Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья является частью руководства по реализации решения архитектуры привилегированного доступа .
Привилегированный доступ представляет критически важный риск безопасности в большинстве организаций, так как он обеспечивает прямой контроль над системами идентификации, плоскостями управления облаком и критически важными ресурсами.
Узнайте, как архитектура защищенного привилегированного доступа играет важную роль в бизнес-сценарии — защита критически важных бизнес-активов путем снижения риска и укрепления контроля над конфиденциальными системами.
В этой статье описывается этап 4, который предусматривает мониторинг и реагирование для привилегированного доступа. Он фокусируется на обнаружении попыток компрометации, проверке постоянного соответствия и принудительного применения и обеспечении быстрого сдерживания при появлении индикаторов атаки или неправильной настройки.
На этом этапе выполняется реализация принципа нарушения "Никому не доверяй" путем непрерывного мониторинга поведения устройств, выполнения приложений и привилегированных рабочих процессов, а также путем быстрого реагирования при появлении индикаторов атаки или неправильной настройки.
Цели защиты
Этап 4 предназначен для следующего:
- Выявляйте компрометацию PAW.
- Обнаружение неправильного использования привилегированных устройств и удостоверений.
- Обнаружение смещения, которое ослабляет сигналы устройства.
- Включите быстрое сдерживание до расширения радиуса взрыва.
- Укажите доказательства того, что привилегированные элементы управления доступом работают как разработанные.
Область защиты
Этап 4 отслеживает те же элементы привилегированного доступа, которые были применены ранее:
-
Устройства с привилегированным доступом: Отслеживайте PAW:
- Изменения уровня риска в Defender for Endpoint
- Уязвимости и неправильные конфигурации.
- Нарушения целостности и дрейф конфигурации (соответствие требованиям Intune).
-
Привилегированные рабочие процессы: мониторинг для:
- Активация ролей и использование портала администрирования (корреляция журналов входа Entra, решений по условному доступу и использования PIM)
- Выполнение приложений, связанное с PAWs:
- Контроль приложений и телеметрия выполнения на устройствах PAW отслеживаются с помощью Microsoft Defender для конечной точки.
- Цель состоит в выявлении непредусмотренного выполнения на устройствах с повышенными привилегиями.
- Сетевое поведение. Отслеживаются состояние брандмауэра PAW, исходящие попытки подключения и данные телеметрии Defender для выявления злоупотреблений или ошибочной конфигурации.
-
Пути привилегированного доступа: отслеживайте интерфейсы и пути выполнения, которыми злоумышленники могут воспользоваться после кражи учетных данных.
- Интерфейсы (порталы администрирования, API, PowerShell)
- Способы доступа, контролируемые с помощью условного доступа.
- Обнаружение злоупотреблений после кражи учетных данных.
Риски, которые смягчены
| Риск | Почему это важно | Этап 4. Устранение рисков |
|---|---|---|
| Необнаруженная компрометация PAW | Скомпрометированный PAW подрывает всю стратегию привилегированного доступа, поскольку становится доверенной отправной точкой для действий злоумышленников. | Microsoft Defender для конечной точки непрерывно отслеживает привилегированные рабочие станции (PAW) на наличие вредоносных программ, признаков эксплуатации уязвимостей и методов закрепления в системе; изменения уровня риска устройства немедленно становятся видны для расследования и реагирования. |
| Дрейф конфигурации PAW, ослабляющий уровень защищённости | Со временем неправильная конфигурация или сбой при применении политики могут незаметно подрывать допущения о доверии к устройствам, используемые на этапе 3 принудительного применения политик. | Отчеты о соответствии Intune и сигналы состояния защищенности Defender выявляют отклонения от усиленных базовых конфигураций, позволяя устранить проблемы до ослабления средств управления доступом. |
| Вредоносное или непредвиденное выполнение приложений на PAW | Выполнение несанкционированных средств, скриптов или двоичных файлов может указывать на действия злоумышленника или неправильное использование привилегированного доступа. | Телеметрия AppLocker, собираемая Microsoft Defender для конечных точек, позволяет отслеживать и проверять выполнение приложений на PAW, обеспечивая обнаружение подозрительной активности. |
| Злоупотребление привилегированными ролями после кражи учетных данных | Злоумышленники могут отложить или замаскировать использование украденных учетных данных для уклонения от первоначального обнаружения. | Этап 4 сопоставляет активацию привилегированных ролей, доступ к порталу администрирования и изменения риска устройств для выявления подозрительных привилегированных рабочих процессов. |
| Слепые пятна в контроле привилегированного доступа | Если мониторинг отсутствует, вы не можете проверить, что ограничения для Conditional Access и PAW работают как задумано. | Журналы входа Entra, аналитические сведения об условном доступе и телеметрия Defender обеспечивают наглядное представление о разрешённых и заблокированных попытках привилегированного доступа. |
| Задержка ответа на активные угрозы привилегированного доступа | Медленная локализация увеличивает масштаб последствий и ущерб для бизнеса. | Defender for Endpoint позволяет проводить расследование, изолировать устройства и принимать меры по устранению проблем, используя высокодостоверные сигналы от привилегированных устройств и процессов. |
Результаты этапа
При реализации этапа 4:
- PAWs постоянно отслеживаются на предмет угроз, нарушений целостности и дрейфа конфигурации.
- Выполнение приложений на PAW можно отслеживать и подвергать аудиту.
- Подозрительные действия с привилегированным доступом обнаруживаются быстро.
- Группы безопасности могут содержать и устранять инциденты с помощью сигналов конечной точки и идентификации.
- Данные мониторинга служат основой для критериев оценки и успеха стратегии привилегированного доступа.
Необходимые условия
Прежде чем приступить к настройке этапа 4, выполните следующие действия.
- Выполните инструкции для этапа 1, чтобы защитить плоскость управления идентификацией.
- Завершите этап 2 по развертыванию и усилению защиты PAW.
- Завершите этап 3, чтобы применение политик условного доступа стало активным.
- Убедитесь, что соответствие устройств требованиям и интеграция с Defender for Endpoint активны.
Шаг 1. Мониторинг состояния безопасности PAW
Используйте Microsoft Defender для конечной точки для мониторинга PAW на предмет угроз, уязвимостей и дрейфа конфигурации. Регулярный мониторинг обеспечивает, что изменения риска или состояния защищённости PAW становятся заметны сразу после их появления.
Проверка риска и воздействия PAW
- На портале Microsoft Defender выберите Endpoints>Device inventory.
- Отфильтруйте инциденты, оставив только те, которые связаны с устройствами PAW, применяя те же идентификаторы или метод группировки, которые были определены для PAW на предыдущих этапах.
- Для каждой проверки PAW:
- Уровень риска устройства
- Показатель уязвимости
- Активные оповещения
- Состояние работоспособности датчика
Проверка уязвимостей и неправильной настройки
- На портале Microsoft Defender выберите Управление уязвимостями.
- Просмотрите тенденции показателя подверженности для PAW.
- Просмотрите рекомендации по безопасности, влияющие на защиту учетных данных и устранение рисков эксплойтов.
- Назначьте приоритет для исправлений:
- Отключена защита учетных данных
- Отсутствующие обновления системы безопасности
- Проблемы с состоянием сенсора Defender
Шаг 2. Обнаружение и исследование угроз PAW
Используйте оповещения Defender for Endpoint и временные шкалы устройств, чтобы расследовать подозрительные действия, нацеленные на привилегированные устройства.
Изучите оповещения системы безопасности PAW
- На портале Microsoft Defender выберите Инциденты & оповещения.
- Отфильтруйте инциденты, связанные с устройствами PAW, используя имена устройств, теги или другие идентификаторы, которые позволяют отличить устройства PAW в вашей среде.
- Откройте инцидент и просмотрите:
- Хронология устройства
- Выполнение процесса
- Попытки доступа к учетным данным
- Методы сохраняемости
- Сетевые подключения
- Отсутствующие обновления системы безопасности
- Проблемы с состоянием сенсора Defender
Включение автоматического ответа
- На портале Microsoft Defender выберите Settings>Endpoints>Advanced features.
- Убедитесь, что для динамического ответа задано значение On.
Шаг 3. Мониторинг приложений на PAW
Выполнение приложения в PAW должно быть наблюдаемым и проверяемым. Политики AppLocker, развернутые ранее, создают данные телеметрии, которые автоматически собираются Defender для конечной точки.
На портале Microsoft Defender выберите Advanced hunting.
Запустите запрос для проверки действия управления приложениями (например, событий AppLocker).
После выполнения запроса выполните следующие действия:
- Заблокированные исполняемые файлы
- Непредвиденные скрипты или двоичные файлы
- Повторяющиеся попытки выполнения
Перейдите к временной шкале устройства и просмотрите:
- Хэши файлов
- Контекст пользователя
- Родительские процессы
Шаг 4. Мониторинг использования и принудительного применения
Убедитесь, что привилегированный доступ осуществляется только с PAW и что механизм принудительного применения работает должным образом.
- В Microsoft Entra Admin Center перейдите в раздел Защита>Журналы входа.
- Фильтр для:
- Привилегированные роли
- Политики условного доступа, защищающие привилегированный доступ
- Платформа устройств = Windows
- Убедитесь, что:
- Привилегированный доступ успешно осуществляется с PAW, соответствующих требованиям.
- Доступ блокируется, если уровень риска устройства повышается.
- Учетные записи для аварийного доступа исключаются, как и предусмотрено.
Просмотр аналитических сведений об условном доступе
- В центре администрирования Microsoft Entra>Conditional Access просмотрите аналитику условного доступа и отчеты для политик привилегированного доступа, включая:
- Заблокированы попытки с устройств, не относящихся к PAW.
- Влияние политики на политики привилегированного доступа.
Шаг 5. Обнаружение смещения конфигурации на PAWs
Используйте отчеты о соответствии Intune для обнаружения смещения положения от затверденных базовых показателей PAW.
- В Центре администрирования Intune перейдите кполитикам соответствия>.
- Проверьте состояние соответствия для группы устройств PAW.
- Исследовать:
- Несоответствующие устройства
- Сбои обновления
- Отсутствующие или неправильные политики
- Сопоставляйте сбои соответствия требованиям с изменениями риска Defender.
Шаг 6: Локализация инцидентов и устранение последствий
- На портале Microsoft Defender выберите затронутый PAW.
- Используйте действия реагирования, чтобы:
- Изоляция устройства.
- Собрать пакет документов для расследования
- Инициирование исправления
- Просмотрите последние привилегированные действия:
- Активации ролей
- Доступ к административному порталу
- Использование токенов
- При необходимости выполните действия по исправлению:
- Сброс привилегированных учетных данных
- Аннулировать сеансы
- Перестроение или повторное восстановление PAW
Сводка
Этап 4 — это заключительный этап в руководстве по решению.
- PAWs непрерывно отслеживаются на предмет угроз и неправильной конфигурации.
- Выполнение приложений на PAW можно отслеживать и подвергать аудиту.
- Подозрительное действие привилегированного доступа обнаруживается быстро.
- Группы безопасности могут эффективно исследовать, содержать и устранять инциденты.
- Мониторинг потоков данных напрямую влияет на оценку успешности стратегии привилегированного доступа.
Дальнейшие действия
Ознакомьтесь с нашими другими руководствами по решению.