Microsoft Entra 安全性作業指南

Microsoft 透過將身分識別作為控制平面的深度防禦準則，以成功且經證實的方法達成零信任安全性。 組織會繼續採用混合式工作負載世界，以調整規模、節省成本和安全性。 Microsoft Entra ID 在您的身分識別管理策略中扮演重要角色。 最近，有關身分識別和安全性危害的新聞已越發常見，促使企業 IT 將其身分識別安全性狀態視為防禦安全性成功的測量。

越來越多組織都必須採用混合的內部部署和雲端應用程式，使用者可透過內部部署和僅限雲端帳戶存取這些應用程式。 同時管理內部部署和雲端的使用者、應用程式和裝置帶來極大的挑戰。

混合式身分識別

Microsoft Entra ID 會建立通用使用者身分識別，以便進行所有資源的驗證和授權 (不論資源位於何處)。 我們稱之為混合式身分識別。

若要使用 Microsoft Entra ID 達成混合式身分識別，您可以使用三種驗證方法其中之一，視您的情節而定。 這三種方法包括：

• 密碼雜湊同步 (PHS)
• 傳遞驗證 (PTA)
• 同盟 (AD FS)

當您在 Azure 環境中審核目前的安全性作業或建立安全性作業時，我們建議您：

• 閱讀 Microsoft 安全性指南的特定部分，以建立有關保護雲端式或混合式 Azure 環境的基本知識。
• 請審核您的帳戶和密碼原則以及驗證方法，以協助阻擋最常見的攻擊媒介。
• 建立持續監視的策略，以及可能表示安全性威脅的活動警示。

對象

Microsoft Entra SecOps 指南適用於企業 IT 身分識別和安全性作業小組，以及需要透過更好的身分識別安全性設定和監視設定檔來對抗威脅的受控服務提供者。 本指南特別適用於 IT 系統管理員和身分識別架構設計人員，並可對安全性作業中心 (SOC) 防護和滲透測試小組提供建議，以改善和維護其身分識別安全性狀態。

範圍

本簡介提供建議的預讀和密碼審核與策略建議。 本文也概述適用於混合式 Azure 環境的工具，以及完全雲端式 Azure 環境。 最後，我們提供資料來源清單，可讓您用來監視、警示及設定安全性資訊與事件管理 (SIEM) 策略和環境。 本指南的其餘部分將提供下列領域的監視和警示策略：

• 使用者帳戶。 沒有系統管理權限的非特殊權限使用者帳戶專用指南，包括異常帳戶的建立和使用情況，以及不尋常的登入。

• 具特殊權限的帳戶。 具有更高的權限可執行系統管理工作的特殊權限使用者帳戶專屬的指引。 工作包括 Microsoft Entra 角色指派、Azure 資源角色指派，以及 Azure 資源和訂用帳戶的存取管理。

• Privileged Identity Management (PIM). 使用 PIM 來管理、控制和監視資源存取權的專用指南。

• 應用程式。 用來提供應用程式驗證的帳戶專用指南。

• 裝置。 針對在原則之外註冊或加入的裝置、不符合規範的使用情況、管理裝置系統管理角色，以及登入虛擬機器監視和警示的專用指南。

• 基礎結構。 針對混合式和單純雲端式環境進行監視和警示威脅的專用指南。

重要參考內容

Microsoft 有許多產品和服務，可讓您自訂您的 IT 環境以符合需求。 建議您檢閱您作業環境的下列指引：

• Windows 作業系統

  • Windows 10 v1909 和 Windows Server v1909 的安全性基準 (最終)
  • Windows 11 的安全性基準
  • Windows Server 2022 的安全性基準

• 內部部署環境

  • 適用於身分識別的 Microsoft Defender 結構 (部分機器翻譯)
  • 將適用於身分識別的 Microsoft Defender 連線至 Active Directory 快速入門 (部分機器翻譯)
  • 適用於身分識別的 Microsoft Defender Azure 安全性基準
  • 監視 Active Directory 遭到危害的徵兆

• 以雲端為基礎的 Azure 環境

  • 使用 Microsoft Entra 登入記錄來監視登入
  • 在 Azure 入口網站中對活動報告進行稽核
  • 使用 Microsoft Entra ID Protection 調查風險 (部分機器翻譯)
  • 將 Microsoft Entra ID Protection 資料連線至 Microsoft Sentinel (部分機器翻譯)

• Active Directory Domain Services (AD DS)

  • 稽核原則建議

• Active Directory 同盟服務 (AD FS)

  • AD FS 疑難排解 - 稽核事件和記錄

資料來源

以下為您可用來調查和監視的記錄檔：

• Microsoft Entra 稽核記錄
• 登入記錄
• Microsoft 365 稽核記錄
• Azure Key Vault 記錄

您可以從 Azure 入口網站檢視 Microsoft Entra 稽核記錄。 以逗點分隔值 (CSV) 或 JavaScript 物件標記法 (JSON) 檔案的形式下載記錄。 Azure 入口網站有數種方式可將 Microsoft Entra 記錄與其他工具整合，以讓監視和警示的自動化程度變得更高：

• Microsoft Sentinel (部分機器翻譯) - 提供安全性資訊與事件管理 (SIEM) 功能，以在企業層級啟用智慧型安全性分析。

• Sigma 規則 (英文) - Sigma 是撰寫規則和範本的開放式標準，自動化管理工具可使用這些規則與範本來剖析記錄檔。 對於建議搜尋準則存在 Sigma 範本的情況，我們已新增 Sigma 存放庫的連結。 Sigma 範本並非由 Microsoft 所撰寫、測試及管理。 而是由全球 IT 安全性社群建立及收集存放庫和範本。

• Azure 監視器 (部分機器翻譯) - 啟用對各種狀況的自動監視和警示。 可以建立或使用活頁簿以合併來自不同來源的資料。

• Azure 事件中樞 (部分機器翻譯) 與 SIEM 整合。 Microsoft Entra 記錄可以透過 Azure 事件中樞整合整合至其他 SIEM，例如 Splunk、ArcSight、QRadar 和 Sumo Logic。 如需詳細資訊，請參閱將 Microsoft Entra 記錄串流到 Azure 事件中樞 (部分機器翻譯)。

• Microsoft Defender for Cloud Apps (部分機器翻譯) - 可讓您探索和管理應用程式、跨應用程式和資源進行治理，以及檢查雲端應用程式的合規性。

• 使用 Microsoft Entra ID Protection 來保護工作負載身分識別 - 用來偵測工作負載身分識別在登入行為和離線入侵指標上的風險。

您將監視和警示的大部分內容是條件式存取原則的效果。 您可以使用條件式存取見解和報告活頁簿，檢查一或多個條件式存取原則對登入的效果，以及原則的結果，包括裝置狀態。 此活頁簿可讓您檢視影響摘要，以及識別特定時段內的影響。 您也可以使用活頁簿來調查特定使用者的登入。 如需詳細資訊，請參閱條件式存取見解和報告。

本文的其餘部分說明要監視及警示的內容。 如果有特定的預先建立解決方案，我們會連結至這些解決方案，或在表格之後提供範例。 否則，您可以使用上述工具來建置警示。

• 身分識別保護會產出三份可用來協助您調查的重要報告：

• 具風險的使用者包含有風險的使用者、偵測的詳細資料、所有具風險登入的歷程記錄，以及風險歷程記錄的相關資訊。

• 具風險的登入包含可能表示可疑情況的登入環境相關資訊。 如需調查此報告資訊的詳細資訊，請參閱如何：調查風險。

• 風險偵測包含 Microsoft Entra ID Protection 偵測到的風險信號資訊，以告知登入和使用者風險。 如需詳細資訊，請參閱使用者帳戶的 Microsoft Entra 安全性作業指南 (部分機器翻譯)。

如需詳細資訊，請參閱 什麼是 Microsoft Entra ID Protection。

網域控制站監視的資料來源

為了獲得最佳結果，建議您使用適用於身分識別的 Microsoft Defender 來監視您的網域控制站。 此方法可提供最佳的偵測和自動化功能。 請遵循這些資源的指引：

• 適用於身分識別的 Microsoft Defender 結構 (部分機器翻譯)
• 將適用於身分識別的 Microsoft Defender 連線至 Active Directory 快速入門 (部分機器翻譯)

如果您不打算使用適用於身分識別的 Microsoft Defender，請透過下列其中一種方法監視網域控制站：

• 事件記錄檔訊息。 請參閱監視 Active Directory 遭到危害的徵兆。
• PowerShell 指令程式。 請參閱疑難排解網域控制站部署。

混合式驗證的元件

作為 Azure 混合式環境的一部分，下列項目應以基準方式包含在您的監視和警示策略中。

• PTA 代理程式 - 傳遞驗證代理程式是用來啟用傳遞驗證，並安裝在內部部署環境。 如需驗證代理程式版本和後續步驟的詳細資訊，請參閱 Microsoft Entra 傳遞驗證代理程式：版本發行歷程記錄 (部分機器翻譯)。

• AD FS/WAP - Active Directory 同盟服務 (Azure AD FS) 和 Web 應用程式 Proxy (WAP) 可在安全性和企業界限之間安全地共用數位身分識別和權利。 如需安全性最佳作法的詳細資訊，請參閱保護 Active Directory 同盟服務的最佳做法。

• Microsoft Entra Connect Health 代理程式 - 用來提供 Microsoft Entra Connect Health 通訊連結的代理程式。 如需安裝代理程式的相關資訊，請參閱 Microsoft Entra Connect Health 代理程式安裝。

• Microsoft Entra Connect 同步處理引擎 - 內部部署元件，也稱為同步處理引擎。 如需此功能的相關資訊，請參閱 Microsoft Entra Connect 同步處理服務功能 (部分機器翻譯)。

• 密碼保護 DC 代理程式 - Azure 密碼保護 DC 代理程式可用來協助監視和報告事件記錄檔訊息。 如需詳細資訊，請參閱針對 Active Directory Domain Services 強制執行內部部署 Microsoft Entra 密碼保護。

• 密碼篩選 DLL - DC 代理程式密碼篩選 DLL 會接收來自作業系統的使用者密碼驗證要求。 篩選會將它們轉送至在 DC 本機執行的 DC 代理程式服務。 如需使用 DLL 的相關資訊，請參閱針對 Active Directory Domain Services 強制執行內部部署 Microsoft Entra 密碼保護。

• 密碼回寫代理程式 - 密碼回寫是透過 Microsoft Entra Connect (部分機器翻譯) 所實現的功能，可將雲端中的密碼變更即時回寫至現有內部部署目錄。 如需這項功能的詳細資訊，請參閱自助式密碼重設回寫如何在 Microsoft Entra ID 中運作 (部分機器翻譯)。

• Microsoft Entra 私人網路連接器 - 輕量型代理程式，位於內部部署並可推動目標為應用程式 Proxy 服務的輸出連線。 如需詳細資訊，請參閱了解 Microsoft Entra 私人網路連接器 (部分機器翻譯)。

雲端式驗證的元件

作為 Azure 雲端式環境的一部分，下列項目應以基準方式包含在您的監視和警示策略中。

• Microsoft Entra 應用程式 Proxy - 此雲端服務為內部部署 Web 應用程式提供安全的遠端存取。 如需詳細資訊，請參閱透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式 (部分機器翻譯)。

• Microsoft Entra Connect - 用於 Microsoft Entra Connect 解決方案的服務。 如需詳細資訊，請參閱什麼是 Microsoft Entra Connect。

• Microsoft Entra Connect Health - 服務健康情況能為您提供可自訂的儀表板，其可追蹤您使用該服務所在區域中之 Azure 服務的健康情況。 如需詳細資訊，請參閱 Microsoft Entra Connect Health。

• Microsoft Entra 多重要素驗證 - 多重要素驗證會要求使用者提供多種形式的驗證證明。 這個方法可主動提供保護您環境的第一個步驟。 如需其他資訊，請參閱 Microsoft Entra 多重要素驗證 (部分機器翻譯)。

• 動態群組 - 針對 Microsoft Entra Administrators 安全性群組成員資格的動態設定，可以設定規則以根據使用者屬性填入 Microsoft Entra ID 中所建立的群組。 如需詳細資訊，請參閱動態群組和 Microsoft Entra B2B 共同作業。

• 條件式存取 - 條件式存取是 Microsoft Entra ID 用來將訊號結合在一起、進行決策以及強制執行組織原則的工具。 條件式存取如何成為新身分識別導向控制平面的核心。 如需詳細資訊，請參閱什麼是條件式存取。

• Microsoft Entra ID Protection - 此工具可讓組織將身分識別型風險偵測和補救自動化、使用入口網站中的資料來調查風險，並將風險偵測資料匯出到您的 SIEM。 如需詳細資訊，請參閱 什麼是 Microsoft Entra ID Protection。

• 以群組為基礎的授權 - 授權可以指派給群組，而不是直接指派給使用者。 Microsoft Entra ID 儲存使用者授權指派狀態的相關資訊。

• 佈建服務 - 佈建是指在使用者需要存取的雲端應用程式中建立使用者身分識別和角色。 除了建立使用者識別之外，自動化佈建還包括在狀態或角色變更時，維護及移除使用者識別。 如需詳細資訊，請參閱應用程式佈建在 Microsoft Entra ID 中的運作方式 (部分機器翻譯)。

• Graph API - Microsoft Graph API 是一種 RESTful Web API，可讓您存取 Microsoft 雲端服務資源。 在註冊您的應用程式並取得使用者或服務的驗證權杖之後，您可以對 Microsoft Graph API 提出要求。 如需詳細資訊，請參閱 Microsoft Graph 的概觀。

• 網域服務 - Microsoft Entra Domain Services (AD DS) 提供受控網域服務，例如：網域加入、群組原則。 如需詳細資訊，請參閱什麼是 Microsoft Entra Domain Services (部分機器翻譯)。

• Azure Resource Manager - Azure Resource Manager 是 Azure 的部署和管理服務。 其提供一個管理層，讓您能夠在 Azure 帳戶中建立、更新及刪除資源。 如需詳細資訊，請參閱什麼是 Azure Resource Manager API。

• 受控識別 - 受控識別可免除開發人員管理認證的需求。 受控識別可為應用程式提供身分識別，以便在連線至支援 Microsoft Entra 驗證的資源時使用。 如需詳細資訊，請參閱什麼是 Azure 資源受控識別。

• Privileged Identity Management - PIM 是一個 Microsoft Entra ID 服務，可讓您管理、控制和監視對組織內重要資源的存取。 如需詳細資訊，請參閱什麼是 Microsoft Entra Privileged Identity Management (部分機器翻譯)。

• 存取權檢閱 - Microsoft Entra 存取權檢閱可讓組織有效率地管理群組成員資格、對企業應用程式的存取，以及角色指派。 您可以定期檢閱使用者的存取權，以確定只有適合的人員才能繼續存取。 如需詳細資訊，請參閱什麼是 Microsoft Entra 存取權檢閱。

• 權利管理 - Microsoft Entra 權利管理是一個身分識別治理 (部分機器翻譯) 功能。 組織可藉由自動化存取要求工作流程、存取指派、檢閱和到期，大規模地管理身分識別和存取生命週期。 如需詳細資訊，請參閱什麼是 Microsoft Entra 權利管理 (部分機器翻譯)。

• 活動記錄 - 活動記錄是 Azure 平台記錄，可提供訂用帳戶層級事件的深入解析。 此記錄包括修改資源或啟動虛擬機器時這類資訊。 如需詳細資訊，請參閱 Azure 活動記錄。

• 自助式密碼重設服務 - Microsoft Entra 自助式密碼重設 (SSPR) 可讓使用者直接變更或重設其密碼。 不需要系統管理員或技術支援中心介入。 如需詳細資訊，請參閱運作方式：Microsoft Entra 自助式密碼重設。

• 裝置服務 - 裝置身分識別管理是裝置型條件式存取的基礎。 透過裝置型條件式存取原則，您可以確保只有受控裝置可存取您環境中的資源。 如需詳細資訊，請參閱什麼是裝置身分識別。

• 自助群組管理 - 您可以讓使用者在 Microsoft Entra ID 中建立及管理自己的安全性群組或 Microsoft 365 群組。 群組的擁有者可以核准或拒絕成員資格要求，也可以委派對群組成員資格的控制。 自助群組管理功能不適用於啟用郵件功能的安全性群組或通訊群組清單。 如需詳細資訊，請參閱在 Microsoft Entra ID 中設定自助群組管理 (部分機器翻譯)。

• 風險偵測 - 包含偵測到風險時觸發的其他風險資訊，以及其他相關資訊，例如登入位置，以及 Microsoft Defender for Cloud Apps 的任何詳細資料。

下一步

請參閱下列安全性作業指南文章：

使用者帳戶的安全性作業 (部分機器翻譯)

取用者帳戶的安全性作業

特殊權限帳戶的安全性作業 (部分機器翻譯)

Privileged Identity Management 的安全性作業

適用於應用程式的安全性作業

裝置的安全性作業

基礎結構的安全性作業