Operacje zabezpieczeń dla infrastruktury
Infrastruktura zawiera wiele składników, w których mogą wystąpić luki w zabezpieczeniach, jeśli nie są prawidłowo skonfigurowane. W ramach strategii monitorowania i zgłaszania alertów dla infrastruktury monitoruj zdarzenia i alerty w następujących obszarach:
Uwierzytelnianie i autoryzacja
Składniki uwierzytelniania hybrydowego są dołączane. Serwery federacyjne
Zasady
Subskrypcje
Monitorowanie i zgłaszanie alertów dotyczących składników infrastruktury uwierzytelniania ma kluczowe znaczenie. Każde naruszenie może prowadzić do pełnego naruszenia bezpieczeństwa całego środowiska. Wiele przedsiębiorstw korzystających z identyfikatora Entra firmy Microsoft działa w środowisku uwierzytelniania hybrydowego. Składniki chmury i środowiska lokalnego powinny być uwzględnione w strategii monitorowania i zgłaszania alertów. Posiadanie środowiska uwierzytelniania hybrydowego wprowadza również kolejny wektor ataku do środowiska.
Zalecamy, aby wszystkie składniki były uznawane za zasoby płaszczyzny sterowania/warstwy 0 oraz konta używane do zarządzania nimi. Zapoznaj się z artykułem Zabezpieczanie uprzywilejowanych zasobów (SPA), aby uzyskać wskazówki dotyczące projektowania i implementowania środowiska. Te wskazówki obejmują zalecenia dotyczące poszczególnych składników uwierzytelniania hybrydowego, które mogą być potencjalnie używane w dzierżawie firmy Microsoft Entra.
Pierwszym krokiem w celu wykrycia nieoczekiwanych zdarzeń i potencjalnych ataków jest ustanowienie punktu odniesienia. Aby zapoznać się ze wszystkimi składnikami lokalnymi wymienionymi w tym artykule, zobacz Wdrażanie dostępu uprzywilejowanego, które jest częścią przewodnika Zabezpieczanie uprzywilejowanych zasobów (SPA).
Gdzie szukać
Pliki dziennika używane do badania i monitorowania to:
W witrynie Azure Portal możesz wyświetlić dzienniki inspekcji firmy Microsoft Entra i pobrać jako pliki z wartością rozdzielaną przecinkami (CSV) lub JavaScript Object Notation (JSON). Witryna Azure Portal oferuje kilka sposobów integracji dzienników firmy Microsoft z innymi narzędziami, które umożliwiają większą automatyzację monitorowania i zgłaszania alertów:
Microsoft Sentinel — umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa, zapewniając funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Reguły Sigma — Sigma to rozwijający się otwarty standard pisania reguł i szablonów, za pomocą których zautomatyzowane narzędzia do zarządzania mogą służyć do analizowania plików dziennika. Gdzie szablony Sigma istnieją dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.
Azure Monitor — umożliwia automatyczne monitorowanie i alerty różnych warunków. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.
Usługa Azure Event Hubs zintegrowana z rozwiązaniem SIEM — dzienniki entra firmy Microsoft można zintegrować z innymi rozwiązaniami SIEM, takimi jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji z usługą Azure Event Hubs.
aplikacje Microsoft Defender dla Chmury — umożliwia odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.
Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection w wersji zapoznawczej — służy do wykrywania ryzyka związanego z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia zabezpieczeń w trybie offline.
W pozostałej części tego artykułu opisano, co należy monitorować i otrzymywać alerty. Jest on zorganizowany według typu zagrożenia. W przypadku wstępnie utworzonych rozwiązań znajdziesz linki do nich po tabeli. W przeciwnym razie można tworzyć alerty przy użyciu poprzednich narzędzi.
Infrastruktura uwierzytelniania
W środowiskach hybrydowych, które zawierają zarówno zasoby lokalne, jak i konta oparte na chmurze, infrastruktura usługi Active Directory jest kluczową częścią stosu uwierzytelniania. Stos jest również celem ataków, dlatego należy skonfigurować tak, aby zachować bezpieczne środowisko i musi być prawidłowo monitorowany. Przykłady bieżących typów ataków używanych w infrastrukturze uwierzytelniania korzystają z technik sprayu haseł i solorigate. Poniżej przedstawiono linki do artykułów, które zalecamy:
Omówienie zabezpieczania dostępu uprzywilejowanego — ten artykuł zawiera omówienie bieżących technik przy użyciu technik zero trust w celu tworzenia i utrzymywania bezpiecznego dostępu uprzywilejowanego.
Działania monitorowane w domenie w usłudze Microsoft Defender for Identity — ten artykuł zawiera kompleksową listę działań do monitorowania i ustawiania alertów.
Samouczek dotyczący alertów zabezpieczeń usługi Microsoft Defender for Identity — ten artykuł zawiera wskazówki dotyczące tworzenia i implementowania strategii alertów zabezpieczeń.
Poniżej znajdują się linki do konkretnych artykułów, które koncentrują się na monitorowaniu i zgłaszaniu alertów dotyczących infrastruktury uwierzytelniania:
Opis ścieżek przenoszenia bocznego i korzystanie z nich za pomocą usługi Microsoft Defender for Identity — techniki wykrywania, aby ułatwić identyfikowanie, kiedy niewrażliwe konta są używane do uzyskiwania dostępu do poufnych kont sieciowych.
Praca z alertami zabezpieczeń w usłudze Microsoft Defender for Identity — w tym artykule opisano sposób przeglądania alertów i zarządzania nimi po ich zarejestrowaniu.
Poniżej przedstawiono konkretne kwestie do wyszukania:
| Co monitorować | Poziom ryzyka | Gdzie | Uwagi |
|---|---|---|---|
| Trendy związane z blokadą ekstranetu | Wys. | Microsoft Entra Connect Health | Zobacz Monitorowanie usług AD FS przy użyciu usługi Microsoft Entra Połączenie Health, aby uzyskać narzędzia i techniki, aby ułatwić wykrywanie trendów blokady ekstranetu. |
| Nieudane logowania | Wys. | portal kondycji Połączenie | Wyeksportuj lub pobierz raport Ryzykowny adres IP i postępuj zgodnie ze wskazówkami w temacie Ryzykowny raport IP (publiczna wersja zapoznawcza) w celu wykonania następnych kroków. |
| Zgodność z zasadami ochrony prywatności | Niski | Microsoft Entra Connect Health | Skonfiguruj usługę Microsoft Entra Połączenie Health, aby wyłączyć zbieranie danych i monitorowanie przy użyciu artykułu Prywatność użytkownika i Microsoft Entra Połączenie Health. |
| Potencjalny atak siłowy na LDAP | Śred. | Microsoft Defender for Identity | Użyj czujnika, aby pomóc w wykrywaniu potencjalnych ataków siłowych na ldap. |
| Rekonesans wyliczania kont | Śred. | Microsoft Defender for Identity | Użyj czujnika, aby ułatwić wykonywanie rekonesansu wyliczania kont. |
| Ogólna korelacja między identyfikatorem Entra firmy Microsoft i usługami Azure AD FS | Śred. | Microsoft Defender for Identity | Używanie funkcji do korelowania działań między identyfikatorem Entra firmy Microsoft i środowiskami usług Azure AD FS. |
Monitorowanie uwierzytelniania przekazywanego
Uwierzytelnianie przekazywane firmy Microsoft entra loguje użytkowników, sprawdzając swoje hasła bezpośrednio względem lokalna usługa Active Directory.
Poniżej przedstawiono konkretne kwestie do wyszukania:
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Błędy uwierzytelniania przekazywanego przez firmę Microsoft | Śred. | Dzienniki aplikacji i usługi\Microsoft\AzureAd Połączenie\AuthenticationAgent\Administracja | AADSTS80001 — nie można nawiązać połączenia z usługą Active Directory | Upewnij się, że serwery agentów są członkami tego samego lasu usługi AD co użytkownicy, których hasła muszą być weryfikowane i mogą łączyć się z usługą Active Directory. |
| Błędy uwierzytelniania przekazywanego przez firmę Microsoft | Śred. | Dzienniki aplikacji i usługi\Microsoft\AzureAd Połączenie\AuthenticationAgent\Administracja | AADSTS8002 — wystąpił przekroczenie limitu czasu podczas nawiązywania połączenia z usługą Active Directory | Sprawdź, czy usługa Active Directory jest dostępna i odpowiada na żądania od agentów. |
| Błędy uwierzytelniania przekazywanego przez firmę Microsoft | Śred. | Dzienniki aplikacji i usługi\Microsoft\AzureAd Połączenie\AuthenticationAgent\Administracja | AADSTS80004 — nazwa użytkownika przekazana do agenta jest nieprawidłowa | Upewnij się, że użytkownik próbuje zalogować się przy użyciu odpowiedniej nazwy użytkownika. |
| Błędy uwierzytelniania przekazywanego przez firmę Microsoft | Śred. | Dzienniki aplikacji i usługi\Microsoft\AzureAd Połączenie\AuthenticationAgent\Administracja | AADSTS80005 — walidacja napotkała nieprzewidywalną wyjątek WebException | Błąd przejściowy. Ponów próbę żądania. Jeśli nadal nie powiedzie się, skontaktuj się z pomocą techniczną firmy Microsoft. |
| Błędy uwierzytelniania przekazywanego przez firmę Microsoft | Śred. | Dzienniki aplikacji i usługi\Microsoft\AzureAd Połączenie\AuthenticationAgent\Administracja | AADSTS80007 — wystąpił błąd podczas komunikacji z usługą Active Directory | Sprawdź dzienniki agenta, aby uzyskać więcej informacji i sprawdź, czy usługa Active Directory działa zgodnie z oczekiwaniami. |
| Błędy uwierzytelniania przekazywanego przez firmę Microsoft | Wys. | Interfejs API funkcji Win32 LogonUserA | Logowanie zdarzeń 4624: Konto zostało pomyślnie zalogowane - skorelować z – 4625(F): Logowanie konta nie powiodło się |
Użyj z podejrzanymi nazwami użytkowników na kontrolerze domeny, który uwierzytelnia żądania. Wskazówki dotyczące funkcji LogonUserA (winbase.h) |
| Błędy uwierzytelniania przekazywanego przez firmę Microsoft | Śred. | Skrypt programu PowerShell kontrolera domeny | Zobacz zapytanie po tabeli. | Skorzystaj z informacji w witrynie Microsoft Entra Połączenie: Rozwiązywanie problemów z uwierzytelnianiemprzekazywanym, aby uzyskać wskazówki. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Monitorowanie tworzenia nowych dzierżaw firmy Microsoft Entra
Organizacje mogą wymagać monitorowania i zgłaszania alertów dotyczących tworzenia nowych dzierżaw firmy Microsoft Entra, gdy akcja jest inicjowana przez tożsamości z dzierżawy organizacji. Monitorowanie tego scenariusza zapewnia wgląd w liczbę tworzonych dzierżaw i dostęp do tych dzierżaw przez użytkowników końcowych.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Tworzenie nowej dzierżawy firmy Microsoft Entra przy użyciu tożsamości z dzierżawy. | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Kategoria: Zarządzanie katalogami Działanie: Tworzenie firmy |
Wartości docelowe pokazują utworzony identyfikator dzierżawy |
Łącznik sieci prywatnej
Microsoft Entra ID i Microsoft Entra application proxy zapewniają użytkownikom zdalnym środowisko logowania jednokrotnego. Użytkownicy bezpiecznie łączą się z aplikacjami lokalnymi bez wirtualnej sieci prywatnej (VPN) lub dwóch serwerów domowych i reguł zapory. Jeśli serwer łącznika sieci prywatnej firmy Microsoft Entra zostanie naruszony, osoby atakujące mogą zmienić środowisko logowania jednokrotnego lub zmienić dostęp do opublikowanych aplikacji.
Aby skonfigurować monitorowanie serwer proxy aplikacji, zobacz Rozwiązywanie serwer proxy aplikacji problemów i komunikatów o błędach. Plik danych, który rejestruje informacje, można znaleźć w obszarze Dzienniki aplikacji i usług\Microsoft\Microsoft Entra private network\Połączenie or\Administracja. Aby uzyskać pełny przewodnik referencyjny dotyczący działania inspekcji, zobacz Dokumentacja działań inspekcji firmy Microsoft Entra. Konkretne elementy do monitorowania:
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Błędy protokołu Kerberos | Śred. | Różne narzędzia | Śred. | Wskazówki dotyczące błędów uwierzytelniania Kerberos w obszarze Błędy protokołu Kerberos dotyczące rozwiązywania problemów serwer proxy aplikacji i komunikatów o błędach. |
| Problemy z zabezpieczeniami kontrolera domeny | Wys. | Dzienniki inspekcji zabezpieczeń kontrolera domeny | Identyfikator zdarzenia 4742(S): konto komputera zostało zmienione — i — Flaga — zaufana dla delegowania — lub — Flaga — zaufane do uwierzytelniania na potrzeby delegowania |
Zbadaj dowolną zmianę flagi. |
| Ataki typu pass-the-ticket, takie jak ataki | Wys. | Postępuj zgodnie ze wskazówkami w temacie: Rekonesans podmiotu zabezpieczeń (LDAP) (identyfikator zewnętrzny 2038) Samouczek: alerty poświadczeń z naruszeniem zabezpieczeń Omówienie ścieżek przenoszenia bocznego i korzystanie z nich za pomocą usługi Microsoft Defender for Identity Opis profilów jednostek |
Ustawienia starszego uwierzytelniania
Aby uwierzytelnianie wieloskładnikowe było efektywne, należy również zablokować starsze uwierzytelnianie. Następnie należy monitorować środowisko i alerty dotyczące dowolnego użycia starszego uwierzytelniania. Starsze protokoły uwierzytelniania, takie jak POP, SMTP, IMAP i MAPI, nie mogą wymuszać uwierzytelniania wieloskładnikowego. Dzięki temu te protokoły są preferowanymi punktami wejścia dla osób atakujących. Aby uzyskać więcej informacji na temat narzędzi, których można użyć do blokowania starszego uwierzytelniania, zobacz Nowe narzędzia do blokowania starszego uwierzytelniania w organizacji.
Starsze uwierzytelnianie jest przechwytywane w dzienniku logowania firmy Microsoft w ramach szczegółów zdarzenia. Możesz użyć skoroszytu usługi Azure Monitor, aby ułatwić identyfikowanie starszego użycia uwierzytelniania. Aby uzyskać więcej informacji, zobacz Logowanie przy użyciu starszego uwierzytelniania, który jest częścią artykułu How to use Azure Monitor Workbooks for Microsoft Entra reports (Jak używać skoroszytów usługi Azure Monitor dla raportów firmy Microsoft Entra). Możesz również użyć skoroszytu Protokoły niezabezpieczone dla usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel Insecure Protocols Implementation Guide (Przewodnik implementacji skoroszytu niezabezpieczonych protokołów usługi Microsoft Sentinel). Konkretne działania do monitorowania obejmują:
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Starsze uwierzytelnianie | Wys. | Dziennik logowania firmy Microsoft Entra | ClientApp : POP ClientApp : IMAP ClientApp: MAPI ClientApp: SMTP ClientApp: ActiveSync przejdź do EXO Inni klienci = SharePoint i EWS |
W środowiskach domeny federacyjnej uwierzytelnianie nie powiodło się i nie jest wyświetlane w dzienniku. |
Microsoft Entra Connect
Firma Microsoft Entra Połączenie zapewnia scentralizowaną lokalizację, która umożliwia synchronizację kont i atrybutów między środowiskiem lokalnym i chmurowym firmy Microsoft Entra. Microsoft Entra Połączenie to narzędzie firmy Microsoft przeznaczone do osiągania celów związanych z tożsamością hybrydową i osiągania ich. Oferuje ono następujące funkcje:
Synchronizacja skrótów haseł — metoda logowania, która synchronizuje skrót lokalnego hasła usługi AD użytkownika z identyfikatorem Microsoft Entra ID.
Synchronizacja — odpowiada za tworzenie użytkowników, grup i innych obiektów. Upewnij się również, że informacje o tożsamości dla lokalnych użytkowników i grup są zgodne z chmurą. Synchronizacja dotyczy również skrótów haseł.
Monitorowanie kondycji — microsoft Entra Połączenie Health może zapewnić niezawodne monitorowanie i zapewnić centralną lokalizację w witrynie Azure Portal, aby wyświetlić to działanie.
Synchronizowanie tożsamości między środowiskiem lokalnym a środowiskiem chmury wprowadza nową powierzchnię ataków dla środowiska lokalnego i opartego na chmurze. Zalecamy:
Firma Microsoft Entra Połączenie serwerów podstawowych i przejściowych jest traktowana jako systemy warstwy 0 na płaszczyźnie sterowania.
Stosujesz standardowy zestaw zasad, które zarządzają każdym typem konta i jego użyciem w danym środowisku.
Instalujesz aplikację Microsoft Entra Połączenie i Połączenie Health. Zapewniają one przede wszystkim dane operacyjne dla środowiska.
Rejestrowanie operacji Połączenie firmy Microsoft odbywa się na różne sposoby:
Kreator Połączenie firmy Microsoft rejestruje dane w usłudze
\ProgramData\AADConnect. Za każdym razem, gdy kreator jest wywoływany, tworzony jest plik dziennika śledzenia ze znacznikami czasu. Dziennik śledzenia można zaimportować do usługi Sentinel lub innych narzędzi do analizy informacji o zabezpieczeniach i zarządzania zdarzeniami (SIEM) innych firm usług pulpitu zdalnego.Niektóre operacje inicjują skrypt programu PowerShell w celu przechwycenia informacji rejestrowania. Aby zebrać te dane, należy upewnić się, że włączono rejestrowanie bloku skryptu.
Monitorowanie zmian konfiguracji
Microsoft Entra ID używa aparatu danych programu Microsoft SQL Server lub sql do przechowywania informacji o konfiguracji usługi Microsoft Entra Połączenie. W związku z tym monitorowanie i inspekcja plików dziennika skojarzonych z konfiguracją należy uwzględnić w strategii monitorowania i inspekcji. W szczególności uwzględnij następujące tabele w strategii monitorowania i zgłaszania alertów.
| Co monitorować | Gdzie | Uwagi |
|---|---|---|
| mms_management_agent | Rekordy inspekcji usługi SQL | Zobacz Rekordy inspekcji programu SQL Server |
| mms_partition | Rekordy inspekcji usługi SQL | Zobacz Rekordy inspekcji programu SQL Server |
| mms_run_profile | Rekordy inspekcji usługi SQL | Zobacz Rekordy inspekcji programu SQL Server |
| mms_server_configuration | Rekordy inspekcji usługi SQL | Zobacz Rekordy inspekcji programu SQL Server |
| mms_synchronization_rule | Rekordy inspekcji usługi SQL | Zobacz Rekordy inspekcji programu SQL Server |
Aby uzyskać informacje na temat tego, co i jak monitorować informacje o konfiguracji, zobacz:
W przypadku programu SQL Server zobacz Rekordy inspekcji programu SQL Server.
W przypadku usługi Microsoft Sentinel zobacz Połączenie do serwerów z systemem Windows w celu zbierania zdarzeń zabezpieczeń.
Aby uzyskać informacje na temat konfigurowania i używania usługi Microsoft Entra Połączenie, zobacz Co to jest microsoft Entra Połączenie?
Monitorowanie i rozwiązywanie problemów z synchronizacją
Jedną z funkcji firmy Microsoft Entra Połączenie jest synchronizowanie synchronizacji skrótów między lokalnym hasłem użytkownika a identyfikatorem Microsoft Entra ID. Jeśli hasła nie są synchronizowane zgodnie z oczekiwaniami, synchronizacja może mieć wpływ na podzbiór użytkowników lub wszystkich użytkowników. Skorzystaj z poniższych instrukcji, aby zweryfikować właściwą operację lub rozwiązać problemy:
Informacje dotyczące sprawdzania i rozwiązywania problemów z synchronizacją skrótów, zobacz Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync.
Modyfikacje przestrzeni łączników można znaleźć w temacie Troubleshoot Microsoft Entra Połączenie objects and attributes (Rozwiązywanie problemów z obiektami i atrybutami firmy Microsoft w usłudze Microsoft Entra).
Ważne zasoby dotyczące monitorowania
| Co monitorować | Zasoby |
|---|---|
| Sprawdzanie poprawności synchronizacji skrótów | Zobacz Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync |
| Modyfikacje przestrzeni łącznika | Zobacz Rozwiązywanie problemów z obiektami i atrybutami Połączenie firmy Microsoft |
| Modyfikacje skonfigurowanych reguł | Monitorowanie zmian w następujących elementach: filtrowanie, domena i jednostka organizacyjna, atrybut i zmiany oparte na grupach |
| Zmiany sql i MSDE | Zmiany parametrów rejestrowania i dodawanie funkcji niestandardowych |
Monitoruj następujące elementy:
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Zmiany harmonogramu | Wys. | PowerShell | Set-ADSyncScheduler | Wyszukaj modyfikacje harmonogramu |
| Zmiany w zaplanowanych zadaniach | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie = 4699(S): Zaplanowane zadanie zostało usunięte — lub — Działanie = 4701: Zaplanowane zadanie zostało wyłączone — lub — Działanie = 4702: Zaplanowane zadanie zostało zaktualizowane |
Monitoruj wszystko |
Aby uzyskać więcej informacji na temat rejestrowania operacji skryptów programu PowerShell, zobacz Włączanie rejestrowania bloków skryptów, który jest częścią dokumentacji referencyjnej programu PowerShell.
Aby uzyskać więcej informacji na temat konfigurowania rejestrowania programu PowerShell na potrzeby analizy za pomocą rozwiązania Splunk, zobacz Pobieranie danych do analizy zachowania użytkownika splunk.
Monitorowanie bezproblemowego logowania jednokrotnego
Bezproblemowe logowanie jednokrotne firmy Microsoft (Bezproblemowe logowanie jednokrotne) automatycznie loguje użytkowników, gdy znajdują się na swoich firmowych komputerach połączonych z siecią firmową. Bezproblemowe logowanie jednokrotne zapewnia użytkownikom łatwy dostęp do aplikacji w chmurze bez innych składników lokalnych. Logowanie jednokrotne korzysta z funkcji uwierzytelniania przekazywanego i synchronizacji skrótów haseł udostępnianych przez firmę Microsoft Entra Połączenie.
Monitorowanie logowania jednokrotnego i działania protokołu Kerberos może pomóc w wykrywaniu ogólnych wzorców ataków kradzieży poświadczeń. Monitoruj przy użyciu następujących informacji:
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Błędy związane z błędami walidacji logowania jednokrotnego i protokołu Kerberos | Śred. | Dziennik logowania firmy Microsoft Entra | Lista błędów logowania jednokrotnego na stronie Logowanie jednokrotne. | |
| Zapytanie dotyczące rozwiązywania problemów z błędami | Śred. | PowerShell | Zobacz zapytanie w poniższej tabeli. zaewidencjonuj każdy las z włączonym logowaniem jednokrotnym. | Zaewidencjonuj każdy las z włączonym logowaniem jednokrotnym. |
| Zdarzenia związane z protokołem Kerberos | Wys. | Monitorowanie usługi Microsoft Defender for Identity | Zapoznaj się ze wskazówkami dostępnymi w temacie Microsoft Defender for Identity Lateral Movement Paths (LMPs) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Zasady ochrony haseł
W przypadku wdrożenia usługi Microsoft Entra Password Protection monitorowanie i raportowanie są podstawowymi zadaniami. Poniższe linki zawierają szczegółowe informacje ułatwiające zrozumienie różnych technik monitorowania, w tym miejsce, w którym każda usługa rejestruje informacje i jak raportować korzystanie z usługi Microsoft Entra Password Protection.
Zarówno agent kontrolera domeny, jak i serwer proxy, rejestrują komunikaty dziennika zdarzeń. Wszystkie opisane poniżej polecenia cmdlet programu PowerShell są dostępne tylko na serwerze proxy (zobacz moduł AzureADPasswordProtection programu PowerShell). Oprogramowanie agenta kontrolera domeny nie instaluje modułu programu PowerShell.
Szczegółowe informacje dotyczące planowania i implementowania lokalnej ochrony haseł są dostępne w temacie Planowanie i wdrażanie lokalnej ochrony haseł firmy Microsoft Entra. Aby uzyskać szczegółowe informacje na temat monitorowania, zobacz Monitorowanie lokalnej ochrony haseł firmy Microsoft. Na każdym kontrolerze domeny oprogramowanie usługi agenta kontrolera domeny zapisuje wyniki każdej operacji weryfikacji hasła (i innego stanu) do następującego lokalnego dziennika zdarzeń:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Administracja
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Dziennik agenta kontrolera domeny Administracja jest podstawowym źródłem informacji dotyczących zachowania oprogramowania. Domyślnie dziennik śledzenia jest wyłączony i musi być włączony przed zarejestrowaniem danych. Aby rozwiązać problemy z serwerem proxy aplikacji i komunikaty o błędach, szczegółowe informacje są dostępne w temacie Rozwiązywanie problemów z serwerem proxy aplikacji firmy Microsoft. Informacje o tych zdarzeniach są rejestrowane:
Dzienniki aplikacji i usług\Microsoft\Microsoft Entra private network\Połączenie or\Administracja
Dziennik inspekcji firmy Microsoft, serwer proxy aplikacji kategorii
Pełna dokumentacja działań inspekcji firmy Microsoft Entra jest dostępna w dokumentacji dotyczącej działań inspekcji firmy Microsoft Entra.
Dostęp warunkowy
W usłudze Microsoft Entra ID można chronić dostęp do zasobów, konfigurując zasady dostępu warunkowego. Jako administrator IT chcesz upewnić się, że zasady dostępu warunkowego działają zgodnie z oczekiwaniami, aby upewnić się, że zasoby są chronione. Monitorowanie i zgłaszanie alertów dotyczących zmian w usłudze dostępu warunkowego zapewnia wymuszanie zasad zdefiniowanych przez organizację na potrzeby dostępu do danych. Firma Microsoft Entra rejestruje, kiedy zmiany są wprowadzane do dostępu warunkowego, a także udostępnia skoroszyty, aby upewnić się, że zasady zapewniają oczekiwane pokrycie.
Łącza skoroszytu
Monitoruj zmiany zasad dostępu warunkowego, korzystając z następujących informacji:
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Nowe zasady dostępu warunkowego utworzone przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie zasad dostępu warunkowego Kategoria: Zasady Zainicjowane przez (aktor): główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów dotyczących zmian dostępu warunkowego. Czy inicjowane przez (aktor): zatwierdzone do wprowadzania zmian w dostępie warunkowym? Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zasady dostępu warunkowego usunięte przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Usuwanie zasad dostępu warunkowego Kategoria: Zasady Zainicjowane przez (aktor): główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów dotyczących zmian dostępu warunkowego. Czy inicjowane przez (aktor): zatwierdzone do wprowadzania zmian w dostępie warunkowym? Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zasady dostępu warunkowego zaktualizowane przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Aktualizowanie zasad dostępu warunkowego Kategoria: Zasady Zainicjowane przez (aktor): główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów dotyczących zmian dostępu warunkowego. Czy inicjowane przez (aktor): zatwierdzone do wprowadzania zmian w dostępie warunkowym? Przejrzyj zmodyfikowane właściwości i porównaj wartość "old" vs "new" Szablon usługi Microsoft Sentinel Reguły Sigma |
| Usuwanie użytkownika z grupy używanej do określania zakresu krytycznych zasad dostępu warunkowego | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Usuwanie członka z grupy Kategoria: GroupManagement Element docelowy: główna nazwa użytkownika |
Montior i Alert dla grup używanych do określania zakresu krytycznych zasad dostępu warunkowego. Element docelowy to użytkownik, który został usunięty. Reguły Sigma |
| Dodawanie użytkownika do grupy używanej do określania zakresu krytycznych zasad dostępu warunkowego | Niski | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie członka do grupy Kategoria: GroupManagement Element docelowy: główna nazwa użytkownika |
Montior i Alert dla grup używanych do określania zakresu krytycznych zasad dostępu warunkowego. Element docelowy to użytkownik, który został dodany. Reguły Sigma |
Następne kroki
Omówienie operacji zabezpieczeń firmy Microsoft Entra
Operacje zabezpieczeń dla kont użytkowników
Operacje zabezpieczeń dla kont konsumentów
Operacje zabezpieczeń dla kont uprzywilejowanych
Operacje zabezpieczeń dla usługi Privileged Identity Management