Biztonsági riasztások konfigurálása Microsoft Entra-szerepkörökhöz a Privileged Identity Managementben
A Privileged Identity Management (PIM) riasztásokat hoz létre, ha a szervezetében gyanús vagy nem biztonságos tevékenység történik a Microsoft Entra-azonosítóban. Amikor egy riasztás aktiválódik, megjelenik a Privileged Identity Management irányítópulton. Válassza ki a riasztást egy jelentés megtekintéséhez, amely felsorolja a riasztást kiváltó felhasználókat vagy szerepköröket.
Feljegyzés
A Privileged Identity Management egyik eseménye e-mail-értesítéseket hozhat létre több címzettnek – hozzárendelőknek, jóváhagyóknak vagy rendszergazdáknak. Az egy eseményre küldött értesítések maximális száma 1000. Ha a címzettek száma meghaladja az 1000-et – csak az első 1000 címzett kap e-mail-értesítést. Ez nem akadályozza meg, hogy más hozzárendelők, rendszergazdák vagy jóváhagyók a Microsoft Entra-azonosítóban és a Privileged Identity Managementben használják az engedélyeiket.
Licenckövetelmények
A Privileged Identity Management használatához licencek szükségesek. A licenceléssel kapcsolatos további információkért lásd Microsoft Entra ID-kezelés licencelési alapismereteket.
Biztonsági riasztások
Ez a szakasz felsorolja a Microsoft Entra szerepkörökhöz tartozó összes biztonsági riasztást, valamint a javítás és a megelőzés módját. A súlyosság jelentése a következő:
- Magas: Szabályzat megsértése miatt azonnali beavatkozást igényel.
- Közepes: Nem igényel azonnali beavatkozást, de lehetséges szabályzatsértést jelez.
- Alacsony: Nem igényel azonnali műveletet, de javasolt egy előnyösebb szabályzatmódosítás.
Feljegyzés
Csak a következő szerepkörök képesek pim biztonsági riasztásokat olvasni a Microsoft Entra szerepkörökhöz: Global Rendszergazda istrator, Privileged Role Rendszergazda istrator, Global Reader, Security Rendszergazda istrator és Security Reader.
Rendszergazda istratorok nem használják a kiemelt szerepköreiket
Súlyosság: Alacsony
| Leírás | |
|---|---|
| Miért kapom meg ezt a riasztást? | A kiemelt szerepkörökhöz nem szükséges felhasználók növelik a támadás esélyét. A támadók számára is könnyebb észrevétlenül maradni az aktívan nem használt fiókokban. |
| Hogyan javítható ki? | Tekintse át a listában szereplő felhasználókat, és távolítsa el azokat a kiemelt szerepkörökből, amelyekre nincs szükségük. |
| Megelőzés | Kiemelt szerepkörök hozzárendelése csak az üzleti indoklással rendelkező felhasználókhoz. Rendszeres hozzáférési felülvizsgálatok ütemezése annak ellenőrzéséhez, hogy a felhasználóknak továbbra is szükségük van-e a hozzáférésükre. |
| Portálon belüli kárenyhítési művelet | Eltávolítja a fiókot a kiemelt szerepkörből. |
| Eseményindító | Akkor aktiválódik, ha egy felhasználó egy szerepkör aktiválása nélkül túllép egy megadott számú napot. |
| Napok száma | Ez a beállítás megadja a 0 és 100 közötti napok maximális számát, amelyet a felhasználó a szerepkör aktiválása nélkül is használhat. |
A szerepkörök nem igényelnek többtényezős hitelesítést az aktiváláshoz
Súlyosság: Alacsony
| Leírás | |
|---|---|
| Miért kapom meg ezt a riasztást? | Többtényezős hitelesítés nélkül a sérült felhasználók aktiválhatják a kiemelt szerepköröket. |
| Hogyan javítható ki? | Tekintse át a szerepkörök listáját, és minden szerepkörhöz többtényezős hitelesítést igényel. |
| Megelőzés | Minden szerepkörhöz MFA szükséges. |
| Portálon belüli kárenyhítési művelet | Többtényezős hitelesítést tesz szükségessé a kiemelt szerepkör aktiválásához. |
A szervezet nem rendelkezik Microsoft Entra-azonosítóval P2 vagy Microsoft Entra ID-kezelés
Súlyosság: Alacsony
| Leírás | |
|---|---|
| Miért kapom meg ezt a riasztást? | A jelenlegi Microsoft Entra-szervezet nem rendelkezik P2-azonosítóval vagy Microsoft Entra ID-kezelés. |
| Hogyan javítható ki? | Tekintse át a Microsoft Entra kiadásokkal kapcsolatos információkat. Frissítsen a Microsoft Entra P2 vagy Microsoft Entra ID-kezelés azonosítóra. |
Potenciális elavult fiókok emelt szintű szerepkörben
Súlyosság: Közepes
| Leírás | |
|---|---|
| Miért kapom meg ezt a riasztást? | Ez a riasztás a fiók utolsó jelszómódosítási dátuma alapján már nem aktiválódik. Ez a riasztás olyan kiemelt szerepkörben lévő fiókokra vonatkozik, amelyek az elmúlt n napokban nem jelentkeznek be, ahol az n több nap, amely 1–365 nap között konfigurálható. Ezek a fiókok lehetnek olyan szolgáltatás- vagy megosztott fiókok, amelyeket nem tartanak karban, és sebezhetők a támadók számára. |
| Hogyan javítható ki? | Tekintse át a listában szereplő fiókokat. Ha már nincs szükségük hozzáférésre, távolítsa el őket a kiemelt szerepkörökből. |
| Megelőzés | Győződjön meg arról, hogy a megosztott fiókok erős jelszavakat váltanak, ha a jelszót ismerő felhasználók megváltoznak. A jogosultsági szerepkörökkel rendelkező fiókok rendszeres áttekintése hozzáférési felülvizsgálatokkal és a már nem szükséges szerepkör-hozzárendelések eltávolításával. |
| Portálon belüli kárenyhítési művelet | Eltávolítja a fiókot a kiemelt szerepkörből. |
| Ajánlott eljárások | Az olyan megosztott, szolgáltatás- és vészhozzáférési fiókoknak, amelyek jelszóval hitelesítik magukat, és magas jogosultságú rendszergazdai szerepkörökhöz, például globális rendszergazdai vagy biztonsági rendszergazdai szerepkörökhöz vannak rendelve, a jelszavakat a következő esetekben kell elforgatni:
|
A szerepkörök a Privileged Identity Managementen kívül vannak hozzárendelve
Súlyosság: Magas
| Leírás | |
|---|---|
| Miért kapom meg ezt a riasztást? | A Privileged Identity Managementen kívül végzett kiemelt szerepkör-hozzárendelések nincsenek megfelelően figyelve, és aktív támadást jelezhetnek. |
| Hogyan javítható ki? | Tekintse át a listában szereplő felhasználókat, és távolítsa el őket a Privileged Identity Managementen kívül hozzárendelt kiemelt szerepkörökből. A riasztási beállítások között engedélyezheti vagy letilthatja a riasztást és a hozzá tartozó e-mail-értesítést is. |
| Megelőzés | Vizsgálja meg, hogy a felhasználók hol kapnak kiemelt szerepköröket a Privileged Identity Managementen kívül, és tiltsa le onnan a jövőbeli hozzárendeléseket. |
| Portálon belüli kárenyhítési művelet | Eltávolítja a felhasználót a kiemelt szerepköréből. |
Feljegyzés
A PIM e-mail-értesítéseket küld a PIM-riasztáson kívül hozzárendelt szerepkörről, ha a riasztás engedélyezve van a PiM-ben lévő Microsoft Entra-szerepkörök riasztási beállításaiból, a rendszer e-maileket küld a privileged role Rendszergazda istrators, security Rendszergazda istrators és global Rendszergazda istrators számára, amelyek engedélyezték a Privileged Identity Management szolgáltatást. A PIM-ben lévő Azure-erőforrások esetén a rendszer e-maileket küld a tulajdonosoknak és a felhasználói hozzáférés Rendszergazda istratoroknak.
Túl sok globális rendszergazda található
Súlyosság: Alacsony
| Leírás | |
|---|---|
| Miért kapom meg ezt a riasztást? | A globális rendszergazda a legmagasabb kiemelt szerepkör. Ha egy globális Rendszergazda istrator biztonsága sérül, a támadó hozzáfér az összes engedélyéhez, ami az egész rendszert veszélybe sodorja. |
| Hogyan javítható ki? | Tekintse át a listában szereplő felhasználókat, és távolítsa el azokat, amelyeknek nincs feltétlenül szükségük a globális rendszergazdai szerepkörre. Rendeljen alacsonyabb jogosultsági szintű szerepköröket ezekhez a felhasználókhoz. |
| Megelőzés | Rendelje hozzá a felhasználókat a legkevésbé kiemelt szerepkörhöz. |
| Portálon belüli kárenyhítési művelet | Eltávolítja a fiókot a kiemelt szerepkörből. |
| Eseményindító | Két különböző feltétel teljesülése esetén aktiválódik, és mindkettő konfigurálható. Először el kell érnie a globális rendszergazdai szerepkör-hozzárendelések bizonyos küszöbértékét. Másodszor, a teljes szerepkör-hozzárendelések bizonyos százalékának globális rendszergazdáknak kell lennie. Ha csak egy ilyen mérésnek felel meg, a riasztás nem jelenik meg. |
| Globális Rendszergazda istratorok minimális száma | Ez a beállítás a Microsoft Entra-szervezet számára túl kevésnek ítélt globális Rendszergazda istrator szerepkör-hozzárendelések számát adja meg 2 és 100 között. |
| Globális Rendszergazda istratorok százalékos aránya | Ez a beállítás a globális rendszergazdák minimális százalékos arányát határozza meg 0%-tól 100%-ig, amely alatt nem szeretné, hogy a Microsoft Entra-szervezete csökkenjen. |
A szerepkörök túl gyakran aktiválódnak
Súlyosság: Alacsony
| Leírás | |
|---|---|
| Miért kapom meg ezt a riasztást? | A támadás jele, hogy ugyanazon felhasználó több aktiválást is aktivál ugyanarra a kiemelt szerepkörre. |
| Hogyan javítható ki? | Tekintse át a listában szereplő felhasználókat, és győződjön meg arról, hogy a kiemelt szerepkör aktiválási időtartama elég hosszú ahhoz, hogy el tudják végezni a feladataikat. |
| Megelőzés | Győződjön meg arról, hogy a kiemelt szerepkörök aktiválási időtartama elég hosszú ahhoz, hogy a felhasználók elvégezhessék a feladataikat.Többtényezős hitelesítés megkövetelése olyan kiemelt szerepkörökhöz, amelyek több rendszergazda által megosztott fiókkal rendelkeznek. |
| Portálon belüli kárenyhítési művelet | n/a |
| Eseményindító | Akkor aktiválódik, ha egy felhasználó ugyanazt a kiemelt szerepkört egy adott időszakon belül többször aktiválja. Az időtartamot és az aktiválások számát is konfigurálhatja. |
| Aktiválás megújításának időkerete | Ez a beállítás a gyanús megújítások nyomon követéséhez használni kívánt napokat, órákat, perceket és másodperceket határozza meg. |
| Aktiválási megújítások száma | Ez a beállítás 2 és 100 közötti aktiválások számát adja meg, amelyekről értesítést szeretne kapni a választott időkereten belül. Ezt a beállítást módosíthatja a csúszka áthelyezésével, vagy egy szám beírásával a szövegmezőbe. |
Biztonsági riasztási beállítások testreszabása
Kövesse az alábbi lépéseket a Microsoft Entra-szerepkörök biztonsági riasztásainak konfigurálásához a Privileged Identity Managementben:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszabályozás>kiemelt identitáskezelés>Microsoft Entra-szerepkörök>riasztási>beállítását. A Privileged Identity Management csempe irányítópulthoz való hozzáadásáról további információt a Privileged Identity Management használatának megkezdése című témakörben talál.
Testre szabhatja a különböző riasztások beállításait a környezettel és a biztonsági célokkal való együttműködéshez.
