具有可靠的运行状况监视和威胁检测功能是 安全未来计划六大支柱之一。 这些准则旨在帮助你设置全面的日志记录系统,以便进行存档和分析。 我们包括与有风险的登录、有风险的用户和身份验证方法的会审相关的建议。
与此支柱保持一致的第一步是为所有Microsoft Entra 日志配置诊断设置,以便存储和访问租户中所做的所有更改以供分析。 此支柱中的其他建议侧重于风险警报的及时会审和Microsoft Entra 建议。 关键要点是了解哪些日志、报告和运行状况监视工具可用,并定期监视它们。
安全指南
已为所有Microsoft Entra 日志配置诊断设置
Microsoft Entra 中的活动日志和报告可以帮助检测未经授权的访问尝试或确定租户配置更改的时间。 当日志存档或与安全信息和事件管理(SIEM)工具集成时,安全团队可以实施强大的监视和检测安全控制、主动威胁搜寻和事件响应过程。 日志和监视功能可用于评估租户运行状况,并提供合规性和审核的证据。
如果未定期存档日志或发送到 SIEM 工具进行查询,则调查登录问题很困难。 缺少历史日志意味着安全团队可能会错过失败登录尝试、异常活动和其他泄露指标的模式。 这种缺乏可见性可以防止及时检测漏洞,使攻击者能够在长时间内保持未检测到的访问。
修正操作
特权角色激活已配置监视和警报
对于高特权角色,没有正确激活警报的组织在用户访问这些关键权限时缺乏可见性。 威胁参与者可以通过在不检测的情况下激活高特权角色来利用此监视差距来执行特权提升,然后通过管理员帐户创建或安全策略修改建立持久性。 如果没有实时警报,攻击者就可以进行横向移动、修改审核配置并禁用安全控制,而无需触发即时响应过程。
修正操作
会被分类处理的所有有风险的工作负载身份
泄露的工作负荷标识(服务主体和应用程序)允许威胁参与者在没有用户交互或多重身份验证的情况下获得持久访问。 Microsoft Entra ID Protection 会监视这些标识是否存在可疑活动,例如泄露的凭据、异常的 API 流量和恶意应用程序。 未解决的风险工作负荷标识可能导致特权提升、横向移动、数据泄露,并绕过传统安全控制以创建持久后门。 组织必须系统地调查和修正这些风险,以防止未经授权的访问。
所有用户登录活动都使用强身份验证方法
如果未普遍实施多重身份验证(MFA),或者存在异常,攻击者可能会获得访问权限。 攻击者可以通过利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞,通过社会工程技术获得访问权限。 这些技术可能包括 SIM 交换或钓鱼,以截获身份验证代码。
攻击者可能会将这些帐户用作租户中的入口点。 通过使用截获的用户会话,攻击者可以将其活动伪装成合法的用户作、逃避检测并继续攻击,而不会引起怀疑。 从那里,他们可能会尝试作 MFA 设置,以根据被入侵帐户的权限建立持久性、计划和执行进一步的攻击。
修正操作
解决了高优先级Microsoft Entra 建议
让高优先级Microsoft Entra 建议的取消配置可能会给组织的安全状况造成差距,从而为威胁参与者提供利用已知弱点的机会。 不对这些项执行作可能会导致攻击面面积增加、作欠佳或用户体验不佳。
修正操作
- 解决 Microsoft Entra 管理中心 中所有高优先级建议的问题
没有旧式身份验证登录活动
旧式身份验证协议(如 SMTP 和 IMAP 的基本身份验证)不支持多重身份验证(MFA)等新式安全功能,这对于防止未经授权的访问至关重要。 这种缺乏保护使使用这些协议的帐户容易受到基于密码的攻击,并为攻击者提供使用被盗凭据或猜测凭据获得初始访问权限的方法。
当攻击者成功获得对凭据的未经授权的访问时,他们可以使用它们来访问链接服务,使用弱身份验证方法作为入口点。 通过旧式身份验证获取访问权限的攻击者可能会更改 Microsoft Exchange,例如配置邮件转发规则或更改其他设置,从而允许他们保持对敏感通信的持续访问。
旧式身份验证还为攻击者提供了一种一致的方法来重新输入使用泄露凭据的系统,而无需触发安全警报或要求重新进行身份验证。
从那里,攻击者可以使用旧协议访问通过泄露的帐户访问的其他系统,从而促进横向移动。 使用旧协议的攻击者可以与合法的用户活动混合在一起,从而使安全团队难以区分正常使用和恶意行为。
修正操作
- 可以在 Exchange 中停用 Exchange 协议
- 可以使用条件访问 阻止旧式身份验证协议
- 使用旧式身份验证工作簿 登录,以帮助确定关闭旧式身份验证
解决了所有Microsoft Entra 建议
Microsoft Entra 建议为组织提供了实施最佳做法和优化其安全状况的机会。 不对这些项执行作可能会导致攻击面面积增加、作欠佳或用户体验不佳。
修正操作
- 解决Microsoft Entra 管理中心 中所有活动或推迟的建议