Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Устройства обычно не становятся мишенью атак на основе идентификаций, но могут использоваться для обмана контролей безопасности, а также для олицетворения пользователей. Устройства могут иметь одну из четырех связей с идентификатором Microsoft Entra:
Не зарегистрировано
Зарегистрированным и присоединенным устройствам выдается основной маркер обновления (PRT), который можно использовать в качестве основного артефакта проверки подлинности, а в некоторых случаях и как артефакт многофакторной проверки подлинности. Злоумышленники могут попытаться зарегистрировать свои собственные устройства, использовать PRT на законных устройствах для доступа к бизнес-данным, украсть маркеры на основе PRT с законных пользовательских устройств или найти неправильные настройки в элементах управления на основе устройств в Идентификаторе Microsoft Entra. При использовании гибридных устройств, присоединенных к Microsoft Entra, процесс присоединения инициируется и контролируется администраторами, уменьшая доступные методы атаки.
Для получения дополнительной информации о методах интеграции устройств, см. статью "Планирование развертывания устройств Microsoft Entra".
Чтобы снизить риск атаки злоумышленников на инфраструктуру с помощью устройств, отслеживайте следующие элементы.
Регистрация устройств и присоединение к Microsoft Entra
Не соответствующие требованиям устройства, имеющие доступ к приложениям.
Получение ключа BitLocker.
Роли администраторов устройств
Авторизация на виртуальные машины.
Где искать
Для исследования и мониторинга используйте файлы журнала:
В портале Azure можно просматривать журналы аудита Microsoft Entra и скачивать их в виде файлов с разделителями-запятыми (CSV) или в формате нотации объектов JavaScript (JSON). В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:
Microsoft Sentinel — включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor — включает автоматический мониторинг и оповещение о различных условиях. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.
Центры событий Azure - интегрированные с SIEM- журналы Microsoft Entra можно интегрировать с другими SIEM-системами, такими как Splunk, ArcSight, QRadar и Sumo Logic, через интеграцию с Центрами событий Azure.
Microsoft Defender for Cloud Apps — позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои приложения на соответствие требованиям.
Защита удостоверений ресурсов с помощью Microsoft Entra ID Protection. Используется для обнаружения риска для удостоверений ресурсов в поведении при входе и офлайн индикаторах компрометации.
В основном вы будете отслеживать эффекты действия политик условного доступа и создавать оповещения именно по ним. Используйте рабочую книгу для анализа и отчетности по условному доступу для проверки эффектов одной или нескольких политик условного доступа на ваши входы в систему, а также результатов действий политик, включая состояние устройств. Эта книга позволяет просматривать сводные данные и оценивать влияние за определенный период времени. Кроме того, книгу можно использовать для исследования попыток входа конкретного пользователя.
Оставшаяся часть статьи описывает, что мы рекомендуем отслеживать и на что настроить оповещения, в зависимости от типа угрозы. Если существуют конкретные готовые решения, мы приводим ссылки на них или предоставляем примеры после таблицы. В противном случае можно создавать оповещения с помощью предыдущих средств.
Регистрация и присоединение устройств за пределами политики
Зарегистрированные и присоединенные к Microsoft Entra устройства обладают основными маркерами обновления (PRT), которые эквивалентны одному фактору проверки подлинности. Эти устройства могут иногда содержать строгие утверждения проверки подлинности. Дополнительные сведения о том, когда PRT содержат строгие утверждения проверки подлинности, см. в разделе Когда PRT получает утверждение MFA. Чтобы помешать злоумышленникам регистрировать и присоединять устройства, используйте многофакторную проверку подлинности (MFA) для регистрации устройств или их присоединения. Затем отслеживайте устройства, зарегистрированные или присоединенные без MFA. Кроме того, необходимо отслеживать изменения параметров и политик MFA, а также политики соответствия устройств.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Регистрация или присоединение устройства выполнены без MFA | Средняя | Журналы входа | Действие: успешная проверка подлинности в службе регистрации устройств. И MFA не требуется |
Создавать оповещение при: регистрации или присоединении устройства без использования многофакторной аутентификации (MFA) Шаблон Microsoft Sentinel Sigma-правила |
| Изменения в переключателе MFA для регистрации устройств в Microsoft Entra ID | Высокая | Журнал аудита | Действие: настройка политик регистрации устройств | Что проверять: переключатель отключен. Запись в журнале аудита отсутствует. Планирование периодических проверок. Sigma-правила |
| Изменения политик условного доступа, в которых требуется, чтобы устройство было присоединено к домену или соответствовало требованиям. | Высокая | Журнал аудита | Изменения политик условного доступа |
Создавать оповещение, если вносятся изменения в любую политику, требующую присоединения к домену или соответствия требованиям, изменения в списке доверенных местоположений или добавление учетных записей или устройств в исключения политики MFA. |
Вы можете создать оповещение, уведомляющее соответствующих администраторов при регистрации или присоединении устройства без MFA, с помощью Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Вы также можете использовать Microsoft Intune, чтобы создавать и отслеживать политики соответствия устройств.
Вход с устройств, не соответствующих требованиям
Возможно, вам не удастся заблокировать доступ ко всем облачным приложениям и приложениям SaaS с помощью политик условного доступа, которые требуют соответствие устройств.
Управление мобильными устройствами (MDM) помогает поддерживать соответствие устройств Windows 10. В Windows версии 1809 мы выпустили базовые показатели безопасности для политик. Идентификатор Microsoft Entra может интегрироваться с MDM для обеспечения соответствия устройств корпоративным политикам и сообщать о состоянии соответствия устройства.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Попытки входа от несоответствующих устройств | Высокая | Журналы входа | DeviceDetail.isCompliant == false | Если для входа требуется использование устройств, соответствующих требованиям, создайте оповещение, если в систему входит устройство, которое не соответствует требованиям, или доступ осуществляется без использования MFA либо из ненадежного местоположения. При работе над введением обязательных требований к устройствам следите за подозрительными попытками входа. |
| Попытки входа от неизвестных устройств | Низкая | Журналы входа | DeviceDetail пуст, однофакторная аутентификация или из ненадежного расположения | Что проверять: любой доступ с устройств, не соответствующих требованиям, любой доступ без использования MFA или не из надежного расположения Шаблон Microsoft Sentinel Sigma-правила |
Использование LogAnalytics для запросов
Попытки входа от несоответствующих устройств
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Попытки входа от неизвестных устройств
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Неактивные устройства
Неактивные устройства — это устройства, которые не выполняли вход в течение указанного периода времени. Устройства могут стать устаревшими, когда пользователь получает новое устройство или теряет устройство, или когда устройство, присоединенное к Microsoft Entra, очищается или переподготавливается. Устройства также могут оставаться зарегистрированными или присоединенными, даже когда пользователь уже не связан с арендатором. Удаляйте неактивные устройства, чтобы нельзя было использовать основные маркеры обновления (PRT).
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Дата последнего входа | Низкая | Graph API | приблизительное время последнего входа в систему | Используйте API Graph или PowerShell для поиска и удаления неактивных устройств. |
Получение ключа BitLocker.
Злоумышленники, которые скомпрометировали устройство пользователя, могут получить ключи BitLocker в идентификаторе Microsoft Entra. Пользователи нечасто получают ключи, поэтому такие операции следует отслеживать и исследовать.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Получение ключей | Средняя | Журналы аудита | OperationName == "Чтение ключа BitLocker" | Что проверять: извлечение ключа, другое аномальное поведение пользователей, извлекающих ключи. Шаблон Microsoft Sentinel Sigma-правила |
В LogAnalytics создайте запрос, например:
AuditLogs
| where OperationName == "Read BitLocker key"
Роли администраторов устройств
На всех устройствах, присоединенных к Microsoft Entra, роли Локальный администратор устройства Microsoft Entra и Глобальный администратор автоматически получают права локального администратора. Для защиты среды важно следить за тем, у кого есть эти права.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Пользователи, добавленные к ролям глобального администратора или локального администратора устройств, подключенных к Microsoft Entra. | Высокая | Журналы аудита | Тип действия = Добавить участника в роль. | Найдите: новые пользователи, добавленные в эти роли Microsoft Entra, последующие аномальные действия компьютеров или пользователей. Шаблон Microsoft Sentinel Sigma-правила |
Входы, не относящиеся к Azure AD, в виртуальные машины
Входы в виртуальные машины Windows или LINUX должны отслеживаться для входа с помощью учетных записей, отличных от учетных записей Microsoft Entra.
Вход Microsoft Entra для Linux
Вход Microsoft Entra для Linux позволяет организациям входить на виртуальные машины Linux Azure с помощью учетных записей Microsoft Entra по протоколу безопасной оболочки (SSH).
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Авторизация учетной записи, не связанной с Azure AD, особенно по SSH | Высокая | Локальные журналы проверки подлинности | Ubuntu: отслеживайте использование SSH в журнале /var/log/auth.log RedHat: отслеживайте /var/log/sssd/ для использования SSH |
Ищите: записи, где учетные записи, не принадлежащие Azure AD, успешно подключаются к виртуальным машинам. см. следующий пример. |
Пример для Ubuntu:
9 мая 23:49:39 ubuntu1804 aad_certhandler[3915]: версия: 1.0.015570001; user: localusertest01
9 мая 23:49:39 ubuntu1804 aad_certhandler[3915]: пользователь "localusertest01" не является пользователем Microsoft Entra; возвращает пустой результат.
9 мая 23:49:43 ubuntu1804 aad_certhandler[3916]: версия: 1.0.015570001; user: localusertest01
9 мая 23:49:43 ubuntu1804 aad_certhandler[3916]: пользователь "localusertest01" не является пользователем Microsoft Entra; возвращает пустой результат.
9 мая 23:49:43 ubuntu1804 sshd[3909]: принято публично для localusertest01 с 192.168.0.15 порт 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9 мая 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): сеанс, открытый для пользователя localusertest01 by (uid=0).
Вы можете задать политику входа для виртуальных машин Linux, а также обнаружить и пометить виртуальные машины Linux, для которых добавлены неутвержденные локальные учетные записи. Дополнительные сведения см. в разделе об использовании Политики Azure для обеспечения соответствия нормативным требованиям и стандартам.
Входы в Microsoft Entra для Windows Server
Вход Microsoft Entra для Windows позволяет вашей организации входить на виртуальные машины Azure Windows 2019+ с помощью учетных записей Microsoft Entra по протоколу удаленного рабочего стола (RDP).
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Вход с учетной записью, не относящейся к Azure AD, особенно через протокол RDP | Высокая | Журналы событий Windows Server | Интерактивный вход в виртуальную машину Windows | Событие 528, тип входа 10 (RemoteInteractive). Показывает, когда пользователь входит в службы терминалов или удаленный рабочий стол. |
Следующие шаги
Обзор операций безопасности Microsoft Entra
Операции безопасности для учетных записей пользователей
Операции безопасности для учетных записей потребителей
Операции безопасности для привилегированных учетных записей
Операции безопасности для управления привилегированными идентичностями