通过

为零信任配置Microsoft Entra:监视和检测网络威胁

具有可靠的运行状况监视和威胁检测功能是 安全未来计划六大支柱之一。 这些准则旨在帮助你设置全面的日志记录系统,以便进行存档和分析。 我们包括与有风险的登录、有风险的用户和身份验证方法的会审相关的建议。

与此支柱保持一致的第一步是为所有Microsoft Entra 日志配置诊断设置,以便存储和访问租户中所做的所有更改以供分析。 此支柱中的其他建议侧重于风险警报的及时会审和Microsoft Entra 建议。 关键要点是了解哪些日志、报告和运行状况监视工具可用,并定期监视它们。

安全指南

已为所有Microsoft Entra 日志配置诊断设置

Microsoft Entra 中的活动日志和报告可以帮助检测未经授权的访问尝试或确定租户配置更改的时间。 当日志存档或与安全信息和事件管理(SIEM)工具集成时,安全团队可以实施强大的监视和检测安全控制、主动威胁搜寻和事件响应过程。 日志和监视功能可用于评估租户运行状况,并提供合规性和审核的证据。

如果未定期存档日志或发送到 SIEM 工具进行查询,则调查登录问题很困难。 缺少历史日志意味着安全团队可能会错过失败登录尝试、异常活动和其他泄露指标的模式。 这种缺乏可见性可以防止及时检测漏洞,使攻击者能够在长时间内保持未检测到的访问。

修正作

特权角色激活已配置监视和警报

对于高特权角色,没有正确激活警报的组织在用户访问这些关键权限时缺乏可见性。 威胁参与者可以通过在不检测的情况下激活高特权角色来利用此监视差距来执行特权提升,然后通过管理员帐户创建或安全策略修改建立持久性。 如果没有实时警报,攻击者就可以进行横向移动、修改审核配置并禁用安全控制,而无需触发即时响应过程。

修正作

特权用户使用防钓鱼方法登录

如果没有防钓鱼身份验证方法,特权用户更容易受到网络钓鱼攻击。 这些类型的攻击会诱使用户透露其凭据,以授予对攻击者未经授权的访问权限。 如果使用了防钓鱼身份验证方法,攻击者可能会通过中间攻击者攻击等方法截获凭据和令牌,从而破坏特权帐户的安全性。

特权帐户或会话由于身份验证方法薄弱而遭到入侵后,攻击者可能会纵该帐户来维护长期访问、创建其他后门或修改用户权限。 攻击者还可以使用遭到入侵的特权帐户进一步升级其访问权限,从而可能控制更敏感的系统。

修正作

所有高风险用户均会审

Microsoft Entra ID 防护认为处于高风险的用户很有可能受到威胁参与者的入侵。 威胁参与者可以通过泄露的有效帐户获得初始访问权限,尽管触发了风险指标,但其可疑活动仍在继续。 这种监督可以启用持久性,因为威胁参与者执行通常需要调查的活动,例如异常登录模式或可疑收件箱作。

缺少对这些有风险的用户进行会审,可以展开侦察活动和横向移动,异常行为模式将继续生成未调查的警报。 威胁参与者变得大胆,因为安全团队表明,他们没有积极应对风险指标。

修正作

所有高风险登录都会进行会审

Microsoft Entra ID Protection 标记的风险登录表示未经授权的访问尝试的概率很高。 威胁参与者使用这些登录来获取初始立足点。 如果这些登录未进行调查,攻击者可以通过以合法用户身份反复进行身份验证来建立持久性。

缺乏响应可让攻击者执行侦察、尝试升级其访问并融入正常模式。 当未经审判的登录继续生成警报,并且没有干预时,安全漏洞会扩大,促进横向移动和防御逃避,因为攻击者认识到没有主动的安全响应。

修正作

会被分类处理的所有有风险的工作负载身份

泄露的工作负荷标识(服务主体和应用程序)允许威胁参与者在没有用户交互或多重身份验证的情况下获得持久访问。 Microsoft Entra ID Protection 会监视这些标识是否存在可疑活动,例如泄露的凭据、异常的 API 流量和恶意应用程序。 未解决的风险工作负荷标识可能导致特权提升、横向移动、数据泄露,并绕过传统安全控制以创建持久后门。 组织必须系统地调查和修正这些风险,以防止未经授权的访问。

修正作

所有用户登录活动都使用强身份验证方法

如果未普遍实施多重身份验证(MFA),或者存在异常,攻击者可能会获得访问权限。 攻击者可以通过利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞,通过社会工程技术获得访问权限。 这些技术可能包括 SIM 交换或钓鱼,以截获身份验证代码。

攻击者可能会将这些帐户用作租户中的入口点。 通过使用截获的用户会话,攻击者可以将其活动伪装成合法的用户作、逃避检测并继续攻击,而不会引起怀疑。 从那里,他们可能会尝试作 MFA 设置,以根据被入侵帐户的权限建立持久性、计划和执行进一步的攻击。

修正作

解决了高优先级Microsoft Entra 建议

让高优先级Microsoft Entra 建议的取消配置可能会给组织的安全状况造成差距,从而为威胁参与者提供利用已知弱点的机会。 不对这些项执行作可能会导致攻击面面积增加、作欠佳或用户体验不佳。

修正作

已启用 ID 保护通知

如果未启用 ID 保护通知,则当威胁参与者入侵用户帐户或执行侦查活动时,组织将丢失关键的实时警报。 当Microsoft Entra ID Protection 检测到有风险的帐户时,它会发送电子邮件警报,其中 检测到有风险的用户被检测 为主题,并链接到 标记为有风险报告的用户 。 如果没有这些通知,安全团队仍不知道活动威胁,从而允许威胁参与者在未检测到入侵的帐户中保持持久性。 可以将这些风险馈送到条件访问等工具中,以做出访问决策,或将其发送到安全信息和事件管理(SIEM)工具,以便进行调查和关联。 威胁参与者可以使用此检测差距执行横向移动活动、特权升级尝试或数据外泄作,而管理员仍不知道正在进行的入侵。 延迟响应使威胁参与者能够建立更多持久性机制、更改用户权限或访问敏感资源,然后才能解决问题。 如果没有主动通知风险检测,组织必须完全依赖于手动监视风险报告,这大大增加了检测和响应基于标识的攻击所需的时间。

修正作

没有旧式身份验证登录活动

旧式身份验证协议(如 SMTP 和 IMAP 的基本身份验证)不支持多重身份验证(MFA)等新式安全功能,这对于防止未经授权的访问至关重要。 这种缺乏保护使使用这些协议的帐户容易受到基于密码的攻击,并为攻击者提供使用被盗凭据或猜测凭据获得初始访问权限的方法。

当攻击者成功获得对凭据的未经授权的访问时,他们可以使用它们来访问链接服务,使用弱身份验证方法作为入口点。 通过旧式身份验证获取访问权限的攻击者可能会更改 Microsoft Exchange,例如配置邮件转发规则或更改其他设置,从而允许他们保持对敏感通信的持续访问。

旧式身份验证还为攻击者提供了一种一致的方法来重新输入使用泄露凭据的系统,而无需触发安全警报或要求重新进行身份验证。

从那里,攻击者可以使用旧协议访问通过泄露的帐户访问的其他系统,从而促进横向移动。 使用旧协议的攻击者可以与合法的用户活动混合在一起,从而使安全团队难以区分正常使用和恶意行为。

修正作

解决了所有Microsoft Entra 建议

Microsoft Entra 建议为组织提供了实施最佳做法和优化其安全状况的机会。 不对这些项执行作可能会导致攻击面面积增加、作欠佳或用户体验不佳。

修正作