基礎結構的安全性作業
基礎結構有許多元件,如果未正確設定,則會發生弱點。 作為基礎結構的監視和警示策略一部分,會監視和警示下列區域中的事件:
驗證和授權
包括混合式驗證元件 同盟伺服器
原則
訂用帳戶
監視和警示驗證基礎結構的元件十分重要。 任何入侵都可能導致完全入侵整個環境。 許多使用 Microsoft Entra ID 的企業都是在混合式驗證環境中運作。 您的監視和警示策略中應包含雲端和內部部署元件。 具有混合式驗證環境也會對您的環境引進另一個攻擊向量。
建議將所有元件都視為控制平面/第 0 層資產,以及用來管理資產的帳戶。 如需設計和實作環境的指導,請參閱保護特殊權限資產 (SPA)。 本指導所包括的建議適用於每個可能用於 Microsoft Entra 租用戶的混合式驗證元件。
可偵測非預期事件和潛在攻擊的第一個步驟是建立基準。 針對本文所列的所有內部部署元件,請參閱特殊權限存取部署,這是《保護特殊權限資產 (SPA)》指南的一部分。
查看位置
以下為您可用來調查和監視的記錄檔:
從 Azure 入口網站,您可以檢視 Microsoft Entra 稽核記錄,並下載為逗點分隔值 (CSV) 或 JavaScript 物件標記法 (JSON) 檔案。 Azure 入口網站有數種方式可將 Microsoft Entra 記錄與其他工具整合,以讓監視和警示的自動化程度變得更高:
Microsoft Sentinel (部分機器翻譯) - 提供安全性資訊與事件管理 (SIEM) 功能,以在企業層級啟用智慧型安全性分析。
Sigma 規則 (英文) - Sigma 是撰寫規則和範本的開放式標準,自動化管理工具可使用這些規則與範本來剖析記錄檔。 對於建議搜尋準則存在 Sigma 範本的情況,我們已新增 Sigma 存放庫的連結。 Sigma 範本不是由 Microsoft 所撰寫、測試及管理。 而是由全球 IT 安全性社群建立及收集存放庫和範本。
Azure 監視器 (部分機器翻譯) - 啟用對各種狀況的自動監視和警示。 可以建立或使用活頁簿以合併來自不同來源的資料。
與 SIEM 整合的 Azure 事件中樞 (部分機器翻譯) - Microsoft Entra 記錄可以透過 Azure 事件中樞整合來整合到其他 SIEM (部分機器翻譯),例如 Splunk、ArcSight、QRadar 和 Sumo Logic。
Microsoft Defender for Cloud Apps (部分機器翻譯) - 可讓您探索和管理應用程式、跨應用程式和資源來控管,以及檢查雲端應用程式的合規性。
使用 Microsoft Entra ID Protection 來保護工作負載身分識別 - 用來偵測工作負載身分識別在登入行為和離線入侵指標上的風險。
本文的其餘部分說明要監視及警示的內容。 本文依威脅類型進行編排。 如有預建解決方案,您將會在表格後面找到其連結。 否則,您可以使用上述工具來建置警示。
驗證基礎結構
在同時包含內部部署與雲端式資源和帳戶的混合式環境中,Active Directory 基礎結構是驗證堆疊的重要部分。 堆疊也是攻擊目標,因此必須設定成維護安全環境,而且必須適當地進行監視。 針對您驗證基礎結構使用的目前攻擊類型範例,使用密碼噴灑和 Solorigate 技巧。 以下是我們建議的文章連結:
保護特殊權限存取概觀:本文提供使用零信任技巧來建立和維護安全特殊權限存取的目前技巧概觀。
適用於身分識別的 Microsoft Defender 受監視網域活動:本文提供要監視和設定警示的完整活動清單。
適用於身分識別的 Microsoft Defender 安全性警示教學課程:本文提供建立和實作安全性警示策略的指導。
下列特定文章連結著重於監視和警示驗證基礎結構:
了解並使用適用於身分識別的 Microsoft Defender 橫向移動路徑:有助於識別何時應使用非敏感性帳戶存取敏感性網路帳戶的偵測技巧。
使用適用於身分識別的 Microsoft Defender 中的安全性警示:本文說明警示在記錄之後如何進行檢閱和管理。
以下是要尋找的特定事項:
| 監視對象 | 風險層級 | 其中 | 備註 |
|---|---|---|---|
| 外部網路鎖定趨勢 | 高 | Microsoft Entra Connect Health | 請參閱使用 Microsoft Entra Connect Health 監視 AD FS 上的資訊,以取得可協助偵測外部網路鎖定趨勢的工具和技巧。 |
| 失敗的登入 | 高 | Connect Health 入口網站 | 匯出或下載具風險 IP 報告,並遵循具風險 IP 報告 (公開預覽) 的指導以進行後續步驟。 |
| 符合隱私權規範 | 低 | Microsoft Entra Connect Health | 設定 Microsoft Entra Connect Health 時,使用使用者隱私權和 Microsoft Entra Connect Health 一文來停用資料收集和監視。 |
| 對 LDAP 的潛在暴力密碼破解攻擊 | 中 | 適用於身分識別的 Microsoft Defender | 使用感應器來協助偵測對 LDAP 的潛在暴力密碼破解攻擊。 |
| 帳戶列舉偵察 | 中 | 適用於身分識別的 Microsoft Defender | 使用感應器來協助執行帳戶列舉偵察。 |
| Microsoft Entra ID 與 Azure AD FS 之間的一般相互關聯 | 中 | 適用於身分識別的 Microsoft Defender | 使用功能,將 Microsoft Entra ID 與 Azure AD FS 環境之間的活動相互關聯。 |
傳遞驗證監視
Microsoft Entra 傳遞驗證會直接向內部部署 Active Directory 驗證使用者的密碼,以決定是否讓使用者登入。
以下是要尋找的特定事項:
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| Microsoft Entra 傳遞驗證錯誤 | 中 | 應用程式和服務記錄\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – 無法連線至 Active Directory | 確定代理程式伺服器和必須驗證其密碼的使用者都是相同 AD 樹系的成員,而且可以連線至 Active Directory。 |
| Microsoft Entra 傳遞驗證錯誤 | 中 | 應用程式和服務記錄\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 - 連線至 Active Directory 時逾時 | 檢查確定 Active Directory 可供使用,而且回應代理程式的要求。 |
| Microsoft Entra 傳遞驗證錯誤 | 中 | 應用程式和服務記錄\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 - 傳遞給代理程式的使用者名稱無效 | 請確定使用者嘗試以正確的使用者名稱登入。 |
| Microsoft Entra 傳遞驗證錯誤 | 中 | 應用程式和服務記錄\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - 驗證發生無法預測的 WebException | 暫時性錯誤。 重試要求。 如果持續發生失敗,請連絡 Microsoft 支援服務。 |
| Microsoft Entra 傳遞驗證錯誤 | 中 | 應用程式和服務記錄\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - 與 Active Directory 通訊時發生錯誤 | 請檢查代理程式記錄以取得詳細資訊,並確認 Active Directory 如預期般運作。 |
| Microsoft Entra 傳遞驗證錯誤 | 高 | Win32 LogonUserA 函數 API | 登入事件 4624(s):帳戶已順利登入 - 相互關聯 – 4625(F):帳戶無法登入 |
在正在驗證要求的網域控制站上,與可疑的使用者名稱搭配使用。 LogonUserA 函數 (winbase.h) 上的指導 |
| Microsoft Entra 傳遞驗證錯誤 | 中 | 網域控制站的 PowerShell 指令碼 | 請參閱資料表後面的查詢。 | 使用 Microsoft Entra Connect:對傳遞驗證進行疑難排解上的資訊,以取得指引。 |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
監視新 Microsoft Entra 租用戶的建立
組織可能需要監視是否有組織租用戶中的身分識別起始了相關動作而建立新的 Microsoft Entra 租用戶,並加以警示。 監視此情況可讓您了解有多少個租用戶正在建立,且可由終端使用者存取。
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 使用租用戶中的身分識別建立新的 Microsoft Entra 租用戶。 | 中 | Microsoft Entra 稽核記錄 | 類別:目錄管理 活動:建立公司 |
目標會顯示已建立的 TenantID |
私人網路連接器
Microsoft Entra ID 和 Microsoft Entra 應用程式 Proxy 如何對遠端使用者提供單一登入 (SSO) 體驗。 使用者可以安全地連線至內部部署應用程式,而不需要虛擬私人網路 (VPN) 或雙重主伺服器和防火牆規則。 如果 Microsoft Entra 內部網路連接器伺服器遭到入侵,則攻擊者可以改變 SSO 體驗或變更已發佈應用程式的存取權。
若要設定應用程式 Proxy 的監視,請參閱對應用程式 Proxy 問題和錯誤訊息進行疑難排解。 記錄資訊的資料檔案可以在 Applications and Services Logs\Microsoft\Microsoft Entra private network\Connector\Admin 中找到。如需稽核活動的完整參考指南,請參閱 Microsoft Entra 稽核活動參考。 要監視的特定事項:
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| Kerberos 錯誤 | 中 | 各種工具 | 中 | 針對應用程式 Proxy 問題和錯誤訊息進行疑難排解之 Kerberos 錯誤下的 Kerberos 驗證錯誤指導。 |
| DC 安全性問題 | 高 | DC 安全性稽核記錄 | 事件識別碼 4742(S):已變更電腦帳戶 -及- 旗標 – 受信任可委派 -或- 旗標 - 受信任可進行委派驗證 |
調查任何旗標變更。 |
| 傳遞票證類攻擊 | 高 | 遵循下者中的指導: 安全性主體偵察 (LDAP) (外部 ID 2038) 教學課程:遭入侵的認證警示 瞭解及使用適用於身分識別的 Microsoft Defender 的橫向動作路徑 了解實體設定檔 |
舊版驗證設定
若要讓多重要素驗證 (MFA) 有效,您也需要封鎖舊版驗證。 您接著需要監視環境,並在使用舊版驗證時發出警示。 POP、SMTP、IMAP 和 MAPI 之類的舊版驗證通訊協定無法強制執行 MFA。 這會讓這些通訊協定成為攻擊者偏好的進入點。 如需您可用來封鎖舊版驗證之工具的詳細資訊,請參閱封鎖組織中舊版驗證的新工具。
在 Microsoft Entra 登入記錄檔中,會將舊版驗證擷取為事件詳細資料的一部分。 您可以使用 Azure 監視器活頁簿來協助識別舊版驗證使用方式。 如需詳細資訊,請參閱使用舊版驗證登入,這是如何將 Azure 監視器活頁簿用於 Microsoft Entra 報告的一部分。 您也可以使用 Microsoft Sentinel 的不安全通訊協定活頁簿。 如需詳細資訊,請參閱 Microsoft Sentinel 不安全通訊協定活頁簿實作指南。 要監視的特定活動包括:
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 舊版驗證 | 高 | Microsoft Entra 登入記錄 | ClientApp:POP ClientApp:IMAP ClientApp:MAPI ClientApp:SMTP ClientApp:ActiveSync 移至 EXO 其他用戶端 = SharePoint 和 EWS |
在同盟網域環境中,不會記錄失敗的驗證,因此這類驗證不會出現在記錄中。 |
Microsoft Entra Connect
Microsoft Entra Connect 提供一個集中的位置,可啟用內部部署與雲端式 Microsoft Entra 環境之間的帳戶和屬性同步。 Microsoft Entra Connect 是一種 Microsoft 工具,其設計目的是要符合並完成混合式身分識別的目標。 它提供下列功能:
密碼雜湊同步 - 一種登入方法,可將使用者內部部署 AD 密碼的雜湊與 Microsoft Entra ID 同步。
同步處理 - 負責建立使用者、群組和其他物件。 同時,確保您內部部署使用者和群組的身分識別資訊與雲端相符。 此同步處理也包括密碼雜湊。
狀況監控 - Microsoft Entra Connect Health 可提供健全的監控,並在 Azure 入口網站中提供檢視此活動的中央位置。
在內部部署環境與雲端環境之間同步身分識別,可為內部部署和雲端式環境引進新的攻擊面。 我們建議:
將 Microsoft Entra Connect 主要和暫存伺服器視為控制平面中的第 0 層系統。
遵循一組標準原則,以治理環境中的每種帳戶類型和其使用方式。
您安裝了 Microsoft Entra Connect 和 Connect Health。 這些主要提供環境的作業資料。
Microsoft Entra Connect 作業的記錄會以不同的方式進行:
Microsoft Entra Connect 精靈會將資料記錄至
\ProgramData\AADConnect。 每次叫用精靈時,都會建立加上時間戳記的追蹤記錄檔。 您可以將追蹤記錄匯入至 Sentinel 或其他協力廠商安全性資訊與事件管理 (SIEM) 工具,以進行分析。有些作業會起始 PowerShell 指令碼來擷取記錄資訊。 若要收集此資料,您必須確定已啟用指令碼區塊記錄。
監視設定變更
Microsoft Entra ID 使用 Microsoft SQL Server 資料引擎或 SQL 來儲存 Microsoft Entra Connect 設定資訊。 因此,監視和稽核策略中應該包含監視和稽核與設定相關聯的記錄檔。 具體而言,是在監視和警示策略中包含下列各表。
| 監視對象 | 其中 | 備註 |
|---|---|---|
| mms_management_agent | SQL 服務稽核記錄 | 請參閱 SQL Server 稽核記錄 |
| mms_partition | SQL 服務稽核記錄 | 請參閱 SQL Server 稽核記錄 |
| mms_run_profile | SQL 服務稽核記錄 | 請參閱 SQL Server 稽核記錄 |
| mms_server_configuration | SQL 服務稽核記錄 | 請參閱 SQL Server 稽核記錄 |
| mms_synchronization_rule | SQL 服務稽核記錄 | 請參閱 SQL Server 稽核記錄 |
如需如何監視設定資訊和監視內容的相關資訊,請參閱:
針對 SQL Server,請參閱 SQL Server 稽核記錄。
針對 Microsoft Sentinel,請參閱連線至 Windows 伺服器以收集安全性事件。
如需設定和使用 Microsoft Entra Connect 的詳細資訊,請參閱什麼是 Microsoft Entra Connect?
監視和疑難排解同步
Microsoft Entra Connect 的其中一個功能是在使用者的內部部署密碼與 Microsoft Entra ID 之間進行雜湊同步。 如果密碼未如預期同步,則同步可能會影響一小部分的使用者或所有使用者。 使用下列各項來協助驗證適當的作業,或對問題進行疑難排解:
如需針對雜湊同步進行檢查和疑難排解的詳細資訊,請參閱針對使用 Microsoft Entra Connect Sync 的密碼雜湊同步進行疑難排解。
如需修改連接器空間的詳細資訊,請參閱針對 Microsoft Entra Connect 物件和屬性進行疑難排解。
監視的重要資源
| 監視對象 | 資源 |
|---|---|
| 雜湊同步驗證 | 請參閱 Microsoft Entra Connect Sync 的密碼雜湊同步疑難排解 |
| 修改連接器空間 | 請參閱針對 Microsoft Entra Connect 物件和屬性進行疑難排解 |
| 修改您所設定的規則 | 監視下列項目的變更:篩選、網域和 OU、屬性,以及群組型變更 |
| SQL 和 MSDE 變更 | 記錄參數和新增自訂函數的變更 |
監視下列各項:
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 排程器變更 | 高 | PowerShell | Set-ADSyncScheduler | 尋找排程的修改 |
| 排程工作的變更 | 高 | Microsoft Entra 稽核記錄 | 活動 = 4699(S):已刪除排程工作 -或- 活動 = 4701(s):已停用排程工作 -或- 活動 = 4702(s):已更新排程工作 |
監視所有項目 |
如需記錄 PowerShell 指令碼作業的詳細資訊,請參閱啟用指令碼區塊記錄,這是 PowerShell 參考文件的一部分。
如需設定 PowerShell 記錄以供 Splunk 分析的詳細資訊,請參閱將資料送入 Splunk 使用者行為分析。
監視無縫單一登入
使用者位於連線到公司網路的公司桌上型電腦時,Microsoft Entra 無縫單一登入 (無縫 SSO) 會自動登入使用者。 無縫 SSO 可讓使用者輕鬆存取雲端式應用程式,而不需要其他內部部署元件。 SSO 使用 Microsoft Entra Connect 所提供的傳遞驗證和密碼雜湊同步功能。
監視單一登入和 Kerberos 活動可協助您偵測一般認證盜竊攻擊模式。 使用下列資訊進行監視:
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 與 SSO 和 Kerberos 驗證失敗相關聯的錯誤 | 中 | Microsoft Entra 登入記錄 | 單一登入上的單一登入錯誤碼清單。 | |
| 查詢疑難排解錯誤 | 中 | PowerShell | 請參閱表格後的查詢。 簽入每個已啟用 SSO 的樹系。 | 簽入每個已啟用 SSO 的樹系。 |
| Kerberos 相關事件 | 高 | 適用於身分識別的 Microsoft Defender 監視 | 檢閱適用於身分識別的 Microsoft Defender 橫向移動路徑 (LMP) 上提供的指導 |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
密碼保護原則
如果您部署 Microsoft Entra 密碼保護,則監視和報告會是必要工作。 下列連結提供可協助您了解各種監視技巧的詳細資料,包括每個服務要將資訊記錄於何處,以及如何報告 Microsoft Entra 密碼保護的使用情形。
網域控制站 (DC) 代理程式和 Proxy 服務都會記錄事件記錄訊息。 以下所述的所有 PowerShell Cmdlet 都僅適用於 Proxy 伺服器 (請參閱 AzureADPasswordProtection PowerShell 模組)。 DC 代理程式軟體不會安裝 PowerShell 模組。
如需規劃和實作內部部署密碼保護的詳細資訊,請參閱規劃和部署內部部署 Microsoft Entra 密碼保護。 如需監視詳細資料,請參閱監視內部部署 Microsoft Entra 密碼保護。 在每個網域控制站上,DC 代理程式服務軟體會將每個個別密碼驗證作業的結果 (和其他狀態) 寫入至下列本機事件記錄:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
DC 代理程式的系統管理記錄是有關軟體如何運作之資訊的主要來源。 預設會關閉追蹤記錄,而且必須在記錄資料之前啟用。 若要針對應用程式 Proxy 問題和錯誤訊息進行疑難排解,請參閱針對 Microsoft Entra 應用程式 Proxy 進行疑難排解上提供的詳細資訊。 這些事件的資訊會記錄至:
Applications and Services Logs\Microsoft\Microsoft Entra private network\Connector\Admin
Microsoft Entra 稽核記錄、類別應用程式 Proxy
在 Microsoft Entra 稽核活動參考中,即可取得 Microsoft Entra 稽核活動的完整參考。
條件式存取
在 Microsoft Entra ID 中,您可以藉由設定條件式存取原則來保護對資源的存取。 身為 IT 管理員,您想要確定您的條件式存取原則可如預期運作,以確保資源受到保護。 監視和警示條件式存取服務的變更,可確保會強制執行組織為了資料存取權而定義的原則。 Microsoft Entra 會在條件式存取變更時記錄,也提供活頁簿,以確保您的原則提供預期的涵蓋範圍。
活頁簿連結
使用下列資訊監視條件式存取原則的變更:
| 監視對象 | 風險層級 | 其中 | 篩選/子篩選 | 備註 |
|---|---|---|---|---|
| 非核准執行者所建立的新條件式存取原則 | 中 | Microsoft Entra 稽核記錄 | 活動:新增條件式存取原則 類別:原則 由 (執行者) 起始:使用者主體名稱 |
監視和警示條件式存取變更。 由 (執行者) 起始:是否核准可以對條件式存取進行變更? Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 非核准執行者所移除的條件式存取原則 | 中 | Microsoft Entra 稽核記錄 | 活動:刪除條件式存取原則 類別:原則 由 (執行者) 起始:使用者主體名稱 |
監視和警示條件式存取變更。 由 (執行者) 起始:是否核准可以對條件式存取進行變更? Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 非核准執行者所更新的條件式存取原則 | 中 | Microsoft Entra 稽核記錄 | 活動:更新條件式存取原則 類別:原則 由 (執行者) 起始:使用者主體名稱 |
監視和警示條件式存取變更。 由 (執行者) 起始:是否核准可以對條件式存取進行變更? 檢閱修改的屬性,並且比較「舊的」與「新的」值 Microsoft Sentinel 範本 (英文) Sigma 規則 |
| 從用來設定重要條件式存取原則範圍的群組中移除使用者 | 中 | Microsoft Entra 稽核記錄 | 活動:從群組移除成員 類別:GroupManagement 目標:使用者主體名稱 |
監視和警示用來設定重要條件式存取原則範圍的群組。 「目標」是已移除的使用者。 Sigma 規則 |
| 將使用者新增至用來設定重要條件式存取原則範圍的群組 | 低 | Microsoft Entra 稽核記錄 | 活動:將成員新增至群組 類別:GroupManagement 目標:使用者主體名稱 |
監視和警示用來設定重要條件式存取原則範圍的群組。 「目標」是已新增的使用者。 Sigma 規則 |
下一步
Microsoft Entra 安全性作業概觀 (部分機器翻譯)
使用者帳戶的安全性作業 (部分機器翻譯)
特殊權限帳戶的安全性作業 (部分機器翻譯)