Microsoft Entra biztonsági műveletek eszközökhöz
Az eszközöket általában nem identitásalapú támadások érik, hanem a biztonsági vezérlők kielégítésére és becsapására, illetve a felhasználók megszemélyesítésére használhatók. Az eszközök a Microsoft Entra-azonosítóval való négy kapcsolat egyikével rendelkezhetnek:
Regisztrált
A regisztrált és csatlakoztatott eszközök elsődleges frissítési jogkivonatot (PRT) bocsátanak ki, amely elsődleges hitelesítési összetevőként, bizonyos esetekben többtényezős hitelesítési összetevőként használható. A támadók megpróbálhatják regisztrálni a saját eszközeiket, prT-eket használhatnak jogos eszközökön üzleti adatok eléréséhez, PRT-alapú jogkivonatokat lophatnak el a jogszerű felhasználói eszközökről, vagy helytelen konfigurációkat találhatnak az eszközalapú vezérlőkben a Microsoft Entra ID-ban. A Microsoft Entra hibrid csatlakoztatott eszközeivel a rendszergazdák kezdeményezik és felügyelik az illesztési folyamatot, csökkentve az elérhető támadási módszereket.
Az eszközintegrációs módszerekről további információt a Microsoft Entra-eszközök telepítésének megtervezése című cikkben talál.
Az infrastruktúrát eszközökkel támadó rossz szereplők kockázatának csökkentése érdekében figyelje a
Eszközregisztráció és Microsoft Entra-csatlakozás
Alkalmazásokhoz hozzáférő nem megfelelő eszközök
BitLocker-kulcs lekérése
Eszközadminisztrátori szerepkörök
Bejelentkezés virtuális gépekre
Hol érdemes keresni?
A vizsgálathoz és monitorozáshoz használt naplófájlok a következők:
Az Azure Portalon megtekintheti a Microsoft Entra naplózási naplóit, és vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation -fájlként (JSON) töltheti le. Az Azure Portal számos módon integrálhatja a Microsoft Entra-naplókat más eszközökkel, amelyek lehetővé teszik a figyelés és riasztások nagyobb automatizálását:
Microsoft Sentinel – a biztonsági információk és az eseménykezelési (SIEM) képességek biztosításával lehetővé teszi az intelligens biztonsági elemzéseket vállalati szinten.
Sigma szabályok – A Sigma egy folyamatosan fejlődő nyílt szabvány a szabályok és sablonok írásához, amelyeket az automatizált felügyeleti eszközök a naplófájlok elemzésére használhatnak. Ahol Sigma-sablonok léteznek az ajánlott keresési feltételekhez, hozzáadtunk egy hivatkozást a Sigma adattárhoz. A Sigma-sablonokat nem a Microsoft írja, teszteli és kezeli. Ehelyett az adattárat és a sablonokat a globális informatikai biztonsági közösség hozza létre és gyűjti össze.
Azure Monitor – lehetővé teszi a különböző feltételek automatikus monitorozását és riasztását. Létrehozhat vagy használhat munkafüzeteket különböző forrásokból származó adatok kombinálására.
A SIEM Microsoft Entra-naplókkal integrált Azure Event Hubs az Azure Event Hubs-integráción keresztül integrálható más SIEM-ekkel, például a Splunk, az ArcSight, a QRadar és a Sumo Logic szolgáltatással.-
Felhőhöz készült Microsoft Defender-alkalmazások – lehetővé teszi az alkalmazások felderítését és kezelését, az alkalmazások és erőforrások közötti szabályozást, valamint a felhőalkalmazások megfelelőségének ellenőrzését.
Számítási feladatok identitásainak biztonságossá tétele az Identity Protection előzetes verziójával – A számítási feladatok identitásainak kockázatának észlelésére szolgál a bejelentkezési viselkedés és a biztonsági rés offline jelzései között.
A figyelés és a riasztások nagy része a feltételes hozzáférési szabályzatok hatása. A feltételes hozzáférési megállapításokkal és jelentéskészítő munkafüzetekkel megvizsgálhatja egy vagy több feltételes hozzáférési szabályzatnak a bejelentkezésekre gyakorolt hatását, valamint a szabályzatok eredményeit, beleértve az eszköz állapotát is. Ez a munkafüzet lehetővé teszi egy összegzés megtekintését és az adott időszak effektusainak azonosítását. A munkafüzet segítségével egy adott felhasználó bejelentkezéseit is megvizsgálhatja.
A cikk további része azt ismerteti, hogy milyen figyelést és riasztást javasoljuk, és a fenyegetés típusa szerint van rendszerezve. Ha konkrét előre elkészített megoldásokra hivatkozunk, vagy mintákat adunk a táblázat alapján. Ellenkező esetben riasztásokat hozhat létre az előző eszközökkel.
Eszközregisztrációk és csatlakozások külső szabályzaton kívül
A Microsoft Entra regisztrált és a Microsoft Entra-hoz csatlakoztatott eszközök elsődleges frissítési jogkivonatokkal (PRT-ekkel) rendelkeznek, amelyek egyetlen hitelesítési tényezőnek felelnek meg. Ezek az eszközök időnként erős hitelesítési jogcímeket tartalmazhatnak. További információ arról, hogy a PRT-k mikor tartalmaznak erős hitelesítési jogcímeket, lásd : Mikor kap egy PRT MFA-jogcímet? Annak érdekében, hogy a rossz szereplők ne regisztráljanak vagy csatlakozzanak az eszközökhöz, többtényezős hitelesítésre (MFA) van szükség az eszközök regisztrálásához vagy csatlakoztatásához. Ezután figyelje az MFA nélkül regisztrált vagy csatlakoztatott összes eszközt. Emellett figyelnie kell az MFA-beállítások és -szabályzatok, valamint az eszközmegfelelési szabályzatok módosításait is.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Eszközregisztráció vagy csatlakozás MFA nélkül befejezve | Közepes | Bejelentkezési naplók | Tevékenység: az eszközregisztrációs szolgáltatás sikeres hitelesítése. And Nincs szükség MFA-ra |
Riasztás, ha: Az MFA nélkül regisztrált vagy csatlakoztatott eszközök Microsoft Sentinel-sablon Sigma-szabályok |
| Az eszközregisztráció MFA kapcsolójának módosítása a Microsoft Entra-azonosítóban | Magas | Az auditnaplóban | Tevékenység: Eszközregisztrációs szabályzatok beállítása | Keresse meg a következőt: A kapcsoló ki van kapcsolva. Nincs naplózási naplóbejegyzés. Rendszeres ellenőrzések ütemezése. Sigma-szabályok |
| Tartományhoz csatlakoztatott vagy megfelelő eszközt igénylő feltételes hozzáférési szabályzatok módosítása. | Magas | Az auditnaplóban | A feltételes hozzáférési szabályzatok módosítása |
Riasztás: A tartományhoz való csatlakozást vagy megfelelőséget igénylő házirendek módosítása, a megbízható helyek, illetve az MFA-szabályzat kivételeihez hozzáadott fiókok vagy eszközök módosítása. |
Létrehozhat egy riasztást, amely értesíti a megfelelő rendszergazdákat, ha egy eszköz MFA nélkül van regisztrálva vagy csatlakozik az eszközhöz a Microsoft Sentinel használatával.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
A Microsoft Intune-ral is beállíthat és figyelhet eszközmegfelelési szabályzatokat.
Nem megfelelő eszközbejelentkés
Előfordulhat, hogy nem lehet letiltani az összes felhőbeli és szoftveres alkalmazáshoz való hozzáférést olyan feltételes hozzáférési szabályzatokkal, amelyek megfelelő eszközöket igényelnek.
A mobileszköz-kezelés (MDM) segít a Windows 10-eszközök megfelelőségében. A Windows 1809-es verziójával közzétettük a szabályzatok biztonsági alapkonfigurációját . A Microsoft Entra ID integrálható az MDM-sel az eszközmegfelelőség vállalati szabályzatoknak való kikényszerítése érdekében, és jelentheti az eszköz megfelelőségi állapotát.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Bejelentkezések nem megfelelő eszközökkel | Magas | Bejelentkezési naplók | DeviceDetail.isCompliant == false | Ha a megfelelő eszközökről való bejelentkezésre van szükség, riasztást küld, ha: nem megfelelő eszközök által történő bejelentkezés, vagy MFA vagy megbízható hely nélküli hozzáférés. Ha az eszközök megkövetelése érdekében dolgozik, figyelje a gyanús bejelentkezéseket. |
| Bejelentkezés ismeretlen eszközökkel | Alacsony | Bejelentkezési naplók | A DeviceDetail üres, egytényezős hitelesítés, vagy nem megbízható helyről származik | Keresse meg a következőt: bármilyen hozzáférés a megfelelőségi eszközökről, bármilyen hozzáférés MFA nélkül vagy megbízható hely nélkül Microsoft Sentinel-sablon Sigma-szabályok |
A LogAnalytics használata lekérdezéshez
Bejelentkezések nem megfelelő eszközökkel
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Bejelentkezés ismeretlen eszközökkel
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Elavult eszközök
Az elavult eszközök közé tartoznak azok az eszközök, amelyek egy adott időszakban nem jelentkeznek be. Az eszközök elavulttá válhatnak, ha egy felhasználó új eszközt szerez be, vagy elveszíti az eszközt, vagy ha egy Microsoft Entra-hez csatlakoztatott eszközt töröl vagy újraépít. Előfordulhat, hogy az eszközök akkor is regisztrálva maradnak vagy csatlakoznak, ha a felhasználó már nincs társítva a bérlővel. Az elavult eszközöket el kell távolítani, így az elsődleges frissítési jogkivonatok (PRT-k) nem használhatók.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Utolsó bejelentkezési dátum | Alacsony | Graph API használatába | approximateLastSignInDateTime | A Graph API vagy a PowerShell használatával azonosíthatja és eltávolíthatja az elavult eszközöket. |
BitLocker-kulcs lekérése
Azok a támadók, akik feltörték a felhasználó eszközét, lekérhetik a BitLocker-kulcsokat a Microsoft Entra-azonosítóban. Nem gyakori, hogy a felhasználók lekérik a kulcsokat, és figyelni és kivizsgálni kell őket.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Kulcslekérés | Közepes | Naplók | OperationName == "Read BitLocker key" (BitLocker-kulcs olvasása) | Keresse meg a következőt: kulcslekérés, a kulcsokat beolvasó felhasználók egyéb rendellenes viselkedése. Microsoft Sentinel-sablon Sigma-szabályok |
A LogAnalyticsben hozzon létre egy lekérdezést, például
AuditLogs
| where OperationName == "Read BitLocker key"
Eszközadminisztrátori szerepkörök
A Microsoft Entra-hoz csatlakoztatott eszköz helyi Rendszergazda istrator és a globális Rendszergazda istrator szerepkörök automatikusan helyi rendszergazdai jogosultságokat kapnak az összes Microsoft Entra-csatlakoztatott eszközön. Fontos megfigyelni, hogy ki rendelkezik ezekkel a jogokkal a környezet biztonsága érdekében.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Globális vagy eszközadminisztrátori szerepkörökhöz hozzáadott felhasználók | Magas | Naplók | Tevékenység típusa = Tag hozzáadása a szerepkörhöz. | Keresse meg a következőt: új felhasználók hozzáadva ezekhez a Microsoft Entra-szerepkörökhöz, majd a gépek vagy felhasználók rendellenes viselkedése. Microsoft Sentinel-sablon Sigma-szabályok |
Nem Azure AD-bejelentkezések virtuális gépekre
A Windows vagy LINUX rendszerű virtuális gépekre (VM-ekre) való bejelentkezéseket a Microsoft Entra-fiókoktól eltérő fiókoknak kell figyelnie a bejelentkezések esetében.
Microsoft Entra bejelentkezés LINUX-ra
A Linuxhoz készült Microsoft Entra-bejelentkezés lehetővé teszi a szervezetek számára, hogy Microsoft Entra-fiókokkal, biztonságos rendszerhéjprotokollon (SSH) keresztül jelentkezzenek be az Azure LINUX-beli virtuális gépeikre.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Nem Azure AD-fiók bejelentkezése, különösen SSH-on keresztül | Magas | Helyi hitelesítési naplók | Ubuntu: monitor /var/log/auth.log SSH-használatra Redhat: monitor /var/log/sssd/ SSH-használatra |
Keresse meg azokat a bejegyzéseket , amelyekben a nem Azure AD-fiókok sikeresen csatlakoznak a virtuális gépekhez. Lásd a következő példát. |
Ubuntu-példa:
Május 9. 23:49:39 ubuntu1804 aad_certhandler[3915]: Verzió: 1.0.015570001; felhasználó: localusertest01
Május 9. 23:49:39 ubuntu1804 aad_certhandler[3915]: A "localusertest01" felhasználó nem Microsoft Entra-felhasználó; üres eredményt ad vissza.
Május 9. 23:49:43 ubuntu1804 aad_certhandler[3916]: Verzió: 1.0.015570001; felhasználó: localusertest01
Május 9. 23:49:43 ubuntu1804 aad_certhandler[3916]: A "localusertest01" felhasználó nem Microsoft Entra-felhasználó; üres eredményt ad vissza.
Május 9. 23:49:43 ubuntu1804 sshd[3909]: A localusertest01 nyilvánosan elfogadva 192.168.0.192-től 15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
Május 9. 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): a user localusertest01(uid=0) által megnyitott munkamenet.
Beállíthatja a linuxos virtuális gépek bejelentkezésére vonatkozó szabályzatot, valamint észlelheti és megjelölheti azokat a Linux rendszerű virtuális gépeket, amelyekhez nem jóváhagyott helyi fiókokat adtak hozzá. További információkért tekintse meg az Azure Policy használatát a szabványok biztosításához és a megfelelőség értékeléséhez.
Microsoft Entra-bejelentkezések Windows Serverhez
A Windowshoz készült Microsoft Entra-bejelentkezés lehetővé teszi a szervezet számára, hogy Távoli asztali protokollon (RDP) keresztül jelentkezzen be Az Azure Windows 2019+ rendszerű virtuális gépeibe Microsoft Entra-fiókok használatával.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Nem Azure AD-fiók bejelentkezése, különösen RDP-vel | Magas | Windows Server eseménynaplók | Interaktív bejelentkezés Windows rendszerű virtuális gépre | Event 528, log-on type 10 (RemoteInteractive). Megjeleníti, hogy egy felhasználó mikor jelentkezik be a Terminálszolgáltatások vagy a Távoli asztal szolgáltatáson keresztül. |
Következő lépések
A Microsoft Entra biztonsági műveleteinek áttekintése
Felhasználói fiókok biztonsági műveletei
Biztonsági műveletek fogyasztói fiókokhoz
Kiemelt fiókok biztonsági műveletei
A Privileged Identity Management biztonsági műveletei