Azure Active Directory-beveiligingsbewerkingen voor apparaten

Apparaten zijn niet vaak gericht op aanvallen op basis van identiteiten, maar kunnen worden gebruikt om te voldoen aan beveiligingscontroles en om gebruikers te imiteren. Apparaten kunnen een van de vier relaties hebben met Azure AD:

Geregistreerde en gekoppelde apparaten worden een primair vernieuwingstoken (PRT ) uitgegeven, dat kan worden gebruikt als een primair verificatieartefact en in sommige gevallen als een artefact voor meervoudige verificatie. Aanvallers proberen hun eigen apparaten te registreren, PRT's te gebruiken op legitieme apparaten om toegang te krijgen tot bedrijfsgegevens, PRT-tokens te stelen van legitieme gebruikersapparaten of onjuiste configuraties te vinden in apparaatbesturingselementen in Azure Active Directory. Met hybride Azure AD-gekoppelde apparaten wordt het joinproces gestart en beheerd door beheerders, waardoor de beschikbare aanvalsmethoden worden verminderd.

Zie Uw integratiemethoden kiezen in het artikel Uw Azure AD-apparaatimplementatie plannen voor meer informatie over methoden voor apparaatintegratie.

Om het risico te verminderen dat slechte actoren uw infrastructuur aanvallen via apparaten, bewaakt u

  • Apparaatregistratie en Azure AD-deelname

  • Niet-compatibele apparaten die toegang hebben tot toepassingen

  • BitLocker-sleutel ophalen

  • Rollen apparaatbeheerder

  • Aanmeldingen bij virtuele machines

Waar te zoeken

De logboekbestanden die u gebruikt voor onderzoek en bewaking zijn:

Vanuit Azure Portal kunt u de Auditlogboeken van Azure AD bekijken en downloaden als CSV-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). Azure Portal heeft verschillende manieren om Azure AD-logboeken te integreren met andere hulpprogramma's die meer automatisering van bewaking en waarschuwingen mogelijk maken:

Veel van wat u bewaakt en waarschuwt, zijn de gevolgen van uw beleid voor voorwaardelijke toegang. U kunt de inzichten en rapportagewerkmap voor voorwaardelijke toegang gebruiken om de effecten van een of meer beleidsregels voor voorwaardelijke toegang op uw aanmeldingen en de resultaten van beleidsregels, inclusief apparaatstatus, te onderzoeken. Met deze werkmap kunt u een impactoverzicht weergeven en de impact in een bepaalde periode identificeren. U kunt de werkmap ook gebruiken om de aanmeldingen van een specifieke gebruiker te onderzoeken.

In de rest van dit artikel wordt beschreven wat u wordt aangeraden te controleren en te waarschuwen en wordt georganiseerd op basis van het type bedreiging. Als er specifieke vooraf gebouwde oplossingen zijn, koppelen we deze of bieden we voorbeelden aan de volgende tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.

Apparaatregistraties en joins buiten beleid

Geregistreerde azure AD- en Azure AD-gekoppelde apparaten beschikken over primaire vernieuwingstokens (PRT's), wat het equivalent is van één verificatiefactor. Deze apparaten kunnen soms sterke verificatieclaims bevatten. Zie Wanneer krijgt een PRT een MFA-claim voor meer informatie over wanneer PRT sterke verificatieclaims bevat? Als u wilt voorkomen dat slechte actoren apparaten registreren of samenvoegen, moet u meervoudige verificatie (MFA) registreren of koppelen aan apparaten. Controleer vervolgens op apparaten die zijn geregistreerd of lid zijn zonder MFA. U moet ook controleren op wijzigingen in MFA-instellingen en -beleidsregels en nalevingsbeleid voor apparaten.

Wat u moet controleren Risiconiveau Waar Filter/subfilter Notities
Apparaatregistratie of join voltooid zonder MFA Normaal Aanmeldingslogboeken Activiteit: geslaagde verificatie voor Device Registration Service.
And
Geen MFA vereist
Waarschuwing wanneer:
Elk apparaat geregistreerd of toegevoegd zonder MFA
Azure Sentinel-sjabloon
Wijzigingen in de MFA-wisselknop apparaatregistratie in Azure AD Hoog Auditlogboek Activiteit: Apparaatregistratiebeleid instellen Zoek naar:
De wisselknop wordt uitgeschakeld. Er is geen controlelogboekvermelding. Periodieke controles plannen.
Wijzigingen in beleid voor voorwaardelijke toegang waarvoor een domein is toegevoegd of een compatibel apparaat is vereist. Hoog Auditlogboek Wijzigingen in CA-beleid
Waarschuwing wanneer:
  • Wijzig het beleid dat lid is van een domein of voldoet aan het beleid.
  • Wijzigingen in vertrouwde locaties.
  • Accounts of apparaten die zijn toegevoegd aan MFA-beleidsonderzondering.
  • U kunt een waarschuwing maken waarmee de juiste beheerders worden gewaarschuwd wanneer een apparaat is geregistreerd of lid is van MFA met behulp van Microsoft Sentinel.

    Sign-in logs
    
    | where ResourceDisplayName == "Device Registration Service"
    
    | where conditionalAccessStatus == "success"
    
    | where AuthenticationRequirement <> "multiFactorAuthentication"
    

    U kunt Microsoft Intune ook gebruiken om nalevingsbeleid voor apparaten in te stellen en te bewaken.

    Niet-compatibel apparaat aanmelden

    Het is mogelijk niet mogelijk om de toegang tot alle cloud- en software-as-a-servicetoepassingen te blokkeren met beleid voor voorwaardelijke toegang waarvoor compatibele apparaten zijn vereist.

    Mobile Device Management (MDM) helpt u windows 10-apparaten compatibel te houden. Met Windows versie 1809 hebben we een beveiligingsbasislijn van beleidsregels uitgebracht. Azure Active Directory kan worden geïntegreerd met MDM om naleving van apparaten af te dwingen met bedrijfsbeleid en kan de nalevingsstatus van een apparaat rapporteren.

    Wat u moet controleren Risiconiveau Waar Filter/subfilter Notities
    Aanmeldingen door niet-compatibele apparaten Hoog Aanmeldingslogboeken DeviceDetail.isCompliant == false Als u aanmelding van compatibele apparaten vereist, waarschuwt u wanneer:
  • aanmelden door niet-compatibele apparaten.
  • toegang zonder MFA of een vertrouwde locatie.

    Als u werkt aan het vereisen van apparaten, controleert u op verdachte aanmeldingen.
    Azure Sentinel-sjabloon

  • Aanmeldingen op onbekende apparaten Beperkt Aanmeldingslogboeken
  • DeviceDetail is leeg
  • Verificatie met één factor
  • Vanaf een niet-vertrouwde locatie
  • Zoek naar:
  • toegang vanaf apparaten die niet voldoen aan de naleving.
  • toegang zonder MFA of vertrouwde locatie
  • LogAnalytics gebruiken om query's uit te voeren

    Aanmeldingen door niet-compatibele apparaten

    SigninLogs
    
    | where DeviceDetail.isCompliant == false
    
    | where conditionalAccessStatus == "success"
    

    Aanmeldingen door onbekende apparaten

    
    SigninLogs
    | where isempty(DeviceDetail.deviceId)
    
    | where AuthenticationRequirement == "singleFactorAuthentication"
    
    | where ResultType == "0"
    
    | where NetworkLocationDetails == "[]"
    

    Verouderde apparaten

    Verouderde apparaten bevatten apparaten die niet zijn aangemeld voor een opgegeven periode. Apparaten kunnen verouderd raken wanneer een gebruiker een nieuw apparaat krijgt of een apparaat verliest, of wanneer een apparaat dat is toegevoegd aan Azure AD wordt gewist of opnieuw wordt ingericht. Apparaten kunnen ook geregistreerd blijven of lid blijven wanneer de gebruiker niet meer aan de tenant is gekoppeld. Verouderde apparaten moeten worden verwijderd, zodat hun primaire vernieuwingstokens (PRT's) niet kunnen worden gebruikt.

    Wat u moet controleren Risiconiveau Waar Filter/subfilter Notities
    Laatste aanmeldingsdatum Beperkt Graph API approximateLastSignInDateTime Gebruik Graph API of PowerShell om verouderde apparaten te identificeren en te verwijderen.

    BitLocker-sleutel ophalen

    Aanvallers die inbreuk hebben gemaakt op het apparaat van een gebruiker, kunnen de BitLocker-sleutels ophalen in Azure AD. Het is ongebruikelijk dat gebruikers sleutels ophalen en moeten worden bewaakt en onderzocht.

    Wat u moet controleren Risiconiveau Waar Filter/subfilter Notities
    Sleutel ophalen Normaal Auditlogboeken OperationName == "BitLocker-sleutel lezen" Zoeken
  • sleutel ophalen'
  • ander afwijkend gedrag door gebruikers sleutels op te halen.
  • Maak in LogAnalytics een query zoals

    AuditLogs
    
    | where OperationName == "Read BitLocker key" 
    

    Rollen voor apparaatbeheerder

    Globale beheerders en cloudapparaatbeheerders krijgen automatisch lokale beheerdersrechten op alle aan Azure AD gekoppelde apparaten. Het is belangrijk om te controleren wie deze rechten heeft om uw omgeving veilig te houden.

    Wat u moet controleren Risiconiveau Waar Filter/subfilter Notities
    Gebruikers toegevoegd aan globale rollen of apparaatbeheerdersrollen Hoog Auditlogboeken Activiteitstype = Lid toevoegen aan rol. Zoek naar:
  • nieuwe gebruikers toegevoegd aan deze Azure AD-rollen.
  • Daaropvolgend afwijkend gedrag door machines of gebruikers.
  • Niet-Azure AD-aanmeldingen bij virtuele machines

    Aanmeldingen bij virtuele Windows- of LINUX-machines (VM's) moeten worden bewaakt voor aanmeldingen door andere accounts dan Azure AD-accounts.

    Azure AD-aanmelding voor LINUX

    Met Azure AD-aanmelding voor LINUX kunnen organisaties zich aanmelden bij hun Azure LINUX-VM's met behulp van Azure AD-accounts via SSH (Secure Shell Protocol).

    Wat u moet controleren Risiconiveau Waar Filter/subfilter Notities
    Niet-Azure AD-account aanmelden, met name via SSH Hoog Lokale verificatielogboeken Ubuntu:
    controleren /var/log/auth.log voor SSH-gebruik
    Redhat:
    controleren /var/log/sssd/ voor SSH-gebruik
    Zoek naar:
  • vermeldingen waarbij niet-Azure AD-accounts verbinding maken met VM's.
  • Zie het volgende voorbeeld.
  • Ubuntu-voorbeeld:

    9 mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Versie: 1.0.015570001; gebruiker: localusertest01

    9 mei 23:49:39 ubuntu1804 aad_certhandler[3915]: Gebruiker 'localusertest01' is geen AAD-gebruiker; retourneert leeg resultaat.

    9 mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Versie: 1.0.015570001; gebruiker: localusertest01

    9 mei 23:49:43 ubuntu1804 aad_certhandler[3916]: Gebruiker 'localusertest01' is geen AAD-gebruiker; retourneert leeg resultaat.

    9 mei 23:49:43 ubuntu1804 sshd[3909]: openbaar geaccepteerd voor localusertest01 vanaf 192.168.0.15 poort 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

    9 mei 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sessie geopend voor user localusertest01 by (uid=0).

    U kunt beleid instellen voor aanmeldingen van linux-VM's en Linux-VM's detecteren en markeren die niet-goedgekeurde lokale accounts hebben toegevoegd. Zie Azure Policy gebruiken om standaarden te garanderen en naleving te beoordelen voor meer informatie.

    Azure AD-aanmeldingen voor Windows Server

    Met Azure AD-aanmelding voor Windows kan uw organisatie zich aanmelden bij uw Azure Windows 2019+-VM's met behulp van Azure AD-accounts via RDP (Remote Desktop Protocol).

    Wat u moet controleren Risiconiveau Waar Filter/subfilter Notities
    Niet-Azure AD-account aanmelden, met name via RDP Hoog Windows Server-gebeurtenislogboeken Interactieve aanmelding bij Windows-VM Gebeurtenis 528, aanmeldingstype 10 (RemoteInteractive).
    Wordt weergegeven wanneer een gebruiker zich aanmeldt via Terminal Services of Extern bureaublad.

    Volgende stappen

    Zie de volgende artikelen over aanvullende beveiligingsbewerkingen:

    Overzicht van Azure AD-beveiligingsbewerkingen

    Beveiligingsbewerkingen voor gebruikersaccounts

    Beveiligingsbewerkingen voor bevoegde accounts

    Beveiligingsbewerkingen voor Privileged Identity Management

    Beveiligingsbewerkingen voor toepassingen

    Beveiligingsbewerkingen voor apparaten

    Beveiligingsbewerkingen voor infrastructuur