本文詳細說明如何使用 ASC (ACSC) Essential Eight Maturity Model 來達成澳大利亞網路安全中心,以限制使用 Microsoft 身分識別平台 的系統管理許可權。 您可以在 ACSC Essential Eight Maturity Model 中找到限制系統管理許可權的 ACSC 成熟度模型指導方針。
為何要遵循 ACSC Essential Eight 限制系統管理許可權指導方針?
澳大利亞網路安全中心 (ACSC) 會領導澳大利亞政府改善網路安全性的工作。 ACSC 建議所有澳大利亞組織從 ACSC 的緩和網路安全性事件策略中實作 Essential Eight 風險降低策略作為基準。 「基本八」基準是基礎網路安全性措施,可讓敵人更難入侵系統。 基本八個成熟度層級可讓組織評估其網路安全性措施的適當性,以防範現今互連ICT環境中的常見威脅。
惡意執行者的目標是取得特殊許可權認證的存取權,特別是具有企業控制平面存取權的認證。 控制平面存取可讓您廣泛存取及控制企業ICT環境中的高價值資產。 控制平面存取的範例包括全域管理員和 Microsoft Entra 標識碼內的對等許可權,以及企業虛擬化基礎結構的特殊許可權存取。
使用多層式方法限制特殊許可權存取,會增加敵人進行惡意活動的困難。 限制系統管理許可權是 ACSC 降低
網路安全性事件
策略中包含的高效率控制措施。
限制系統管理許可權:基本八項需求
特殊許可權存取可讓系統管理員變更重要應用程式和基礎結構的設定,例如身分識別服務、商務系統、網路裝置、使用者工作站和用戶帳戶。 特殊許可權存取或認證通常稱為「英國密鑰」,因為它們可讓持有人控制網路中許多不同的資產。
若要達到限制系統管理許可權的基本八個成熟度等級 3,需要下列控
件類別
。
身分識別控管
:身分識別控管是驗證使用者存取需求和移除不再需要之存取權的程式。
最低權
限:最低許可權是一種訪問控制方法,可將系統、應用程式和數據存放庫的存取限制為使用者和服務履行其職責所需的存取權。
帳戶限制
:帳戶限制可減少特殊許可權認證暴露於無特殊許可權環境的風險。
系統管理裝置
:系統管理裝置是用於執行系統管理活動的安全作業環境。
記錄和監視
:記錄和監視特殊許可權活動可偵測入侵徵兆。
身分識別控管
身分識別治理可協助組織在生產力與安全性之間取得平衡。 身分識別生命週期管理是身分識別治理的基礎,而大規模的有效治理需要新式身分識別生命週期管理基礎結構。
權利管理 (ML1)
基本八成熟度層級 1 要求系統和應用程式的特殊許可權存取要求在第一次要求時進行驗證。 驗證特殊許可權存取要求是權利管理程式的一部分。 權利管理是管理使用者存取權的程式,以確保只有授權的使用者可以存取一組資源。 權利管理程式內的主要步驟包括存取要求、存取權檢閱、存取布建和存取到期。
Microsoft Entra 權利管理會將管理 Azure 內資源存取權的程式自動化。 使用者可以使用存取套件來委派存取權,也就是資源組合。 Microsoft Entra 權利管理中的存取套件可以包含安全組、Microsoft 365 群組和 Teams、Microsoft Entra 企業應用程式和 SharePoint Online 網站。 存取套件包含一或多個原則。 原則會定義指派以存取套件的規則或護欄。 原則可用來確保只有適當的使用者可以要求存取權、已指派存取要求的核准者,以及資源的存取權會受到時間限制,如果未更新,則會過期。
如需權利管理的詳細資訊,請
參閱 Microsoft Entra 權利管理]
。
管理 ML2 (非作用中的使用者)
基本八成熟度層級 2 要求系統和應用程式的特殊許可權存取會在閑置 45 天后自動停用。 非使用中的帳戶是組織不再需要的用戶或系統帳戶。 非使用中的帳戶通常可以透過登入記錄來識別,表示它們長時間未用來登入。 您可以使用最後一個登入時間戳來偵測非作用中的帳戶。
最後一次登入可讓您深入瞭解用戶持續需要存取資源。 它可協助判斷是否仍需要群組成員資格或應用程式存取權,或是可以移除。 針對外部使用者管理,您可以了解來賓帳戶是否仍在租用戶內作用中,還是應清除。
您可以藉由評估 Microsoft 圖形 API 的 signInActivity 資源類型所公開的 lastSignInDateTime 屬性,來偵測非作用中的帳戶。 lastSignInDateTime 屬性會顯示使用者上次成功進行互動式登入以 Microsoft Entra 標識符的時間。 使用此屬性,您可以針對下列案例實作解決方案:
所有使用者的上次登入日期和時間:在此案例中,您需要產生所有使用者上次登入日期的報告。 您可以在
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
要求所有用戶的清單,以及每個個別使用者的最後一個
lastSignInDateTime
。
依名稱的使用者:在此案例中,您會依名稱搜尋特定使用者,這可讓您評估 lastSignInDateTime:
https://graph.microsoft.com/v1.0/users?$filter=startswith (displayName,'markvi') &$select=displayName,signInActivity
依日期的使用者:在此案例中,您會要求在指定日期之前具有 lastSignInDateTime 的使用者清單:
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime
le 2019-06-01T00:00:00Z
如需管理非使用中使用者的詳細資訊,請
參閱管理非使用中的用戶帳戶
。
最低許可權
最低許可權要求系統和應用程式的存取權僅限於用戶和系統履行其職責所需的許可權。 您可以使用角色型訪問控制 (RBAC) 、特殊許可權存取管理和 Just-In-Time (JIT) 存取等控件來實作最低許可權。
ML1) (系統管理員的個別帳戶
基本八成熟度層級 1 要求特殊許可權使用者使用個別的特殊許可權和無特殊許可權的作業環境。 若要分隔特殊許可權和無特殊許可權的作業環境,系統管理員應該使用與商務生產力工作所用帳戶不同的指定系統管理員帳戶。
在 Microsoft Entra標識碼中具有高階許可權的帳戶應該是僅限雲端的帳戶,而不是從 內部部署的 Active Directory 網域同步處理的帳戶。 系統管理帳戶應該封鎖使用生產力工具,例如 Office 365 電子郵件 (移除授權) 。 用於特殊許可權存取的裝置不應允許不受限制的因特網流覽。 特殊許可權存取裝置應該拒絕所有網站,並使用允許清單來啟用雲端管理入口網站的存取權。 您可以使用主機型防火牆、雲端 Proxy,或在裝置上設定 Proxy 設定,來控制來自特殊許可權存取裝置的網頁流覽。
如需管理系統管理存取權的詳細資訊,請參閱
保護混合式和雲端部署的特殊許可權存取
。
(ML1) 強制執行系統管理員的條件式存取
基本八成熟度層級 1 要求特殊許可權使用者使用個別的特殊許可權和無特殊許可權的作業環境。 Azure 和 Microsoft 365 環境的特殊許可權存取需要比套用至一般使用者的標準更高的安全性標準。 應根據訊號和安全性屬性的組合來授與特殊許可權存取權,以支援 零信任 策略。 對具有 Azure 或 Microsoft 365 特殊許可權存取權的帳戶遭到入侵,可能會對商務程式造成重大中斷。 條件式存取可以在允許存取 Azure 管理工具之前強制執行特定的安全性檢查標準,以降低危害的風險。
建議您針對 Azure 入口網站 和命令行管理工具的系統管理存取,實作下列控件:
需要多重要素驗證 (MFA)
使用 Microsoft Identity Protection 的高登入風險層級封鎖存取嘗試
從 Microsoft Identity Protection 封鎖具有高用戶風險層級的存取嘗試
需要從已加入 Microsoft Entra 裝置進行存取,這符合裝置健康情況、更新狀態和系統安全性狀態的 Intune 合規性需求
如需強制執行系統管理員條件式存取的詳細資訊,請參閱下列文章:
特殊許可權帳戶
Microsoft 特殊許可權存取模型
(ML2) 管理本機系統管理員帳戶
基本的八個成熟度層級 2 需要本機系統管理員帳戶的認證,才能長期、唯一、無法預測及管理。 攻擊者通常會使用 Windows 工作站上的作用中本機系統管理員帳戶來橫向周遊 Windows 環境。 基於這個理由,針對已加入網域之系統上的本機系統管理員帳戶,建議使用下列控件:
已加入 Active Directory 的系統
Microsoft 的本機系統管理員密碼解決方案 (LAPS) 提供一個解決方案,以解決在每部計算機上使用具有相同密碼的通用本機帳戶的問題。 LAPS 藉由為網域中每部計算機上的本機系統管理員帳戶設定不同的旋轉隨機密碼,來解決此問題。 密碼會儲存在 Active Directory 中,並受到限制性 存取控制 清單的保護。 只有合格的使用者才能擷取或重設本機系統管理員密碼。
如需在已加入 Active Directory 的系統上管理本機系統管理員帳戶的詳細資訊,請參閱下列文章:
檢閱並下載
本機系統管理員密碼解決方案
瞭解如何
設定 Microsoft LAPS
Microsoft Entra 聯結的系統
當您使用 Microsoft Entra 聯結將 Windows 裝置加入 Microsoft Entra 標識符時,Microsoft Entra 標識符會將下列安全策略新增至裝置上的本機 Administrators 群組:
Microsoft Entra 全域管理員角色
已加入 Azure AD 的裝置本機系統管理員角色
執行 Microsoft Entra 加入的使用者
您可以自定義本機 Administrators 群組的成員資格,以滿足您的商務需求。 建議您限制本機系統管理員對工作站的存取權,並要求 PIM 核准才能使用已加入 Azure AD 的裝置本機系統管理員角色。
在 Azure 入口網站 中,您可以從 [裝置設定] 管理裝置系統管理員角色。
以全域管理員身分登入 Azure 入口網站。
流覽至
[Microsoft Entra 標識>符裝置>裝置設定]
。
選
取 [管理所有已加入 Microsoft Entra 裝置上的其他本機系統管理員] 。
選取
[新增指派]
,然後選擇您想要新增的其他系統管理員,然後選取 [
新增]
。
若要修改裝置系統管理員角色,請
在所有已加入 Microsoft Entra 裝置上設定其他本機系統管理員
。
如需在已加入 Microsoft Entra 系統上管理本機系統管理員的詳細資訊,請參閱下列文章:
瞭解如何
在已加入 Microsoft Entra 裝置上管理本機系統管理員
Windows LAPS 概觀
管理 ML2 (服務帳戶)
開發人員常見的挑戰是管理用來保護服務間通訊的秘密、認證、憑證和密鑰。 基本的八個成熟度層級 2 需要服務帳戶的認證是長、唯一、無法預測及受控的。
已加入 Active Directory 的系統
gMSA (群組受控服務帳戶) 為網域帳戶,可協助保護服務。 gMSA 可以在一部伺服器或伺服器數位中執行,例如網路負載平衡後方的系統,或在 IIS) 伺服器 (Internet Information Services。 將服務設定為使用 gMSA 主體之後,帳戶密碼管理會由 Windows 作業系統 (OS) 來處理。
gMSA 是具有更高安全性的身分識別解決方案,可協助降低系統管理額外負荷:
設定強密碼:240 個字節、隨機產生的密碼:gMSA 密碼的複雜性和長度可將暴力密碼破解或字典攻擊入侵的可能性降到最低。
定期循環密碼:密碼管理會移至 Windows OS,這會每隔 30 天變更密碼一次。 服務和網域系統管理員不需要排程密碼變更,或管理服務中斷。
支援伺服器陣列的部署:將 gMSA 部署到多部伺服器,以支援多個主機執行相同服務的負載平衡解決方案。
支援簡化的服務主體名稱 (SPN) 管理 - 當您建立帳戶時,使用 PowerShell 設定 SPN。
Microsoft Entra 聯結的系統
受控識別會在 Microsoft Entra 識別碼中提供自動受控識別,讓應用程式在聯機到支援 Microsoft Entra 驗證的資源時使用。 應用程式可以使用受控識別來取得 Microsoft Entra 令牌,而不需要管理任何認證。
受控識別有兩種類型:
系統指派。 系統會在資源識別的 Microsoft Entra識別碼中自動建立服務主體。 服務主體會系結至該 Azure 資源的生命週期。 刪除 Azure 資源時,Azure 會自動刪除相關聯的服務主體。
使用者指派。 系統會在資源識別的 Microsoft Entra標識碼中手動建立服務主體。 服務主體會與使用它的資源分開管理。
ML3 (系統和應用程式的 Just-In-Time 存取)
避免為 Azure 或 Microsoft 365 中具有高特殊許可權角色成員的任何帳戶指派永久常設存取權。 攻擊者經常以具有永久許可權的帳戶為目標,以維持企業環境中的持續性,並對系統造成廣泛的損害。 暫時許可權會強制攻擊者等候使用者提高其許可權,或起始許可權提升。 起始許可權提升活動會增加攻擊者被偵測並移除的機會,然後才能夠造成損害。
使用下列方法,只在必要時授與許可權:
Just-in-Time 存取
:設定 Microsoft Entra Privileged Identity Management (PIM) ,以要求核准工作流程以取得特殊許可權角色的存取權。 下列特殊許可權 Microsoft Entra 角色至少需要提高許可權:全域管理員、特殊許可權驗證管理員、特殊許可權角色管理員、條件式存取系統管理員和 Intune 系統管理員。 至少需要提高下列特殊許可權 Azure RBAC 角色的許可權:擁有者和參與者。
急用帳戶
:緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「急用」案例。 例如,所有系統管理員都會被鎖定在 Microsoft Entra 租使用者外。 請確定您已設定強密碼,且只在緊急期間使用緊急存取帳戶。 針對緊急存取帳戶使用 *.onmicrosoft.com 網域建立僅限雲端帳戶,並設定監視以在登入時發出警示。
存取權檢閱 (ML3)
基本八成熟度層級 3 要求系統和應用程式的特殊許可權存取僅限於使用者和服務履行其職責所需的許可權。 對 Azure 資源和 Microsoft Entra 角色的特殊許可權存取需求會隨著時間而變更。 若要降低與過時角色指派相關聯的風險,您應該定期檢閱存取權。 Microsoft Entra 存取權檢閱可讓組織有效率地管理 RBAC 群組成員資格、存取企業應用程式,以及 Microsoft Entra 角色指派。 您可以定期檢閱使用者存取權,以確保只有適當的人員可以繼續存取。
Microsoft Entra 存取權檢閱會啟用使用案例,例如:
識別過多的訪問許可權
識別群組用於新用途的時機
當人員移動團隊或離開公司時,移除不必要的存取權
啟用與資源擁有者的主動參與,以確保他們定期檢閱誰可以存取其資源。
視需要檢閱的存取類型而定,必須在 Azure 入口網站 的不同區域中建立存取權檢閱。 下表顯示建立存取權檢閱的特定工具:
用戶的訪問許可權
檢閱者可以是
在中建立的檢閱
檢閱者體驗
帳戶安全性是保護特殊許可權存取的重要元件。 端對端 零信任 安全性需要建立在會話中使用的帳戶實際上是由人類擁有者控制,而不是攻擊者模擬他們。
ML1 (登入限制)
在 Windows Active Directory (AD) 網域中具有系統管理許可權的使用者、服務或應用程式帳戶,會對企業安全性造成高風險。 攻擊者通常會將這些帳戶設為目標,因為它們提供伺服器、資料庫和應用程式的廣泛存取權。 當系統管理員登入安全性配置檔較低的系統時,特殊許可權認證會儲存在記憶體中,並可使用認證竊取工具來擷取 (例如Mimikatz) 。
基本八成熟度層級 1 要求特殊許可權帳戶 (排除本機系統管理員帳戶) 無法登入未具特殊許可權的作業環境。 Microsoft 階層式管理模型會將登入限制套用至已加入網域的裝置,以防止在安全性配置檔較低的裝置上公開特殊許可權認證。 具有 Active Directory 網域系統管理員存取權的系統管理員,會與具有工作站和企業應用程式控制權的系統管理員分開。 應強制執行登入限制,以確保高度特殊許可權的帳戶無法登入較不安全的資源。 例如:
Active Directory Enterprise 和 Domain Admins 群組的成員無法登入商務應用程式伺服器和使用者工作站。
Microsoft Entra 全域管理員角色的成員無法登入 Microsoft Entra 加入的工作站。
您可以使用 群組原則 用戶權力指派或 Microsoft Intune 原則來強制執行登入限制。 建議您在企業伺服器和使用者工作站上設定下列原則,以防止特殊許可權帳戶將認證公開給較不受信任的系統:
拒絕從網路存取這部計算機
拒絕以批作業登入
拒絕以服務方式登入
拒絕在本機登入
拒絕透過終端機服務登入
限制存取因特網、電子郵件和 Web 服務 (ML1)
基本八成熟度層級 1 要求特殊許可權帳戶 (排除特殊許可權服務帳戶,) 才能存取因特網、電子郵件和 Web 服務。 若為跳板伺服器和特殊許可權存取工作站 (PAW) ,您可以使用數種方法來限制特殊許可權帳戶登入、因特網和電子郵件,包括 群組原則 和 Microsoft Intune 組態配置檔。
Microsoft Entra 加入的裝置
建立 Microsoft Intune 組態配置檔,以在用於特殊許可權管理的裝置上設定網路 Proxy。 用來管理 Azure 和 Microsoft 365 雲端服務的特殊許可權存取裝置應該使用下表中的 Proxy 豁免。
Config
Proxy 例外狀況
account.live.com;*.msft.net;*.msauth.net;*.msauthimages.net;*.msftauthimages.net;*.msftauth.net;*.azure.com;*.azure.net;*.azureedge.net;*.azurewebsites.net;*.microsoft.com;microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.microsoftonline-p.net;*.microsoftonline-p.com;*.windows.net;*.windows.com;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.azure-api.net;*.azure-devices.net;*.visualstudio.com;portal.office.com;config.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com;*.aka.ms;*.digicert.com;*.phonefactor.net;*.nuget.org;*.cloudapp.net;*.trafficmanager.net;login.live.com;clientconfig.passport.net;*.wns.windows.com;*.s-microsoft.com;www.msftconnecttest.com;graph.windows.net;*.manage.microsoft.com;*.aadcdn.microsoftonline-p.com;*.azureafd.net;*.azuredatalakestore.net;*.windows-int.net;*.msocdn.com;*.msecnd.net;*.onestore.ms;*.aspnetcdn.com;*.office.net;*.officeapps.live.com;aka.ms;*.powershellgallery.com;*.azure-apim.net;spoprod-a.akamaihd.net;*.hip.live.com
系統管理裝置
系統管理員應該使用不同的裝置來管理特殊許可權和無特殊許可權的操作環境。 系統管理活動應該遵循管理程式所涉及之所有裝置的乾淨來源原則。
將特殊許可權和無特殊許可權的作業環境 (ML1)
基本八成熟度層級 1 要求特殊許可權使用者使用個別的特殊許可權和無特殊許可權的作業環境。 使用不同的實體工作站是分隔系統管理員特殊許可權和無特殊許可權操作環境的最安全方法。 雖然安全性保證可能會在會話中增強,但一律會受限於原始裝置中保證的強度。 控制特殊許可權存取裝置的攻擊者可以模擬使用者,或竊取使用者認證以供日後模擬。 此風險會破壞帳戶、跳板伺服器等媒介,以及資源本身的其他保證。
特殊許可權存取工作站 (PAW) 是有效控制,可在特殊許可權和無特殊許可權的作業環境之間分隔認證。 特殊許可權認證只能公開至PAW鍵盤,且應該拒絕登入較不安全的裝置。 適用於雲端服務管理的 Privileged Access Workstations (PAW-CSM) 提供安全的平臺來管理 Azure、Microsoft 365 和第三方雲端服務。 PAW-CSM 裝置是使用 Microsoft Intune 來管理,並使用適用於端點的Defender、Windows Hello 企業版和 Microsoft Entra標識符控件的組合來保護。
下圖說明高階架構,包括應設定來實作整體解決方案和PAW-CSM架構的各種技術元件:
如需管理個別作業環境的詳細資訊,請參閱下列文章:
瞭解
特殊許可權存取裝置
瞭解如何部署
安全的工作站
檢閱並下載
特殊許可權工作站配置檔
中繼服務的安全性是保護特殊許可權存取的重要元件。 媒介可用來加速系統管理員的會話或遠端系統或應用程式的連線。 媒介範例包括虛擬專用網 (VPN) 、跳板伺服器、虛擬桌面基礎結構 (包括 Windows 365 和 Azure 虛擬桌面) ,以及透過存取 Proxy 發佈的應用程式。 攻擊者通常會以媒介為目標,使用儲存在其中的認證提升許可權、取得公司網路的網路遠端訪問許可權,或利用特殊許可權存取裝置的信任。
不同的中繼類型會執行唯一的功能,因此每個類型都需要不同的安全性方法。 攻擊者可以輕鬆地以具有較大因特網對向攻擊面的系統為目標。 下列清單包含特殊許可權存取媒介可用的選項:
像是 Microsoft Entra Privileged Identity Management (PIM) 、Azure Bastion 和 Microsoft Entra 應用程式 Proxy 等原生雲端服務,可為攻擊者提供有限的攻擊面。 當客戶向公用因特網公開時, (和攻擊者) 無法存取基礎結構。 SaaS 和 PaaS 服務的基礎結構是由雲端提供者維護和監視。 這個較小的受攻擊面會限制攻擊者的可用選項,以及必須由IT人員設定、修補及監視的傳統內部部署應用程式和設備。
虛擬專用網 (VPN) 和遠端桌面/跳板伺服器提供大量攻擊者機會,因為攻擊者會向因特網公開以提供遠端訪問。 雖然攻擊者只公開幾個網路埠,但攻擊者只需要存取一個未修補的服務即可執行攻擊。
第三方 Privileged Identity Management (PIM) 和特殊許可權存取管理 (PAM) 服務經常裝載於內部部署環境,或作為基礎結構即服務 (IaaS) 上的 VM,通常僅適用於內部網路主機。 雖然不會直接公開因特網,但單一遭入侵的認證可能會允許攻擊者透過 VPN 或其他遠端訪問媒體存取服務。
如需特殊許可權存取媒介的詳細資訊,請參閱
安全媒介
。
記錄和監視
記錄 ML2) (特殊許可權存取事件
記錄特殊許可權帳戶所執行的登入和活動,對於偵測企業環境中的異常行為至關重要。 Microsoft Entra 稽核記錄和登入記錄可提供對應用程式和服務特殊許可權存取的寶貴見解。
Microsoft Entra 登入記錄可讓您深入瞭解登入模式、登入頻率和登入活動的狀態。 登入活動報告適用於所有版本的 Microsoft Entra標識碼。 具有 Microsoft Entra 識別碼 P1 或 P2 授權的組織可以透過 Microsoft 圖形 API 存取登入活動報告。
Microsoft Entra 活動記錄包含 Microsoft Entra識別子中每個已記錄事件的稽核記錄。 應用程式、群組、用戶和授權的變更全都會擷取到 Microsoft Entra 稽核記錄中。 根據預設,Microsoft Entra標識符會保留登入和稽核記錄最多七天。 如果租使用者中有 Microsoft Entra 標識碼 P1 或 P2 授權,Microsoft Entra 標識符會保留最多 30 天的記錄。 Microsoft Entra 稽核記錄和登入記錄應轉送至 Azure Log Analytics 工作區 (LAW) ,以進行集中式收集和相互關聯。
如需集中式記錄的詳細資訊,請參閱下列文章:
Azure 稽核記錄
Azure Sign-In 記錄
Microsoft Entra 數據保留
監視事件記錄檔,以取得ML3 (入侵)
基本八成熟度層級 3 要求事件記錄檔會受到監視,以取得入侵徵兆,並在偵測到任何入侵徵兆時採取動作。 監視特殊許可權活動對於及早偵測系統入侵並包含惡意活動範圍非常重要。
監視特殊許可權存取事件
使用 Microsoft Entra 登入記錄作為數據源來監視所有特殊許可權的帳戶登入活動。 監視下列事件:
要監視的內容
Microsoft Entra 登入記錄
如果登入發生在預期時間之外,請監視併發出警示。 請務必尋找每個特殊許可權帳戶的正常運作模式,並在正常工作時間以外有未規劃的變更時發出警示。 正常工作時間以外的登入可能表示入侵或可能的內部威脅。
身分識別保護風險
Identity Protection 記錄
此事件表示已偵測到帳戶登入時發生異常,且應發出警示。
Microsoft Entra 稽核記錄
針對任何系統管理員帳戶密碼變更發出警示,特別是針對全域系統管理員、用戶系統管理員、訂用帳戶管理員和緊急存取帳戶。 撰寫以所有特殊許可權帳戶為目標的查詢。
變更舊版驗證通訊協定
Microsoft Entra 登入記錄
許多攻擊都會使用舊版驗證,因此如果使用者的驗證通訊協定有所變更,則可能是攻擊的徵兆。
新裝置或位置
Microsoft Entra 登入記錄
大部分的系統管理員活動應來自特殊許可權存取裝置,且位置數目有限。 基於這個理由,請在新裝置或位置上發出警示。
稽核警示設定已變更
Microsoft Entra 稽核記錄
核心警示的變更應該在非預期時發出警示。
系統管理員向其他 Microsoft Entra 租用戶進行驗證
Microsoft Entra 登入記錄
當範圍設為特殊許可權使用者時,此監視器會偵測系統管理員何時已成功向另一個 Microsoft Entra 租用戶驗證,且該租使用者具有您組織租使用者中的身分識別。 如果資源租用戶標識碼不等於主租用戶標識碼,則發出警示
管理員 用戶狀態從來賓變更為成員
Microsoft Entra 稽核記錄
監視使用者類型從來賓變更為成員時發出警示。 這是預期的變更嗎?
未核准邀請者邀請來租用戶的來賓使用者
Microsoft Entra 稽核記錄
監視並警示邀請來賓使用者的未核准動作專案。
監視特殊許可權帳戶管理事件
調查特殊許可權帳戶驗證規則和許可權的變更,特別是當變更提供更大的許可權或能夠在 Microsoft Entra標識符中執行工作時。
要監視的內容
如需監視特殊許可權帳戶活動的詳細資訊,請參閱 Microsoft Entra
標識符中特殊許可權帳戶的安全性作業
。
保護事件記錄檔免於未經授權的修改和刪除 (ML3)
基本八成熟度層級 3 要求事件記錄檔受到保護,以避免未經授權的修改和刪除。 保護事件記錄檔免於未經授權的修改和刪除,可確保在組織發生安全性事件時,記錄可以作為可靠的辨識項來源。 在 Azure 中,來自應用程式和服務特殊許可權存取的事件記錄應該集中儲存在 Log Analytics 工作區中。
Azure 監視器是僅附加的數據平臺,但包含基於合規性目的刪除數據的布建。 從特殊許可權活動收集記錄的Log Analytics工作區應該使用角色型訪問控制來保護,並監視修改和刪除活動。
其次,在 Log Analytics 工作區上設定鎖定,以封鎖所有可能刪除數據的活動:清除、數據表刪除,以及數據表或工作區層級的數據保留變更。
若要完全防竄改您的事件記錄檔,請設定將記錄數據自動匯出至不可變的記憶體解決方案,例如適用於 Azure Blob 儲存體 的不可變記憶體。
如需保護事件記錄完整性的詳細資訊,請參閱
Azure 監視器數據安全性
。
