Az identitásinfrastruktúra védelmének öt lépése

  • Cikk
  • 17 perc alatt elolvasható

Ha ezt a dokumentumot olvassa, tisztában van a biztonság fontosságával. Valószínűleg már Ön felelős a szervezet biztonságáért. Ha meg kell győznie másokat a biztonság fontosságáról, küldje el őket a Microsoft Digital Defense legújabb jelentésének elolvasásához.

Ez a dokumentum egy öt lépésből álló ellenőrzőlista segítségével segít az Azure Active Directory képességeinek használatával biztonságosabbá tenni a szervezet kibertámadásokkal szembeni védelmét.

Ez az ellenőrzőlista segít gyorsan üzembe helyezni a kritikus fontosságú ajánlott műveleteket a szervezet azonnali védelme érdekében, az alábbiak ismertetésével:

  • Hitelesítő adatok megerősítése
  • A támadási felület csökkentése
  • Fenyegetésmegoldás automatizálása
  • Felhőintelligencia használata
  • Végfelhasználói önkiszolgáló szolgáltatás engedélyezése

Megjegyzés

A dokumentumban szereplő javaslatok közül sok csak azokra az alkalmazásokra vonatkozik, amelyek úgy vannak konfigurálva, hogy az Azure Active Directoryt használják identitásszolgáltatóként. Az alkalmazások egyszeri Sign-On való konfigurálása biztosítja az alkalmazásokhoz hozzáadott hitelesítőadat-szabályzatok, fenyegetésészlelés, naplózás, naplózás és egyéb funkciók előnyeit. Az Azure AD Application Management az alapja ezeknek a javaslatoknak.

A dokumentumban szereplő javaslatok összhangban vannak az Identitásbiztonság pontszámmal, amely az Azure AD-bérlő identitásbiztonsági konfigurációjának automatikus értékelése. A szervezetek az Azure AD portál identitásbiztonsági pontszám oldalán találhatnak hiányosságokat a jelenlegi biztonsági konfigurációjukban, így gondoskodhatnak arról, hogy a Microsoft aktuális biztonsági ajánlott eljárásait kövessék. Ha minden javaslatot megvalósít a Biztonságos pontszám lapon, azzal növeli a pontszámot, és nyomon követheti az előrehaladást, valamint összehasonlíthatja a megvalósítást más hasonló méretű szervezetekkel.

Azure portal window showing Identity Secure Score and some recommendations.

Megjegyzés

Az itt javasolt funkciók némelyike minden ügyfél számára elérhető, míg mások azure AD Premium-előfizetést igényelnek. További információért tekintse át az Azure Active Directory díjszabását és az Azure AD üzembehelyezési ellenőrzőlistát .

Mielőtt hozzákezdene: Emelt szintű fiókok védelme MFA-val

Mielőtt elkezdené ezt az ellenőrzőlistát, győződjön meg arról, hogy az ellenőrzőlista elolvasása közben nem kerül illetéktelen kezekbe. Az Azure Active Directoryban naponta 50 millió jelszótámadást figyelünk meg, de a felhasználók mindössze 20%-a és a globális rendszergazdák 30%-a használ erős hitelesítést, például többtényezős hitelesítést (MFA). Ezek a statisztikák a 2021. augusztusi adatokon alapulnak. Az Azure AD-ben a kiemelt szerepkörrel rendelkező felhasználók, például a rendszergazdák a bizalom gyökerét képezik a környezet többi részének létrehozásához és kezeléséhez. A kompromisszumok hatásainak minimalizálása érdekében hajtsa végre az alábbi eljárásokat.

Azok a támadók, akik átvehetik az irányítást a kiemelt fiókok felett, hatalmas károkat okozhatnak, ezért a folytatás előtt kritikus fontosságú ezeknek a fiókoknak a védelme. Az Azure AD Multi-Factor Authentication (MFA) engedélyezése és megkövetelése a szervezet összes rendszergazdája számára az Azure AD biztonsági alapbeállításait vagy feltételes hozzáférését használva. Ez kritikus fontosságú.

Minden be van állítva? Lássunk hozzá az ellenőrzőlistához.

1. lépés – Hitelesítő adatok megerősítése

Bár más típusú támadások is megjelennek, beleértve a hozzájárulási adathalászatot és a nem embertelen identitások elleni támadásokat, a felhasználói identitásokra irányuló jelszóalapú támadások továbbra is az identitások sérülésének leggyakoribb vektorai. A támadók jól bevált adathalászati és jelszópermetezési kampányai továbbra is sikeresek azokkal a szervezetekkel szemben, amelyek még nem hajtottak végre többtényezős hitelesítést (MFA) vagy más védelmet ezzel a gyakori taktikával szemben.

Szervezetként meg kell győződnie arról, hogy az identitások mindenhol MFA-val vannak ellenőrizve és védve. 2020-ban az FBI IC3 jelentése az adathalászatot azonosította az áldozati panaszok leggyakoribb bűncselekménytípusaként. A jelentések száma megduplázódott az előző évhez képest. Az adathalászat jelentős fenyegetést jelent mind a vállalkozások, mind az egyének számára, és a hitelesítő adatok adathalászatát a tavalyi év legkárosítóbb támadásai között használták. Az Azure Active Directory (Azure AD) multi-factor authentication (MFA) segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, és egy másik biztonsági réteget biztosít egy második hitelesítési formával. A szervezetek feltételes hozzáféréssel engedélyezhetik a többtényezős hitelesítést, hogy a megoldás megfeleljen az igényeiknek. Tekintse meg ezt az üzembehelyezési útmutatót, amelyből megtudhatja , hogyan tervezheti meg, valósíthatja meg és helyezheti üzembe az Azure AD MFA-t.

Győződjön meg arról, hogy a szervezet erős hitelesítést használ

Az identitásbiztonság alapszintű szintjének egyszerű engedélyezéséhez használhatja az egykattintásos engedélyezést az Azure AD alapértelmezett biztonsági beállításaival. A biztonsági alapértelmezések az Azure AD MFA-t kényszerítik ki egy bérlő összes felhasználója számára, és letiltják a bejelentkezéseket az örökölt protokollok bérlői szintű verziójából.

Ha szervezete Rendelkezik Azure AD P1 vagy P2 licenccel, a feltételes hozzáférési elemzések és jelentéskészítési munkafüzet segítségével feltárhatja a konfiguráció és a lefedettség hiányosságait. Ezekből a javaslatokból egyszerűen megszüntetheti ezt a hiányosságot, ha létrehoz egy szabályzatot az új feltételes hozzáférési sablonok használatával. A feltételes hozzáférési sablonok egyszerű módszert kínálnak a Microsoft által ajánlott ajánlott eljárásoknak megfelelő új szabályzatok üzembe helyezésére, így könnyen üzembe helyezhetők az identitások és eszközök védelme érdekében gyakori szabályzatok.

Kezdje el betiltani a gyakran támadott jelszavakat, és kapcsolja ki a hagyományos összetettségi és lejárati szabályokat.

Számos szervezet hagyományos összetettségi és jelszó-lejárati szabályokat használ. A Microsoft kutatásai kimutatták, és az NIST útmutatása szerint ezek a szabályzatok miatt a felhasználók könnyebben kitalálható jelszavakat választhatnak. Javasoljuk, hogy az Azure AD jelszóvédelemmel egy dinamikusan letiltott jelszófunkciót használjon az aktuális támadói viselkedés használatával, hogy megakadályozza, hogy a felhasználók könnyen kitalálható jelszavakat állítsanak be. Ez a funkció mindig be van kapcsolva, amikor a felhasználók a felhőben jönnek létre, de mostantól hibrid szervezetek számára is elérhető, amikor a Windows Server Active Directoryhoz telepítik az Azure AD jelszóvédelmet. Emellett azt is javasoljuk, hogy távolítsa el a lejárati szabályzatokat. A jelszómódosítás nem nyújt elszigetelési előnyöket, mivel a számítógépes bűnözők szinte mindig hitelesítő adatokat használnak, amint feltörik őket. A szervezet jelszó-elévülési szabályzatának beállításához tekintse meg a következő cikket.

Védelem a kiszivárgott hitelesítő adatokkal szemben, és rugalmasság hozzáadása a kimaradásokkal szemben

Az Azure AD-ben a felhőalapú hitelesítés azure AD-ben történő engedélyezésének legegyszerűbb és ajánlott módja a jelszókivonat-szinkronizálás (PHS) engedélyezése. Ha a szervezet hibrid identitáskezelési megoldást használ átmenő hitelesítéssel vagy összevonással, akkor engedélyeznie kell a jelszókivonat-szinkronizálást az alábbi két okból:

  • Az Azure AD-ben kiszivárgott hitelesítő adatokat tartalmazó felhasználók figyelmeztetnek a felhasználónév- és jelszópárokra, amelyeket nyilvánosan tettek közzé. Hihetetlen mennyiségű jelszó szivárog ki adathalászat, kártevők és jelszavak újbóli felhasználása révén a később feltört külső webhelyeken. A Microsoft sok ilyen kiszivárgott hitelesítő adatot talál, és ebben a jelentésben közli Önnel, hogy megfelelnek-e a szervezet hitelesítő adatainak – de csak akkor, ha engedélyezi a jelszókivonatok szinkronizálását , vagy csak felhőalapú identitásokkal rendelkezik.
  • Ha helyszíni szolgáltatáskimaradás történik, például zsarolóprogram-támadás, áttérhet a felhőbeli hitelesítés használatára jelszókivonat-szinkronizálással. Ezzel a biztonsági mentési hitelesítési módszerrel továbbra is hozzáférhet az Azure Active Directoryval való hitelesítésre konfigurált alkalmazásokhoz, beleértve a Microsoft 365-öt is. Ebben az esetben az informatikai személyzetnek nem kell árnyék-informatikai vagy személyes e-mail-fiókokat igénybe vennie az adatok megosztásához, amíg a helyszíni szolgáltatáskimaradást meg nem oldják.

A jelszavak soha nem tárolódnak tiszta szövegben vagy titkosítva egy visszafordítható algoritmussal az Azure AD-ben. A jelszókivonat-szinkronizálás tényleges folyamatával kapcsolatos további információkért lásd a jelszókivonat-szinkronizálás működésének részletes leírását.

Az AD FS extranetes intelligens zárolásának implementálása

Az intelligens zárolás segít kizárni azokat a kártékony elemeket, amelyek megpróbálják kitalálni a felhasználó jelszavát, vagy találgatásos módszerrel próbálnak meg bejutni. Az intelligens zárolás felismeri az érvényes felhasználóktól érkező bejelentkezéseket, és a támadóktól és más ismeretlen forrásoktól érkező bejelentkezésektől eltérően kezeli őket. A támadók ki lesznek zárva, miközben a felhasználók továbbra is hozzáférnek a fiókjukhoz, és folytathatják a hatékony munkavégzést. Azok a szervezetek, amelyek az alkalmazásokat közvetlenül az Azure AD-be történő hitelesítésre konfigurálják, kihasználják az Azure AD intelligens zárolásának előnyeit. Az AD FS 2016-ot és az AD FS 2019-et használó összevont üzemelő példányok hasonló előnyöket érhetnek el az AD FS extranetes zárolás és az extranetes intelligens zárolás használatával.

2. lépés – A támadási felület csökkentése

A jelszósértés elterjedtsége miatt a szervezet támadási felületének minimalizálása kritikus fontosságú. A régebbi, kevésbé biztonságos protokollok használatának letiltása, a hozzáférési belépési pontok korlátozása, a felhőhitelesítésre való áttérés, valamint az erőforrásokhoz való rendszergazdai hozzáférés nagyobb mértékű ellenőrzése és a zéró megbízhatósági biztonsági alapelvek alkalmazása.

Felhőalapú hitelesítés használata

A hitelesítő adatok elsődleges támadási vektorok. A blogban ismertetett eljárások csökkenthetik a támadási felületet a felhőalapú hitelesítés, az MFA üzembe helyezése és a jelszó nélküli hitelesítési módszerek használatával. Olyan jelszó nélküli módszereket telepíthet, mint a Vállalati Windows Hello, a Telefonos bejelentkezés a Microsoft Authenticator alkalmazással vagy a FIDO-val.

Régi hitelesítési folyamat letiltása

Az Azure AD-vel való hitelesítéshez és a vállalati adatokhoz való hozzáféréshez saját, örökölt módszerekkel rendelkező alkalmazások újabb kockázatot jelentenek a szervezetek számára. Örökölt hitelesítést használó alkalmazások például a POP3-, IMAP4- vagy SMTP-ügyfelek. Az örökölt hitelesítési alkalmazások a felhasználó nevében hitelesítik magukat, és megakadályozzák, hogy az Azure AD speciális biztonsági értékeléseket végezzen. Az alternatív, modern hitelesítés csökkenti a biztonsági kockázatot, mivel támogatja a többtényezős hitelesítést és a feltételes hozzáférést.

A következő műveleteket javasoljuk:

  1. Az Azure AD-Sign-In naplókkal és naplóalitikus munkafüzetekkel felfedezheti az örökölt hitelesítést a szervezetben.
  2. A SharePoint Online és az Exchange Online beállítása a modern hitelesítés használatához.
  3. Ha Prémium szintű Azure AD-licencekkel rendelkezik, feltételes hozzáférési szabályzatokkal tiltsa le az örökölt hitelesítést. Az ingyenes Azure AD-szinthez használja az Azure AD biztonsági alapértelmezéseit.
  4. Tiltsa le az örökölt hitelesítést, ha AD FS-t használ.
  5. Letilthatja az örökölt hitelesítést az Exchange Server 2019-zel.
  6. Tiltsa le az örökölt hitelesítést az Exchange Online-ban.

További információ: Az örökölt hitelesítési protokollok blokkolása az Azure AD-ben.

Érvénytelen hitelesítési belépési pontok letiltása

Az ellenőrzés elvének használatával csökkentenie kell a feltört felhasználói hitelesítő adatok hatását, amikor azok előfordulnak. A környezet minden alkalmazása esetében vegye figyelembe az érvényes használati eseteket: mely csoportok, mely hálózatok, mely eszközök és egyéb elemek engedélyezettek – majd tiltsa le a többit. Az Azure AD feltételes hozzáféréssel szabályozhatja, hogy az engedélyezett felhasználók hogyan férnek hozzá az alkalmazásaikhoz és erőforrásaikhoz az Ön által meghatározott feltételek alapján.

A feltételes hozzáférés Cloud Apps-alkalmazásokhoz és felhasználói műveletekhez való használatáról további információt a Feltételes hozzáférés felhőalkalmazásai, műveletei és hitelesítési környezete című témakörben talál.

Rendszergazdai szerepkörök áttekintése és szabályozása

Egy másik nulla megbízhatósági pillér az, hogy minimalizálni kell annak valószínűségét, hogy egy feltört fiók emelt szintű szerepkörrel működjön. Ez a vezérlő úgy valósítható meg, hogy a lehető legkevesebb jogosultságot rendeli hozzá egy identitáshoz. Ha még nem ismeri az Azure AD-szerepköröket, ez a cikk segít megérteni az Azure AD-szerepköröket.

Az Azure AD kiemelt szerepköreinek csak felhőbeli fiókoknak kell lenniük, hogy elkülönítsék őket a helyszíni környezetektől, és ne használjanak helyszíni jelszótárolókat a hitelesítő adatok tárolásához.

Jogosultsági hozzáférés-kezelés implementálása

A Privileged Identity Management (PIM) időalapú és jóváhagyásalapú szerepkör-aktiválást biztosít a fontos erőforrások túlzott, szükségtelen vagy helytelen hozzáférési engedélyeinek kockázatának mérséklésére. Ezek az erőforrások közé tartoznak az Azure Active Directoryban (Azure AD), az Azure-ban és más Online Microsoft-szolgáltatásokban, például a Microsoft 365-ben vagy a Microsoft Intune-ban található erőforrások.

Az Azure AD Privileged Identity Management (PIM) segít minimalizálni a fiókjoghősségeket a következők segítségével:

  • A rendszergazdai szerepkörökhöz rendelt felhasználók azonosítása és kezelése.
  • Megismerheti a nem használt vagy túlzott jogosultsági szerepköröket, amelyet el kell távolítania.
  • Szabályokat hozhat létre, amelyek biztosítják, hogy a kiemelt szerepköröket többtényezős hitelesítés védi.
  • Szabályokat hozhat létre, amelyek biztosítják, hogy a kiemelt szerepkörök csak elég ideig legyenek megadva a kiemelt feladat végrehajtásához.

Engedélyezze az Azure AD PIM-et, majd tekintse meg a rendszergazdai szerepkörökhöz rendelt felhasználókat, és távolítsa el a szükségtelen fiókokat ezekben a szerepkörökben. A többi kiemelt felhasználó esetében helyezze át őket az állandóról a jogosult felhasználókra. Végül hozzon létre megfelelő szabályzatokat, amelyek biztosítják, hogy amikor hozzá kell férniük ezekhez a kiemelt szerepkörökhöz, biztonságosan, a szükséges változásvezérléssel megtehetik.

Az Azure AD beépített és egyéni szerepkörei az Azure-erőforrások (Azure-szerepkörök) szerepköralapú hozzáférés-vezérlési rendszerében található szerepkörökhöz hasonló fogalmakon alapulnak. A két szerepköralapú hozzáférés-vezérlési rendszer közötti különbség a következő:

  • Az Azure AD-szerepkörök a Microsoft Graph API-t használó Azure AD-erőforrásokhoz, például felhasználókhoz, csoportokhoz és alkalmazásokhoz való hozzáférést szabályozzák
  • Az Azure-szerepkörök szabályozzák az Azure-erőforrásokhoz, például virtuális gépekhez vagy tárolókhoz való hozzáférést az Azure Resource Management használatával

Mindkét rendszer hasonló szerepkör-definíciókat és szerepkör-hozzárendeléseket tartalmaz. Az Azure AD-szerepkörengedélyek azonban nem használhatók egyéni Azure-szerepkörökben, és fordítva. Az emelt szintű fiók üzembe helyezésének részeként kövesse az ajánlott eljárásokat, és hozzon létre legalább két segélyhívási fiókot, hogy biztosan hozzáférhessen az Azure AD-hez, ha zárolja magát.

További információ: A Privileged Identity Management üzembe helyezésének megtervezése és a kiemelt hozzáférés biztosítása.

Fontos tisztában lenni a különböző Azure AD-alkalmazás-hozzájárulási felületekkel, az engedélyek és hozzájárulások típusaival, valamint a szervezet biztonsági helyzetére gyakorolt hatásukkal. Bár a felhasználók önálló hozzájárulásának engedélyezése lehetővé teszi, hogy a felhasználók könnyen beszerezhessenek olyan hasznos alkalmazásokat, amelyek integrálhatók a Microsoft 365-be, az Azure-ba és más szolgáltatásokba, de kockázatot jelenthet, ha nem használják és figyelik gondosan.

A Microsoft azt javasolja, hogy korlátozza a felhasználói hozzájárulást, hogy a végfelhasználói hozzájárulást csak ellenőrzött közzétevőktől származó alkalmazásokra és csak a kiválasztott engedélyekre engedélyezze. Ha a végfelhasználói hozzájárulás korlátozva van, a korábbi hozzájárulási engedélyeket továbbra is tiszteletben tartjuk, de minden jövőbeni hozzájárulási műveletet egy rendszergazdának kell végrehajtania. Korlátozott esetekben a rendszergazdai hozzájárulást a felhasználók egy integrált rendszergazdai hozzájáruláskérési munkafolyamaton vagy a saját támogatási folyamatain keresztül kérhetik. A végfelhasználói hozzájárulás korlátozása előtt a javaslataink alapján tervezze meg ezt a változást a szervezetben. Az olyan alkalmazások esetében, amelyekhez minden felhasználónak engedélyezni szeretné a hozzáférést, fontolja meg a hozzájárulás megadását az összes felhasználó nevében, és győződjön meg arról, hogy azok a felhasználók, akik még nem járultak hozzá egyenként, hozzáférhetnek az alkalmazáshoz. Ha nem szeretné, hogy ezek az alkalmazások minden helyzetben minden felhasználó számára elérhetők legyenek, az alkalmazás-hozzárendelés és a feltételes hozzáférés használatával korlátozhatja a felhasználók hozzáférését adott alkalmazásokhoz.

Győződjön meg arról, hogy a felhasználók rendszergazdai jóváhagyást kérhetnek az új alkalmazásokhoz, hogy csökkentsék a felhasználói súrlódást, minimalizálják a támogatási volument, és megakadályozzák, hogy a felhasználók nem Azure AD-hitelesítő adatokkal regisztráljanak az alkalmazásokra. Miután szabályozta a hozzájárulási műveleteket, a rendszergazdáknak rendszeresen naplózniuk kell az alkalmazást és a hozzájárulási engedélyeket.

További információ: Azure Active Directory hozzájárulási keretrendszer.

3. lépés – Fenyegetésmegoldás automatizálása

Az Azure Active Directory számos olyan képességgel rendelkezik, amely automatikusan elfogja a támadásokat, így kiküszöböli az észlelés és a válasz közötti késést. Csökkentheti a költségeket és a kockázatokat, ha csökkenti a bűnözők által a környezetbe való beágyazáshoz használt időt. Íme a konkrét lépések, amelyeket elvégezhet.

További információ: Útmutató: Kockázati szabályzatok konfigurálása és engedélyezése.

Bejelentkezési kockázati szabályzat implementálása

A bejelentkezéssel együtt jár az a lehetőség, hogy az adott hitelesítési kérést az identitás tulajdonosa nem engedélyezi. A bejelentkezési kockázatalapú szabályzatok úgy valósíthatók meg, hogy egy bejelentkezési kockázati feltételt ad hozzá a feltételes hozzáférési szabályzatokhoz, amely kiértékeli a kockázati szintet egy adott felhasználóhoz vagy csoporthoz. A kockázati szint (magas/közepes/alacsony) alapján egy szabályzat konfigurálható úgy, hogy letiltsa a hozzáférést, vagy kényszerítse a többtényezős hitelesítést. Javasoljuk, hogy kényszerítse a többtényezős hitelesítést közepes vagy kockázatos bejelentkezések esetén.

Conditional Access policy requiring MFA for medium and high risk sign-ins.

Felhasználói kockázati biztonsági szabályzat implementálása

A felhasználói kockázat azt jelzi, hogy a felhasználó identitása sérült, és a felhasználó identitásához társított felhasználói kockázatészlelések alapján van kiszámítva. A felhasználói kockázatalapú szabályzatok úgy valósíthatók meg, hogy hozzáadnak egy felhasználói kockázati feltételt a feltételes hozzáférési szabályzatokhoz, amely kiértékeli a kockázati szintet egy adott felhasználó számára. Az alacsony, közepes és magas kockázatszinten alapuló szabályzatok konfigurálhatók úgy, hogy letiltják a hozzáférést, vagy többtényezős hitelesítéssel biztonságos jelszómódosítást igényeljenek. A Microsoft ajánlása szerint a magas kockázatú felhasználók számára biztonságos jelszómódosításra van szükség.

Conditional Access policy requiring password change for high risk users.

A felhasználói kockázatészlelés része annak ellenőrzése, hogy a felhasználó hitelesítő adatai megegyeznek-e a számítógépes bűnözők által kiszivárgott hitelesítő adatokkal. Az optimális működés érdekében fontos a jelszókivonat-szinkronizálás implementálása az Azure AD Connect szinkronizálásával.

A Microsoft 365 Defender integrálása az Azure AD Identity Protection szolgáltatással

Ahhoz, hogy az Identity Protection a lehető legjobb kockázatészlelést tudja elvégezni, a lehető legtöbb jelet kell kapnia. Ezért fontos a Microsoft 365 Defender-szolgáltatások teljes csomagjának integrálása:

  • Microsoft Defender végponthoz
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps

Az alábbi rövid videóból többet is megtudhat a Microsoft Threat Protectionről és a különböző tartományok integrálásának fontosságáról.

Figyelés és riasztás beállítása

A gyanús viselkedés észleléséhez fontos a naplók monitorozása és naplózása. Az Azure Portal számos módon integrálhatja az Azure AD-naplókat más eszközökkel, például a Microsoft Sentinellel, az Azure Monitorral és más SIEM-eszközökkel. További információt az Azure Active Directory biztonsági üzemeltetési útmutatójában talál.

4. lépés – Felhőintelligencia használata

A biztonsági események és a kapcsolódó riasztások naplózása és naplózása a hatékony védelmi stratégia alapvető összetevői. A biztonsági naplók és jelentések elektronikusan rögzítik a gyanús tevékenységeket, és segítenek észlelni azokat a mintákat, amelyek a hálózat megkísérelt vagy sikeres behatolását, valamint belső támadásokat jelezhetnek. A naplózással figyelheti a felhasználói tevékenységeket, dokumentálhatja a jogszabályi megfelelőséget, elvégezheti a törvényszéki elemzéseket és egyebeket. A riasztások biztonsági eseményekről nyújtanak értesítéseket. Az Azure Monitorba vagy egy SIEM-eszközbe való exportálással győződjön meg arról, hogy rendelkezik naplómegőrzési szabályzattal mind a bejelentkezési naplókhoz, mind az Azure AD auditnaplóihoz.

Az Azure AD monitorozása

A Microsoft Azure szolgáltatásai és szolgáltatásai konfigurálható biztonsági naplózási és naplózási lehetőségeket biztosítanak, amelyekkel azonosíthatja a biztonsági szabályzatok és mechanizmusok hiányosságait, és kezelheti ezeket a hiányosságokat a biztonsági incidensek megelőzése érdekében. Az Azure-naplózást és -naplózást , valamint a naplózási tevékenységjelentéseket az Azure Active Directory portálon használhatja. A felhasználói fiókok, emelt szintű fiókok, alkalmazások és eszközök monitorozásával kapcsolatos további részletekért tekintse meg az Azure AD biztonsági üzemeltetési útmutatóját .

Az Azure AD Connect Health monitorozása hibrid környezetekben

Az AD FS Azure AD Connect Health szolgáltatással való monitorozása nagyobb betekintést nyújt az AD FS-infrastruktúrát érintő lehetséges problémákba és a támadások láthatóságába. Mostantól megtekintheti az ADFS-bejelentkezéseket , így nagyobb mélységet adhat a monitorozásnak. Az Azure AD Connect Health részletes információkat, megoldási lépéseket és a kapcsolódó dokumentációra mutató hivatkozásokat tartalmazó riasztásokat biztosít; a hitelesítési forgalomhoz kapcsolódó metrikák használati elemzése; teljesítményfigyelés és jelentések. Használja az ADFS-hez készült kockázatos IP-munkakönyvet , amely segít azonosítani a környezet normát, és riasztást küld, ha változás történik. Minden hibrid infrastruktúrát 0. rétegbeli eszközként kell figyelni. Ezekre az eszközökre vonatkozó részletes monitorozási útmutató az infrastruktúra biztonsági üzemeltetési útmutatójában található.

Azure AD Identity Protection-események monitorozása

Az Azure AD Identity Protection két fontos jelentést biztosít, amit naponta figyelnie kell:

  1. A kockázatos bejelentkezési jelentések feltárják a felhasználói bejelentkezési tevékenységeket, amelyeket meg kell vizsgálnia, és előfordulhat, hogy a jogos tulajdonos nem hajtotta végre a bejelentkezést.
  2. A kockázatos felhasználói jelentések olyan felhasználói fiókokat fognak felszínre tárni, amelyeket esetleg feltörtek, például kiszivárgott hitelesítő adatokat észleltek, vagy a felhasználó különböző helyekről jelentkezett be, ami lehetetlen utazási eseményt okoz.

Overview charts of activity in Identity Protection in the Azure portal.

Alkalmazások és a hozzájárult engedélyek naplózása

A felhasználókat becsaphatja egy feltört webhelyre vagy alkalmazásra, amely hozzáférést kap a profiladataikhoz és a felhasználói adataikhoz, például az e-mailjeikhez. A rosszindulatú szereplők a kapott engedélyekkel titkosíthatják a postaládájuk tartalmát, és váltságdíjat követelhetnek a postaláda adatainak visszaszerzése érdekében. A rendszergazdáknak át kell tekintenie és naplózniuk kell a felhasználók által megadott engedélyeket. A felhasználók által megadott engedélyek naplózása mellett a kockázatos vagy nemkívánatos OAuth-alkalmazásokat prémium környezetekben is megkeresheti .

5. lépés – Végfelhasználói önkiszolgáló szolgáltatás engedélyezése

A lehető legnagyobb mértékben szeretné kiegyensúlyozni a biztonságot és a termelékenységet. A biztonság alapjaként szolgáló gondolkodásmóddal közeledve eltávolíthatja a súrlódásokat a szervezetből azáltal, hogy lehetővé teszi a felhasználók számára, hogy továbbra is éberek maradnak, és csökkentse a működési terhelést.

Új jelszó önkiszolgáló kérésének megvalósítása

Az Azure AD önkiszolgáló jelszó-visszaállítási (SSPR) szolgáltatása egyszerű módot kínál az informatikai rendszergazdák számára, hogy a felhasználók segélyszolgálati vagy rendszergazdai beavatkozás nélkül visszaállíthassák vagy feloldhassák a jelszavukat vagy a fiókjukat. A rendszer részletes jelentéseket tartalmaz, amelyek nyomon követik, ha a felhasználók visszaállítják a jelszavukat, valamint az értesítéseket, amelyek figyelmeztetik Önt a visszaélésre vagy visszaélésre.

Önkiszolgáló csoport- és alkalmazáshozzáférés megvalósítása

Az Azure AD lehetővé teszi a nem rendszergazdák számára az erőforrásokhoz való hozzáférés kezelését biztonsági csoportok, Microsoft 365-csoportok, alkalmazásszerepkörök és hozzáférési csomagkatalógusok használatával. Az önkiszolgáló csoportkezelés lehetővé teszi, hogy a csoporttulajdonosok felügyeleti szerepkör nélkül kezeljék a saját csoportjaikat. A felhasználók anélkül is létrehozhatnak és kezelhetnek Microsoft 365-csoportokat, hogy a rendszergazdákra hagyatkoznak a kéréseik kezelésére, és a nem használt csoportok automatikusan lejárnak. Az Azure AD-jogosultságkezelés további lehetővé teszi a delegálást és a láthatóságot, átfogó hozzáférési kérelmek munkafolyamataival és automatikus lejáratával. Delegálhatja a nem rendszergazdáknak, hogy saját hozzáférési csomagokat konfiguráljanak a saját csoportjaikhoz, Teams-hez, alkalmazásokhoz és SharePoint Online-webhelyekhez, egyéni szabályzatokkal, hogy kiknek kell jóváhagyniuk a hozzáférést, beleértve az alkalmazottak vezetőinek és üzleti partnerszponzorainak konfigurálását jóváhagyóként.

Azure AD hozzáférési felülvizsgálatok implementálása

Az Azure AD hozzáférési felülvizsgálataival kezelheti a hozzáférési csomag- és csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a kiemelt szerepkör-hozzárendeléseket, így biztosítva a biztonsági szabványok fenntartását. A felhasználók, az erőforrás-tulajdonosok és más felülvizsgálók rendszeres felügyelete biztosítja, hogy a felhasználók hosszabb ideig ne őrizzék meg a hozzáférést, amikor már nincs rá szükségük.

Automatikus felhasználóátadás implementálása

A kiépítés és a megszüntetés olyan folyamatok, amelyek biztosítják a digitális identitások több rendszerben való konzisztenciáját. Ezeket a folyamatokat általában az identitáséletciklus-kezelés részeként alkalmazzák.

A kiépítés az identitások célrendszerben való létrehozásának folyamata bizonyos feltételek alapján. A kiépítés megszüntetése az identitás célrendszerből való eltávolításának folyamata, ha a feltételek már nem teljesülnek. A szinkronizálás a kiépített objektum naprakészen tartásának folyamata, hogy a forrásobjektum és a célobjektum hasonló legyen.

Az Azure AD jelenleg az automatikus kiépítés három területét biztosítja. Ezek a következők:

További információ: Mi az Azure Active Directoryval való kiépítés?

Összefoglalás

A biztonságos identitásinfrastruktúra számos szempontot figyelembe vesz, de ez az ötlépéses ellenőrzőlista segít gyorsan megvalósítani egy biztonságosabb és biztonságos identitás-infrastruktúrát:

  • Hitelesítő adatok megerősítése
  • A támadási felület csökkentése
  • Fenyegetésmegoldás automatizálása
  • Felhőintelligencia használata
  • Végfelhasználói önkiszolgáló szolgáltatás engedélyezése

Nagyra értékeljük, hogy mennyire komolyan veszi a biztonságot, és reméljük, hogy ez a dokumentum hasznos ütemterv a szervezet biztonságosabb helyzetéhez.

Következő lépések

Ha segítségre van szüksége a javaslatok megtervezéséhez és üzembe helyezéséhez, segítségért tekintse meg az Azure AD-projekt üzembe helyezési terveit .

Ha biztos abban, hogy minden lépés befejeződött, használja a Microsoft identitásbiztonsági pontszámát, amely naprakészen tartja a legújabb ajánlott eljárásokat és biztonsági fenyegetéseket.