Операции безопасности для привилегированных учетных записей в идентификаторе Microsoft Entra
Безопасность бизнес-активов зависит от целостности привилегированных учетных записей, используемых для администрирования ваших ИТ-систем. Киберпреступники похищают учетные данные и совершают другие атаки на привилегированные учетные записи, чтобы получить доступ к конфиденциальным данным.
По сложившейся традиции меры по обеспечению безопасности организации направлены на точки входа и выхода сети, составляющие периметр безопасности. Однако приложения SaaS (программное обеспечение как услуга) и персональные устройства в Интернете сделали этот подход менее эффективным.
Идентификатор Microsoft Entra использует управление удостоверениями и доступом (IAM) в качестве плоскости управления. На уровне удостоверений вашей организации пользователям назначаются привилегированные административные роли, используемые для управления. Учетные записи, используемые для такого доступа, должны быть защищены независимо от того, в какой среде они размещены — локальной, облачной или гибридной.
Вы полностью отвечаете за все уровни безопасности для локальной ИТ-среды. При использовании служб Azure предотвращение и реагирование являются совместными обязанностями корпорации Майкрософт, как поставщика облачных служб, и вас, как клиента.
- Дополнительные сведения об общей модели ответственности см. в разделе Общая ответственность в облаке.
- Дополнительные сведения о защите доступа для привилегированных пользователей см. в разделе "Защита привилегированного доступа для гибридных и облачных развертываний" в идентификаторе Microsoft Entra ID.
- Множество видеороликов, руководств и кратких справочных материалов по привилегированным удостоверениям можно найти в статье Документация по PIM.
Файлы журналов для мониторинга
Для исследования и мониторинга используйте файлы журнала:
В портал Azure можно просмотреть журналы аудита Microsoft Entra и скачать их как файлы json с разделительными запятыми (CSV) или Нотация объектов JavaScript (JSON). В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:
Microsoft Sentinel. Включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor. Включает автоматический мониторинг и оповещения о различных условиях. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.
Центры событий Azure, интегрированные с SIEM. Позволяет отправлять журналы Microsoft Entra на другие SIEMs, такие как Splunk, ArcSight, QRadar и Sumo Logic через интеграцию Центры событий Azure. Дополнительные сведения см. в журналах Microsoft Entra Stream в концентратор событий Azure.
Microsoft Defender for Cloud Apps. Позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, а также проверять облачные приложения на соответствие требованиям.
Microsoft Graph. Позволяет экспортировать данные и использовать Microsoft Graph для подробного анализа. Дополнительные сведения см. в пакете SDK Microsoft Graph PowerShell и Защита идентификации Microsoft Entra.
Защита идентификации. Создает три ключевых отчета, которые можно использовать для проведения исследования:
Рискованные пользователи. Содержит сведения о том, какие пользователи подвергаются риску, сведения об обнаружении, журнал всех рискованных входов и журнал рисков.
Рискованные входы. Содержит сведения, связанные с условиями входа, которые могут указывать на подозрительные обстоятельства. Дополнительные сведения об исследовании информации из этого отчета см. в статье Практическое руководство. Анализ риска.
Обнаружения рисков. Содержит сведения о прочих рисках, регистрируемые при обнаружении риска, и другие соответствующие сведения, такие как расположение входа и другие данные из Microsoft Defender для облачных приложений.
Защита удостоверений рабочей нагрузки с помощью предварительной версии службы защиты идентификации. Используется для обнаружения рисков в удостоверениях рабочей нагрузки в отношении поведения входа и автономных индикаторов компрометации.
Хотя мы не рекомендуем подобную практику, привилегированные учетные записи могут иметь постоянные права администратора. Если вы решили использовать постоянные привилегии для учетной записи, которая затем будет скомпрометирована, это может иметь значительные негативные последствия. Мы рекомендуем приоритизировать мониторинг привилегированных учетных записей и добавить их в конфигурацию Privileged Identity Management (PIM). Дополнительные сведения о PIM см. в разделе Начало использования Privileged Identity Management. Кроме того, рекомендуется проверить учетные записи администратора и убедиться что:
- они действительно необходимы;
- они имеют минимальные привилегии для выполнения необходимых действий;
- защищены как минимум с помощью многофакторной проверки подлинности;
- они выполняются на рабочей станции с привилегированным доступом (PAW) или безопасной рабочей станции администратора (SAW).
В оставшейся части этой статьи описывается, для чего мы рекомендуем реализовать мониторинг и создание оповещений. Эта статья организована по типу угрозы. Если существуют конкретные готовые решения, мы приводим ссылки на них после таблицы. В противном случае можно создавать оповещения с помощью указанных выше средств.
В этой статье приводятся сведения о настройке базовых показателей, аудите входа и использовании привилегированных учетных записей. Здесь также рассматриваются средства и ресурсы, которые можно использовать для обеспечения целостности привилегированных учетных записей. Содержимое организовано по следующим разделам:
- аварийные учетные записи;
- вход привилегированных учетных записей;
- изменения привилегированных учетных записей;
- привилегированные группы;
- назначение привилегий и повышение прав.
Учетные записи для аварийного доступа
Важно предотвратить случайное блокировку клиента Microsoft Entra. Можно уменьшить ущерб от случайной блокировки, создав в организации учетные записи для аварийного доступа. Учетные записи для аварийного доступа также называются аварийными учетными записями.
Учетные записи для аварийного доступа имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи для аварийного доступа используются только в непредвиденных ситуациях, в которых невозможно использовать обычные привилегированные учетные записи. Например, когда политика условного доступа настроена неправильно и блокирует все обычные учетные записи администратора. Используйте учетные записи для аварийного доступа только в случаях явной необходимости.
Инструкции по устранению неполадок см. в разделе "Безопасный доступ" для администраторов в идентификаторе Microsoft Entra.
Отправляйте оповещение с высоким приоритетом при каждом использовании учетной записи для аварийного доступа.
Обнаружение
Так как аварийные учетные записи используются только в случае аварийной ситуации, мониторинг не должен обнаруживать операции учетной записи. Отправляйте оповещение с высоким приоритетом при каждом использовании или изменении учетной записи для аварийного доступа. Любое из приведенных ниже событий может указывать на то, что недопустимый субъект пытается скомпрометировать ваши среды:
- Вход.
- изменение пароля учетной записи;
- изменение разрешений или ролей учетной записи;
- добавление или изменение учетных данных или способа аутентификации.
Дополнительные сведения об управлении учетными записями аварийного доступа см. в разделе "Управление учетными записями администратора аварийного доступа" в идентификаторе Microsoft Entra. Подробные сведения о создании оповещений для аварийной учетной записи см. в статье Управление учетными записями для аварийного доступа в Azure AD.
вход привилегированных учетных записей;
Отслеживайте все действия входа в привилегированную учетную запись с помощью журналов входа Microsoft Entra в качестве источника данных. Помимо сведений об успешном или неудачном входе, журналы содержат следующие сведения:
- Прерывания
- Устройство
- Location
- Риск
- Приложение
- Дата и время
- отключена ли учетная запись;
- Заблокировано
- мошеннические операции MFA;
- Сбой условного доступа
Отслеживаемые области
События входа в привилегированную учетную запись можно отслеживать в журналах входа Microsoft Entra. Включите оповещение и изучайте приведенные ниже события для привилегированных учетных записей.
| Что отслеживать | Уровень риска | Где | Фильтр/субфильтр | Примечания. |
|---|---|---|---|---|
| Сбой при входе, превышение порога ввода неправильного пароля | Высокая | Журнал входа Microsoft Entra | Status = Failure -и- error code = 50126 |
Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| Сбой из-за требования условного доступа | Высокая | Журнал входа Microsoft Entra | Status = Failure -и- error code = 53003 -и- Причина сбоя = блокировка условным доступом |
Это событие может означать, что злоумышленник пытается взломать учетную запись. Шаблон Microsoft Sentinel Sigma-правила |
| Привилегированные учетные записи, которые не соответствуют политике именования | Подписка Azure. | Вывод списка назначений ролей Azure с помощью портала Azure. | Выведите список назначений ролей для подписок и отправляйте оповещение, если имя входа не соответствует формату, принятому в вашей организации. Пример: использование ADM_ в качестве префикса. | |
| Прервать | Высокий, средний | Входы Microsoft Entra | Status = Interrupted -и- error code = 50074 -и- Причина сбоя = требуется строгая авторизация Status = Interrupted -и- Error code = 500121 Причина сбоя = сбой аутентификации из-за запроса строгой аутентификации |
Это событие может означать, что злоумышленник получил пароль для учетной записи, но не может выполнить запрос многофакторной проверки подлинности. Шаблон Microsoft Sentinel Sigma-правила |
| Привилегированные учетные записи, которые не соответствуют политике именования | Высокая | Каталог Microsoft Entra | Вывод списка назначений ролей Microsoft Entra | Вывод списка назначений ролей для ролей Microsoft Entra и оповещений, в которых имя участника-пользователя не соответствует формату вашей организации. Пример: использование ADM_ в качестве префикса. |
| Обнаружение привилегированных учетных записей, не зарегистрированных для многофакторной проверки подлинности | Высокая | API Microsoft Graph | Выполните запрос IsMFARegistered eq false для учетных записей администратора. Выведите список credentialUserRegistrationDetails. | Выполните аудит и проведите исследование, чтобы определить, было ли событие вызвано намеренно или по ошибке. |
| Блокировка учетной записи | Высокая | Журнал входа Microsoft Entra | Status = Failure -и- error code = 50053 |
Определите порог базовых показателей, а затем отслеживайте и настраивайте его в соответствии с вариантами поведения в организации, а также ограничьте генерирование ложных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| Учетная запись отключена или заблокирована для входа | Низкая | Журнал входа Microsoft Entra | Status = Failure -и- Цель = имя участника-пользователя -и- error code = 50057 |
Это событие может означать, что кто-то пытается получить доступ к учетной записи после ее удаления из организации. Несмотря на то, что учетная запись заблокирована, все равно важно регистрировать это действие и оповещать о нем. Шаблон Microsoft Sentinel Sigma-правила |
| Оповещение о мошеннических операциях MFA или блокировка MFA | Высокая | Журнал входа Microsoft Entra/Azure Log Analytics | Вход в систему>Детали аутентификации Детали результата = MFA отклонена, код защиты от мошенничества введен | Привилегированный пользователь указал, что он не вызывал запрос многофакторной проверки подлинности, что может означать, что у злоумышленника есть пароль для его учетной записи. Шаблон Microsoft Sentinel Sigma-правила |
| Оповещение о мошеннических операциях MFA или блокировка MFA | Высокая | Журнал журнала аудита Microsoft Entra или Azure Log Analytics | Тип действий = сообщение о мошенничестве "пользователь заблокирован для MFA" или сообщение о мошенничестве "никакие действия не выполняются" (на основе параметров уровня арендатора для отчета о мошенничестве) | Привилегированный пользователь указал, что он не вызывал запрос многофакторной проверки подлинности, что может означать, что у злоумышленника есть пароль для его учетной записи. Шаблон Microsoft Sentinel Sigma-правила |
| Входы привилегированной учетной записи выполняются посредством неожиданных элементов управления | Журнал входа Microsoft Entra | Status = Failure UserPricipalName = <Учетная запись администратора> Расположение = <неутвержденное расположение> IP-адрес = <неутвержденный IP-адрес> Сведения об устройстве = <неутвержденный браузер,операционная система> |
Отслеживайте все записи, которые вы определили как неутвержденные, и создавайте оповещения о них. Шаблон Microsoft Sentinel Sigma-правила |
|
| Входы в необычное время | Высокая | Журнал входа Microsoft Entra | Status = Success -и- Расположение = -и- Время = в нерабочее время |
Отслеживайте входы, которые выполняются в нерабочее время, и создавайте оповещения о них. Важно определить обычный рабочий шаблон для каждой привилегированной учетной записи и создавать оповещение при обнаружении незапланированных изменений, выходящих за пределы привычного рабочего времени. Входы в систему в нерабочее время могут означать компрометацию или возможную внутреннюю угрозу. Шаблон Microsoft Sentinel Sigma-правила |
| Риск, обнаруженный Защитой идентификации | Высокая | Журналы Защиты идентификации | Состояние риска = риск -и- Уровень риска = низкий/средний/высокий -и- Действие = незнакомый вход/TOR и т. д. |
Это событие означает, что обнаружена определенная аномалия при входе для учетной записи, о которой следует создать оповещение. |
| Изменение пароля | Высокая | Журналы аудита Microsoft Entra | Субъект действия = администратор/самообслуживание -и- Цель = пользователь -и- Состояние = успех или сбой |
Создавайте оповещения об изменениях пароля учетной записи администратора, особенно для глобальных администраторов, администраторов пользователей, администраторов подписок и учетных записей для аварийного доступа. Напишите запрос, нацеленный на все привилегированные учетные записи. Шаблон Microsoft Sentinel Sigma-правила |
| Переключение на устаревший протокол проверки подлинности | Высокая | Журнал входа Microsoft Entra | Клиентское приложение = другой клиент, IMAP, POP3, MAPI, SMTP и т. д. -и- Username = <имя субъекта-пользователя> -и- Application = Exchange (например) |
Многие атаки используют устаревшую аутентификацию, поэтому, если для пользователя изменился протокол аутентификации, это может быть признаком атаки. Шаблон Microsoft Sentinel Sigma-правила |
| Новое устройство или расположение | Высокая | Журнал входа Microsoft Entra | Сведения об устройстве = ИД устройства -и- Браузер -и- ОС -и- Compliant/Managed -и- Цель = пользователь -и- Location |
Большинство действий администратора должно поступать с устройств с привилегированным доступом, размещенных в ограниченном числе расположений. По этой причине создавайте оповещения для новых устройств или расположений. Шаблон Microsoft Sentinel Sigma-правила |
| Параметр оповещения об аудите изменен | Высокая | Журналы аудита Microsoft Entra | Service = PIM -и- Категория = управление ролями -и- Действие = отключение оповещения PIM -и- Status = Success |
Следует создавать оповещения обо всех неожиданных изменениях в параметрах основных оповещений. Шаблон Microsoft Sentinel Sigma-правила |
| Администратор istrator, проверяющие подлинность в других клиентах Microsoft Entra | Средняя | Журнал входа Microsoft Entra | Состояние = "успешно" Resource tenantID != Home Tenant ID |
При область для привилегированных пользователей этот монитор обнаруживает, когда администратор успешно прошел проверку подлинности в другом клиенте Microsoft Entra с удостоверением в клиенте вашей организации. Если Resource TenantID (идентификатор клиента ресурса) отличается от Home Tenant ID (идентификатор домашнего клиента), направляется оповещение Шаблон Microsoft Sentinel Sigma-правила |
| Состояние администратора изменилось с гостя на участника | Средняя | Журналы аудита Microsoft Entra | Действие: обновление пользователя Категория: UserManagement UserType изменен с гостя на участника |
Мониторинг и оповещение об изменении типа пользователя с гостя на участника. Ожидалось ли это изменение? Шаблон Microsoft Sentinel Sigma-правила |
| Гостевые пользователи, приглашенные в клиент неутвержденными приглашающими | Средняя | Журналы аудита Microsoft Entra | Действие: приглашение внешнего пользователя Категория: UserManagement Кем инициировано (субъект): имя субъекта-пользователя |
Мониторинг и оповещение о неутвержденных субъектах, приглашающих внешних пользователей. Шаблон Microsoft Sentinel Sigma-правила |
Изменения, внесенные привилегированными учетными записями
Отслеживайте все выполненные изменения и попытки внести изменения, осуществленные привилегированной учетной записью. Эти данные позволяют определить нормальные действия для каждой привилегированной учетной записи и оповещать обо всех неожиданных действиях. Журналы аудита Microsoft Entra используются для записи этого типа события. Дополнительные сведения о журналах аудита Microsoft Entra см. в журналах аудита в идентификаторе Microsoft Entra.
Доменные службы Microsoft Entra
Привилегированные учетные записи, которым назначены разрешения в доменных службах Microsoft Entra, могут выполнять задачи для доменных служб Microsoft Entra, влияющих на безопасность размещенных в Azure виртуальных машин, использующих доменные службы Microsoft Entra. Включите аудит безопасности на виртуальных машинах и отслеживайте журналы. Дополнительные сведения о включении аудита доменных служб Microsoft Entra и списке конфиденциальных привилегий см. в следующих ресурсах:
- Включение аудита безопасности для доменных служб Microsoft Entra
- Аудит использования конфиденциальных привилегий
| Что отслеживать | Уровень риска | Где | Фильтр/субфильтр | Примечания. |
|---|---|---|---|---|
| Попытки внести изменения и выполненные изменения | Высокая | Журналы аудита Microsoft Entra | Дата и время -и- Сервис -и- категория и имя действия (что?); -и- Состояние = успех или сбой -и- Назначение -и- Инициатор или субъект (кто) |
Следует создавать оповещения о любых незапланированных изменениях. Эти журналы следует хранить для упрощения исследований. Все изменения на уровне арендатора следует исследовать немедленно (связать с документом инфраструктуры). Это изменения, которые могут ухудшить состояние безопасности арендатора. Например: исключение учетных записей из многофакторной проверки подлинности или условного доступа. Создавайте оповещения о любых добавлениях или изменениях в приложениях. См . руководство по операциям безопасности Microsoft Entra для приложений. |
| Пример Попытки изменения или выполненные изменения для важных приложений или служб |
Высокая | Журнал аудита | Сервис -и- <категория и имя действия> |
Дата и время, служба, категория и имя действия, состояние (успех или сбой), целевой объект, инициатор или субъект (кто выполнял) |
| Привилегированные изменения в доменных службах Microsoft Entra | Высокая | Доменные службы Microsoft Entra | Ищите событие 4673 | Включение аудита безопасности для доменных служб Microsoft Entra Список всех привилегированных событий см. в разделе Аудит использования привилегий, затрагивающих конфиденциальные данные. |
Изменения привилегированных учетных записей
Изучите изменения правил проверки подлинности привилегированных учетных записей и привилегий, особенно если изменение обеспечивает большую привилегию или возможность выполнять задачи в среде Microsoft Entra.
| Что отслеживать | Уровень риска | Где | Фильтр/субфильтр | Примечания. |
|---|---|---|---|---|
| Создание привилегированной учетной записи | Средняя | Журналы аудита Microsoft Entra | Service = <основной каталог> -и- Категория = управление пользователями -и- Тип действий = добавление пользователя Сопоставляются с: Тип категории = управление ролями -и- Тип действия = добавление члена в роль -и- Измененные свойства = Role.DisplayName |
Отслеживайте создание привилегированных учетных записей. Ищите корреляцию с коротким интервалом времени между созданием и удалением учетных записей. Шаблон Microsoft Sentinel Sigma-правила |
| Изменения способов аутентификации | Высокая | Журналы аудита Microsoft Entra | Service = <способ проверки подлинности> -и- Тип действий = зарегистрированные пользователем сведения о безопасности -и- Категория = управление пользователями |
Это изменение может быть признаком того, что злоумышленник добавляет способ аутентификации для учетной записи, чтобы получить доступ. Шаблон Microsoft Sentinel Sigma-правила |
| Оповещение об изменении разрешений привилегированных учетных записей | Высокая | Журналы аудита Microsoft Entra | Категория = управление ролями -и- Тип действий = добавление допустимого члена (постоянного) –или– Тип действий = добавление допустимого члена (допустимый) -и- Состояние = успех или сбой -и- Измененные свойства = Role.DisplayName |
Это оповещение особенно касается учетных записей с назначаемыми ролями, которые неизвестны или выходят за пределы их обычных обязанностей. Sigma-правила |
| Неиспользуемые привилегированные учетные записи | Средняя | Проверки доступа Microsoft Entra | Выполняйте ежемесячную проверку неактивных привилегированных учетных записей пользователей. Sigma-правила |
|
| Исключение учетных записей из условного доступа | Высокая | Azure Monitor Logs –или– Проверки доступа |
Условный доступ = аналитика и отчетность | Все учетные записи, исключенные из условного доступа, с большой вероятностью обходят элементы управления безопасностью и более уязвимы для взлома. Исключением являются аварийные учетные записи. Ознакомьтесь со сведениями о мониторинге аварийных учетных записей в последующем разделе этой статьи. |
| Добавление временного секретного кода к привилегированной учетной записи | Высокая | Журналы аудита Microsoft Entra | Действие: регистрация администратором сведений о безопасности Причина состояния: администратор зарегистрировал метод временного секретного кода для пользователя Категория: UserManagement Кем инициировано (субъект): имя субъекта-пользователя Целевой объект: имя субъекта-пользователя |
Мониторинг и оповещение о временном секретном коде, создаваемом для привилегированного пользователя. Шаблон Microsoft Sentinel Sigma-правила |
Дополнительные сведения о мониторинге исключений в политиках условного доступа см. в разделе Аналитика и отчеты условного доступа.
Дополнительные сведения об обнаружении неиспользуемых привилегированных учетных записей см. в статье "Создание проверки доступа ролей Microsoft Entra" в управление привилегированными пользователями.
Назначение и повышение прав
Наличие привилегированных учетных записей, которые подготавливаются с постоянными повышенными правами, может повысить вероятность атаки и риск нарушения границы безопасности. Вместо этого следует использовать JIT-доступ с процедурой повышения прав. Такой тип системы позволяет назначать права доступа привилегированным ролям. Администраторы получают привилегии таких ролей только при выполнении задач, которым требуются такие привилегии. Использование процесса повышения прав позволяет отслеживать повышение прав и неактивность привилегированных учетных записей.
Определение базовых показателей
Чтобы отслеживать исключения, необходимо сначала создать базовые показатели. Определите следующие сведения для следующих элементов
Учетные записи администратора
- стратегия привилегированных учетных записей;
- использование локальных учетных записей для администрирования локальных ресурсов;
- использование облачных учетных записей для администрирования облачных ресурсов;
- подход к разделению и мониторингу административных разрешений для локальных и облачных ресурсов.
Защита привилегированных ролей
- стратегия защиты для ролей с правами администратора;
- политика организации в отношении использования привилегированных учетных записей;
- стратегия и принципы применения постоянной привилегии по сравнению с предоставлением временного и подтверждаемого доступа.
Приведенные ниже принципы и сведения помогут вам определить политики.
- Принципы JIT-администрирования. Используйте журналы Microsoft Entra для сбора сведений о выполнении административных задач, распространенных в вашей среде. Определите типичный период времени, необходимый для выполнения этих задач.
- Принципы достаточных прав администратора. Определите роль с наименьшими привилегиями (это может быть настраиваемая роль), необходимыми для выполнения административных задач. Дополнительные сведения см. в разделе "Наименее привилегированные роли по задачам" в идентификаторе Microsoft Entra.
- Установите политику повышения прав. Получив полезные сведения о типе повышенных привилегий и времени, необходимом для выполнения каждой задачи, создайте политики, отражающие использование повышенных привилегий в своей среде. Например, определите политику для ограничения доступа глобального Администратор istrator до одного часа.
После установки базовых показателей и настройки политики можно настроить мониторинг для обнаружения использования, не соответствующего политике, и создания оповещений об этом.
Обнаружение
Уделяйте особое внимание изменениям назначений и повышениям привилегий, а также исследуйте эти случаи.
Отслеживаемые области
Вы можете отслеживать изменения привилегированных учетных записей с помощью журналов аудита Microsoft Entra и журналов Azure Monitor. Включите в процесс мониторинга следующие изменения.
| Что отслеживать | Уровень риска | Где | Фильтр/субфильтр | Примечания. |
|---|---|---|---|---|
| Добавление в соответствующую привилегированную роль | Высокая | Журналы аудита Microsoft Entra | Service = PIM -и- Категория = управление ролями -и- Тип действий = добавление члена в роль завершено (соответствующего) -и- Состояние = успех или сбой -и- Измененные свойства = Role.DisplayName |
Теперь любой учетной записи, соответствующей роли, предоставляется привилегированный доступ. Если назначение является неожиданным или нацелено на роль, которая не соответствует обязанностям владельца учетной записи, проведите исследование. Шаблон Microsoft Sentinel Sigma-правила |
| Назначение ролей извне PIM | Высокая | Журналы аудита Microsoft Entra | Service = PIM -и- Категория = управление ролями -и- Тип действий = добавление члена в роль (постоянного) -и- Состояние = успех или сбой -и- Измененные свойства = Role.DisplayName |
Такие роли должны тщательно отслеживаться, и для них необходимо создавать оповещения. Пользователям не следует назначать роли извне PIM, если это возможно. Шаблон Microsoft Sentinel Sigma-правила |
| Повышение прав | Средняя | Журналы аудита Microsoft Entra | Service = PIM -и- Категория = управление ролями -и- Тип действий = добавление члена в роль завершено (активация PIM) -и- Состояние = успех или сбой -и- Измененные свойства = Role.DisplayName |
После повышения прав привилегированная учетная запись может вносить изменения, которые могут повлиять на безопасность арендатора. Необходимо записывать в журнал все повышения прав, и если повышение прав выходит за рамки стандартного шаблона для пользователя, необходимо создать оповещение и исследовать это повышение в случае незапланированности. |
| Утверждение и запрет на повышение прав | Низкая | Журналы аудита Microsoft Entra | Служба = проверка доступа -и- Category = UserManagement -и- Тип действий = запрос утвержден или отклонен -и- Инициированный субъект = UPN |
Отслеживайте все повышения прав, так как это поможет четко определить временную шкалу атаки. Шаблон Microsoft Sentinel Sigma-правила |
| Изменения параметров PIM | Высокая | Журналы аудита Microsoft Entra | Service = PIM -и- Категория = управление ролями -и- Тип действий = обновление параметров ролей в PIM -и- Причина состояния = MFA при активации отключена (пример) |
Одно из этих действий может снизить безопасность повышения прав PIM и упростить получение привилегированной учетной записи для злоумышленников. Шаблон Microsoft Sentinel Sigma-правила |
| Повышение прав не на устройстве SAW или PAW | Высокая | Журналы входов Microsoft Entra | Идентификатор устройства -и- Браузер -и- ОС -и- Compliant/Managed Сопоставляются с: Service = PIM -и- Категория = управление ролями -и- Тип действий = добавление члена в роль завершено (активация PIM) -и- Состояние = успех или сбой -и- Измененные свойства = Role.DisplayName |
Если это изменение настроено, любая попытка повышения прав не на устройстве PAW или SAW должна быть немедленно исследована, так как она может означать, что злоумышленник пытается использовать учетную запись. Sigma-правила |
| Повышение прав для управления всеми подписками Azure | Высокая | Azure Monitor | Вкладка "Журнал действий" Вкладка "Действие каталога" Имя операций = назначает вызывающему объекту администратору доступа пользователей -И- Категория событий = Администратор istrative -и- Состояние = успешно, запуск, сбой -и- Инициатор события |
Это изменение следует исследовать немедленно, если оно не запланировано. Этот параметр может предоставить злоумышленнику доступ к подпискам Azure в вашей среде. |
Дополнительные сведения об управлении повышением прав см. в разделе Повышение прав доступа для управления всеми подписками Azure и группами управления. Сведения о мониторинге повышения прав с помощью сведений, доступных в журналах Microsoft Entra, см . в журнале действий Azure, который входит в документацию по Azure Monitor.
Сведения о настройке оповещений для ролей Azure см. в статье Настройка предупреждений безопасности для ролей ресурсов Azure в Privileged Identity Management.
Следующие шаги
См. следующие статьи с указаниями по обеспечению безопасности.
Обзор операций безопасности Microsoft Entra
Операции безопасности для учетных записей пользователей
Операции безопасности для учетных записей потребителей
Операции по обеспечению безопасности службы Azure Active Directory Privileged Identity Management
Операции безопасности для приложений