適用於 Privileged Identity Management 的 Microsoft Entra ID 安全性作業

發行項
07/03/2024

商務資產的安全性取決於管理您 IT 系統的特殊權限帳戶完整性。網路攻擊者會利用認證竊取攻擊來瞄準管理帳戶，以及其他特殊權限存取帳戶，以嘗試存取敏感性資料。

對雲端服務而言，防範和回應是雲端服務提供者與客戶的共同責任。

傳統上，組織安全性著重於以網路的進入點和離開點作為安全界限。不過，SaaS 應用程式和個人裝置已使得這種做法已不太有用。在 Microsoft Entra ID 中，我們會以您組織身分識別層中的驗證取代網路安全界限。由於將使用者指派給特殊權限管理角色，在內部部署、雲端和混合式環境中必須保護其存取權。

您完全負責內部部署 IT 環境中所有層級的安全性。當您使用 Azure 雲端服務時，身為雲端服務提供者的 Microsoft 和身為客戶的您共同負責預防和應變。

如需共用責任模型的詳細資訊，請參閱在雲端中的共同責任。
如需有關保護具特殊權限使用者存取權的詳細資訊，請參閱在 Microsoft Entra ID 中保護混合式和雲端部署的具特殊權限存取。
如需特殊權限身分識別的各種影片、操作指南和重要概念內容，請參閱 Privileged Identity Management 文件。

Privileged Identity Management (PIM) 是一個 Microsoft Entra 服務，可讓您管理、控制和監視對組織內重要資源的存取。這些資源包括 Microsoft Entra ID、Azure 與其他 Microsoft Online Services (例如 Microsoft 365 或 Microsoft Intune) 中的資源。您可以使用 PIM 來協助降低下列風險：

識別並儘量減少可以存取安全資訊和資源的人數。
偵測敏感性資源上過多、不必要或誤用的存取權限。
減少惡意執行者存取受保護資訊或資源的機會。
降低未經授權的使用者不慎影響敏感性資源的可能性。

使用本文提供的指引來設定基準、稽核登入及特殊權限帳戶的使用方式。使用來源稽核的記錄來源，協助維護特殊權限帳戶的完整性。

查看位置

以下為您可用來調查和監視的記錄檔：

在 Azure 入口網站中，檢視 Microsoft Entra 稽核記錄，並下載為逗點分隔值 (CSV) 或 JavaScript 物件標記法 (JSON) 檔案。 Azure 入口網站有數種方式可將 Microsoft Entra 記錄與其他工具整合，來將監視和警示自動化：

Microsoft Sentinel (部分機器翻譯) - 提供安全性資訊與事件管理 (SIEM) 功能，以在企業層級啟用智慧型安全性分析。
Sigma 規則 (英文) - Sigma 是撰寫規則和範本的開放式標準，自動化管理工具可使用這些規則與範本來剖析記錄檔。對於建議搜尋準則存在 Sigma 範本的情況，我們已新增 Sigma 存放庫的連結。 Sigma 範本不是由 Microsoft 所撰寫、測試及管理。而是由全球 IT 安全性社群建立及收集存放庫和範本。
Azure 監視器 (部分機器翻譯) - 啟用對各種狀況的自動監視和警示。可以建立或使用活頁簿以合併來自不同來源的資料。
與 SIEM 整合的 Azure 事件中樞 - Microsoft Entra 記錄可以透過 Azure 事件中樞整合被整合到其他 SIEM，例如 Splunk、ArcSight、QRadar 和 Sumo Logic。
Microsoft Defender for Cloud Apps (部分機器翻譯) - 可讓您探索和管理應用程式、跨應用程式和資源來控管，以及檢查雲端應用程式的合規性。
使用 Microsoft Entra ID Protection 來保護工作負載身分識別 - 用來偵測工作負載身分識別在登入行為和離線入侵指標上的風險。

本文的其餘部分將提供設定監視和警示基準的建議 (使用階層模型)。預先建置解決方案的連結會出現在資料表後面。您可以使用上述工具來建立警示。內容會分成下列領域：

基準
Microsoft Entra 角色指派
Microsoft Entra 角色警示設定
Azure 資源角色指派
Azure 資源的存取管理
提高存取權限以管理 Azure 訂用帳戶

基準

以下是建議的基準設定：

監視對象	風險層級	建議	角色	備註
Microsoft Entra 角色指派	高	啟用需要理由。需要核准才能啟用。設定兩道核准者流程。啟用時，需要 Microsoft Entra 多重要素驗證。將提高權限最長期間設定為 8 小時。	安全性系統管理員、特殊權限角色管理員、全域管理員	特殊權限角色管理員可以在其 Microsoft Entra 組織中自訂 PIM，包括變更使用者在啟用合格角色指派時的體驗。
Azure 資源角色設定	高	啟用需要理由。需要核准才能啟用。設定兩道核准者流程。啟用時，需要 Microsoft Entra 多重要素驗證。將提高權限最長期間設定為 8 小時。	擁有者、使用者存取系統管理員	如果不是規劃的變更，請立即調查。此設定可能會讓攻擊者存取環境中的 Azure 訂用帳戶。

Privileged Identity Management 警示

當您的 Microsoft Entra 組織中存在可疑或不安全的活動時，Privileged Identity Management (PIM) 會產生警示。產生警示時，其會出現在 Privileged Identity Management 儀表板中。您也可以設定電子郵件通知，或透過 GraphAPI 傳送至 SIEM。因為這些警示特別著重於系統管理角色，因此您應該密切監視是否有任何警示。

監視對象	風險層級	其中	篩選/子篩選 UX	備註
在 Privileged Identity Management 之外指派角色 (部分機器翻譯)	高	Privileged Identity Management、警示	在 Privileged Identity Management 之外指派角色 (部分機器翻譯)	如何設定安全性警示 Sigma 規則
特殊權限角色中的潛在過時帳戶 (部分機器翻譯)	中	Privileged Identity Management、警示	特殊權限角色中的潛在過時帳戶 (部分機器翻譯)	如何設定安全性警示 Sigma 規則
系統管理員未使用其特殊權限角色	低	Privileged Identity Management、警示	系統管理員未使用其特殊權限角色	如何設定安全性警示 Sigma 規則
角色不需要多重要素驗證來進行啟用 (部分機器翻譯)	低	Privileged Identity Management、警示	角色不需要多重要素驗證來進行啟用 (部分機器翻譯)	如何設定安全性警示 Sigma 規則
組織沒有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 (部分機器翻譯)	低	Privileged Identity Management、警示	組織沒有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 (部分機器翻譯)	如何設定安全性警示 Sigma 規則
全域管理員太多 (部分機器翻譯)	低	Privileged Identity Management、警示	全域管理員太多 (部分機器翻譯)	如何設定安全性警示 Sigma 規則
啟用角色的次數太頻繁	低	Privileged Identity Management、警示	啟用角色的次數太頻繁	如何設定安全性警示 Sigma 規則

Microsoft Entra 角色指派

特殊權限角色管理員可以在其 Microsoft Entra 組織中自訂 PIM，包括變更啟用合格角色指派時的使用者體驗：

防止惡意執行者移除用於啟用特殊權限存取的 Microsoft Entra 多重要素驗證需求。
防止惡意使用者規避啟用特殊權限存取的理由和核准。

監視對象	風險層級	其中	篩選/子篩選	備註
特殊權限帳戶的權限發生「新增」變更時發出警示	高	Microsoft Entra 稽核記錄	類別 = 角色管理 -及- 活動類型 - 新增合格成員 (永久) -及- 活動類型 - 新增合格成員 (合格) -及- 狀態 = 成功/失敗 -及- 修改的屬性 = Role.DisplayName	監視任何變更，並隨時提醒特殊權限角色管理員和全域管理員注意。這可能表示攻擊者正嘗試取得權限來修改角色指派設定。如果您未定義閾值，則會在 60 分鐘內對使用者發出 4 次警示，在 60 分鐘內對特殊權限帳戶發出 2 次警示。 Sigma 規則
特殊權限帳戶的權限發生大量刪除變更時發出警示	高	Microsoft Entra 稽核記錄	類別 = 角色管理 -及- 活動類型 - 移除合格成員 (永久) -及- 活動類型 - 移除合格成員 (合格) -及- 狀態 = 成功/失敗 -及- 修改的屬性 = Role.DisplayName	如果不是規劃的變更，請立即調查。此設定可能讓攻擊者存取環境中的 Azure 訂用帳戶。 Microsoft Sentinel 範本 (英文) Sigma 規則
PIM 設定的變更	高	Microsoft Entra 稽核記錄	服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 在 PIM 中更新角色設定 -及- 狀態原因 = 啟用時 MFA 已停用 (範例)	監視任何變更，並隨時提醒特殊權限角色管理員和全域管理員注意。這可能表示攻擊者已取得權限來修改角色指派設定。其中一個動作可能降低 PIM 提高權限的安全性，讓攻擊者更容易取得具特殊權限的帳戶。 Microsoft Sentinel 範本 (英文) Sigma 規則
核准和拒絕提高權限	高	Microsoft Entra 稽核記錄	服務 = 存取權檢閱 -及- 類別 = UserManagement -及- 活動類型 = 已核准/已拒絕要求 -及- 起始的執行者 = UPN	應該監視所有提高權限。記錄所有提高權限，以清楚指出攻擊時間表。 Microsoft Sentinel 範本 (英文) Sigma 規則
警示設定變更為停用。	高	Microsoft Entra 稽核記錄	服務 = PIM -及- 類別 = 角色管理 -及- 活動類型 = 停用 PIM 警示 -及- 狀態 = 成功/失敗	隨時警示。協助偵測惡意執行者移除啟用特殊權限存取的 Microsoft Entra 多重要素驗證需求的相關警示。協助偵測可疑或不安全的活動。 Microsoft Sentinel 範本 (英文) Sigma 規則

如需在 Microsoft Entra 稽核記錄中識別角色設定變更的詳細資訊，請參閱在 Privileged Identity Management 中檢視 Microsoft Entra 角色的稽核記錄 (部分機器翻譯)。

Azure 資源角色指派

監視 Azure 資源角色指派可讓您看到資源角色的活動和啟用。這些指派可能被濫用來形成資源的受攻擊面。監視這類活動時會嘗試偵測：

查詢特定資源的角色指派
所有子資源的角色指派
所有作用中和合格角色指派的變更

監視對象	風險層級	其中	篩選/子篩選	備註
特殊權限帳戶活動的稽核警示資源稽核記錄	高	在 PIM 中，[Azure 資源] 下的 [資源稽核]	動作：已完成在 PIM 中將合格成員新增至角色 (時限) -及- 主要目標 -及- 類型：使用者 -及- 狀態 = 成功	隨時警示。協助偵測惡意執行者新增合格角色來管理 Azure 中的所有資源。
停用警示的稽核警示資源稽核	中	在 PIM 中，[Azure 資源] 下的 [資源稽核]	動作：停用警示 -及- 主要目標：指派給資源的擁有者太多 -及- 狀態 = 成功	協助您在 [警示] 窗格中偵測惡意執行者停用警示的動作，此動作可略過正在調查的惡意活動
停用警示的稽核警示資源稽核	中	在 PIM 中，[Azure 資源] 下的 [資源稽核]	動作：停用警示 -及- 主要目標：指派給資源的永久擁有者太多 -及- 狀態 = 成功	在 [警示] 窗格中防止惡意執行者停用警示，此動作可略過正在調查的惡意活動
停用警示的稽核警示資源稽核	中	在 PIM 中，[Azure 資源] 下的 [資源稽核]	動作：停用警示 -及- 主要目標：已建立重複角色 -及- 狀態 = 成功	從 [警示] 窗格中防止惡意執行者停用警示，此動作可略過正在調查的惡意活動

如需有關設定警示和稽核 Azure 資源角色的詳細資訊，請參閱：

Azure 資源和訂用帳戶的存取管理

指派給擁有者或使用者存取系統員訂用帳戶角色的使用者或群組成員，以及在 Microsoft Entra ID 中啟用訂用帳戶管理的 Microsoft Entra 全域管理員，預設具有資源管理員權限。這些管理員可以使用 Privileged Identity Management (PIM)，為 Azure 資源指派角色、進行配置角色設定及檢閱存取權。

具有資源管理員權限的使用者可以在 PIM 中管理資源。監視並降低此引入風險：此功能可用來允許惡意執行者以特殊權限存取 Azure 訂用帳戶資源，例如虛擬機器或儲存體帳戶。

監視對象	風險層級	其中	篩選/子篩選	備註
提高權限	高	Microsoft Entra ID，位於 [管理]，[屬性] 底下	定期檢閱設定。 Azure 資源的存取管理	全域管理員可以透過啟用對 Azure 資源的存取管理來提高權限。確認惡意執行者未取得權限在所有 Azure 訂用帳戶和 Active Directory 相關聯的管理群組中指派角色。