Microsoft Entra-säkerhetsåtgärder för Privileged Identity Management
Säkerheten för affärstillgångar beror på integriteten för de privilegierade konton som administrerar dina IT-system. Cyberattacker använder stöldattacker för autentiseringsuppgifter för att rikta in sig på administratörskonton och andra privilegierade åtkomstkonton för att försöka få åtkomst till känsliga data.
För molntjänster är förebyggande och svar molntjänstleverantörens och kundens gemensamma ansvarsområden.
Traditionellt har organisationens säkerhet fokuserat på in- och slutpunkter i ett nätverk som säkerhetsperimeter. SaaS-appar och personliga enheter har dock gjort den här metoden mindre effektiv. I Microsoft Entra-ID ersätter vi nätverkssäkerhetsperimetern med autentisering i organisationens identitetslager. När användare tilldelas till privilegierade administrativa roller måste deras åtkomst skyddas i lokala miljöer, molnmiljöer och hybridmiljöer.
Du är helt ansvarig för alla säkerhetslager för din lokala IT-miljö. När du använder Azure-molntjänster är förebyggande och svar gemensamma ansvarsområden för Microsoft som molntjänstleverantör och du som kund.
Mer information om modellen med delat ansvar finns i Delat ansvar i molnet.
Mer information om hur du skyddar åtkomst för privilegierade användare finns i Skydda privilegierad åtkomst för hybrid- och molndistributioner i Microsoft Entra-ID.
Ett brett utbud av videor, instruktioner och innehåll för viktiga begrepp för privilegierad identitet finns i dokumentationen för Privileged Identity Management.
Privileged Identity Management (PIM) är en Microsoft Entra-tjänst som gör att du kan hantera, kontrollera och övervaka åtkomst till viktiga resurser i din organisation. Dessa resurser omfattar resurser i Microsoft Entra-ID, Azure och andra Microsoft Online-tjänster som Microsoft 365 eller Microsoft Intune. Du kan använda PIM för att minimera följande risker:
Identifiera och minimera antalet personer som har åtkomst till säker information och resurser.
Identifiera överdrivna, onödiga eller missbrukade åtkomstbehörigheter för känsliga resurser.
Minska risken för att en illasinnad aktör får åtkomst till skyddad information eller resurser.
Minska risken för att obehöriga användare oavsiktligt påverkar känsliga resurser.
Använd den här artikeln innehåller vägledning för att ange baslinjer, granskningsinloggningar och användning av privilegierade konton. Använd källgranskningsloggkällan för att upprätthålla privilegierad kontointegritet.
Var du ska titta
Loggfilerna som du använder för undersökning och övervakning är:
I Azure Portal visar du Microsoft Entra-granskningsloggarna och laddar ned dem som kommaavgränsade värdefiler (CSV) eller JSON-filer (JavaScript Object Notation). Azure Portal har flera sätt att integrera Microsoft Entra-loggar med andra verktyg för att automatisera övervakning och aviseringar:
Microsoft Sentinel – möjliggör intelligent säkerhetsanalys på företagsnivå genom att tillhandahålla siem-funktioner (säkerhetsinformation och händelsehantering).
Sigma-regler – Sigma är en utvecklande öppen standard för att skriva regler och mallar som automatiserade hanteringsverktyg kan använda för att parsa loggfiler. Där Sigma-mallar finns för våra rekommenderade sökvillkor har vi lagt till en länk till Sigma-lagringsplatsen. Sigma-mallarna skrivs, testas och hanteras inte av Microsoft. Lagringsplatsen och mallarna skapas och samlas i stället in av den globala IT-säkerhetscommunityn.
Azure Monitor – möjliggör automatisk övervakning och avisering av olika villkor. Kan skapa eller använda arbetsböcker för att kombinera data från olika källor.
Azure Event Hubs som är integrerade med en SIEM- Microsoft Entra-loggar kan integreras med andra SIEM:er som Splunk, ArcSight, QRadar och Sumo Logic via Azure Event Hubs-integreringen.
Microsoft Defender för molnet-appar – gör att du kan identifiera och hantera appar, styra mellan appar och resurser och kontrollera dina molnappars efterlevnad.
Skydda arbetsbelastningsidentiteter med Microsoft Entra ID Protection – Används för att identifiera risker för arbetsbelastningsidentiteter för inloggningsbeteende och offlineindikatorer för kompromisser.
Resten av den här artikeln innehåller rekommendationer för att ange en baslinje som ska övervakas och aviseras med en nivåmodell. Länkar till färdiga lösningar visas efter tabellen. Du kan skapa aviseringar med hjälp av föregående verktyg. Innehållet är indelat i följande områden:
Originalplaner
Microsoft Entra-rolltilldelning
Aviseringsinställningar för Microsoft Entra-roll
Tilldelning av Azure-resursroll
Åtkomsthantering för Azure-resurser
Utökad åtkomst för att hantera Azure-prenumerationer
Originalplaner
Följande är rekommenderade baslinjeinställningar:
| Vad du ska övervaka | Risknivå | Rekommendation | Roller | Anteckningar |
|---|---|---|---|---|
| Tilldelning av Microsoft Entra-roller | Hög | Kräv motivering för aktivering. Kräv godkännande för att aktivera. Ange godkännandeprocess på två nivåer. Vid aktivering kräver du Microsoft Entra multifaktorautentisering. Ange maximal varaktighet för utökade privilegier till 8 timmar. | Säkerhetsadministratör, privilegierad rolladministratör, global administratör | En privilegierad rolladministratör kan anpassa PIM i sin Microsoft Entra-organisation, inklusive att ändra upplevelsen för användare som aktiverar en berättigad rolltilldelning. |
| Konfiguration av Azure-resursroll | Hög | Kräv motivering för aktivering. Kräv godkännande för att aktivera. Ange godkännandeprocess på två nivåer. Vid aktivering kräver du Microsoft Entra multifaktorautentisering. Ange maximal varaktighet för utökade privilegier till 8 timmar. | Ägare, administratör för användaråtkomst | Undersök omedelbart om inte en planerad ändring. Den här inställningen kan ge angripare åtkomst till Azure-prenumerationer i din miljö. |
Aviseringar om privileged Identity Management
Privileged Identity Management (PIM) genererar aviseringar när det finns misstänkt eller osäker aktivitet i din Microsoft Entra-organisation. När en avisering genereras visas den på instrumentpanelen Privileged Identity Management. Du kan också konfigurera ett e-postmeddelande eller skicka till din SIEM via GraphAPI. Eftersom dessa aviseringar fokuserar specifikt på administrativa roller bör du noga övervaka eventuella aviseringar.
Tilldelning av Microsoft Entra-roller
En privilegierad rolladministratör kan anpassa PIM i sin Microsoft Entra-organisation, vilket innefattar att ändra användarupplevelsen för att aktivera en berättigad rolltilldelning:
Förhindra felaktig aktör för att ta bort autentiseringskrav för Microsoft Entra-multifaktor för att aktivera privilegierad åtkomst.
Förhindra att skadliga användare kringgår motivering och godkännande av aktivering av privilegierad åtkomst.
| Vad du ska övervaka | Risknivå | Var | Filtrera/underfilter | Anteckningar |
|---|---|---|---|---|
| Avisering om Att lägga till ändringar i privilegierade kontobehörigheter | Hög | Microsoft Entra-granskningsloggar | Kategori = Rollhantering -och- Aktivitetstyp – Lägg till berättigad medlem (permanent) -och- Aktivitetstyp – Lägg till berättigad medlem (berättigad) -och- Status = Lyckad/misslyckad -och- Ändrade egenskaper = Role.DisplayName |
Övervaka och varna alltid för ändringar av privilegierad rolladministratör och global administratör. Detta kan vara en indikation på att en angripare försöker få behörighet att ändra rolltilldelningsinställningar. Om du inte har ett definierat tröskelvärde aviserar du på 4 på 60 minuter för användare och 2 på 60 minuter för privilegierade konton. Sigma-regler |
| Avisering om massborttagning av ändringar i behörigheter för privilegierade konton | Hög | Microsoft Entra-granskningsloggar | Kategori = Rollhantering -och- Aktivitetstyp – Ta bort berättigad medlem (permanent) -och- Aktivitetstyp – Ta bort berättigad medlem (berättigad) -och- Status = Lyckad/misslyckad -och- Ändrade egenskaper = Role.DisplayName |
Undersök omedelbart om inte en planerad ändring. Den här inställningen kan ge en angripare åtkomst till Azure-prenumerationer i din miljö. Microsoft Sentinel-mall Sigma-regler |
| Ändringar i PIM-inställningar | Hög | Microsoft Entra-granskningslogg | Tjänst = PIM -och- Kategori = Rollhantering -och- Aktivitetstyp = Uppdatera rollinställning i PIM -och- Statusorsak = MFA vid aktivering inaktiverad (exempel) |
Övervaka och varna alltid för ändringar av privilegierad rolladministratör och global administratör. Detta kan vara en indikation på att en angripare har åtkomst till att ändra rolltilldelningsinställningar. En av dessa åtgärder kan minska säkerheten för PIM-höjningen och göra det enklare för angripare att skaffa ett privilegierat konto. Microsoft Sentinel-mall Sigma-regler |
| Godkännanden och neka höjning | Hög | Microsoft Entra-granskningslogg | Tjänst = Åtkomstgranskning -och- Kategori = UserManagement -och- Aktivitetstyp = Godkänd/nekad begäran -och- Initierad aktör = UPN |
Alla utökade privilegier bör övervakas. Logga alla utökade privilegier för att ge en tydlig indikation på tidslinjen för en attack. Microsoft Sentinel-mall Sigma-regler |
| Aviseringsinställningen ändras till inaktiverad. | Hög | Microsoft Entra-granskningsloggar | Tjänst =PIM -och- Kategori = Rollhantering -och- Aktivitetstyp = Inaktivera PIM-avisering -och- Status = Lyckad/misslyckad |
Alltid avisering. Hjälper till att identifiera felaktig aktör som tar bort aviseringar som är associerade med Microsoft Entra multifaktorautentiseringskrav för att aktivera privilegierad åtkomst. Hjälper till att identifiera misstänkt eller osäker aktivitet. Microsoft Sentinel-mall Sigma-regler |
Mer information om hur du identifierar ändringar av rollinställningar i Microsoft Entra-granskningsloggen finns i Visa granskningshistorik för Microsoft Entra-roller i Privileged Identity Management.
Tilldelning av Azure-resursroll
Genom att övervaka tilldelningar av Azure-resursroller kan du se aktivitet och aktiveringar för resursroller. Dessa tilldelningar kan missbrukas för att skapa en attackyta till en resurs. När du övervakar den här typen av aktivitet försöker du identifiera:
Fråga rolltilldelningar på specifika resurser
Rolltilldelningar för alla underordnade resurser
Alla aktiva och berättigade ändringar i rolltilldelningen
| Vad du ska övervaka | Risknivå | Var | Filtrera/underfilter | Anteckningar |
|---|---|---|---|---|
| Granska resursgranskningslogg för privilegierade kontoaktiviteter | Hög | I PIM, under Azure-resurser, resursgranskning | Åtgärd: Lägg till berättigad medlem i rollen i PIM slutförd (tidsbunden) -och- Primärt mål -och- Skriv användare -och- Status = Lyckades |
Alltid avisering. Hjälper till att identifiera felaktig aktör som lägger till berättigade roller för att hantera alla resurser i Azure. |
| Granska aviseringsresursgranskning för inaktivera avisering | Medium | I PIM, under Azure-resurser, resursgranskning | Åtgärd: Inaktivera avisering -och- Primärt mål: För många ägare tilldelade till en resurs -och- Status = Lyckades |
Hjälper till att identifiera felaktig aktör som inaktiverar aviseringar i fönstret Aviseringar, vilket kan kringgå skadlig aktivitet som undersöks |
| Granska aviseringsresursgranskning för inaktivera avisering | Medium | I PIM, under Azure-resurser, resursgranskning | Åtgärd: Inaktivera avisering -och- Primärt mål: För många permanenta ägare tilldelade till en resurs -och- Status = Lyckades |
Förhindra att felaktig aktör inaktiverar aviseringar i fönstret Aviseringar, vilket kan kringgå skadlig aktivitet som undersöks |
| Granska aviseringsresursgranskning för inaktivera avisering | Medium | I PIM, under Azure-resurser, resursgranskning | Åtgärd: Inaktivera avisering -och- Primär mål duplicerad roll har skapats -och- Status = Lyckades |
Förhindra att felaktig aktör inaktiverar aviseringar från fönstret Aviseringar, vilket kan kringgå skadlig aktivitet som undersöks |
Mer information om hur du konfigurerar aviseringar och granskar Azure-resursroller finns i:
Konfigurera säkerhetsaviseringar för Azure-resursroller i Privileged Identity Management
Visa granskningsrapport för Azure-resursroller i Privileged Identity Management (PIM)
Åtkomsthantering för Azure-resurser och prenumerationer
Användare eller gruppmedlemmar som tilldelats prenumerationsrollerna Ägare eller Administratör för användaråtkomst och Microsoft Entra Globala administratörer som aktiverat prenumerationshantering i Microsoft Entra-ID har som standard behörighet som resursadministratör. Administratörerna tilldelar roller, konfigurerar rollinställningar och granskar åtkomsten med privileged Identity Management (PIM) för Azure-resurser.
En användare som har behörighet som resursadministratör kan hantera PIM för resurser. Övervaka och minska den här införda risken: funktionen kan användas för att ge dåliga aktörer privilegierad åtkomst till Azure-prenumerationsresurser, till exempel virtuella datorer eller lagringskonton.
| Vad du ska övervaka | Risknivå | Var | Filtrera/underfilter | Anteckningar |
|---|---|---|---|---|
| Höjder | Hög | Microsoft Entra-ID, under Hantera, Egenskaper | Granska inställningen regelbundet. Åtkomsthantering för Azure-resurser |
Globala administratörer kan höja genom att aktivera Åtkomsthantering för Azure-resurser. Kontrollera att dåliga aktörer inte har behörighet att tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med Active Directory. |
Mer information finns i Tilldela Azure-resursroller i Privileged Identity Management
Nästa steg
Översikt över Microsoft Entra-säkerhetsåtgärder
Säkerhetsåtgärder för användarkonton
Säkerhetsåtgärder för konsumentkonton