Операции безопасности Microsoft Entra для устройств
Устройства обычно не становятся мишенью атак на основе удостоверений, но могут использоваться для обмана средств безопасности, а также для олицетворения пользователей. Устройства могут иметь одну из четырех связей с идентификатором Microsoft Entra:
Не зарегистрировано
Зарегистрированным и присоединенным устройствам выдается основной маркер обновления (PRT), который можно использовать в качестве основного артефакта проверки подлинности, а в некоторых случаях и как артефакт многофакторной проверки подлинности. Злоумышленники могут попытаться зарегистрировать свои собственные устройства, использовать PRT на законных устройствах для доступа к бизнес-данным, украсть маркеры на основе PRT с законных пользовательских устройств или найти неправильные настройки в элементах управления на основе устройств в Идентификаторе Microsoft Entra. При использовании гибридных устройств, присоединенных к Microsoft Entra, процесс присоединения инициируется и контролируется администраторами, уменьшая доступные методы атаки.
Дополнительные сведения о методах интеграции устройств см. в статье "Планирование развертывания устройства Microsoft Entra".
Чтобы снизить риск атаки злоумышленников на инфраструктуру с помощью устройств, отслеживайте следующие элементы.
Регистрация устройств и присоединение к Microsoft Entra
Несоответствующие устройства, обращающиеся к приложениям.
Получение ключа BitLocker.
Роли администраторов устройств
Входы в виртуальные машины.
Где искать
Для исследования и мониторинга используйте файлы журнала:
В портал Azure можно просмотреть журналы аудита Microsoft Entra и скачать их как файлы json с разделительными запятыми (CSV) или Нотация объектов JavaScript (JSON). В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:
Microsoft Sentinel — включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor — включает автоматический мониторинг и оповещение о различных условиях. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.
Центры событий Azure интегрированные с журналами SIEM- Microsoft Entra можно интегрировать с другими SIEMs, такими как Splunk, ArcSight, QRadar и Sumo Logic с помощью интеграции Центры событий Azure.
Microsoft Defender for Cloud Apps — позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои приложения на соответствие требованиям.
Защита удостоверений рабочей нагрузки с помощью Защита идентификации Microsoft Entra. Используется для обнаружения риска для удостоверений рабочей нагрузки в поведении входа и автономных индикаторах компрометации.
В основном вы будете отслеживать эффекты действия политик условного доступа и создавать оповещения именно по ним. Используйте книгу аналитических данных и отчетов для условного доступа для проверки эффектов одной или нескольких политик условного доступа для входов, а также результатов применения политик, включая состояние устройств. Эта книга позволяет просматривать сводные данные и оценивать влияние за определенный период времени. Кроме того, книгу можно использовать для исследования попыток входа конкретного пользователя.
В оставшейся части этой статьи описывается, для чего мы рекомендуем настроить отслеживание и оповещения, по типу угрозы. Если существуют конкретные готовые решения, мы приводим ссылки на них или предоставляем примеры после таблицы. В противном случае можно создавать оповещения с помощью предыдущих средств.
Регистрация и присоединение устройств за пределами политики
Зарегистрированные и присоединенные к Microsoft Entra устройства обладают основными маркерами обновления (PRT), которые эквивалентны одному фактору проверки подлинности. Эти устройства могут иногда содержать строгие утверждения проверки подлинности. Дополнительные сведения о том, когда PRT содержат строгие утверждения проверки подлинности, см. в разделе Когда PRT получает утверждение MFA. Чтобы помешать злоумышленникам регистрировать и присоединять устройства, используйте многофакторную проверку подлинности (MFA) для регистрации устройств или их присоединения. Затем отслеживайте устройства, зарегистрированные или присоединенные без MFA. Кроме того, необходимо отслеживать изменения параметров и политик MFA, а также политики соответствия устройств.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Регистрация или присоединение устройства выполнены без MFA | Средняя | Журналы входа | Действие: успешная проверка подлинности в службе регистрации устройств. And MFA не требуется |
Создавать оповещение, если: устройство регистрируется или присоединяется без использования MFA Шаблон Microsoft Sentinel Sigma-правила |
| Изменение переключателя MFA регистрации устройства в идентификаторе Microsoft Entra | Высокая | Журнал аудита | Действие: настройка политик регистрации устройств | Что проверять: переключатель отключен. Запись в журнале аудита отсутствует. Планирование периодических проверок. Sigma-правила |
| Изменения политик условного доступа, в которых требуется, чтобы устройство было присоединено к домену или соответствовало требованиям. | Высокая | Журнал аудита | Изменения политик условного доступа |
Создавать оповещение, если: вносятся изменения в любую политику, требующую присоединения к домену или проверяющую соответствие, в списки надежных расположений, учетных записей или устройств, добавленных в исключения политики MFA. |
Вы можете создать оповещение, уведомляющее соответствующих администраторов при регистрации или присоединении устройства без MFA, с помощью Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Вы также можете использовать Microsoft Intune, чтобы создавать и отслеживать политики соответствия устройств.
Вход с устройств, не соответствующих требованиям
Возможно, вам не удастся заблокировать доступ ко всем облачным приложениям и приложениям SaaS с помощью политик условного доступа, которые требуют соответствие устройств.
Управление мобильными устройствами (MDM) помогает поддерживать соответствие устройств Windows 10. В Windows версии 1809 мы выпустили базовые показатели безопасности для политик. Идентификатор Microsoft Entra может интегрироваться с MDM для обеспечения соответствия устройств корпоративным политикам и сообщать о состоянии соответствия устройства.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Попытки входа от несоответствующих устройств | Высокая | Журналы входа | DeviceDetail.isCompliant == false | Если требуется вход с устройств, соответствующих требованиям, создавайте оповещение для любого входа с несоответствующих устройств, без использования MFA или из надежного расположения. Также следует отслеживать подозрительные попытки входа. |
| Попытки входа от неизвестных устройств | Низкая | Журналы входа | DeviceDetail пуст, вход с однофакторной проверкой подлинности или из ненадежного расположения | Что проверять: любой доступ с устройств, не соответствующих требованиям, без использования MFA или из надежного расположения Шаблон Microsoft Sentinel Sigma-правила |
Использование LogAnalytics для запросов
Попытки входа от несоответствующих устройств
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Попытки входа от неизвестных устройств
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Неактивные устройства
Неактивные устройства — это устройства, которые не выполняли вход в течение указанного периода времени. Устройства могут стать устаревшими, когда пользователь получает новое устройство или теряет устройство или когда устройство, присоединенное к Microsoft Entra, очищается или перепроиздается. Устройства также могут оставаться зарегистрированными или присоединенными, даже когда пользователь уже не связан с арендатором. Неактивные устройства следует удалять, чтобы их основные маркеры обновления (PRT) невозможно было использовать.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Дата последнего входа | Низкая | API Graph | approximateLastSignInDateTime | Используйте API Graph или PowerShell для поиска и удаления неактивных устройств. |
Получение ключа BitLocker.
Злоумышленники, которые скомпрометировали устройство пользователя, могут получить ключи BitLocker в идентификаторе Microsoft Entra. Пользователи нечасто получают ключи, поэтому такие операции следует отслеживать и исследовать.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Получение ключей | Средняя | Журналы аудита | OperationName == "Read BitLocker key" | Что проверять: извлечение ключа, другое аномальное поведение пользователей, извлекающих ключи. Шаблон Microsoft Sentinel Sigma-правила |
В LogAnalytics создайте запрос, например:
AuditLogs
| where OperationName == "Read BitLocker key"
Роли администраторов устройств
Локальный администратор устройства Microsoft Entra и роли глобального администратора автоматически получают права локального администратора на всех устройствах, присоединенных к Microsoft Entra. Для защиты среды важно следить за тем, у кого есть эти права.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Пользователи, добавленные в роли глобального администратора или администратора устройств | Высокая | Журналы аудита | Тип действия = добавить участника в роль. | Найдите: новые пользователи, добавленные в эти роли Microsoft Entra, последующие аномальные действия компьютеров или пользователей. Шаблон Microsoft Sentinel Sigma-правила |
Входы, не относящиеся к Azure AD, в виртуальные машины
Входы в виртуальные машины Windows или LINUX должны отслеживаться для входа с помощью учетных записей, отличных от учетных записей Microsoft Entra.
Вход Microsoft Entra для Linux
Вход Microsoft Entra для Linux позволяет организациям входить на виртуальные машины Linux Azure с помощью учетных записей Microsoft Entra по протоколу безопасной оболочки (SSH).
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Вход учетной записи, не относящейся к Azure AD, особенно по SSH | Высокая | Локальные журналы проверки подлинности | Ubuntu: отслеживайте использование SSH в журнале /var/log/auth.log RedHat: monitor /var/log/sssd/ for SSH use |
Что проверять записи о том, что учетные записи не из среды Azure AD успешно подключаются к виртуальным машинам. см. следующий пример. |
Пример для Ubuntu:
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01
9 мая 23:49:39 ubuntu1804 aad_certhandler[3915]: пользователь "localusertest01" не является пользователем Microsoft Entra; возвращает пустой результат.
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01
9 мая 23:49:43 ubuntu1804 aad_certhandler[3916]: пользователь "localusertest01" не является пользователем Microsoft Entra; возвращает пустой результат.
May 9 23:49:43 ubuntu1804 sshd[3909]: Accepted publicly for localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0).
Вы можете задать политику входа для виртуальных машин Linux, а также обнаружить и пометить виртуальные машины Linux, для которых добавлены неутвержденные локальные учетные записи. Дополнительные сведения см. в разделе об использовании Политики Azure для обеспечения соответствия нормативным требованиям и стандартам.
Входы Microsoft Entra для Windows Server
Вход Microsoft Entra для Windows позволяет вашей организации входить на виртуальные машины Azure Windows 2019+ с помощью учетных записей Microsoft Entra по протоколу удаленного рабочего стола (RDP).
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Вход учетной записи, не относящейся к Azure AD, особенно по протоколу RDP | Высокая | Журналы событий Windows Server | Интерактивный вход в виртуальную машину Windows | Событие 528, тип входа 10 (RemoteInteractive). Показывает, когда пользователь входит в службы терминалов или удаленный рабочий стол. |
Следующие шаги
Обзор операций безопасности Microsoft Entra
Операции безопасности для учетных записей пользователей
Операции безопасности для учетных записей потребителей
Операции безопасности для привилегированных учетных записей
Операции по обеспечению безопасности службы Azure Active Directory Privileged Identity Management