Operações de segurança do Azure Ative Directory para dispositivos

Os dispositivos não são normalmente direcionados para ataques baseados em identidade, mas podem ser usados para satisfazer e enganar controlos de segurança, ou para personificar os utilizadores. Os dispositivos podem ter uma de quatro relações com a Azure AD:

Os dispositivos registados e aderidos são emitidos um Token de Atualização Primária (PRT), que pode ser usado como artefacto de autenticação primária, e em alguns casos como um artefacto de autenticação multifactor. Os atacantes podem tentar registar os seus próprios dispositivos, usar PRTs em dispositivos legítimos para aceder a dados empresariais, roubar fichas baseadas em PRT de dispositivos de utilizador legítimos ou encontrar configurações erradas em controlos baseados em dispositivos no Azure Ative Directory. Com os dispositivos híbridos Azure AD, o processo de junção é iniciado e controlado por administradores, reduzindo os métodos de ataque disponíveis.

Para obter mais informações sobre os métodos de integração do dispositivo, consulte Escolha os seus métodos de integração no artigo Planeie a sua implementação do dispositivo Azure AD.

Para reduzir o risco de maus atores atacarem a sua infraestrutura através de dispositivos, monitorize

  • Registo do dispositivo e a ad AD Azure juntam-se

  • Dispositivos não conformes que acedem às aplicações

  • Recuperação da chave BitLocker

  • Funções de administrador de dispositivos

  • Insuposições em máquinas virtuais

Onde procurar

Os ficheiros de registo que utiliza para investigação e monitorização são:

A partir do portal Azure, pode ver os registos de Auditoria AZure AD e descarregar como ficheiros de valor separados por vírgula (CSV) ou Notação de Objetos JavaScript (JSON). O portal Azure tem várias formas de integrar os registos AZure AD com outras ferramentas que permitem uma maior automatização da monitorização e alerta:

Grande parte do que irá monitorizar e alertar são os efeitos das suas políticas de Acesso Condicional. Pode utilizar os insights de acesso condicional e o livro de relatórios para examinar os efeitos de uma ou mais políticas de Acesso Condicional nas suas entradas e os resultados de políticas incluindo o estado do dispositivo. Este livro permite-lhe visualizar um resumo de impacto e identificar o impacto durante um período de tempo específico. Também pode utilizar o livro para investigar as inscrições de um utilizador específico.

O resto deste artigo descreve o que recomendamos que monitorize e alerte, e é organizado pelo tipo de ameaça. Quando existem soluções pré-construídas específicas, ligamo-las ou fornecemos amostras seguindo a tabela. Caso contrário, pode criar alertas utilizando as ferramentas anteriores.

Registos de dispositivos e aderir à política externa

Os dispositivos Azure AD registados e Azure AD possuem tokens de atualização primária (PRT), que são o equivalente a um único fator de autenticação. Estes dispositivos podem, por vezes, conter fortes pedidos de autenticação. Para obter mais informações sobre quando os PrTs contêm fortes pedidos de autenticação, consulte quando é que um PrT obtém uma reclamação de MFA? Para evitar que os maus atores registem ou juntem dispositivos, exija que a autenticação multifactor (MFA) registe ou junte dispositivos. Em seguida, monitorize quaisquer dispositivos registados ou unidos sem MFA. Também terá de estar atento a alterações nas definições e políticas de MFA e nas políticas de conformidade do dispositivo.

O que monitorizar Nível de Risco Onde Filtro/sub-filtro Notas
Registo de dispositivos ou junção concluída sem MFA Médio Registos de início de sessão Atividade: autenticação bem sucedida no Serviço de Registo de Dispositivos.
E
Não é necessário nenhum MFA
Alerta quando:
Qualquer dispositivo registado ou associado sem MFA
Modelo de Sentinela Azure
Alterações ao dispositivo MFA registo alternam em Azure AD Alto Registo de auditoria Atividade: Definir políticas de registo de dispositivos Procure:
O toggle a ser definido para fora. Não há registo de auditoria. Marque verificações periódicas.
Alterações nas políticas de acesso condicional que requerem o domínio unido ou dispositivo em conformidade. Alto Registo de auditoria Alterações às políticas da AC
Alerta quando:
  • Alterar para qualquer política que exija domínio unido ou conforme.
  • Alterações em locais de confiança.
  • Contas ou dispositivos adicionados às exceções da política de MFA.
  • Pode criar um alerta que notifica os administradores apropriados quando um dispositivo é registado ou unido sem MFA utilizando o Microsoft Sentinel.

    Sign-in logs
    
    | where ResourceDisplayName == "Device Registration Service"
    
    | where conditionalAccessStatus == "success"
    
    | where AuthenticationRequirement <> "multiFactorAuthentication"
    

    Também pode utilizar o Microsoft Intune para definir e monitorizar as políticas de conformidade do dispositivo.

    Sinal de dispositivo não conforme

    Pode não ser possível bloquear o acesso a todas as aplicações em nuvem e software-as-a-service com políticas de Acesso Condicional que requerem dispositivos compatíveis.

    A gestão de dispositivos móveis (MDM) ajuda a manter os dispositivos do Windows 10 em conformidade. Com a versão 1809 do Windows, lançámos uma linha de base de segurança das políticas. O Azure Ative Directory pode integrar-se com o MDM para impor o cumprimento do dispositivo às políticas corporativas, e pode reportar o estado de conformidade de um dispositivo.

    O que monitorizar Nível de Risco Onde Filtro/sub-filtro Notas
    Insuposições por dispositivos não conformes Alto Registos de início de sessão DeviceDetail.isCompliant == falso Se necessitar de iniciar sing-in de dispositivos conformes, alerte quando:
  • qualquer sinal por dispositivos não conformes.
  • qualquer acesso sem MFA ou uma localização fidedigna.

    Se trabalhar para necessitar de dispositivos, monitorize para iniciar sing-ins suspeitos.
    Modelo de Sentinela Azure

  • Insuposições por dispositivos desconhecidos Baixo Registos de início de sessão
  • DeviceDetail está vazio
  • Autenticação de fator único
  • De um local não confiável
  • Procure:
  • qualquer acesso a partir de dispositivos de conformidade.
  • qualquer acesso sem MFA ou localização fidedigna
  • Use LogAnalytics para consultar

    Insuposições por dispositivos não conformes

    SigninLogs
    
    | where DeviceDetail.isCompliant == false
    
    | where conditionalAccessStatus == "success"
    

    Insuposições por dispositivos desconhecidos

    
    SigninLogs
    | where isempty(DeviceDetail.deviceId)
    
    | where AuthenticationRequirement == "singleFactorAuthentication"
    
    | where ResultType == "0"
    
    | where NetworkLocationDetails == "[]"
    

    Dispositivos velhos

    Os dispositivos em contralo incluem dispositivos que não tenham assinado por um período de tempo especificado. Os dispositivos podem ficar estagnados quando um utilizador recebe um novo dispositivo ou perde um dispositivo, ou quando um dispositivo azure AD é limpo ou reprovisionado. Os dispositivos podem também permanecer registados ou unidos quando o utilizador já não estiver associado ao arrendatário. Os dispositivos desosseia devem ser removidos para que os seus tokens de atualização primária (PrTs) não possam ser utilizados.

    O que monitorizar Nível de Risco Onde Filtro/sub-filtro Notas
    Última data de sinseção Baixo Graph API aproximadaMenteLastSignInDateTime Utilize API ou PowerShell para identificar e remover dispositivos antigos.

    Recuperação da chave BitLocker

    Os atacantes que tenham comprometido o dispositivo de um utilizador podem recuperar as teclas BitLocker em Azure AD. É incomum para os utilizadores recuperar chaves, e deve ser monitorizado e investigado.

    O que monitorizar Nível de Risco Onde Filtro/sub-filtro Notas
    Recuperação de chaves Médio Registos de auditoria OperaçãoName == "Ler tecla BitLocker" Procurar
  • recuperação chave '
  • outro comportamento anómalo por parte dos utilizadores que recuperam chaves.
  • No LogAnalytics criar uma consulta como

    AuditLogs
    
    | where OperationName == "Read BitLocker key" 
    

    Funções de administrador de dispositivos

    Os administradores globais e os administradores de dispositivos em nuvem obtêm automaticamente direitos de administrador local em todos os dispositivos aderidos a Azure AD. É importante monitorizar quem tem estes direitos para manter o seu ambiente seguro.

    O que monitorizar Nível de Risco Onde Filtro/sub-filtro Notas
    Utilizadores adicionados às funções de administração global ou de dispositivo Alto Registos de auditoria Tipo de atividade = Adicione o membro ao papel. Procure:
  • novos utilizadores adicionados a estas funções AZURE AD.
  • Comportamento anómalo subsequente por máquinas ou utilizadores.
  • Não-Azure AD ins ins to virtual machines

    As entradas em máquinas virtuais Windows ou LINUX (VMs) devem ser monitorizadas para iniciar sposições por contas que não as contas AD do Azure.

    Azure AD para LINUX

    O azure AD para LINUX permite que as organizações inscrevam-se nos seus VMS Azure LINUX utilizando contas AD AZure sobre o protocolo secure shell (SSH).

    O que monitorizar Nível de Risco Onde Filtro/sub-filtro Notas
    Ad não-Azure assinando, especialmente sobre a SSH Alto Diários de autenticação locais Ubuntu:
    monitor /var/log/auth.log para a utilização de SSH
    RedHat:
    monitor /var/log/sssd/ para utilização de SSH
    Procure:
  • entradas em que as contas AD não-Azure estão a ligar-se com sucesso aos VMs.
  • Veja o seguinte exemplo.
  • Exemplo ubuntu:

    Maio 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Versão: 1.0.015570001; utilizador: localusertest01

    Maio 9 23:49:39 ubuntu1804 aad_certhandler[3915]: O utilizador 'localusertest01' não é um utilizador da AAD; retornando resultado vazio.

    Maio 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Versão: 1.0.015570001; utilizador: localusertest01

    9 de maio 23:49:43 ubuntu1804 aad_certhandler[3916]: O utilizador 'localusertest01' não é um utilizador da AAD; retornando resultado vazio.

    Maio 9 23:49:43 ubuntu1804 sshd[3909]: Aceite publicamente para o local 20ertest01 a partir de 192.168.0.15 porta 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

    9 de maio 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:sshd:session): sessão aberta para utilizador local apelousstest01 por (uid=0).

    Pode definir a política para os sign-ins LINUX VM e detetar e sinalizar VMs Linux que tenham contas locais não aprovadas adicionadas. Para saber mais, consulte a Política Azure para garantir padrões e avaliar o cumprimento.

    Azure AD ins ins ins for Windows Server

    O azure AD para windows permite que a sua organização inscreva-se nos seus VMs Azure Windows 2019+ utilizando contas AZure AD através do protocolo de ambiente de trabalho remoto (RDP).

    O que monitorizar Nível de Risco Onde Filtro/sub-filtro Notas
    Ad não-Azure assinando, especialmente sobre RDP Alto Registos de eventos do Windows Server Início de Sessão Interativo para Windows VM Evento 528, logon tipo 10 (RemoteInteractive).
    Aparece quando um utilizador assina em serviços de terminais ou ambiente de trabalho remoto.

    Passos Seguintes

    Consulte estes artigos-guia de operações de segurança adicionais:

    Visão geral das operações de segurança da AD AZure

    Operações de segurança para contas de utilizador

    Operações de segurança para contas privilegiadas

    Operações de segurança para Gestão de Identidade Privilegiada

    Operações de segurança para aplicações

    Operações de segurança para dispositivos

    Operações de segurança para infraestruturas