jméno neshoduje s formátem vaší organizace Příkladem je použití ADM_ jako předpony. | |
| Přerušení | Vysoká, střední | Přihlášení Microsoft Entra | Stav = přerušeno a kód chyby = 50074 a Důvod selhání = vyžaduje se silné ověřování Stav = přerušeno a Kód chyby = 500121 Důvod selhání = Ověření selhalo během požadavku silného ověřování |
Tato událost může značit, že útočník má heslo k účtu, ale nemůže předat výzvu vícefaktorového ověřování. Šablona Microsoft Sentinelu Pravidla Sigma |
| Privilegované účty, které nedodržují zásady pojmenování | Vysoká | Adresář Microsoft Entra | Seznam přiřazení rolí Microsoft Entra | Zobrazení seznamu přiřazení rolí pro role Microsoft Entra a upozornění, kde hlavní název uživatele (UPN) neodpovídá formátu vaší organizace. Příkladem je použití ADM_ jako předpony. |
| Zjišťování privilegovaných účtů, které nejsou zaregistrované pro vícefaktorové ověřování | Vysoká | Microsoft Graph API | Dotaz na IsMFARegistered eq false pro účty správců. Výpis přihlašovacích údajůUserRegistrationDetails – Microsoft Graph beta | Auditujte a prošetřujte, abyste zjistili, jestli je událost úmyslná nebo jestli je dohled. |
| Uzamčení účtu | Vysoká | Protokol přihlášení Microsoft Entra | Stav = Selhání a kód chyby = 50053 |
Definujte prahovou hodnotu podle směrného plánu a pak monitorujte a upravte tak, aby vyhovovalo chování vaší organizace a omezte generování falešných výstrah. Šablona Microsoft Sentinelu Pravidla Sigma |
| Účet je zakázaný nebo blokovaný pro přihlášení | Nízká | Protokol přihlášení Microsoft Entra | Stav = Selhání a Target = Hlavní název uživatele (UPN) a kód chyby = 50057 |
Tato událost může znamenat, že se někdo pokouší získat přístup k účtu po odchodu z organizace. I když je účet zablokovaný, je stále důležité protokolovat a upozorňovat na tuto aktivitu. Šablona Microsoft Sentinelu Pravidla Sigma |
| Upozornění na podvod nebo blokování vícefaktorového ověřování | Vysoká | Protokol přihlašování Microsoft Entra / Azure Log Analytics | Podrobnosti o výsledku>ověření přihlášení = odepření vícefaktorového ověřování, zadaný kód podvodu | Privilegovaný uživatel uvedl, že nevytáhli výzvu k vícefaktorovému ověřování, což může znamenat, že útočník má pro účet heslo. Šablona Microsoft Sentinelu Pravidla Sigma |
| Upozornění na podvod nebo blokování vícefaktorového ověřování | Vysoká | Protokol protokolu auditu Microsoft Entra / Azure Log Analytics | Typ aktivity = Nahlášený podvod – Uživatel je zablokovaný pro vícefaktorové ověřování nebo podvody – Neproběhla žádná akce (na základě nastavení na úrovni tenanta pro hlášení podvodů) | Privilegovaný uživatel uvedl, že nevytáhli výzvu k vícefaktorovému ověřování, což může znamenat, že útočník má pro účet heslo. Šablona Microsoft Sentinelu Pravidla Sigma |
| Privilegované přihlášení k účtu mimo očekávané ovládací prvky | Protokol přihlášení Microsoft Entra | Stav = Selhání UserPricipalName = <účet Správa> Umístění = <neschválené umístění> IP adresa = <neschválené IP adresy> Informace o zařízení = <neschválené prohlížeče, operační systém> |
Monitorujte a upozorňovat na všechny položky, které jste definovali jako neschválené. Šablona Microsoft Sentinelu Pravidla Sigma |
|
| Mimo normální časy přihlášení | Vysoká | Protokol přihlášení Microsoft Entra | Stav = úspěch a Umístění = a Čas = mimo pracovní dobu |
Monitorování a upozorňování, pokud k přihlášení dochází mimo očekávané doby. Je důležité najít normální pracovní vzor pro každý privilegovaný účet a upozornit, pokud existují neplánované změny mimo normální pracovní dobu. Přihlášení mimo normální pracovní dobu můžou znamenat ohrožení zabezpečení nebo možné vnitřní hrozby. Šablona Microsoft Sentinelu Pravidla Sigma |
| Riziko ochrany identit | Vysoká | Protokoly identity Protection | Stav rizika = Ohroženo a Úroveň rizika = Nízká, střední, vysoká a Aktivita = Neznámé přihlášení/TOR atd. |
Tato událost značí, že se při přihlášení k účtu zjistilo nějaké abnormality a mělo by se na to upozornit. |
| Změna hesla | Vysoká | Protokoly auditu Microsoft Entra | Aktér aktivity = Správa/samoobslužná služba a Target = User a Stav = úspěch nebo selhání |
Upozorňovat, když se změní heslo účtu správce. Napište dotaz pro privilegované účty. Šablona Microsoft Sentinelu Pravidla Sigma |
| Změna starší verze ověřovacího protokolu | Vysoká | Protokol přihlášení Microsoft Entra | Klientská aplikace = Jiný klient, IMAP, POP3, MAPI, SMTP atd. a Uživatelské jméno = hlavní název uživatele (UPN) a Application = Exchange (příklad) |
Mnoho útoků používá starší ověřování, takže pokud se pro uživatele změní protokol ověřování, může to značit útok. Šablona Microsoft Sentinelu Pravidla Sigma |
| Nové zařízení nebo umístění | Vysoká | Protokol přihlášení Microsoft Entra | Informace o zařízení = ID zařízení a Prohlížeč a Operační systém a Vyhovující nebo spravované a Target = User a Umístění |
Většina aktivit správce by měla být ze zařízení s privilegovaným přístupem z omezeného počtu umístění. Z tohoto důvodu upozorňovat na nová zařízení nebo umístění. Šablona Microsoft Sentinelu Pravidla Sigma |
| Nastavení upozornění auditování se změnilo. | Vysoká | Protokoly auditu Microsoft Entra | Služba = PIM a Category = Správa rolí a Aktivita = Zakázat upozornění PIM a Stav = úspěch |
Změny základní výstrahy by měly být v případě neočekávané výstrahy upozorňující. Šablona Microsoft Sentinelu Pravidla Sigma |
| Správa istrátory ověřující v jiných tenantech Microsoft Entra | Střední | Protokol přihlášení Microsoft Entra | Stav = úspěch ID tenanta prostředku != ID domovského tenanta |
Pokud je tento monitor vymezený na privilegované uživatele, zjistí, kdy se správce úspěšně ověřil v jiném tenantovi Microsoft Entra s identitou v tenantovi vaší organizace. Upozornění, pokud id tenanta prostředku není rovno ID domovského tenanta Šablona Microsoft Sentinelu Pravidla Sigma |
| Správa stav uživatele se změnil z hosta na člena | Střední | Protokoly auditu Microsoft Entra | Aktivita: Aktualizace uživatele Kategorie: UserManagement UserType se změnilo z hosta na člena |
Monitorování a upozorňování na změnu typu uživatele z hosta na člena Byla tato změna očekávaná? Šablona Microsoft Sentinelu Pravidla Sigma |
| Uživatelé typu host pozvaní do tenanta neschválinými pozvanými uživateli | Střední | Protokoly auditu Microsoft Entra | Aktivita: Pozvání externího uživatele Kategorie: UserManagement Zahájil (actor): Hlavní název uživatele |
Monitorujte a upozorňovat na neschváliné aktéry, kteří zvou externí uživatele. Šablona Microsoft Sentinelu Pravidla Sigma |
Změny podle privilegovaných účtů
Monitorujte všechny dokončené a neúspěšné změny privilegovaným účtem. Tato data umožňují stanovit, co je normální aktivita pro každý privilegovaný účet a výstrahy o aktivitě, která se liší od očekávané aktivity. Protokoly auditu Microsoft Entra slouží k zaznamenání tohoto typu události. Další informace o protokolech auditu Microsoft Entra naleznete v protokolech auditu v Microsoft Entra ID.
Microsoft Entra Domain Services
Privilegované účty, které mají přiřazená oprávnění ve službě Microsoft Entra Domain Services, mohou provádět úlohy pro službu Microsoft Entra Domain Services, které ovlivňují stav zabezpečení vašich virtuálních počítačů hostovaných v Azure, které používají službu Microsoft Entra Domain Services. Povolte audity zabezpečení na virtuálních počítačích a monitorujte protokoly. Další informace o povolení auditů služby Microsoft Entra Domain Services a seznam citlivých oprávnění najdete v následujících zdrojích informací:
- Povolení auditů zabezpečení pro službu Microsoft Entra Domain Services
- Auditovat použití citlivých oprávnění
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Pokusy o provedení a dokončení změn | Vysoká | Protokoly auditu Microsoft Entra | Datum a čas a Služba a Kategorie a název aktivity (co) a Stav = úspěch nebo selhání a Cíl a Iniciátor nebo aktér (kdo) |
Všechny neplánované změny by se měly okamžitě upozornit. Tyto protokoly by se měly uchovávat, aby vám pomohly s jakýmkoli šetřením. Všechny změny na úrovni tenanta by se měly prošetřit okamžitě (odkaz na dokumentaci infra), které by snížily stav zabezpečení vašeho tenanta. Příkladem je vyloučení účtů z vícefaktorového ověřování nebo podmíněného přístupu. Upozorňovat na všechny doplňky nebo změny aplikací Viz Průvodce operacemi zabezpečení Microsoft Entra pro aplikace. |
| Příklad Pokus o provedení nebo dokončení změny aplikací nebo služeb s vysokou hodnotou |
Vysoká | Protokol auditu | Služba a Kategorie a název aktivity |
Datum a čas, služba, kategorie a název aktivity, stav = úspěch nebo neúspěch, cíl, iniciátor nebo aktér (kdo) |
| Privilegované změny ve službě Microsoft Entra Domain Services | Vysoká | Microsoft Entra Domain Services | Vyhledání události 4673 | Povolení auditů zabezpečení pro službu Microsoft Entra Domain Services Seznam všech privilegovaných událostí najdete v tématu Audit Citlivé oprávnění. |
Změny privilegovaných účtů
Prozkoumejte změny ověřovacích pravidel a oprávnění privilegovaných účtů, zejména pokud změna poskytuje větší oprávnění nebo schopnost provádět úlohy v prostředí Microsoft Entra.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Vytvoření privilegovaného účtu | Střední | Protokoly auditu Microsoft Entra | Služba = základní adresář a Category = Správa uživatelů a Typ aktivity = Přidat uživatele -korelovat s- Typ kategorie = Správa rolí a Typ aktivity = Přidání člena do role a Změněné vlastnosti = Role.DisplayName |
Monitorujte vytváření všech privilegovaných účtů. Vyhledejte korelaci, která má krátký časový rozsah mezi vytvořením a odstraněním účtů. Šablona Microsoft Sentinelu Pravidla Sigma |
| Změny metod ověřování | Vysoká | Protokoly auditu Microsoft Entra | Service = Metoda ověřování a Typ aktivity = Informace o zabezpečení zaregistrované uživatelem a Category = Správa uživatelů |
Tato změna může značit, že útočník přidá do účtu metodu ověřování, aby mohl pokračovat v přístupu. Šablona Microsoft Sentinelu Pravidla Sigma |
| Upozornění na změny oprávnění privilegovaného účtu | Vysoká | Protokoly auditu Microsoft Entra | Category = Správa rolí a Typ aktivity = Přidat oprávněného člena (trvalý) nebo Typ aktivity = Přidání oprávněného člena (způsobilý) a Stav = úspěch nebo selhání a Změněné vlastnosti = Role.DisplayName |
Toto upozornění platí zejména pro přiřazené role účtů, které nejsou známé nebo jsou mimo jejich běžnou odpovědnost. Pravidla Sigma |
| Nepoužité privilegované účty | Střední | Kontroly přístupu Microsoft Entra | Proveďte měsíční kontrolu neaktivních privilegovaných uživatelských účtů. Pravidla Sigma |
|
| Účty vyloučené z podmíněného přístupu | Vysoká | Azure Monitor Logs nebo Kontroly přístupu |
Podmíněný přístup = Přehledy a generování sestav | Každý účet vyloučený z podmíněného přístupu pravděpodobně obchází kontrolní mechanismy zabezpečení a je zranitelnější vůči ohrožení zabezpečení. Účty se zalomeným sklem jsou vyloučené. Přečtěte si informace o tom, jak monitorovat účty break-glass dále v tomto článku. |
| Přidání dočasného přístupového passu k privilegovanému účtu | Vysoká | Protokoly auditu Microsoft Entra | Aktivita: Správa zaregistrované bezpečnostní údaje Důvod stavu: Správa zaregistrovaná metoda dočasného přístupu pro uživatele Kategorie: UserManagement Zahájil (actor): Hlavní název uživatele Cíl: Hlavní název uživatele |
Monitorování a upozorňování na dočasné přístupové heslo vytvořené pro privilegovaného uživatele Šablona Microsoft Sentinelu Pravidla Sigma |
Další informace o monitorování výjimek zásad podmíněného přístupu najdete v tématu Přehledy podmíněného přístupu a vytváření sestav.
Další informace o zjišťování nepoužívaných privilegovaných účtů najdete v tématu Vytvoření kontroly přístupu rolí Microsoft Entra ve službě Privileged Identity Management.
Přiřazení a zvýšení oprávnění
Privilegované účty, které jsou trvale zřízené se zvýšenými schopnostmi, můžou zvýšit prostor pro útoky a riziko pro vaši hranici zabezpečení. Místo toho použijte přístup za běhu pomocí postupu zvýšení oprávnění. Tento typ systému umožňuje přiřazovat nárok na privilegované role. Správa zvýší svá oprávnění k těmto rolím pouze v případě, že provádějí úlohy, které tato oprávnění potřebují. Pomocí procesu zvýšení oprávnění můžete monitorovat zvýšení oprávnění a nepoužívat privilegované účty.
Vytvoření směrného plánu
Pokud chcete monitorovat výjimky, musíte nejprve vytvořit směrný plán. Určení následujících informací pro tyto prvky
účty Správa
- Vaše strategie privilegovaného účtu
- Použití místních účtů ke správě místních prostředků
- Použití cloudových účtů ke správě cloudových prostředků
- Přístup k oddělení a monitorování oprávnění správce pro místní a cloudové prostředky
Ochrana privilegovaných rolí
- Strategie ochrany pro role s oprávněními správce
- Zásady organizace pro používání privilegovaných účtů
- Strategie a zásady pro zachování trvalých oprávnění a poskytování časově vázaného a schváleného přístupu
Následující koncepty a informace pomáhají určit zásady:
- Principy správce za běhu Pomocí protokolů Microsoft Entra můžete zaznamenávat informace pro provádění úloh správy, které jsou ve vašem prostředí společné. Určete typickou dobu potřebnou k dokončení úkolů.
- Stačí vám zásady správy. Určete nejméně privilegovanou roli, což může být vlastní role, která je potřebná pro úlohy správy. Další informace naleznete v tématu Nejméně privilegované role podle úkolu v Microsoft Entra ID.
- Vytvořte zásadu zvýšení oprávnění. Po získání přehledu o typu potřebných zvýšených oprávnění a o tom, jak dlouho je potřeba pro každý úkol, vytvořte zásady, které odrážejí zvýšené privilegované využití pro vaše prostředí. Například definujte zásadu, která omezí zvýšení oprávnění role na jednu hodinu.
Po vytvoření směrného plánu a nastavení zásad můžete nakonfigurovat monitorování tak, aby detekuje a upozorňovalo využití mimo zásady.
Zjišťování
Věnujte zvláštní pozornost změnám přiřazení a zvýšení oprávnění a prozkoumejte je.
Co je potřeba monitorovat
Změny privilegovaného účtu můžete monitorovat pomocí protokolů auditu Microsoft Entra a protokolů služby Azure Monitor. Do procesu monitorování zahrňte následující změny.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Notes |
|---|---|---|---|---|
| Přidáno do oprávněné privilegované role | Vysoká | Protokoly auditu Microsoft Entra | Služba = PIM a Category = Správa rolí a Typ aktivity = Přidání člena do dokončené role (způsobilé) a Stav = úspěch nebo selhání a Změněné vlastnosti = Role.DisplayName |
Každý účet, který má nárok na roli, teď má udělený privilegovaný přístup. Pokud je přiřazení neočekávané nebo do role, která není zodpovědná za vlastníka účtu, prověřte ho. Šablona Microsoft Sentinelu Pravidla Sigma |
| Role přiřazené mimo PIM | Vysoká | Protokoly auditu Microsoft Entra | Služba = PIM a Category = Správa rolí a Typ aktivity = Přidání člena do role (trvalé) a Stav = úspěch nebo selhání a Změněné vlastnosti = Role.DisplayName |
Tyto role by se měly pečlivě monitorovat a upozorňovat. Uživatelé by neměli mít přiřazené role mimo PIM, pokud je to možné. Šablona Microsoft Sentinelu Pravidla Sigma |
| Nadmořských výškách | Střední | Protokoly auditu Microsoft Entra | Služba = PIM a Category = Správa rolí a Typ aktivity = Přidání člena do dokončené role (aktivace PIM) a Stav = úspěch nebo selhání a Změněné vlastnosti = Role.DisplayName |
Po zvýšení úrovně privilegovaného účtu teď může provádět změny, které by mohly ovlivnit zabezpečení vašeho tenanta. Všechny zvýšení oprávnění by se měly protokolovat a v případě, že dojde mimo standardní vzor pro daného uživatele, by se mělo upozornit a prošetřit, pokud neplánováno. |
| Schválení a odepřít zvýšení oprávnění | Nízká | Protokoly auditu Microsoft Entra | Služba = Kontrola přístupu a Category = UserManagement a Typ aktivity = Žádost byla schválena nebo zamítnuta. a Iniciovaný objekt actor = hlavní název uživatele (UPN) |
Monitorujte všechny zvýšení oprávnění, protože by mohl jasně indikovat časovou osu útoku. Šablona Microsoft Sentinelu Pravidla Sigma |
| Změny nastavení PIM | Vysoká | Protokoly auditu Microsoft Entra | Služba = PIM a Category = Správa rolí a Typ aktivity = Aktualizace nastavení role v PIM a Důvod stavu = vícefaktorové ověřování při aktivaci zakázáno (příklad) |
Jedna z těchto akcí může snížit zabezpečení zvýšení oprávnění PIM a usnadnit útočníkům získání privilegovaného účtu. Šablona Microsoft Sentinelu Pravidla Sigma |
| U SAW/PAW se neděje zvýšení oprávnění | Vysoká | Protokoly přihlašování Microsoft Entra | ID zařízení a Prohlížeč a Operační systém a Vyhovující nebo spravované Korelace s: Služba = PIM a Category = Správa rolí a Typ aktivity = Přidání člena do dokončené role (aktivace PIM) a Stav = úspěch nebo selhání a Změněné vlastnosti = Role.DisplayName |
Pokud je tato změna nakonfigurovaná, pokus o zvýšení úrovně na zařízení bez pracovních stanic s privilegovaným přístupem /SAW by se měl prošetřit okamžitě, protože by mohl indikovat, že se útočník pokouší účet použít. Pravidla Sigma |
| Zvýšení oprávnění ke správě všech předplatných Azure | Vysoká | Azure Monitor | Karta Protokol aktivit Karta Aktivita adresáře Název operace = Přiřadí volajícímu správce uživatelských přístupů. -A- Kategorie události = Správa istrativní a Stav = Úspěch, spuštění, selhání a Událost inicioval(a) |
Tato změna by se měla prozkoumat okamžitě, pokud se neplánuje. Toto nastavení by mohlo útočníkovi umožnit přístup k předplatným Azure ve vašem prostředí. |
Další informace o správě zvýšení oprávnění najdete v tématu Zvýšení úrovně přístupu ke správě všech předplatných Azure a skupin pro správu. Informace o monitorování zvýšení oprávnění pomocí informací dostupných v protokolech Microsoft Entra najdete v protokolu aktivit Azure, který je součástí dokumentace ke službě Azure Monitor.
Informace o konfiguraci výstrah pro role Azure najdete v tématu Konfigurace výstrah zabezpečení pro role prostředků Azure ve službě Privileged Identity Management.
Další kroky
Projděte si tyto články s průvodcem operacemi zabezpečení:
Přehled operací zabezpečení Microsoft Entra
Operace zabezpečení uživatelských účtů
Operace zabezpečení pro uživatelské účty
Operace zabezpečení pro Privileged Identity Management
Operace zabezpečení pro aplikace