Ochrona platformy Microsoft 365 przed atakami lokalnymi

Wielu klientów łączy swoje prywatne sieci firmowe z platformą Microsoft 365, aby korzystać z użytkowników, urządzeń i aplikacji. Aktorzy zagrożeń mogą naruszyć te sieci prywatne na wiele dobrze udokumentowanych sposobów. Platforma Microsoft 365 działa jako rodzaj układu nerwowego dla organizacji, które zainwestowały w modernizację środowiska chmury. Ochrona platformy Microsoft 365 przed naruszeniem infrastruktury lokalnej ma kluczowe znaczenie.

W tym artykule pokazano, jak skonfigurować systemy w celu ochrony środowiska chmury platformy Microsoft 365 przed naruszeniem zabezpieczeń lokalnych:

• Ustawienia konfiguracji dzierżawcy Microsoft Entra.
• Jak bezpiecznie połączyć dzierżawy Microsoft Entra z systemami lokalnymi.
• Kompromisy wymagane do obsługi systemów w sposób chroniący systemy w chmurze przed naruszeniem lokalnych zabezpieczeń.

Firma Microsoft zdecydowanie zaleca zaimplementowanie wskazówek w tym artykule.

Źródła zagrożeń w środowiskach lokalnych

Środowisko chmury platformy Microsoft 365 korzysta z rozbudowanej infrastruktury monitorowania i zabezpieczeń. Platforma Microsoft 365 korzysta z uczenia maszynowego i analizy ludzkiej w celu przyjrzenia się ruchowi na całym świecie. Może szybko wykrywać ataki i umożliwia ponowne skonfigurowanie niemal w czasie rzeczywistym.

Wdrożenia hybrydowe mogą łączyć infrastrukturę lokalną z platformą Microsoft 365. W takich wdrożeniach wiele organizacji deleguje zaufanie do składników lokalnych na potrzeby krytycznych decyzji dotyczących uwierzytelniania i zarządzania stanem obiektu katalogu. Jeśli podmioty zagrożeń naruszyją bezpieczeństwo środowiska lokalnego, te relacje zaufania staną się dla nich okazjami, aby również naruszyć bezpieczeństwo środowiska platformy Microsoft 365.

Dwa podstawowe wektory zagrożeń to relacje zaufania federacji i synchronizacja kont. Oba wektory mogą udzielić atakującemu dostępu administracyjnego do chmury.

• Relacje zaufania federacyjnego, takie jak uwierzytelnianie saml (Security Assertions Markup Language), są używane do uwierzytelniania w usłudze Microsoft 365 za pośrednictwem lokalnej infrastruktury tożsamości. W przypadku naruszenia zabezpieczeń certyfikatu podpisywania tokenu SAML federacja umożliwia każdemu, kto ma ten certyfikat, personifikować dowolnego użytkownika w chmurze. Aby wyeliminować ten wektor, zalecamy wyłączenie relacji zaufania federacji na potrzeby uwierzytelniania na platformie Microsoft 365, jeśli jest to możliwe. Zalecamy również migrowanie innych aplikacji korzystających z lokalnej infrastruktury federacyjnej do korzystania z usługi Microsoft Entra do uwierzytelniania.
• Użyj synchronizacji kont, aby zmodyfikować uprzywilejowanych użytkowników, w tym ich poświadczenia lub grupy z uprawnieniami administracyjnymi na platformie Microsoft 365. Aby wyeliminować ten wektor, zalecamy upewnienie się, że zsynchronizowane obiekty nie mają uprawnień wykraczających poza użytkownika na platformę Microsoft 365. Uprawnienia można kontrolować bezpośrednio lub za pomocą dołączania do zaufanych ról lub grup. Upewnij się, że te obiekty nie mają bezpośredniego ani zagnieżdżonego przypisania w zaufanych rolach lub grupach w chmurze.

Ochrona platformy Microsoft 365 przed naruszeniem zabezpieczeń lokalnych

Aby sprostać zagrożeniom lokalnym, zalecamy przestrzeganie czterech zasad przedstawionych na poniższym diagramie.

1. W pełni izoluj konta administratora platformy Microsoft 365. Powinny być:

   • Konta natywne dla chmury.
   • Uwierzytelnione z użyciem poświadczeń odpornych na wyłudzanie informacji.
   • Zabezpieczone przez dostęp warunkowy firmy Microsoft Entra.
   • Dostęp do usługi jest uzyskiwany tylko przy użyciu stacji roboczych z dostępem uprzywilejowanym zarządzanych przez chmurę.

   Te konta administratorów są kontami z ograniczeniami. Żadne konta lokalne nie powinny mieć uprawnień administracyjnych na platformie Microsoft 365.

   Aby uzyskać więcej informacji, zobacz O rolach administratora i Role dla Microsoft 365 w Microsoft Entra ID.

2. Zarządzanie urządzeniami z platformy Microsoft 365. Użyj rozwiązania Microsoft Entra join i opartego na chmurze zarządzania urządzeniami przenośnymi (MDM), aby wyeliminować zależności od lokalnej infrastruktury zarządzania urządzeniami. Te zależności mogą naruszyć bezpieczeństwo urządzeń i mechanizmów kontroli zabezpieczeń.

3. Upewnij się, że żadne konto lokalne nie ma podniesionych uprawnień do platformy Microsoft 365. Niektóre konta uzyskują dostęp do aplikacji lokalnych, które wymagają uwierzytelniania NTLM, Lightweight Directory Access Protocol (LDAP) lub Kerberos. Te konta muszą znajdować się w lokalnej infrastrukturze tożsamości organizacji. Upewnij się, że te konta nie są uwzględniane wraz z kontami usług w uprzywilejowanych rolach lub grupach w chmurze. Upewnij się, że zmiany tych kont nie mogą mieć wpływu na integralność środowiska chmury. Uprzywilejowane oprogramowanie lokalne nie może mieć wpływu na uprzywilejowane konta lub role platformy Microsoft 365.

4. Użyj uwierzytelniania w chmurze Firmy Microsoft Entra, aby wyeliminować zależności od poświadczeń lokalnych. Zawsze używaj metod uwierzytelniania odpornych na wyłudzanie informacji, takich jak Windows Hello dla firm, poświadczenie platformy dla systemu macOS, kluczy dostępu (FIDO2), kluczy dostępu microsoft Authenticator lub uwierzytelniania opartego na certyfikatach.

Konkretne zalecenia dotyczące zabezpieczeń

Poniższe sekcje zawierają wskazówki dotyczące implementowania zasad w tym artykule.

Izolowanie tożsamości uprzywilejowanych

W usłudze Microsoft Entra ID użytkownicy, którzy mają uprzywilejowane role, takie jak administratorzy, są głównym elementem zaufania do tworzenia reszty środowiska i zarządzania nim. Zaimplementuj następujące rozwiązania, aby zminimalizować skutki naruszenia zabezpieczeń.

• Używaj kont tylko w chmurze dla ról uprzywilejowanych Microsoft Entra ID i Microsoft 365.
• Wdróż urządzenia z dostępem uprzywilejowanym w celu zarządzania usługami Microsoft 365 i Microsoft Entra ID. Zobacz Role i profile urządzeń.
• Wdróż usługę Microsoft Entra Privileged Identity Management (PIM) w celu uzyskania dostępu na czas do wszystkich ludzkich kont z uprzywilejowanymi rolami. Wymagaj uwierzytelniania odpornego na wyłudzanie informacji w celu aktywowania ról.
• Podaj role administracyjne, które umożliwiają wykonywanie wymaganych zadań przez najmniejsze uprawnienia. Zobacz Najmniej uprzywilejowane role według zadania w identyfikatorze Entra firmy Microsoft.
• Aby włączyć zaawansowane środowisko przypisywania ról, które obejmuje delegowanie i wiele ról w tym samym czasie, rozważ użycie grup zabezpieczeń firmy Microsoft Entra lub Grupy Microsoft 365. Zbiorczo nazywamy te grupy chmur .
• Włącz kontrolę dostępu opartą na rolach. Zobacz Przypisywanie ról Microsoft Entra. Użyj jednostek administracyjnych w Microsoft Entra ID, aby ograniczyć zakres ról do części organizacji.
• Wdróż konta dostępu awaryjnego zamiast lokalnych magazynów haseł do przechowywania poświadczeń. Zobacz Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.

Aby uzyskać więcej informacji, zobacz Zabezpieczanie uprzywilejowanego dostępu i Zasady bezpiecznego dostępu dla administratorów w Microsoft Entra ID.

Korzystanie z uwierzytelniania w chmurze

Poświadczenia są podstawowym wektorem ataku. Zaimplementuj następujące rozwiązania, aby zapewnić bezpieczeństwo poświadczeń:

• Wdrażanie uwierzytelniania bez hasła. Zmniejsz użycie haseł tak bardzo, jak to możliwe, wdrażając poświadczenia bez hasła. Możesz zarządzać tymi poświadczeniami i weryfikować je natywnie w chmurze. Aby uzyskać więcej informacji, zobacz Wprowadzenie do wdrażania uwierzytelniania bez hasła odpornego na wyłudzanie informacji w usłudze Microsoft Entra ID. Wybierz spośród następujących metod uwierzytelniania:

  • usługi Windows Hello dla firm
  • Poświadczenie platformy dla systemu macOS
  • aplikacja Microsoft Authenticator
  • FIDO2) passkeys
  • Uwierzytelnianie certyfikatowe Microsoft Entra

• Wdrażanie uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft. Aprowizuj wiele silnych poświadczeń przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft. W ten sposób dostęp do zasobów w chmurze wymaga poświadczenia zarządzanego identyfikatora entra firmy Microsoft oprócz hasła lokalnego. Aby uzyskać więcej informacji, zobacz Tworzenie odporności za pomocą zarządzania poświadczeniami i Tworzenie odpornej strategii zarządzania kontrolą dostępu przy użyciu identyfikatora Entra firmy Microsoft.

• Modernizuj logowanie jednokrotne z urządzeń. Korzystanie z nowoczesnych funkcji logowania jednokrotnego (SSO) systemu Windows 11, macOS, Linux i urządzeń przenośnych.

• Rozważania Zarządzanie hasłami konta hybrydowego wymaga składników hybrydowych, takich jak agenci ochrony haseł i agenci zapisywania zwrotnego haseł. Jeśli osoby atakujące naruszyją bezpieczeństwo infrastruktury lokalnej, mogą kontrolować maszyny, na których znajdują się ci agenci. Ta luka w zabezpieczeniach nie narusza infrastruktury chmury. Używanie kont w chmurze dla ról uprzywilejowanych nie chroni tych składników hybrydowych przed naruszeniem zabezpieczeń lokalnych.

  Domyślne zasady wygasania haseł w usłudze Microsoft Entra ustalają, że hasło konta zsynchronizowanych kont lokalnych ma nigdy nie wygasać. To ustawienie można ograniczyć przy użyciu lokalnych ustawień haseł usługi Active Directory. Jeśli twoje wystąpienie usługi Active Directory zostało naruszone i synchronizacja jest wyłączona, ustaw opcję CloudPasswordPolicyForPasswordSyncedUsersEnabled, aby wymusić zmiany haseł lub przejść na uwierzytelnianie odporne na phishing .

Aprowizuj dostęp użytkowników z chmury

Aprowizowanie odnosi się do tworzenia kont użytkowników i grup w aplikacjach lub dostawcach tożsamości.

Zalecamy następujące metody aprowizacji:

• Aprowizuj z aplikacji cloud HR do identyfikatora Entra firmy Microsoft. Ta aprowizacja umożliwia odizolowanie lokalnego naruszenia zabezpieczeń. Ta izolacja nie zakłóca cyklu dołączania-mover-leaver z aplikacji hr w chmurze do identyfikatora Entra firmy Microsoft.

• Aplikacje w chmurze. Jeśli to możliwe, wdróż udostępnianie aplikacji w usłudze Microsoft Entra ID zamiast lokalnych rozwiązań aprowizacji. Ta metoda chroni niektóre aplikacje typu oprogramowanie jako usługa (SaaS) przed złośliwymi profilami atakujących, którzy dokonują naruszeń na miejscu.

• Tożsamości zewnętrzne. Użyj Microsoft Entra External ID do współpracy B2B, aby zmniejszyć zależność od kont lokalnych na potrzeby współpracy zewnętrznej z partnerami, klientami i dostawcami. Starannie oceń dowolną bezpośrednią federację z innymi dostawcami tożsamości. Zalecamy ograniczenie kont gości B2B w następujący sposób:

  • Ogranicz dostęp gościa do grup przeglądania i innych właściwości w katalogu. Użyj ustawień współpracy zewnętrznej, aby ograniczyć możliwość odczytywania grup przez gości, jeżeli nie są ich członkami.
  • Blokuj dostęp do witryny Azure Portal. Można tworzyć rzadkie niezbędne wyjątki. Utwórz zasadę dostępu warunkowego, która obejmuje wszystkich gości i użytkowników zewnętrznych. Następnie zaimplementuj zasady, aby zablokować dostęp.

• Odłączone lasy. Aprowizacja w chmurze firmy Microsoft Entra umożliwia nawiązywanie połączenia z odłączonymi lasami. Takie podejście eliminuje konieczność ustanowienia łączności lub zaufania między lasami, co może zwiększyć wpływ naruszenia zabezpieczeń lokalnych. Aby uzyskać więcej informacji, zobacz Co to jest microsoft Entra Connect Cloud Sync.

• Rozważania W przypadku aprowizacji kont hybrydowych system Microsoft Entra ID-from-cloud-HR opiera się na synchronizacji lokalnej w celu ukończenia przepływu danych z usługi Active Directory do identyfikatora Entra firmy Microsoft. Jeśli synchronizacja zostanie przerwana, nowe rekordy pracowników nie będą dostępne w identyfikatorze Entra firmy Microsoft.

Korzystanie z grup w chmurze na potrzeby współpracy i dostępu

Grupy w chmurze umożliwiają oddzielenie współpracy i dostępu z infrastruktury lokalnej.

• Współpraca. Używaj Grupy Microsoft 365 i usługi Microsoft Teams do nowoczesnej współpracy. Likwiduj lokalne listy dystrybucyjne i uaktualnij listy dystrybucyjne do grup platformy Microsoft 365 w programie Outlook.
• Dostęp. Użyj grup zabezpieczeń firmy Microsoft Entra lub Grupy Microsoft 365, aby autoryzować dostęp do aplikacji w usłudze Microsoft Entra ID. Aby kontrolować dostęp do aplikacji lokalnych, rozważ prowizjonowanie grup do usługi Active Directory przy użyciu usługi Microsoft Entra Cloud Sync.
• Licencjonowanie. Używanie licencjonowania opartego na grupach do udostępniania usług Microsoft przy użyciu grup wyłącznie chmurowych. Ta metoda rozdziela kontrolę nad członkostwem w grupie z infrastruktury lokalnej.

Rozważmy właścicieli grup używanych do uzyskiwania dostępu jako tożsamości uprzywilejowanych, aby uniknąć przejęcia członkostwa w środowisku lokalnym. Przejęcia obejmują bezpośrednie manipulowanie członkostwem w grupach lokalnych lub manipulowanie atrybutami lokalnymi, które mogą mieć wpływ na członkostwo w grupie dynamicznej platformy Microsoft 365.

Zarządzanie urządzeniami z chmury

Bezpieczne zarządzanie urządzeniami za pomocą funkcji firmy Microsoft Entra.

Wdróż stacje robocze z systemem Windows 11 zintegrowane z Microsoft Entra, korzystając z zasad zarządzania urządzeniami mobilnymi. Włącz Windows Autopilot dla w pełni zautomatyzowanego procesu aprowizacji. Zobacz Zaplanuj implementację połączenia z Microsoft Entra.

• Używaj stacji roboczych z systemem Windows 11, które mają najnowsze aktualizacje wdrożone.

  • Wycofaj maszyny z systemem Windows 10 i starszymi wersjami.
  • Nie wdrażaj komputerów z systemami operacyjnymi serwera jako stacjami roboczymi.

• Użyj usługi Microsoft Intune jako głównego narzędzia do zarządzania wszystkimi zadaniami urządzeń, w tym systemów Windows, macOS, iOS, Android i Linux.

  • Wdróż rozszerzenie SSO dla systemu iOS Enterprise.
  • wdróż rozszerzenie logowania jednokrotnego dla systemu macOS Enterprise lub Platform SSO Secure Enclave Key.

• Wdrażanie urządzeń z dostępem uprzywilejowanym. Aby uzyskać więcej informacji, zobacz Role i profile urządzeń.

Obciążenia, aplikacje i zasoby

Ta sekcja zawiera zalecenia dotyczące ochrony przed atakami lokalnymi na obciążenia, aplikacje i zasoby.

• Lokalne systemy logowania jednokrotnego (SSO). Wycofaj dowolną lokalną federację i infrastrukturę zarządzania dostępem do internetu. Konfigurowanie aplikacji do używania identyfikatora Entra firmy Microsoft. Jeśli używasz usług AD FS do federacji, zobacz Zrozum etapy migracji uwierzytelniania aplikacji z AD FS do Microsoft Entra ID.
• Aplikacje SaaS i biznesowe (LOB), które obsługują nowoczesne protokoły uwierzytelniania. Użyj logowania jednokrotnego w usłudze Microsoft Entra ID. Skonfiguruj aplikacje, aby używać identyfikatora Entra firmy Microsoft do uwierzytelniania w celu zmniejszenia ryzyka w przypadku naruszenia zabezpieczeń lokalnych.
• Starsze aplikacje. Możesz włączyć uwierzytelnianie, autoryzację i zdalny dostęp do starszych aplikacji, które nie obsługują nowoczesnego uwierzytelniania przy użyciu microsoft Entra Private Access. Pierwszym krokiem jest umożliwienie nowoczesnego dostępu do sieci wewnętrznych przy użyciu szybkiego dostępu firmy Microsoft Entra Private Access. Ten krok zapewnia szybki i łatwy sposób zastąpienia jednorazowej konfiguracji sieci VPN przy użyciu bezpiecznych funkcji dostępu warunkowego. Następnie skonfiguruj dostęp dla aplikacji do dowolnej aplikacji opartej na protokole TCP lub UDP.
• Dostęp warunkowy. Określanie zasad dostępu warunkowego dla aplikacji SaaS, LOB i dziedzictwa w celu egzekwowania mechanizmów kontroli zabezpieczeń, na przykład uwierzytelnianie wieloskładnikowe odporne na wyłudzenie informacji i zgodność urządzeń. Aby uzyskać więcej informacji, przeczytaj Planuj wdrożenie dostępu warunkowego Microsoft Entra.
• Cykl życia dostępu. Kontrolowanie cyklu życia dostępu do aplikacji i zasobów przy użyciu Microsoft Entra ID Governance w celu zaimplementowania dostępu o najmniejszych uprawnieniach. Nadaj użytkownikom dostęp do informacji i zasobów tylko wtedy, gdy mają prawdziwą potrzebę wykonywania zadań. Integrowanie aplikacji SaaS, LOB i starszych z usługą Microsoft Entra ID Governance. Usługa Microsoft Entra ID Entitlement Management automatyzuje przepływy pracy dotyczące żądań dostępu, przypisywania dostępu, przeglądów oraz wygaśnięcia.
• Serwery aplikacji i obciążeń. Możesz migrować aplikacje lub zasoby wymagające serwerów do infrastruktury jako usługi platformy Azure (IaaS). Użyj usługi Microsoft Entra Domain Services, aby rozdzielić relacje zaufania i zależności od lokalnych wystąpień usługi Active Directory. Aby to zrobić, upewnij się, że sieci wirtualne używane w usługach Microsoft Entra Domain Services nie mają połączenia z sieciami firmowymi. Użyj obsługi warstw poświadczeń. Serwery aplikacji są zwykle uznawane za zasoby warstwy 1. Aby uzyskać więcej informacji, zobacz Model dostępu dla przedsiębiorstw.

Zasady dostępu warunkowego

Użyj dostępu warunkowego firmy Microsoft Entra, aby interpretować sygnały i używać ich do podejmowania decyzji dotyczących uwierzytelniania. Aby uzyskać więcej informacji, zobacz plan wdrożenia dostępu warunkowego.

• Użyj dostępu warunkowego, aby zablokować starsze protokoły uwierzytelniania zawsze, gdy jest to możliwe. Ponadto wyłącz starsze protokoły uwierzytelniania na poziomie aplikacji przy użyciu konfiguracji specyficznej dla aplikacji. Zobacz Blokowanie starszego uwierzytelniania i starsze protokoły uwierzytelniania. Znajdź szczegółowe informacje dotyczące usługi Exchange Online i SharePoint Online.
• Zaimplementuj zalecane konfiguracje tożsamości i dostępu do urządzeń. Zobacz Common Zero Trust identity and device access policies (Typowe zasady dostępu do urządzeń i tożsamości zero zaufania).
• Jeśli używasz wersji identyfikatora Entra firmy Microsoft, która nie zawiera dostępu warunkowego, użyj wartości domyślnych zabezpieczeń w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji na temat licencjonowania funkcji firmy Microsoft Entra, zobacz przewodnik cennika firmy Microsoft Entra.

Monitor

Po skonfigurowaniu środowiska w celu ochrony platformy Microsoft 365 przed zagrożeniami lokalnymi aktywnie monitoruj środowisko. Aby uzyskać więcej informacji, zobacz Co to jest monitorowanie Microsoft Entra.

Monitoruj następujące kluczowe scenariusze, oprócz wszystkich scenariuszy specyficznych dla twojej organizacji.

• Podejrzane działanie. Monitoruj wszystkie zdarzenia o podwyższonym ryzyku firmy Microsoft pod kątem podejrzanych działań. Zobacz Instrukcje: badanie ryzyka. Usługa Microsoft Entra ID Protection natywnie integruje się z usługą Microsoft Defender for Identity. Zdefiniuj lokalizacje nazwane sieci, aby uniknąć hałaśliwych wykryć na sygnałach opartych na lokalizacji. Zobacz Używanie warunku lokalizacji w zasadach dostępu warunkowego.

• Alerty analizy behawioralnej użytkowników i podmiotów (UEBA). Użyj analizy UEBA, aby uzyskać szczegółowe informacje na temat wykrywania anomalii. usługa Microsoft Defender dla Chmury Apps zapewnia analizę UEBA w chmurze. Zobacz Badanie ryzykownych użytkowników. Lokalną analizę UEBA można zintegrować z usługą Microsoft Defender for Identity. Microsoft Defender dla Chmury Apps odczytuje sygnały z Ochrona tożsamości Microsoft Entra. Zobacz Włączanie analizy zachowań jednostek w celu wykrywania zaawansowanych zagrożeń.

• Aktywność kont dostępu awaryjnego. Monitoruj dostęp korzystający z kont dostępu awaryjnego. Zobacz Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID. Utwórz alerty dla badań. To monitorowanie musi obejmować następujące akcje:

  • Logowania
  • Zarządzanie poświadczeniami
  • Wszelkie aktualizacje członkostwa w grupach
  • Przypisania aplikacji

• Działanie roli uprzywilejowanej. Konfigurowanie i przeglądanie alertów zabezpieczeń generowanych przez usługę Microsoft Entra Privileged Identity Management (PIM). Monitorowanie bezpośredniego przypisywania ról uprzywilejowanych poza usługą PIM przez generowanie alertów za każdym razem, gdy użytkownik jest przypisany bezpośrednio.

• Konfiguracje dla dzierżawy całego środowiska Microsoft Entra. Wszelkie zmiany konfiguracji dla całej dzierżawy powinny generować alerty w systemie. Uwzględnij (ale nie ogranicz do) następujące zmiany:

  • Zaktualizowane domeny niestandardowe
  • Microsoft Entra B2B zmienia się na listy dozwolonych i listy zablokowanych
  • Microsoft Entra B2B wprowadza zmiany dotyczące dozwolonych dostawców tożsamości, takich jak dostawcy SAML, poprzez federację bezpośrednią lub logowania przy użyciu mediów społecznościowych.
  • Zmiany zasad dostępu warunkowego lub ryzyka

• Application and service principal objects (Obiekty aplikacji i jednostki usługi)

  • Nowe aplikacje lub jednostki usługi, które mogą wymagać zasad dostępu warunkowego
  • Poświadczenia dodane do jednostek usługi
  • Działanie zgody aplikacji

• Role niestandardowe

  • Aktualizacje definicji ról niestandardowych
  • Nowo utworzone role niestandardowe

Aby uzyskać kompleksowe wskazówki dotyczące tego tematu, zapoznaj się z przewodnikiem Microsoft Entra security operations guide.

Zarządzanie dziennikami

Zdefiniuj strategię przechowywania i przechowywania dzienników, projektowanie i implementację, aby ułatwić spójny zestaw narzędzi. Rozważmy na przykład systemy zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takie jak Microsoft Sentinel, typowe zapytania oraz podręczniki dochodzeniowe i śledcze.

• Dzienniki firmy Microsoft Entra. Pozyskiwanie wygenerowanych dzienników i sygnałów przez spójne przestrzeganie najlepszych rozwiązań dotyczących ustawień, takich jak diagnostyka, przechowywanie dzienników i pozyskiwanie SIEM.

• Microsoft Entra ID zapewnia integrację z Azure Monitor dla wielu dzienników tożsamości. Aby uzyskać więcej informacji, zobacz dzienniki aktywności Microsoft Entra w usłudze Azure Monitor i Badanie ryzykownych użytkowników za pomocąCopilot.

• Dzienniki zabezpieczeń systemu operacyjnego infrastruktury hybrydowej. Archiwizowanie i dokładne monitorowanie wszystkich dzienników systemu operacyjnego infrastruktury tożsamości hybrydowej jako systemu warstwy 0 ze względu na implikacje dotyczące obszaru powierzchni. Uwzględnij następujące elementy:

  • Łączniki sieci prywatnej dla Microsoft Entra Private Access i Microsoft Entra Application Proxy.
  • Agenci przepisywania zwrotnego haseł.
  • Urządzenia bramy ochrony haseł.
  • Serwery zasad sieciowych (NPS), które mają rozszerzenie RADIUS do uwierzytelniania wieloskładnikowego Microsoft Entra.
  • Microsoft Entra Connect.
  • Aby monitorować synchronizację tożsamości, należy wdrożyć program Microsoft Entra Connect Health.

Aby uzyskać kompleksowe wskazówki dotyczące tego tematu, zapoznaj się z podręcznikami reagowania na zdarzenia i Badanie ryzykownych użytkowników za pomocą narzędzia Copilot

Następne kroki

• Tworzenie odporności na zarządzanie tożsamościami i dostępem przy użyciu identyfikatora Entra firmy Microsoft
• Zabezpieczanie dostępu zewnętrznego do zasobów
• Integrowanie wszystkich aplikacji z identyfikatorem Entra firmy Microsoft