Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Att ha robusta funktioner för hälsoövervakning och hotidentifiering är en av de sex grundpelarna i secure future-initiativet. Dessa riktlinjer är utformade för att hjälpa dig att konfigurera ett omfattande loggningssystem för arkivering och analys. Vi inkluderar rekommendationer som rör sortering av riskfyllda inloggningar, riskfyllda användare och autentiseringsmetoder.
Det första steget för att anpassa sig till den här pelaren är att konfigurera diagnostikinställningar för alla Microsoft Entra-loggar så att alla ändringar som görs i klientorganisationen lagras och kan analyseras. Andra rekommendationer i den här pelaren fokuserar på snabb triage av riskaviseringar och Microsoft Entra-rekommendationer. Det viktigaste är att veta vilka loggar, rapporter och hälsoövervakningsverktyg som är tillgängliga och att övervaka dem regelbundet.
Säkerhetsvägledning
Diagnostikinställningar har konfigurerats för alla Microsoft Entra-loggar
Aktivitetsloggarna och rapporterna i Microsoft Entra kan hjälpa dig att identifiera obehöriga åtkomstförsök eller identifiera när klientkonfigurationen ändras. När loggar arkiveras eller integreras med SIEM-verktyg (Security Information and Event Management) kan säkerhetsteam implementera kraftfulla övervaknings- och identifieringssäkerhetskontroller, proaktiv hotjakt och processer för incidenthantering. Loggarna och övervakningsfunktionerna kan användas för att utvärdera klientorganisationens hälsa och tillhandahålla bevis för efterlevnad och granskningar.
Om loggar inte arkiveras regelbundet eller skickas till ett SIEM-verktyg för frågor är det svårt att undersöka inloggningsproblem. Avsaknaden av historiska loggar innebär att säkerhetsteam kan missa mönster för misslyckade inloggningsförsök, ovanlig aktivitet och andra indikatorer på kompromisser. Den här bristen på synlighet kan förhindra att intrång upptäcks i tid, vilket gör det möjligt för angripare att upprätthålla oidentifierad åtkomst under längre perioder.
Åtgärd för reparation
- Konfigurera diagnostikinställningar för Microsoft Entra
- Integrera Microsoft Entra-loggar med Azure Monitor-loggar
- Stream Microsoft Entra-loggar till en händelsehubb
Privilegierade rollaktiveringar har övervakning och aviseringar konfigurerade
Organisationer utan ordentliga aktiveringsaviseringar för mycket privilegierade roller saknar insyn i när användare får åtkomst till dessa viktiga behörigheter. Hotaktörer kan utnyttja det här övervakningsgapet för att utföra behörighetseskalering genom att aktivera roller med hög behörighet utan identifiering och sedan etablera beständighet genom att skapa administratörskonton eller ändra säkerhetsprinciper. Avsaknaden av realtidsaviseringar gör det möjligt för angripare att utföra laterala förflyttningar, ändra granskningskonfigurationer och inaktivera säkerhetskontroller utan att utlösa omedelbara svarsförfaranden.
Åtgärd för reparation
Privilegierade användare loggar in med nätfiskeresistenta metoder
Utan nätfiskeresistenta autentiseringsmetoder är privilegierade användare mer sårbara för nätfiskeattacker. Dessa typer av attacker lurar användare att avslöja sina autentiseringsuppgifter för att bevilja obehörig åtkomst till angripare. Om icke-nätfiskeresistenta autentiseringsmetoder används kan angripare fånga upp autentiseringsuppgifter och token, via metoder som attacker mot angripare i mitten, vilket undergräver säkerheten för det privilegierade kontot.
När ett privilegierat konto eller en session har komprometterats på grund av svaga autentiseringsmetoder kan angripare manipulera kontot för att upprätthålla långsiktig åtkomst, skapa andra bakdörrar eller ändra användarbehörigheter. Angripare kan också använda det komprometterade privilegierade kontot för att eskalera sin åtkomst ytterligare, vilket potentiellt kan få kontroll över mer känsliga system.
Åtgärd för reparation
- Kom igång med en nätfiskeresistent distribution av lösenordsfri autentisering
- Se till att privilegierade konton registrerar sig och använder nätfiskeresistenta metoder
- Distribuera en princip för villkorlig åtkomst till privilegierade konton och kräva resistenta autentiseringsuppgifter för nätfiske
- Övervaka aktivitet för autentiseringsmetod
Alla högriskanvändare är triagerade
Användare som anses vara utsatta för hög risk av Microsoft Entra ID Protection har hög sannolikhet att komprometteras av hotaktörer. Hotaktörer kan få initial åtkomst via komprometterade giltiga konton, där deras misstänkta aktiviteter fortsätter trots att riskindikatorer utlöses. Den här tillsynen kan möjliggöra beständighet eftersom hotaktörer utför aktiviteter som normalt motiverar undersökning, till exempel ovanliga inloggningsmönster eller misstänkt inkorgsmanipulering.
Brist på prioritering av dessa riskfyllda användare möjliggör utökade rekognoseringsaktiviteter och lateral förflyttning, med avvikande beteendemönster som fortsätter att generera oinvesterade aviseringar. Hotaktörer blir stärkta när säkerhetsteam visar att de inte aktivt svarar på riskindikatorer.
Åtgärd för reparation
- Undersöka högriskanvändare i Microsoft Entra ID Protection
- Åtgärda högriskanvändare och avblockera i Microsoft Entra ID Protection
Alla högriskinloggningar är triagerade
Riskfyllda inloggningar som flaggas av Microsoft Entra ID Protection indikerar en hög sannolikhet för obehöriga åtkomstförsök. Hotaktörer använder dessa inloggningar för att få ett första fotfäste. Om dessa inloggningar fortfarande är oundersökda kan angripare upprätta beständighet genom att upprepade gånger autentisera under sken av legitima användare.
Brist på svar gör att angripare kan utföra rekognosering, försöka eskalera sin åtkomst och blanda sig i normala mönster. När oprövade inloggningar fortsätter att generera aviseringar och det inte finns några åtgärder ökar säkerhetsluckorna, vilket underlättar lateral förflyttning och försvarsundandragande, eftersom angripare känner igen frånvaron av ett aktivt säkerhetssvar.
Åtgärd för reparation
Alla riskfyllda arbetsbelastningsidentiteter sorteras
Komprometterade arbetsbelastningsidentiteter (tjänstens huvudnamn och program) gör det möjligt för hotaktörer att få beständig åtkomst utan användarinteraktion eller multifaktorautentisering. Microsoft Entra ID Protection övervakar dessa identiteter för misstänkta aktiviteter som läckta autentiseringsuppgifter, avvikande API-trafik och skadliga program. Oadresserade riskfyllda arbetsbelastningsidentiteter möjliggör privilegiereskalering, lateral förflyttning, dataexfiltrering och beständiga bakdörrar som kringgår traditionella säkerhetskontroller. Organisationer måste systematiskt undersöka och åtgärda dessa risker för att förhindra obehörig åtkomst.
Åtgärd för reparation
- Undersöka och åtgärda riskfyllda arbetsbelastningsidentiteter
- Tillämpa principer för villkorlig åtkomst för arbetsbelastningsidentiteter
All användarinloggningsaktivitet använder starka autentiseringsmetoder
Angripare kan få åtkomst om multifaktorautentisering (MFA) inte tillämpas universellt eller om det finns undantag på plats. Angripare kan få åtkomst genom att utnyttja sårbarheter i svagare MFA-metoder som SMS och telefonsamtal via sociala tekniker. Dessa tekniker kan omfatta SIM-byte eller nätfiske för att fånga upp autentiseringskoder.
Angripare kan använda dessa konton som startpunkter i klientorganisationen. Genom att använda snappade användarsessioner kan angripare dölja sina aktiviteter som legitima användaråtgärder, undvika identifiering och fortsätta sina attacker utan att väcka misstankar. Därifrån kan de försöka manipulera MFA-inställningar för att upprätta beständighet, planera och utföra ytterligare attacker baserat på privilegierna för komprometterade konton.
Åtgärd för reparation
- Distribuera multifaktorautentisering
- Kom igång med en nätfiskeresistent distribution av lösenordsfri autentisering
- Distribuera en princip för villkorlig åtkomst för att kräva nätfiskeresistent MFA för alla användare
- Granska aktivitet för autentiseringsmetoder
Microsoft Entra-rekommendationer med hög prioritet åtgärdas
Om högprioriterade Microsoft Entra-rekommendationer lämnas oadresserade kan det skapa en lucka i en organisations säkerhetsstatus, vilket ger hotaktörer möjligheter att utnyttja kända svagheter. Om du inte agerar på dessa objekt kan det leda till en ökad attackyta, underoptimala åtgärder eller dålig användarupplevelse.
Åtgärd för reparation
ID Protection-meddelanden aktiverade
Om du inte aktiverar ID Protection-meddelanden förlorar din organisation kritiska realtidsaviseringar när hotaktörer komprometterar användarkonton eller utför rekognoseringsaktiviteter. När Microsoft Entra ID Protection identifierar konton i riskzonen skickar det e-postaviseringar med användare i riskzonen som identifierats som ämne och länkar till de användare som flaggats för riskrapporten . Utan dessa meddelanden förblir säkerhetsteamen omedvetna om aktiva hot, vilket gör det möjligt för hotaktörer att upprätthålla beständighet i komprometterade konton utan att identifieras. Du kan mata in dessa risker i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller skicka dem till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för undersökning och korrelation. Hotaktörer kan använda det här identifieringsgapet för att utföra laterala förflyttningsaktiviteter, försök till eskalering av privilegier eller dataexfiltrering medan administratörer inte känner till den pågående kompromissen. Det fördröjda svaret gör det möjligt för hotaktörer att upprätta mer beständighetsmekanismer, ändra användarbehörigheter eller komma åt känsliga resurser innan du kan åtgärda problemet. Utan proaktiva meddelanden om riskidentifieringar måste organisationer enbart förlita sig på manuell övervakning av riskrapporter, vilket avsevärt ökar den tid det tar att identifiera och svara på identitetsbaserade attacker.
Åtgärd för reparation
Ingen inloggningsaktivitet för äldre autentisering
Äldre autentiseringsprotokoll som grundläggande autentisering för SMTP och IMAP stöder inte moderna säkerhetsfunktioner som multifaktorautentisering (MFA), vilket är avgörande för att skydda mot obehörig åtkomst. Den här bristen på skydd gör konton som använder dessa protokoll sårbara för lösenordsbaserade attacker och ger angripare ett sätt att få initial åtkomst med hjälp av stulna eller gissade autentiseringsuppgifter.
När en angripare får obehörig åtkomst till autentiseringsuppgifter kan de använda dem för att komma åt länkade tjänster med hjälp av den svaga autentiseringsmetoden som startpunkt. Angripare som får åtkomst via äldre autentisering kan göra ändringar i Microsoft Exchange, till exempel konfigurera regler för vidarebefordran av e-post eller ändra andra inställningar, så att de kan behålla fortsatt åtkomst till känslig kommunikation.
Äldre autentisering ger också angripare en konsekvent metod för att återaktivera ett system med komprometterade autentiseringsuppgifter utan att utlösa säkerhetsaviseringar eller kräva omautentisering.
Därifrån kan angripare använda äldre protokoll för att komma åt andra system som är tillgängliga via det komprometterade kontot, vilket underlättar lateral förflyttning. Angripare som använder äldre protokoll kan blandas med legitima användaraktiviteter, vilket gör det svårt för säkerhetsteam att skilja mellan normal användning och skadligt beteende.
Åtgärd för reparation
- Exchange-protokoll kan inaktiveras i Exchange
- äldre autentiseringsprotokoll kan blockeras med villkorlig åtkomst
- Inloggningar med äldre autentiseringsarbetsbok för att avgöra om det är säkert att inaktivera äldre autentisering
Alla Microsoft Entra-rekommendationer åtgärdas
Microsoft Entra-rekommendationer ger organisationer möjligheter att implementera metodtips och optimera sin säkerhetsstatus. Om du inte agerar på dessa objekt kan det leda till en ökad attackyta, underoptimala åtgärder eller dålig användarupplevelse.
Åtgärd för reparation