Поделиться через


Операции безопасности для инфраструктуры

Инфраструктура имеет множество компонентов, в которых могут возникнуть уязвимости, если они не настроены должным образом. В рамках стратегии мониторинга и оповещения для инфраструктуры, мониторинга и оповещения в следующих областях:

  • Проверка подлинности и авторизация

  • Включаемые компоненты гибридной проверки подлинности. Серверы федерации

  • Политики

  • Подписки

Мониторинг и оповещение компонентов инфраструктуры проверки подлинности критически важны. Любой компромисс может привести к полному компромиссу всей среды. Многие предприятия, использующие идентификатор Microsoft Entra, работают в гибридной среде проверки подлинности. Облачные и локальные компоненты должны быть включены в стратегию мониторинга и оповещения. При использовании гибридной среды проверки подлинности в вашей среде также представлен другой вектор атаки.

Мы рекомендуем рассматривать все компоненты как активы уровня управления или уровня 0, а также учетные записи, используемые для управления ими. Сведения о разработке и реализации среды см. в статье "Защита привилегированных ресурсов( SPA ). Это руководство содержит рекомендации по каждому из компонентов гибридной проверки подлинности, которые потенциально могут использоваться для клиента Microsoft Entra.

Первый шаг в том, чтобы обнаруживать непредвиденные события и потенциальные атаки, — установить базовые показатели. Сведения обо всех локальных компонентах, перечисленных в этой статье, см. в руководстве по защите привилегированных ресурсов (SPA).

Где искать

Файлы журнала, используемые для исследования и мониторинга, являются следующими:

В портал Azure можно просмотреть журналы аудита Microsoft Entra и скачать как файлы с разделительными запятыми (CSV) или нотацией объектов JavaScript (JSON). В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:

  • Microsoft Sentinel — включает интеллектуальную аналитику безопасности на корпоративном уровне, предоставляя возможности управления безопасностью и событиями (SIEM).

  • Правила Sigma — Sigma — это развивающийся стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. Где шаблоны Sigma существуют для рекомендуемых условий поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не записываются, тестируются и управляются корпорацией Майкрософт. Скорее, репозиторий и шаблоны создаются и собираются мировым сообществом ИТ-безопасности.

  • Azure Monitor — включает автоматизированный мониторинг и оповещение различных условий. Может создавать или использовать книги для объединения данных из разных источников.

  • Центры событий Azure интеграции с SIEM — журналы Microsoft Entra можно интегрировать с другими SIEMs, такими как Splunk, ArcSight, QRadar и Sumo Logic с помощью интеграции Центры событий Azure.

  • приложения Microsoft Defender для облака — позволяет обнаруживать и управлять приложениями, управлять приложениями и ресурсами и проверять соответствие облачных приложений.

  • Защита удостоверений рабочей нагрузки с помощью Защита идентификации Microsoft Entra. Используется для обнаружения риска для удостоверений рабочей нагрузки в поведении входа и автономных индикаторах компрометации.

Оставшаяся часть этой статьи описывает, что отслеживать и оповещать. Он организован по типу угрозы. Где есть готовые решения, вы найдете ссылки на них после таблицы. В противном случае можно создавать оповещения с помощью предыдущих средств.

Инфраструктура проверки подлинности

В гибридных средах, содержащих локальные и облачные ресурсы и учетные записи, инфраструктура Active Directory является ключевой частью стека проверки подлинности. Стек также является целевым объектом для атак, поэтому его необходимо настроить для поддержания безопасной среды и обеспечить правильный мониторинг. Примеры текущих типов атак, используемых в инфраструктуре проверки подлинности, используют методы спрея паролей и Solorigate. Ниже приведены ссылки на статьи, которые мы рекомендуем:

Ниже приведены ссылки на определенные статьи, ориентированные на мониторинг и оповещение инфраструктуры проверки подлинности:

Ниже приведены конкретные действия, которые следует искать.

Что отслеживать Уровень риска Где Примечания
Тенденции блокировки экстрасети Высокий Microsoft Entra Connect Health См. сведения о мониторинге AD FS с помощью Microsoft Entra Connect Health для средств и методов, помогающих обнаруживать тенденции блокировки экстрасети.
Неудачные входы Высокий Подключение портала работоспособности Экспортируйте или скачайте отчет о IP-адресах рисков и следуйте инструкциям в отчете о ip-адресах рисков (общедоступная предварительная версия) для дальнейших действий.
В соответствии с конфиденциальностью Низкий Microsoft Entra Connect Health Настройте Microsoft Entra Connect Health, чтобы отключить коллекции данных и мониторинг с помощью конфиденциальности пользователей и статьи Microsoft Entra Connect Health .
Потенциальная атака подбора на LDAP Терпимая Microsoft Defender для удостоверений Используйте датчик для обнаружения потенциальных атак методом подбора по протоколу LDAP.
Разведывательная разведка перечисления учетных записей Терпимая Microsoft Defender для удостоверений Используйте датчик для выполнения рекогносцировки перечисления учетных записей.
Общая корреляция между идентификатором Microsoft Entra и Azure AD FS Терпимая Microsoft Defender для удостоверений Используйте возможности для сопоставления действий между идентификатором Microsoft Entra и средами Azure AD FS.

Мониторинг сквозной проверки подлинности

Сквозная проверка подлинности Microsoft Entra выполняет вход пользователей, проверяя пароли непосредственно в локальная служба Active Directory.

Ниже приведены конкретные действия, которые следует искать.

Что отслеживать Уровень риска Где Фильтрация и вложенный фильтр Примечания
Ошибки сквозной проверки подлинности Microsoft Entra Терпимая Журналы приложений и служб\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80001 — не удается подключиться к Active Directory Убедитесь, что серверы агентов являются членами того же леса AD, что и пользователи, пароли которых необходимо проверить, и они могут подключиться к Active Directory.
Ошибки сквозной проверки подлинности Microsoft Entra Терпимая Журналы приложений и служб\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS8002 — произошло время ожидания подключения к Active Directory Убедитесь, что Active Directory доступен и отвечает на запросы от агентов.
Ошибки сквозной проверки подлинности Microsoft Entra Терпимая Журналы приложений и служб\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80004. Имя пользователя, переданное агенту, не было допустимым. Убедитесь, что пользователь пытается войти с помощью правильного имени пользователя.
Ошибки сквозной проверки подлинности Microsoft Entra Терпимая Журналы приложений и служб\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80005. Проверка возникла непредсказуемая webException Временная ошибка. Повторите запрос. Если он продолжает завершать ошибку, обратитесь в службу поддержки Майкрософт.
Ошибки сквозной проверки подлинности Microsoft Entra Терпимая Журналы приложений и служб\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80007 — произошла ошибка, связанная с Active Directory Проверьте журналы агента для получения дополнительных сведений и убедитесь, что Active Directory работает должным образом.
Ошибки сквозной проверки подлинности Microsoft Entra Высокий API функции Win32 LogonUserA Вход в события 4624: учетная запись успешно вошли в систему.
- коррелирует с –
4625(F): не удалось войти в учетную запись
Используйте с предполагаемыми именами пользователей на контроллере домена, выполняющим проверку подлинности запросов. Руководство по функции LogonUserA (winbase.h)
Ошибки сквозной проверки подлинности Microsoft Entra Терпимая Скрипт PowerShell контроллера домена Просмотрите запрос после таблицы. Используйте сведения в Microsoft Entra Connect: устранение неполадок сквозной проверки подлинностидля получения рекомендаций.

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>

</Query>

</QueryList>

Мониторинг создания новых клиентов Microsoft Entra

Организациям может потребоваться отслеживать и оповещать о создании новых клиентов Microsoft Entra, когда действие инициируется удостоверениями из своего клиента организации. Мониторинг этого сценария обеспечивает видимость того, сколько клиентов создается и может получить доступ конечным пользователям.

Что отслеживать Уровень риска Где Фильтрация и вложенный фильтр Примечания
Создание нового клиента Microsoft Entra с помощью удостоверения из вашего клиента. Терпимая Журналы аудита Microsoft Entra Категория: управление каталогами

Действие. Создание компании
Целевые объекты отображают созданный Идентификатор клиента

Соединитель частной сети

Идентификатор Microsoft Entra и прокси приложения Microsoft Entra предоставляют удаленным пользователям возможность единого входа. Пользователи безопасно подключаются к локальным приложениям без виртуальной частной сети (VPN) или двухдоменных серверов и правил брандмауэра. Если сервер соединителя частной сети Microsoft Entra скомпрометирован, злоумышленники могут изменить интерфейс единого входа или изменить доступ к опубликованным приложениям.

Сведения о настройке мониторинга для прокси приложения см. в разделе "Устранение неполадок с прокси приложениями" и сообщений об ошибках. Файл данных, который записывает сведения, можно найти в журналах приложений и служб\Microsoft\Microsoft Entra private network\Connector\Admin. Полное справочное руководство по активности аудита см . в справочнике по действиям аудита Microsoft Entra. Конкретные действия для отслеживания:

Что отслеживать Уровень риска Где Фильтрация и вложенный фильтр Примечания
Ошибки Kerberos Терпимая Различные инструменты Терпимая Руководство по ошибке проверки подлинности Kerberos в разделе "Ошибки Kerberos" по устранению неполадок прокси приложения и сообщений об ошибках.
Проблемы безопасности контроллера домена Высокий Журналы аудита безопасности контроллера домена Идентификатор события 4742(S): учетная запись компьютера была изменена
-и-
Флаг — доверенный для делегирования
-или-
Флаг — доверенный для проверки подлинности для делегирования
Изучите любое изменение флага.
Передача билета, например атаки Высокий Следуйте указаниям в:
Рекогносцировка субъекта безопасности (LDAP) (внешний идентификатор 2038)
Руководство. Оповещения о скомпрометированных учетных данных
Общие сведения о путях бокового смещения и их использовании с Microsoft Defender для удостоверений
Общие сведения о профилях сущностей

Устаревшие параметры проверки подлинности

Для эффективной многофакторной проверки подлинности (MFA) также необходимо заблокировать устаревшую проверку подлинности. Затем необходимо отслеживать среду и оповещение о любом использовании устаревшей проверки подлинности. Устаревшие протоколы проверки подлинности, такие как POP, SMTP, IMAP и MAPI, не могут применять MFA. Это делает эти протоколы предпочтительными точками входа для злоумышленников. Дополнительные сведения о средствах, которые можно использовать для блокировки устаревшей проверки подлинности, см. в статье "Новые средства для блокировки устаревшей проверки подлинности в организации".

Устаревшая проверка подлинности фиксируется в журнале входа Microsoft Entra как часть сведений о событии. Книгу Azure Monitor можно использовать для выявления устаревшего использования проверки подлинности. Дополнительные сведения см. в статье "Входы с использованием устаревшей проверки подлинности", которая является частью использования книг Azure Monitor для отчетов Microsoft Entra. Вы также можете использовать книгу "Небезопасные протоколы" для Microsoft Sentinel. Дополнительные сведения см . в руководстве по реализации книги microsoft Sentinel Ininel Insecure Protocols. К конкретным действиям для мониторинга относятся:

Что отслеживать Уровень риска Где Фильтрация и вложенный фильтр Примечания
Устаревшие проверки подлинности Высокий Журнал входа Microsoft Entra ClientApp : POP
ClientApp : IMAP
ClientApp : MAPI
ClientApp: SMTP
ClientApp : ActiveSync перейдите в EXO
Другие клиенты = SharePoint и EWS
В федеративных доменных средах неудачные проверки подлинности не записываются и не отображаются в журнале.

Microsoft Entra Connect

Microsoft Entra Connect предоставляет централизованное расположение, которое обеспечивает синхронизацию учетных записей и атрибутов между локальной и облачной средой Microsoft Entra. Microsoft Entra Connect — это средство Майкрософт, предназначенное для удовлетворения и достижения целей гибридной идентификации. Он предоставляет следующие функции:

  • Синхронизация хэша паролей — метод входа, который синхронизирует хэш локального пароля AD пользователя с идентификатором Microsoft Entra.

  • Синхронизация — ответственность за создание пользователей, групп и других объектов. И убедитесь, что сведения об удостоверениях для локальных пользователей и групп соответствуют облаку. Эта синхронизация также включает хэши паролей.

  • монитор работоспособности . Microsoft Entra Connect Health может обеспечить надежный мониторинг и предоставить центральное расположение в портал Azure для просмотра этого действия.

Синхронизация удостоверения между локальной средой и облачной средой представляет новую область атаки для локальной и облачной среды. Рекомендуется:

  • Вы рассматриваете основные и промежуточные серверы Microsoft Entra Connect как системы уровня 0 в плоскости управления.

  • Вы следуйте стандартному набору политик, которые управляют каждым типом учетной записи и его использованием в вашей среде.

  • Вы устанавливаете Microsoft Entra Connect и Connect Health. Они в первую очередь предоставляют операционные данные для среды.

Ведение журнала операций Microsoft Entra Connect происходит разными способами:

  • Мастер Microsoft Entra Connect записывает данные в \ProgramData\AADConnectжурнал. При каждом вызове мастера создается файл журнала трассировки метки времени. Журнал трассировки можно импортировать в Sentinel или другие сторонние средства безопасности и управления событиями (SIEM) для анализа.

  • Некоторые операции инициируют скрипт PowerShell для записи сведений о ведении журнала. Чтобы собрать эти данные, необходимо убедиться, что ведение журнала блоков скрипта включено.

Мониторинг изменений конфигурации

Идентификатор Microsoft Entra использует обработчик данных Microsoft SQL Server или SQL для хранения сведений о конфигурации Microsoft Entra Connect. Таким образом, в стратегию мониторинга и аудита файлов журналов, связанных с конфигурацией, следует включить в стратегию мониторинга и аудита. В частности, включите следующие таблицы в стратегию мониторинга и оповещения.

Что отслеживать Где Примечания
mms_management_agent Записи аудита службы SQL Просмотр записей аудита SQL Server
mms_partition Записи аудита службы SQL Просмотр записей аудита SQL Server
mms_run_profile Записи аудита службы SQL Просмотр записей аудита SQL Server
mms_server_configuration Записи аудита службы SQL Просмотр записей аудита SQL Server
mms_synchronization_rule Записи аудита службы SQL Просмотр записей аудита SQL Server

Сведения о том, что и как отслеживать сведения о конфигурации, см. в:

Мониторинг и устранение неполадок синхронизации

Одной из функций Microsoft Entra Connect является синхронизация хэш-синхронизации между локальным паролем пользователя и идентификатором Microsoft Entra. Если пароли не синхронизируются должным образом, синхронизация может повлиять на подмножество пользователей или всех пользователей. Используйте следующее, чтобы проверить правильную операцию или устранить неполадки:

Важные ресурсы для мониторинга

Что отслеживать Ресурсы
Проверка синхронизации хэша Устранение неполадок синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect
Изменения в пространствах соединителей См. сведения об устранении неполадок объектов и атрибутов Microsoft Entra Connect
Изменения настроенных правил Мониторинг изменений: фильтрация, домен и подразделение, атрибуты и групповые изменения
Изменения SQL и MSDE Изменения параметров ведения журнала и добавление пользовательских функций

Выполните следующие действия.

Что отслеживать Уровень риска Где Фильтрация и вложенный фильтр Примечания
Изменения планировщика Высокий PowerShell Set-ADSyncScheduler Поиск изменений в расписании
Изменения запланированных задач Высокий Журналы аудита Microsoft Entra Действие = 4699(S): запланированная задача была удалена
-или-
Действие = 4701: запланированная задача отключена
-или-
Действие = 4702: запланированная задача была обновлена
Мониторинг всех
  • Дополнительные сведения об операциях сценариев PowerShell см. в статье "Включение ведения журнала блоков скриптов", которая входит в справочную документацию по PowerShell.

  • Дополнительные сведения о настройке ведения журнала PowerShell для анализа с помощью Splunk см. в статье "Получение данных в Splunk User Analytics".

Мониторинг простого единого входа

Microsoft Entra простой единый вход (Простой единый вход) автоматически входит в систему пользователей, когда они находятся на корпоративных настольных компьютерах, подключенных к корпоративной сети. Простой единый вход предоставляет пользователям простой доступ к облачным приложениям без других локальных компонентов. Единый вход использует возможности сквозной проверки подлинности и синхронизации хэша паролей, предоставляемые Microsoft Entra Connect.

Мониторинг действий единого входа и Kerberos поможет определить общие шаблоны атак на кражу учетных данных. Мониторинг с помощью следующих сведений:

Что отслеживать Уровень риска Где Фильтрация и вложенный фильтр Примечания
Ошибки, связанные с ошибками единого входа и Kerberos Терпимая Журнал входа Microsoft Entra Список кодов ошибок единого входа при едином входе.
Запрос на устранение ошибок Терпимая PowerShell См. следующую таблицу запросов. проверьте каждый лес с включенным единым входом. Проверьте каждый лес с включенным единым входом.
События, связанные с Kerberos Высокий мониторинг Microsoft Defender для удостоверений Ознакомьтесь с рекомендациями по Microsoft Defender для удостоверений пути бокового смещения (LMPs)
<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>

</Query>

</QueryList>

Политики защиты паролей

При развертывании защиты паролей Microsoft Entra мониторинг и отчеты являются важными задачами. Следующие ссылки помогут вам понять различные методы мониторинга, в том числе сведения о том, где каждая служба записывает сведения и как сообщать об использовании защиты паролей Microsoft Entra.

Агент контроллера домена (DC) и прокси-службы оба сообщения журнала событий журнала. Все описанные ниже командлеты PowerShell доступны только на прокси-сервере (см. модуль PowerShell AzureADPasswordProtection). Программное обеспечение агента контроллера домена не устанавливает модуль PowerShell.

Подробные сведения о планировании и реализации локальной защиты паролей доступны на сайте Plan и deploy on-on-on-microsoft Entra Password Protection. Сведения о мониторинге см. в разделе "Мониторинг локальной защиты паролей Microsoft Entra". На каждом контроллере домена программное обеспечение службы агента контроллера домена записывает результаты каждой отдельной операции проверки пароля (и другого состояния) в следующий локальный журнал событий:

  • \Application and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin

  • \Application and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational

  • \Application and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

Журнал администратора агента контроллера домена является основным источником сведений о том, как работает программное обеспечение. По умолчанию журнал трассировки отключен и должен быть включен перед ведением журнала данных. Чтобы устранить неполадки прокси приложения и сообщения об ошибках, подробные сведения см. в описании устранения неполадок прокси приложения Microsoft Entra. Сведения об этих событиях вошли в систему:

  • Журналы приложений и служб\Microsoft\Microsoft Entra private network\Connector\Admin

  • Журнал аудита Microsoft Entra, прокси приложения категории

Полный справочник по действиям аудита Microsoft Entra доступен в справочнике по действиям аудита Microsoft Entra.

Условный доступ

В идентификаторе Microsoft Entra можно защитить доступ к ресурсам, настроив политики условного доступа. Как ИТ-администратор, вы хотите убедиться, что политики условного доступа работают должным образом, чтобы обеспечить защиту ресурсов. Мониторинг и оповещение об изменениях в службе условного доступа гарантирует применение политик, определенных вашей организацией для доступа к данным. Журналы Microsoft Entra при внесении изменений в условный доступ, а также предоставляют книги, чтобы гарантировать, что политики обеспечивают ожидаемое покрытие.

Ссылки книги

Отслеживайте изменения политик условного доступа, используя следующие сведения:

Что отслеживать Уровень риска Где Фильтрация и вложенный фильтр Примечания
Новая политика условного доступа, созданная не утвержденными субъектами Терпимая Журналы аудита Microsoft Entra Действие. Добавление политики условного доступа

Категория: политика

Инициировано (субъект): имя участника-пользователя
Мониторинг и оповещение об изменениях условного доступа. Инициируется ли субъект: утверждено внесение изменений в условный доступ?
Шаблон Microsoft Sentinel

Правила Sigma
Политика условного доступа удалена не утвержденными субъектами Терпимая Журналы аудита Microsoft Entra Действие. Удаление политики условного доступа

Категория: политика

Инициировано (субъект): имя участника-пользователя
Мониторинг и оповещение об изменениях условного доступа. Инициируется ли субъект: утверждено внесение изменений в условный доступ?
Шаблон Microsoft Sentinel

Правила Sigma
Политика условного доступа, обновленная не утвержденными субъектами Терпимая Журналы аудита Microsoft Entra Действие. Обновление политики условного доступа

Категория: политика

Инициировано (субъект): имя участника-пользователя
Мониторинг и оповещение об изменениях условного доступа. Инициируется ли субъект: утверждено внесение изменений в условный доступ?

Просмотр измененных свойств и сравнение "старый" и "новое" значение
Шаблон Microsoft Sentinel

Правила Sigma
Удаление пользователя из группы, используемой для области критически важных политик условного доступа Терпимая Журналы аудита Microsoft Entra Действие. Удаление члена из группы

Категория: GroupManagement

Целевой объект: имя участника-пользователя
Монтиор и оповещение для групп, используемых для области критически важных политик условного доступа.

Target — это пользователь, который был удален.

Правила Sigma
Добавление пользователя в группу, используемую для области критически важных политик условного доступа Низкий Журналы аудита Microsoft Entra Действие. Добавление участника в группу

Категория: GroupManagement

Целевой объект: имя участника-пользователя
Монтиор и оповещение для групп, используемых для области критически важных политик условного доступа.

Target — это добавленный пользователь.

Правила Sigma

Дальнейшие действия

Обзор операций безопасности Microsoft Entra

Операции безопасности для учетных записей пользователей

Операции безопасности для учетных записей потребителей

Операции безопасности для привилегированных учетных записей

Операции безопасности для управление привилегированными пользователями

Операции безопасности для приложений

Операции безопасности для устройств