Microsoft Entra biztonsági műveletek felhasználói fiókokhoz
A felhasználói identitás a szervezet és az adatok védelmének egyik legfontosabb aspektusa. Ez a cikk útmutatást nyújt a fiókok létrehozásának, törlésének és használatának figyeléséhez. Az első rész bemutatja, hogyan figyelheti a szokatlan fiókok létrehozását és törlését. A második rész bemutatja, hogyan figyelheti a szokatlan fiókhasználatot.
Ha még nem olvasta el a Microsoft Entra biztonsági műveleteinek áttekintését, javasoljuk, hogy a folytatás előtt tegye meg.
Ez a cikk az általános felhasználói fiókokat ismerteti. A kiemelt fiókokról a Biztonsági műveletek – kiemelt fiókok című témakörben olvashat.
Alapterv meghatározása
A rendellenes viselkedés felderítéséhez először meg kell határoznia, hogy mi a normális és a várt viselkedés. A szervezet elvárt viselkedésének meghatározása segít meghatározni, hogy mikor fordul elő váratlan viselkedés. A definíció segít csökkenteni a hamis pozitív értékek zajszintét a figyelés és riasztás során.
Miután meghatározta a várt értékeket, alapkonfiguráció-monitorozást hajt végre az elvárások érvényesítése érdekében. Ezzel az információval minden olyan naplót figyelhet, amely kívül esik az Ön által meghatározott tűréshatárokon.
Használja a Microsoft Entra naplózási naplóit, a Microsoft Entra bejelentkezési naplóit és címtárattribútumait adatforrásként a normál folyamatokon kívül létrehozott fiókokhoz. Az alábbiakban olyan javaslatokat olvashat, amelyek segítenek a szervezet normál állapotának átgondolásában és meghatározásában.
Felhasználói fiókok létrehozása – értékelje ki a következőket:
A felhasználói fiókok létrehozásához és kezeléséhez használt eszközök és folyamatok stratégiája és alapelvei. Vannak például szabványos attribútumok, a felhasználói fiók attribútumaira alkalmazott formátumok.
Jóváhagyott források fióklétrehozáshoz. Például az Active Directoryból (AD), a Microsoft Entra ID-ből vagy a Workdayhez hasonló HR-rendszerekből származik.
Riasztási stratégia jóváhagyott forrásokon kívül létrehozott fiókokhoz. Létezik ellenőrzött lista azokról a szervezetekről, amellyel a szervezet együttműködik?
Vendégfiókok és riasztási paraméterek kiépítése a jogosultságkezelésen vagy más normál folyamatokon kívül létrehozott fiókokhoz.
A nem jóváhagyott felhasználói rendszergazda által létrehozott, módosított vagy letiltott fiókok stratégiai és riasztási paraméterei.
Monitorozási és riasztási stratégia olyan fiókok esetében, amelyekben hiányoznak a szabványos attribútumok, például az alkalmazottak azonosítója, vagy nem követik a szervezeti elnevezési konvenciókat.
A fiókok törlésének és megőrzésének stratégiája, alapelvei és folyamata.
Helyszíni felhasználói fiókok – a Microsoft Entra Connecttel szinkronizált fiókok esetében értékelje ki a következőket:
A szinkronizálás hatókörében lévő erdők, tartományok és szervezeti egységek (OU-k). Kik azok a jóváhagyott rendszergazdák, akik módosíthatják ezeket a beállításokat, és milyen gyakran van bejelölve a hatókör?
A szinkronizált fiókok típusai. Például felhasználói fiókok és szolgáltatásfiókok.
A kiemelt helyszíni fiókok létrehozásának folyamata és az ilyen típusú fiókok szinkronizálásának szabályozása.
A helyszíni felhasználói fiókok létrehozásának folyamata és az ilyen típusú fiókok szinkronizálásának kezelése.
A helyszíni fiókok védelméről és monitorozásáról további információt a Microsoft 365 helyszíni támadások elleni védelme című témakörben talál.
Felhőbeli felhasználói fiókok – értékelje ki a következőket:
A felhőfiókok közvetlenül a Microsoft Entra-azonosítóban történő kiépítésének és kezelésének folyamata.
A Microsoft Entra felhőfiókként kiépített felhasználók típusainak meghatározásának folyamata. Például csak emelt szintű fiókokat engedélyez, vagy felhasználói fiókokat is engedélyez?
A felhőbeli felhasználói fiókok létrehozásához és kezeléséhez elvárt megbízható személyek és folyamatok listájának létrehozása és karbantartása.
A nem jóváhagyott felhőalapú fiókokra vonatkozó riasztási stratégia létrehozásának és fenntartásának folyamata.
Hol érdemes keresni?
A vizsgálathoz és monitorozáshoz használt naplófájlok a következők:
Az Azure Portalon megtekintheti a Microsoft Entra naplózási naplóit, és letöltheti vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation -fájlként (JSON-fájlként). Az Azure Portal számos módon integrálhatja a Microsoft Entra-naplókat más eszközökkel, amelyek lehetővé teszik a figyelés és riasztások nagyobb automatizálását:
Microsoft Sentinel – a biztonsági információk és az eseménykezelési (SIEM) képességek biztosításával lehetővé teszi az intelligens biztonsági elemzéseket vállalati szinten.
Sigma szabályok – A Sigma egy folyamatosan fejlődő nyílt szabvány a szabályok és sablonok írásához, amelyeket az automatizált felügyeleti eszközök a naplófájlok elemzésére használhatnak. Ahol Sigma-sablonok léteznek az ajánlott keresési feltételekhez, hozzáadtunk egy hivatkozást a Sigma adattárhoz. A Sigma-sablonokat nem a Microsoft írja, teszteli és kezeli. Ehelyett az adattárat és a sablonokat a globális informatikai biztonsági közösség hozza létre és gyűjti össze.
Azure Monitor – lehetővé teszi a különböző feltételek automatikus monitorozását és riasztását. Létrehozhat vagy használhat munkafüzeteket különböző forrásokból származó adatok kombinálására.
SIEM-szel integrált Azure Event Hubs – A Microsoft Entra-naplók integrálhatók más SIEM-ekkel , például a Splunk, az ArcSight, a QRadar és a Sumo Logic szolgáltatással az Azure Event Hubs-integráción keresztül.
Felhőhöz készült Microsoft Defender-alkalmazások – lehetővé teszi az alkalmazások felderítését és kezelését, az alkalmazások és erőforrások közötti szabályozást, valamint a felhőalkalmazások megfelelőségének ellenőrzését.
Számítási feladatok identitásainak biztonságossá tétele Microsoft Entra ID-védelem használatával – A számítási feladatok identitásainak kockázatának észlelésére szolgál a bejelentkezési viselkedés és a biztonsági rés offline jelzései között.
A figyelés és a riasztások nagy része a feltételes hozzáférési szabályzatok hatása. A feltételes hozzáférési elemzések és a jelentéskészítő munkafüzet segítségével megvizsgálhatja egy vagy több feltételes hozzáférési szabályzatnak a bejelentkezésekre gyakorolt hatását, valamint a szabályzatok eredményeit, beleértve az eszköz állapotát is. Ez a munkafüzet lehetővé teszi egy összegzés megtekintését és az adott időszak effektusainak azonosítását. A munkafüzet segítségével egy adott felhasználó bejelentkezéseit is megvizsgálhatja.
A cikk további része azt ismerteti, hogy milyen figyelést és riasztást javasoljuk, és a fenyegetés típusa szerint van rendszerezve. Ha konkrét előre elkészített megoldásokra hivatkozunk, vagy mintákat adunk a táblázat alapján. Ellenkező esetben riasztásokat hozhat létre az előző eszközökkel.
Fióklétrehozás
A rendellenes fióklétrehozás biztonsági problémát jelezhet. Meg kell vizsgálni a rövid élettartamú fiókokat, az elnevezési szabványokat nem követő fiókokat és a normál folyamatokon kívül létrehozott fiókokat.
Rövid élettartamú fiókok
A fióklétrehozási és -törlési folyamatokat a normál identitáskezelési folyamatokon kívül a Microsoft Entra ID-ban kell figyelni. A rövid élettartamú fiókok rövid idő alatt létrehozott és törölt fiókok. Az ilyen típusú fióklétrehozás és a gyors törlés azt jelentheti, hogy egy rossz szereplő megpróbálja elkerülni az észlelést a fiókok létrehozásával, használatával, majd a fiók törlésével.
A rövid élettartamú fiókminták azt jelezhetik, hogy a nem jóváhagyott személyek vagy folyamatok jogosultak lehetnek olyan fiókok létrehozására és törlésére, amelyek nem tartoznak a már létrehozott folyamatokhoz és szabályzatokhoz. Ez a viselkedéstípus eltávolítja a látható jelölőket a könyvtárból.
Ha a fióklétrehozás és -törlés adatútvonalát nem deríti fel gyorsan, előfordulhat, hogy az incidens kivizsgálásához szükséges információk már nem léteznek. Előfordulhat például, hogy a fiókok törlődnek, majd törlődnek a lomtárból. A naplók 30 napig maradnak meg. A naplókat azonban exportálhatja az Azure Monitorba, vagy egy biztonsági információ- és eseménykezelési (SIEM) megoldást a hosszabb távú megőrzés érdekében.
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Fióklétrehozási és -törlési események rövid időn belül. | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó hozzáadása Status = success -és- Tevékenység: Felhasználó törlése Status = success |
Egyszerű felhasználónévvel (UPN) kapcsolatos események keresése. Keresse meg a 24 órán belül létrehozott és törölt fiókokat. Microsoft Sentinel-sablon |
A nem jóváhagyott felhasználók vagy folyamatok által létrehozott és törölt fiókok. | Közepes | Microsoft Entra ellenőrzési naplók | Kezdeményezője (színész) – FELHASZNÁLÓNÉV -és- Tevékenység: Felhasználó hozzáadása Status = success és-vagy Tevékenység: Felhasználó törlése Status = success |
Ha a szereplők nem jóváhagyott felhasználók, konfigurálja a riasztás küldését. Microsoft Sentinel-sablon |
Nem jóváhagyott forrásokból származó fiókok. | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó hozzáadása Status = success Cél(ok) = FELHASZNÁLÓNÉV |
Ha a bejegyzés nem jóváhagyott tartományból származik, vagy ismert blokkolt tartomány, konfiguráljon riasztás küldésére. Microsoft Sentinel-sablon |
Kiemelt szerepkörhöz rendelt fiókok. | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó hozzáadása Status = success -és- Tevékenység: Felhasználó törlése Status = success -és- Tevékenység: Tag hozzáadása szerepkörhöz Status = success |
Ha a fiók Microsoft Entra-szerepkörhöz, Azure-szerepkörhöz vagy kiemelt csoporttagsághoz van rendelve, riasztást küld, és rangsorolja a vizsgálatot. Microsoft Sentinel-sablon Sigma-szabályok |
A kiemelt és a nem kiemelt fiókokat is figyelni és figyelmeztetni kell. Mivel azonban a kiemelt fiókok rendszergazdai engedélyekkel rendelkeznek, magasabb prioritással kell rendelkezniük a monitorozási, riasztási és válaszfolyamatokban.
Az elnevezési szabályzatokat nem követő fiókok
Előfordulhat, hogy az elnevezési szabályzatokat nem követő felhasználói fiókok a szervezeti szabályzaton kívül lettek létrehozva.
Ajánlott eljárás a felhasználói objektumok elnevezési szabályzata. Az elnevezési szabályzat megkönnyíti a felügyeletet, és segít konzisztenciát biztosítani. A szabályzat segíthet felderíteni, hogy a felhasználók mikor lettek létrehozva a jóváhagyott folyamatokon kívül. Előfordulhat, hogy egy rossz szereplő nem ismeri az elnevezési szabványokat, és megkönnyítheti a szervezeti folyamatokon kívül kiépített fiók észlelését.
A szervezetek általában speciális formátumokkal és attribútumokkal rendelkeznek, amelyeket a felhasználók és a kiemelt fiókok létrehozásához használnak. Példa:
Rendszergazdai fiók UPN = ADM_firstname.lastname@tenant.onmicrosoft.com
Felhasználói fiók UPN = Firstname.Lastname@contoso.com
A felhasználói fiókok gyakran rendelkeznek olyan attribútummal, amely azonosítja a valódi felhasználót. Például EMPID = XXXNNN. Az alábbi javaslatok segítenek a szervezet normál állapotának meghatározásában, valamint a naplóbejegyzések alapkonfigurációjának meghatározásában, ha a fiókok nem követik az elnevezési konvenciót:
Azok a fiókok, amelyek nem követik az elnevezési konvenciót. Például a
nnnnnnn@contoso.com
.firstname.lastname@contoso.com
Azok a fiókok, amelyek nem rendelkeznek a szabványos attribútumokkal, vagy nem a megfelelő formátumban vannak feltöltve. Például nem rendelkezik érvényes alkalmazotti azonosítóval.
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Azok a felhasználói fiókok, amelyekben nincsenek definiálva a várt attribútumok. | Alacsony | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó hozzáadása Status = success |
Keresse meg a standard attribútumokkal rendelkező fiókokat null vagy rossz formátumban. Például: EmployeeID Microsoft Sentinel-sablon |
Helytelen elnevezési formátummal létrehozott felhasználói fiókok. | Alacsony | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó hozzáadása Status = success |
Keressen olyan UPN-fiókkal rendelkező fiókokat, amelyek nem követik az elnevezési szabályzatot. Microsoft Sentinel-sablon |
Olyan kiemelt fiókok, amelyek nem követik az elnevezési szabályzatot. | Magas | Azure-előfizetés | Azure-szerepkör-hozzárendelések listázása az Azure Portalon – Azure RBAC | Az előfizetésekhez és riasztásokhoz tartozó szerepkör-hozzárendelések listázása, ahol a bejelentkezési név nem egyezik a szervezet formátumával. Például ADM_ előtagként. |
Olyan kiemelt fiókok, amelyek nem követik az elnevezési szabályzatot. | Magas | Microsoft Entra könyvtár | A Microsoft Entra szerepkör-hozzárendeléseinek felsorolása | A Microsoft Entra-szerepkörökhöz tartozó szerepkör-hozzárendelések listázása olyan riasztásokhoz, ahol az UPN nem egyezik a szervezet formátumával. Például ADM_ előtagként. |
Az elemzéssel kapcsolatos további információkért lásd:
Microsoft Entra auditnaplók – Szöveges adatok elemzése az Azure Monitor-naplókban
Azure-előfizetések – Azure-szerepkör-hozzárendelések listázása az Azure PowerShell használatával
Microsoft Entra ID – A Microsoft Entra szerepkör-hozzárendeléseinek listázása
Normál folyamatokon kívül létrehozott fiókok
Fontos, hogy a felhasználók és a kiemelt fiókok létrehozásához szabványos folyamatokat hozzon létre, hogy biztonságosan szabályozhassa az identitások életciklusát. Ha a felhasználókat a létrehozott folyamatokon kívül építik ki és bontják ki, az biztonsági kockázatokat okozhat. A létrehozott folyamatokon kívül történő üzemeltetés identitáskezelési problémákat is okozhat. A lehetséges kockázatok közé tartoznak a következők:
Előfordulhat, hogy a felhasználói és a kiemelt fiókokra nem vonatkozik a szervezeti szabályzatok betartása. Ez szélesebb támadási felületet eredményezhet a nem megfelelően kezelt fiókok esetében.
Nehezebb felismerni, hogy a rossz szereplők mikor hoznak létre fiókokat rosszindulatú célokra. Ha érvényes fiókokat hoz létre a létrehozott eljárásokon kívül, nehezebb észlelni a fiókok létrehozásakor vagy a rosszindulatú célokra módosított engedélyeket.
Javasoljuk, hogy csak a szervezeti szabályzatok szerint hozza létre a felhasználói és a kiemelt fiókokat. Létre kell hozni például egy fiókot a megfelelő elnevezési szabványokkal, szervezeti információkkal és a megfelelő identitásszabályozás hatóköre alatt. A szervezeteknek szigorú ellenőrzésekkel kell rendelkezniük ahhoz, hogy ki jogosult identitások létrehozására, kezelésére és törlésére. A fiókok létrehozásához szükséges szerepköröket szigorúan kell felügyelni, és az engedélyek jóváhagyásához és beszerzéséhez csak egy létrehozott munkafolyamatot követve lehet igénybe venni.
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Nem jóváhagyott felhasználók vagy folyamatok által létrehozott vagy törölt felhasználói fiókok. | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó hozzáadása Status = success és-vagy- Tevékenység: Felhasználó törlése Status = success -és- Kezdeményezője (színész) = FELHASZNÁLÓNÉV |
Riasztás a nem jóváhagyott felhasználók vagy folyamatok által létrehozott fiókokról. Rangsorolja a megnövelt jogosultságokkal létrehozott fiókokat. Microsoft Sentinel-sablon |
Nem jóváhagyott forrásokból létrehozott vagy törölt felhasználói fiókok. | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó hozzáadása Status = success -vagy- Tevékenység: Felhasználó törlése Status = success -és- Cél(ok) = FELHASZNÁLÓNÉV |
Riasztás, ha a tartomány nem jóváhagyott vagy ismert blokkolt tartomány. |
Szokatlan bejelentkezések
A felhasználói hitelesítés hibáinak megtekintése normális. A hibák mintáinak vagy blokkjainak megjelenítése azonban azt jelezheti, hogy valami történik a felhasználó identitásával. Például jelszópermet vagy találgatásos támadás vagy felhasználói fiók feltörésekor. A minták megjelenésekor kritikus fontosságú, hogy figyelje és figyelmeztetsen. Ez segít biztosítani a felhasználó és a szervezet adatainak védelmét.
Úgy tűnik, a siker azt mondja, minden rendben van. Ez azonban azt jelentheti, hogy egy rossz szereplő sikeresen hozzáfért egy szolgáltatáshoz. A sikeres bejelentkezések monitorozása segít észlelni azokat a felhasználói fiókokat, amelyek hozzáférést kapnak, de nem azok a felhasználói fiókok, amelyeknek hozzáféréssel kell rendelkezniük. A felhasználói hitelesítési sikerek a Microsoft Entra bejelentkezési naplóinak normál bejegyzései. Javasoljuk, hogy figyelje és figyelje meg, hogy mikor jelennek meg minták. Ez biztosítja a felhasználói fiókok és a szervezet adatainak védelmét.
A naplómonitorozási és riasztási stratégia tervezése és üzembe helyezése során vegye figyelembe az Azure Portalon elérhető eszközöket. Microsoft Entra ID-védelem lehetővé teszi az identitásalapú kockázatok észlelésének, védelmének és szervizelésének automatizálását. Az ID Protection intelligenciával táplált gépi tanulási és heurisztikus rendszerekkel észleli a kockázatokat, és kockázati pontszámot rendel a felhasználókhoz és a bejelentkezésekhez. Az ügyfelek kockázati szint alapján konfigurálhatják a szabályzatokat arra vonatkozóan, hogy mikor engedélyezze vagy tiltsa le a hozzáférést, vagy hogy a felhasználó biztonságosan elhárítsa a kockázatokat. A következő ID Protection-kockázatészlelések ma tájékoztatják a kockázati szinteket:
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Kiszivárgott hitelesítő adatok felhasználói kockázatészlelése | Magas | Microsoft Entra kockázatészlelési naplók | UX: Kiszivárgott hitelesítő adatok API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
A Microsoft Entra Threat Intelligence felhasználói kockázatészlelése | Magas | Microsoft Entra kockázatészlelési naplók | UX: Microsoft Entra fenyegetésfelderítés API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Névtelen IP-cím bejelentkezési kockázatészlelése | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Névtelen IP-cím API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Atipikus utazási bejelentkezési kockázatészlelés | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Atipikus utazás API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Rendellenes jogkivonat | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Rendellenes token API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Kártevőhöz társított IP-cím bejelentkezési kockázatészlelése | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Kártevő által társított IP-cím API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Gyanús böngészőbeli bejelentkezési kockázatészlelés | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Gyanús böngésző API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Ismeretlen bejelentkezési tulajdonságok bejelentkezési kockázatészlelése | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Ismeretlen bejelentkezési tulajdonságok API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Rosszindulatú IP-cím bejelentkezési kockázatészlelése | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Rosszindulatú IP-cím API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Gyanús postaláda-kezelési szabályok bejelentkezési kockázatészlelése | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Gyanús beérkezett üzenetek kezelésének szabályai API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Password Spray bejelentkezési kockázatészlelés | Magas | Microsoft Entra kockázatészlelési naplók | UX: Jelszó spray API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Lehetetlen utazási bejelentkezési kockázatészlelés | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Lehetetlen utazás API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Új ország/régió bejelentkezési kockázatészlelése | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Új ország/régió API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Névtelen IP-cím bejelentkezési kockázatészleléséből származó tevékenység | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Tevékenység névtelen IP-címről API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
Gyanús beérkezett üzenetek továbbítása bejelentkezési kockázatészlelés | Eltérő | Microsoft Entra kockázatészlelési naplók | UX: Gyanús beérkezett üzenetek továbbítása API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
A Microsoft Entra fenyegetésintelligencia bejelentkezési kockázatészlelése | Magas | Microsoft Entra kockázatészlelési naplók | UX: Microsoft Entra fenyegetésfelderítés API: Lásd a riskDetection erőforrástípust – Microsoft Graph |
Lásd: Mi a kockázat? Microsoft Entra ID-védelem Sigma-szabályok |
További információ: What is ID Protection.
Keresse a következőket:
Konfigurálja a Microsoft Entra bejelentkezési naplóiban lévő adatok monitorozását, hogy a riasztások bekövetkezhessenek, és betartsák a szervezet biztonsági szabályzatait. Néhány példa erre:
Sikertelen hitelesítések: Emberként időről időre mindannyian helytelenül kapjuk meg a jelszavainkat. Sok sikertelen hitelesítés azonban azt jelezheti, hogy egy rossz szereplő próbál hozzáférést szerezni. A támadások eltérőek az elvadultságban, de az óránkénti néhány kísérlettől a sokkal magasabb sebességig terjedhetnek. A Password Spray például általában több fiókhoz tartozó egyszerűbb jelszavakat használ, míg a Brute Force számos jelszót próbál meg a megcélzott fiókok ellen.
Megszakított hitelesítések: A Microsoft Entra ID-ban a megszakítás egy olyan folyamat injektálását jelenti, amely kielégíti a hitelesítést, például egy vezérlő feltételes hozzáférési szabályzatban való kikényszerítésekor. Ez egy normál esemény, és akkor fordulhat elő, ha az alkalmazások nincsenek megfelelően konfigurálva. Ha azonban sok megszakítást lát egy felhasználói fióknál, az azt jelezheti, hogy valami történik a fiókkal.
- Ha például egy felhasználóra szűrt a bejelentkezési naplókban, és nagy mennyiségű bejelentkezési állapotot lát = Megszakadt és Feltételes hozzáférés = Hiba. Ha mélyebbre ás, a hitelesítési részletekben megjelenhet, hogy a jelszó helyes, de erős hitelesítésre van szükség. Ez azt jelentheti, hogy a felhasználó nem végez többtényezős hitelesítést (MFA), ami azt jelezheti, hogy a felhasználó jelszava sérült, és a rossz szereplő nem tudja teljesíteni az MFA-t.
Intelligens zárolás: A Microsoft Entra ID egy intelligens zárolási szolgáltatást biztosít, amely bevezeti a jól ismert és nem ismerős helyek fogalmát a hitelesítési folyamatba. Egy ismerős helyet meglátogató felhasználói fiók sikeres hitelesítést kaphat, míg az azonos hellyel nem ismert rossz szereplő több kísérlet után le lesz tiltva. Keresse meg a kizárt fiókokat, és vizsgálja meg a további vizsgálatokat.
IP-változások: Normális, hogy a felhasználók különböző IP-címekről származnak. Azonban Teljes felügyelet államok soha nem bíznak, és mindig ellenőrzik. A nagy mennyiségű IP-cím és a sikertelen bejelentkezések a behatolás jele lehet. Keresse meg a több IP-címről végzett sikertelen hitelesítések mintáját. Vegye figyelembe, hogy a virtuális magánhálózati (VPN-) kapcsolatok hamis pozitívumokat okozhatnak. A kihívásoktól függetlenül javasoljuk, hogy figyelje az IP-címek változásait, és ha lehetséges, használja a Microsoft Entra ID-védelem a kockázatok automatikus észlelésére és csökkentésére.
Helyek: Általában arra számít, hogy egy felhasználói fiók ugyanazon a földrajzi helyen lesz. Emellett olyan helyekről is be kell jelentkeznie, ahol alkalmazottakkal vagy üzleti kapcsolatokkal rendelkezik. Ha a felhasználói fiók kevesebb idő alatt érkezik egy másik nemzetközi helyről, mint amennyi oda utazna, az azt jelezheti, hogy a felhasználói fiókot visszaélik. Vegye figyelembe, hogy a VPN-ek téves pozitívumokat okozhatnak, javasoljuk, hogy figyelje a földrajzilag távoli helyekről bejelentkezett felhasználói fiókokat, és ha lehetséges, használja a Microsoft Entra ID-védelem a kockázatok automatikus észlelésére és csökkentésére.
Ebben a kockázati területen javasoljuk, hogy figyelje a standard felhasználói fiókokat és a kiemelt fiókokat, de rangsorolja a kiemelt fiókok vizsgálatát. A kiemelt fiókok a Microsoft Entra-bérlők legfontosabb fiókjai. A kiemelt fiókokra vonatkozó konkrét útmutatásért tekintse meg a Biztonsági műveletek – kiemelt fiókok című témakört.
A probléma észlelése
A Microsoft Entra ID-védelem és a Microsoft Entra bejelentkezési naplóinak használatával felderítheti a szokatlan bejelentkezési jellemzők által jelzett fenyegetéseket. További információ: What is ID Protection. Az adatokat monitorozási és riasztási célokra az Azure Monitorba vagy egy SIEM-be is replikálhatja. A környezet normál értékének meghatározásához és alapkonfiguráció beállításához határozza meg a következőket:
a felhasználói bázishoz normálnak ítélt paraméterek.
a jelszópróbák átlagos száma egy idő alatt, mielőtt a felhasználó meghívja a szolgáltatót, vagy önkiszolgáló jelszó-visszaállítást hajt végre.
hány sikertelen kísérletet szeretne engedélyezni a riasztás előtt, és hogy az eltér-e a felhasználói fiókok és a kiemelt fiókok esetében.
hány MFA-kísérletet szeretne engedélyezni a riasztás előtt, és hogy az eltér-e a felhasználói fiókok és a kiemelt fiókok esetében.
ha az örökölt hitelesítés engedélyezve van, és a használat megszakításának ütemterve.
az ismert kimenő IP-címek a szervezethez tartoznak.
azokat az országokat/régiókat, amelyekből a felhasználók működnek.
vannak-e olyan felhasználói csoportok, amelyek egy hálózati helyen vagy országban/régióban maradnak.
Azonosítsa a szervezetre jellemző szokatlan bejelentkezések egyéb mutatóit. Például a szervezet által nem működő hét vagy év napjait vagy időszakait.
Miután meghatározta, hogy mi a normális a környezetben lévő fiókok esetében, tekintse meg az alábbi listát, amely segít meghatározni a figyelni és figyelmeztetni kívánt forgatókönyveket, és finomhangolni a riasztásokat.
Figyelnie kell és riasztást kell adnia, ha Microsoft Entra ID-védelem van konfigurálva?
Szigorúbb feltételek vonatkoznak a kiemelt fiókokra, amelyekkel figyelheti és riasztást végezhet? Például a kiemelt fiókok megkövetelése csak megbízható IP-címekről használható.
Túl agresszívek az alapkonfigurációk? Ha túl sok riasztást ad meg, a rendszer figyelmen kívül hagyhatja vagy kihagyhatja a riasztásokat.
Az ID Protection konfigurálása a biztonsági alapkonfigurációs szabályzatokat támogató védelem biztosításához. Például letiltja a felhasználókat, ha a kockázat = magas. Ez a kockázati szint nagy megbízhatósággal jelzi, hogy egy felhasználói fiók sérül. A bejelentkezési kockázati szabályzatok és a felhasználói kockázati szabályzatok beállításával kapcsolatos további információkért látogasson el az ID Protection-szabályzatokra.
Az alábbiak a bejegyzések hatásától és súlyosságától függően fontossági sorrendben jelennek meg.
Külső felhasználói bejelentkezések figyelése
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Más Microsoft Entra-bérlőkhöz hitelesítő felhasználók. | Alacsony | Microsoft Entra bejelentkezési napló | Status = success Erőforrás-bérlőazonosító != Otthoni bérlőazonosító |
Észleli, ha egy felhasználó sikeresen hitelesített egy másik Microsoft Entra-bérlőn egy identitással a szervezet bérlőjében. Riasztás, ha az erőforrás-bérlőazonosító nem egyenlő az otthoni bérlőazonosítóval Microsoft Sentinel-sablon Sigma-szabályok |
A felhasználó állapota vendégről tagra módosult | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó frissítése Kategória: UserManagement A UserType vendégről tagra módosult |
Figyelheti és riasztást jeleníthet meg a felhasználó típusának vendégről tagra történő módosításáról. Ez várható volt? Microsoft Sentinel-sablon Sigma-szabályok |
Nem jóváhagyott meghívottak által bérlőre meghívott vendégfelhasználók | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Külső felhasználó meghívása Kategória: UserManagement Kezdeményezője (színész): Felhasználónév |
Külső felhasználókat meghívó, nem jóváhagyott szereplők figyelése és riasztása. Microsoft Sentinel-sablon Sigma-szabályok |
Sikertelen szokatlan bejelentkezések monitorozása
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Sikertelen bejelentkezési kísérletek. | Közepes – ha izolált incidens Magas – ha sok fiók ugyanazt a mintát vagy VIP-t tapasztalja. |
Microsoft Entra bejelentkezési napló | Status = failed -és- Bejelentkezési hibakód: 50126 – Hiba történt a hitelesítő adatok érvénytelen felhasználónév vagy jelszó miatt történő ellenőrzésekor. |
Definiáljon egy alapkonfigurációs küszöbértéket, majd monitorozza és módosítsa a szervezeti viselkedésnek megfelelőt, és korlátozza a hamis riasztások generálása során. Microsoft Sentinel-sablon Sigma-szabályok |
Intelligens kizárási események. | Közepes – ha izolált incidens Magas – ha sok fiók ugyanazt a mintát vagy VIP-t tapasztalja. |
Microsoft Entra bejelentkezési napló | Status = failed -és- Bejelentkezési hibakód: = 50053 – IdsLocked |
Definiáljon egy alapkonfigurációs küszöbértéket, majd monitorozza és módosítsa a szervezeti viselkedésnek megfelelőt, és korlátozza a hamis riasztások generálása során. Microsoft Sentinel-sablon Sigma-szabályok |
Megszakítások | Közepes – ha izolált incidens Magas – ha sok fiók ugyanazt a mintát vagy VIP-t tapasztalja. |
Microsoft Entra bejelentkezési napló | 500121 a hitelesítés nem sikerült az erős hitelesítési kérés során. -vagy- 50097, Eszközhitelesítés szükséges, vagy 50074, erős hitelesítés szükséges. -vagy- 50155, DeviceAuthenticationFailed -vagy- 50158, ExternalSecurityChallenge – A külső biztonsági kihívás nem teljesült -vagy- 53003 és hiba oka = feltételes hozzáférés által blokkolva |
Megszakítások figyelése és riasztása. Definiáljon egy alapkonfigurációs küszöbértéket, majd monitorozza és módosítsa a szervezeti viselkedésnek megfelelőt, és korlátozza a hamis riasztások generálása során. Microsoft Sentinel-sablon Sigma-szabályok |
Az alábbiak a bejegyzések hatásától és súlyosságától függően fontossági sorrendben jelennek meg.
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Többtényezős hitelesítéssel (MFA) kapcsolatos csalási riasztások. | Magas | Microsoft Entra bejelentkezési napló | Status = failed -és- Részletek = MFA megtagadva |
Minden bejegyzés figyelése és riasztása. Microsoft Sentinel-sablon Sigma-szabályok |
Nem működő országokból/régiókból származó sikertelen hitelesítések. | Közepes | Microsoft Entra bejelentkezési napló | Hely = <nem jóváhagyott hely> | Minden bejegyzés figyelése és riasztása. Microsoft Sentinel-sablon Sigma-szabályok |
A nem használt örökölt protokollok vagy protokollok sikertelen hitelesítése. | Közepes | Microsoft Entra bejelentkezési napló | Állapot = hiba -és- Ügyfélalkalmazás = Egyéb ügyfelek, POP, IMAP, MAPI, SMTP, ActiveSync |
Minden bejegyzés figyelése és riasztása. Microsoft Sentinel-sablon Sigma-szabályok |
A feltételes hozzáférés által blokkolt hibák. | Közepes | Microsoft Entra bejelentkezési napló | Hibakód = 53003 -és- Hiba oka = feltételes hozzáférés által blokkolva |
Minden bejegyzés figyelése és riasztása. Microsoft Sentinel-sablon Sigma-szabályok |
A sikertelen hitelesítések száma bármilyen típusú. | Közepes | Microsoft Entra bejelentkezési napló | Rögzítse a hibák növekedését az egész táblán. Vagyis a mai >hibaösszeg 10%, ugyanazon a napon, az előző héten. | Ha nem rendelkezik beállított küszöbértékekkel, figyelje és értesítse, ha a hibák 10%-kal vagy nagyobb mértékben növekednek. Microsoft Sentinel-sablon |
A hitelesítés a hét olyan időszakaiban és napjaiban történik, amikor az országok/régiók nem végeznek normál üzleti műveleteket. | Alacsony | Microsoft Entra bejelentkezési napló | Rögzítse az interaktív hitelesítést, amely a normál működési napon kívül történik\. Status = success -és- Hely = <hely> -és- Nap\Idő = <nem normál munkaidő> |
Minden bejegyzés figyelése és riasztása. Microsoft Sentinel-sablon |
A fiók le van tiltva/letiltva a bejelentkezésekhez | Alacsony | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- hibakód: = 50057, A felhasználói fiók le van tiltva. |
Ez azt jelezheti, hogy valaki megpróbál hozzáférni egy fiókhoz, miután elhagyta a szervezetet. Bár a fiók le van tiltva, fontos a tevékenység naplózása és riasztása. Microsoft Sentinel-sablon Sigma-szabályok |
A sikeres szokatlan bejelentkezések monitorozása
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
A kiemelt fiókok hitelesítése a várt vezérlőkön kívül. | Magas | Microsoft Entra bejelentkezési napló | Status = success -és- UserPricipalName = <Rendszergazdai fiók> -és- Hely = <nem jóváhagyott hely> -és- IP-cím = <nem jóváhagyott IP-cím> Eszközinformáció= <nem jóváhagyott böngésző, operációs rendszer> |
A várt vezérlőkön kívüli kiemelt fiókok sikeres hitelesítésének figyelése és riasztása. Három gyakori vezérlő van felsorolva. Microsoft Sentinel-sablon Sigma-szabályok |
Ha csak egytényezős hitelesítésre van szükség. | Alacsony | Microsoft Entra bejelentkezési napló | Status = success Hitelesítési követelmény = Egytényezős hitelesítés |
Rendszeres monitorozás és a várt viselkedés biztosítása. Sigma-szabályok |
Fedezze fel az MFA-hoz nem regisztrált kiemelt fiókokat. | Magas | Azure Graph API | Az IsMFARegistered eq false lekérdezése rendszergazdai fiókok esetén. CredentialUserRegistrationDetails listázása – Microsoft Graph bétaverzió |
Naplózás és vizsgálat annak megállapításához, hogy szándékos vagy felügyelet-e. |
A szervezet által nem működő országokból/régiókból származó sikeres hitelesítések. | Közepes | Microsoft Entra bejelentkezési napló | Status = success Hely = <nem jóváhagyott ország/régió> |
Monitorozás és riasztás minden olyan bejegyzésen, amely nem egyenlő a megadott városnevekkel. Sigma-szabályok |
Sikeres hitelesítés, feltételes hozzáférés által blokkolt munkamenet. | Közepes | Microsoft Entra bejelentkezési napló | Status = success -és- hibakód = 53003 – Hiba oka, feltételes hozzáférés letiltva |
Monitorozza és vizsgálja meg, hogy a hitelesítés sikeres-e, de a munkamenetet a feltételes hozzáférés blokkolja. Microsoft Sentinel-sablon Sigma-szabályok |
Sikeres hitelesítés, miután letiltotta az örökölt hitelesítést. | Közepes | Microsoft Entra bejelentkezési napló | status = success -és- Ügyfélalkalmazás = Egyéb ügyfelek, POP, IMAP, MAPI, SMTP, ActiveSync |
Ha a szervezet letiltotta az örökölt hitelesítést, monitorozza és riasztást küld, ha sikeres örökölt hitelesítés történt. Microsoft Sentinel-sablon Sigma-szabályok |
Javasoljuk, hogy rendszeres időközönként tekintse át a hitelesítéseket a közepes üzleti hatás (MBI) és a nagy üzleti hatással rendelkező (HBI) alkalmazások esetében, ahol csak egytényezős hitelesítésre van szükség. Mindegyik esetében meg szeretné állapítani, hogy egytényezős hitelesítésre volt-e szükség, vagy sem. Emellett a hely alapján ellenőrizze, hogy a sikeres hitelesítés növekszik-e vagy váratlan időpontokban.
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Hitelesítés mbi- és HBI-alkalmazáshoz egytényezős hitelesítéssel. | Alacsony | Microsoft Entra bejelentkezési napló | status = success -és- Alkalmazásazonosító = <HBI-alkalmazás> -és- Hitelesítési követelmény = egytényezős hitelesítés. |
Tekintse át és ellenőrizze, hogy ez a konfiguráció szándékos-e. Sigma-szabályok |
Olyan hitelesítések a hét vagy év napjaiban és idején, amelyekben az országok/régiók nem végeznek normál üzleti műveleteket. | Alacsony | Microsoft Entra bejelentkezési napló | Rögzítse az interaktív hitelesítést, amely a normál működési napon kívül történik\. Status = success Hely = <hely> Date\Time = <nem normál munkaidő> |
A hét vagy év azon hitelesítéseinek figyelése és riasztása, amelyekben az országok/régiók nem végeznek normál üzleti műveleteket. Sigma-szabályok |
A sikeres bejelentkezések mérhető növekedése. | Alacsony | Microsoft Entra bejelentkezési napló | A rögzítés növeli a sikeres hitelesítést az egész táblán. Ez azt jelzi, hogy a mai >sikerek összege 10%, ugyanazon a napon, az előző héten. | Ha nem rendelkezik beállított küszöbértékekkel, monitorozza és riasztással jelezheti, ha a sikeres hitelesítések száma 10%-kal vagy annál nagyobbra nő. Microsoft Sentinel-sablon Sigma-szabályok |
Következő lépések
Tekintse meg az alábbi biztonsági műveletek útmutatóinak cikkeit:
A Microsoft Entra biztonsági műveleteinek áttekintése
Biztonsági műveletek fogyasztói fiókokhoz
Kiemelt fiókok biztonsági műveletei
A Privileged Identity Management biztonsági műveletei
Alkalmazások biztonsági műveletei