Microsoft Entra 裝置安全性作業
裝置通常不是身分識別型攻擊的目標,但可以用來滿足及誘騙安全性控制措施,或偽裝使用者身分。 裝置可以有四種與 Microsoft Entra ID 關聯性的其中一種:
已註冊及已加入的裝置會發出主要重新整理權杖 (PRT),此權杖可作為主要驗證成品,而在某些情況下則會當做多重要素驗證成品使用。 攻擊者可能會嘗試註冊自己的裝置、在合法裝置上使用 PRT 來存取商務資料、從合法的使用者裝置竊取以 PRT 型權杖,或在 Microsoft Entra ID 中尋找裝置型控制項的錯誤配置。 透過 Microsoft Entra 混合式加入的裝置,系統管理員可起始並控制加入程序,以減少可用的攻擊方法。
如需裝置整合方法的詳細資訊,請參閱規劃您的 Microsoft Entra 裝置部署一文中的選擇您的整合方法。
若要降低不法分子透過裝置攻擊基礎結構的風險,請監視
裝置註冊和 Microsoft Entra 聯結
存取應用程式的不相容裝置
BitLocker 金鑰抓取
裝置系統管理員角色
登入虛擬機器
查看位置
以下為您可用來調查和監視的記錄檔:
從 Azure 入口網站,您可以檢視 Microsoft Entra 稽核記錄,並下載為逗點分隔值 (CSV) 或 JavaScript 物件標記法 (JSON) 檔案。 Azure 入口網站有數種方式可將 Microsoft Entra 記錄與其他工具整合,以讓監視和警示的自動化程度變得更高:
Microsoft Sentinel (部分機器翻譯) - 提供安全性資訊與事件管理 (SIEM) 功能,以在企業層級啟用智慧型安全性分析。
Sigma 規則 (英文) - Sigma 是撰寫規則和範本的開放式標準,自動化管理工具可使用這些規則與範本來剖析記錄檔。 對於建議搜尋準則存在 Sigma 範本的情況,我們已新增 Sigma 存放庫的連結。 Sigma 範本不是由 Microsoft 所撰寫、測試及管理。 而是由全球 IT 安全性社群建立及收集存放庫和範本。
Azure 監視器 (部分機器翻譯) - 啟用對各種狀況的自動監視和警示。 可以建立或使用活頁簿以合併來自不同來源的資料。
與 SIEM 整合的 Azure 事件中樞- Microsoft Entra 記錄可以透過 Azure 事件中樞整合被整合到其他 SIEM,例如 Splunk、ArcSight、QRadar 和 Sumo Logic。
Microsoft Defender for Cloud Apps (部分機器翻譯) - 可讓您探索和管理應用程式、跨應用程式和資源來控管,以及檢查雲端應用程式的合規性。
使用 Microsoft Entra ID Protection 來保護工作負載身分識別 - 用來偵測工作負載身分識別在登入行為和離線入侵指標上的風險。
您將監視和警示的大部分內容是條件式存取原則效果。 您可以使用條件式存取見解和報告活頁簿,來檢查一或多個條件式存取原則對登入的效果,以及原則的結果,包括裝置狀態。 此活頁簿可讓您檢視摘要,以及識別特定時段內的影響。 您也可以使用活頁簿來調查特定使用者的登入。
此文章的其餘部分將描述我們建議您監視和警示的內容,並依威脅類型進行組織。 如果有特定的預先建立解決方案,我們會連結至這些解決方案,或在表格之後提供範例。 否則,您可以使用上述工具來建置警示。
原則外的裝置註冊和加入
已註冊 Microsoft Entra 且加入 Microsoft Entra 的裝置具有主要重新整理權杖 (PRT),這等同於單一驗證因素。 這些裝置有時可以包含增強式驗證宣告。 如需 PRT 何時包含增強式驗證宣告的詳細資訊,請參閱 PRT 取得 MFA 宣告的時機? 為了讓不法分子無法註冊或加入裝置,系統會要求使用多重要素驗證 (MFA) 才能註冊或加入裝置。 然後監視任何已註冊或已加入但未使用 MFA 的裝置。 您也必須留意 MFA 設定和原則的變更,以及裝置合規性政策。
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 未使用 MFA 的裝置註冊或加入已完成 | 中 | 登入記錄 | 活動:成功驗證裝置註冊服務。 及 不需要 MFA |
警示時機:任何已註冊或已加入的裝置未使用 MFA Microsoft Sentinel 範本 (英文) Sigma 規則 |
| Microsoft Entra ID 中裝置註冊 MFA 切換發生變更 | 高 | 稽核記錄 | 活動:設定裝置註冊原則 | 尋找:切換開關設為關閉。 沒有稽核記錄項目。 排程定期檢查。 Sigma 規則 |
| 需要加入網域或符合規範的裝置條件式存取原則發生變更。 | 高 | 稽核記錄 | 條件式存取原則變更 |
警示時機:變更了任何需要加入網域或符合規範的原則、變更了信任的位置,或新增至 MFA 原則例外狀況的帳戶或裝置。 |
您可以使用 Microsoft Sentinel 建立警示,以在未使用 MFA 的情況下註冊或加入裝置時,通知適當的系統管理員。
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
您也可以使用 Microsoft Intune 來設定和監視裝置合規性政策。
不符合規範的裝置登入
若使用需要符合規範裝置的條件式存取原則,則可能無法封鎖所有雲端和軟體即服務應用程式的存取。
行動裝置管理 (MDM) 可協助您保持 Windows 10 裝置的相容性。 在 Windows 1809 版中,我們發行了原則的安全性基準。 Microsoft Entra ID 可以與 MDM 整合以強制裝置符合公司原則,並可報告裝置的合規性狀態。
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 不符合規範的裝置登入 | 高 | 登入記錄 | DeviceDetail.isCompliant == false | 如果需要從符合規範的裝置登入,則警示時機為:任何不符合規範的裝置登入,或任何未使用 MFA 或受信任位置的存取。 如果工作需要裝置,請監視可疑的登入。 |
| 由未知裝置登入 | 低 | 登入記錄 | DeviceDetail 是空的、單一要素驗證,或來自非信任的位置 | 尋找:不符合規範的裝置進行的任何存取、未使用 MFA 或信任位置的任何存取 Microsoft Sentinel 範本 (英文) Sigma 規則 |
使用 LogAnalytics 查詢
不符合規範的裝置登入
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
由未知裝置登入
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
過時裝置
過時裝置包含未在指定時間內登入的裝置。 當使用者取得新的裝置或失去裝置,或抹除或重新佈建 Microsoft Entra 加入的裝置時,裝置可能會變成過時。 當使用者不再與租用戶相關聯時,裝置也可能維持註冊或加入。 應移除過時的裝置,才能使用主要重新整理權杖 (PRT)。
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 上次登入日期 | 低 | Graph API | approximateLastSignInDateTime | 使用圖形 API 或 PowerShell 來識別和移除過時裝置。 |
BitLocker 金鑰抓取
遭入侵使用者裝置的攻擊者,可能會在 Microsoft Entra ID 中抓取 BitLocker 金鑰。 使用者無法抓取金鑰是很少見的情況,應該對此進行監視和調查。
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 金鑰抓取 | 中 | 稽核記錄 | OperationName == "Read BitLocker key" | 尋找:金鑰擷取、擷取金鑰的使用者所做的其他異常行為。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
在 LogAnalytics 中建立查詢,例如
AuditLogs
| where OperationName == "Read BitLocker key"
裝置系統管理員角色
已加入 Microsoft Entra 裝置本機系統管理員和全域系統管理員角色會在所有已加入 Microsoft Entra 裝置上自動取得本機系統管理員權利。 請務必監視具有這些權限的人員,以確保您的環境安全。
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 新增至全域或裝置系統管理員角色的使用者 | 高 | 稽核記錄 | 活動類型 = 將成員新增至角色。 | 尋找:新增至這些 Microsoft Entra 角色的新使用者、機器或使用者的後續異常行為。 Microsoft Sentinel 範本 (英文) Sigma 規則 |
虛擬機器的非 Azure AD 登入
登入 Windows 或 LINUX 虛擬機器 (VM) 應針對 Microsoft Entra 帳戶以外的帳戶進行登入監視。
適用於 LINUX 的 Microsoft Entra 登入
適用於 LINUX 的 Microsoft Entra 登入可讓組織使用 Microsoft Entra 帳戶,透過安全的殼層通訊協定 (SSH) 來登入其 Azure LINUX VM。
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 非 Azure AD 帳戶登入,尤其是透過 SSH | 高 | 本機驗證記錄 | Ubuntu: 監視用於 SSH 的/var/log/auth.log RedHat: 監視用於 SSH 的/var/log/sssd/ |
尋找:非 Azure AD 帳戶成功連線至 VM 的項目。 請參閱以下範例。 |
Ubuntu 範例:
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: User 'localusertest01' 不是 Microsoft Entra 使用者,傳回空的結果。
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: User 'localusertest01' 不是 Microsoft Entra 使用者,傳回空的結果。
May 9 23:49:43 ubuntu1804 sshd[3909]: 公開接受 localusertest01 來自 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session):由 (uid=0) 針對使用者 localusertest01 開啟工作階段。
您可以設定 LINUX VM 登入的原則,以及偵測並標示已新增未核准本機帳戶的 Linux VM。 若要深入了解,請參閱使用 Azure 原則確保符合標準並評估合規性。
適用於 Windows 伺服器的 Microsoft Entra 登入
適用於 Windows 的 Microsoft Entra 登入可讓您的組織使用 Microsoft Entra 帳戶,以透過遠端桌面通訊協定 (RDP) 登入您的 Azure Windows 2019 + VM。
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 非 Azure AD 帳戶登入,尤其是透過 RDP | 高 | Windows Server 事件記錄檔 | Windows VM 的互動式登入 | 事件 528,登入類型 10 (RemoteInteractive)。 顯示使用者透過終端機服務或遠端桌面登入的時間。 |
下一步
Microsoft Entra 安全性作業概觀 (部分機器翻譯)
使用者帳戶的安全性作業 (部分機器翻譯)
特殊權限帳戶的安全性作業 (部分機器翻譯)