בקרות וחיווי Azure AD Monitoring

חיווי, נראות, ניטור ובקרות בפרט הם חלק חשוב וקריטי בתהליכי אבטחת מידע בארגון, כל מוצר או פתרון באשר הוא חייב להיות מחובר למערכת בקרות כלשהיא, הסיבה לכך היא פשוטה, אנו צריכים ממשק שיספק לנו מידע על הנעשה בארגון בכל רגע נתון.

ישנם אפשרויות רבות לצרוך את המידע שעובר במערכות המחשוב, החל מבקרות שונות ועד אפשרויות נראות ספציפיות כדוגמת Microsoft Cloud App Security אשר מבצע בקרה ספציפית, ולכן מטתרן הסופית של בקרות היא לספק מידע על מער האבטחה, להתריע על בעיות אבטחה ולספק אפשרויות תחקור.

לא ניתן להפעיל מערך אבטחה ללא מערכת בקרה תקינה, ואם נסתכל על הבקרות שיש לנו כיום אז ניתן לחלק אותם למספר סוגים:

  • בקרה מונעת – כלי המונע מבעוד מועד מפעולה שאינה רצויה לקרות. למשל, הגבלת הרשאות.
  • בקרה מפצה – בקרה שמטרתה לתת מענה במקום שבו הבקרה אינה מספקת.
  • בקרה מתקנת – תיקון אוטומטי של פעולות לא רצויות לאחר מעשה. למשל, שחזור אוטומטי של נתונים לאחר קריסה של מערכת המחשב.
  • בקרה מגלה – מטרתו לגלות פעולות לא רצויות שהתרחשו כך שיתאפשר לארגון לתקן אותן לאחר מעשה. למשל, ניטור פעולות חריגות.

ניטור המידע Azure AD

הממשקים של Microsoft 365 מספקים את כלל הבקרות המוזכרות מעלה וממשקי חיווי וניטור נוספים במטרתם לתת מערך בקרה וניטור אחד גדול על כלל הארגון בין הוא בסביבה מרובת עננים או בסביבה היברידית וכן הלאה.

ולכן אם נקח רק את אחת האפשרויות מתוך Microsoft 365 שהיא ניטור באמצעות Azure AD נוכל להבין כי הממשק מספק בקרות שונות על הפעולות והצריכה של מתמשים ואדמינים בסביבת המחשוב.

מכיוון שזהויות הוא אחד הרובדים החשובים באבטת מידע אנו נדרשים לזהות חריגות, לוודא הפעולות סטנדרטיות טלעקוב אחר כל פעילות שאינה תואמת את מדיניות אבטחת המידע בארגון.

האפשרויות של Azure AD Monitor מספקות מידע חיוני ואם נסתכל על האפשרויות נוכל להבין שאנו יכוילם לנבור בלוגים ולתחקר אירועים, בין שלל האפשרויות של ניטור ניתן למצוא את היכולות הבאות:

Sign-ins – מספק מידע מפורט אודות פעילות המשתמש החל מרגע שביצע את ניסיון הפכניסה הראשון, דרך שימוש בכלים שונים ועד שיטות התחברות.

Audit logs – מספק לוגים של שינויים במערכת המתבצעים ע"י המערכת עצמה כדוגמת חידוש STS או פעולות אדמין החל מעדכון הפרטים הקטנים למשתמשי קצה.

Logs – שליחת לוגים אל Azure Log Analytics למטרות שונות כדוגמת שמירת המידע במקום מרכזי, יצירת פורטל מבוסס BI, ניתוח המידע וכן הלאה.

Diagnostic settings – מספק מידע לגבי שינויים שנעשים במערכת ומחלק את המידע לשני סוגים: Tenant logs והנוסף Resource logs במטרה לתת קורלציה של מידע ולוגים עם רכיבים נוספים במערכת. חלק מתוך Azure Monitor.

Workbooks – מספק מידע לגבי מפורט ברמת בורג לגבי פעולות ותהליכים מתוך Azure AD, מכיוון שהוא מצריך אינטגרציה עם Azure Log Analytics ומתחבר אל Azure Monitor, אנו מקבלים מידע מסוג מטריקות, דוחות אינטראקטיביים וכן הלאה.

Usage & insights – מספק מידע אודות צריכה ותובנות לגבי אפליקציות מקומיות וענניות, ניתן להתעמק בדוחות ע"י גישה לכל אפליקציה בנפרד ולנתח את המידע ברמת משתמש, גישה והרשאה, הצלבת מידע מול אפליקציות נוספות, תנאי Conditional Access וכן הלאה.

בנוסף לכך ישנם דוחות חדשים של Authentication methods activity המספקים מידע חיוני אודות SSPR, MFA ונוספים.

ניטור פעילות Authentication methods 

היכולת החדשה של Authentication methods activity מספקת מידע חיוני אודות פעילות משתמשים מול הרכיבים הבאים: Azure MFA & Azure SSPR, ולכן החיווי הנ"ל מאפשר לדעת סטטוס לגבי פריסה ארגונית של אותם רכיבים וכן מעקב אחר משתמשים שלא ביצעו רישום או אינם משתמשים עם MFA.

טיפ: זהויות הוא הרובד החשוב כיום בהגנה על הארגון ולכן MFA הוא חלק מהותי ביישום, ולכן כל משתמש עם גישה חייב להיות מוגדר עם Azure MFA.

בגישה אל ממשק Usage & insights – Authentication methods activity נוכל לקבל מידע לגבי כמות המשתמשים אשר מבצעים רישום מבוסס Azure MF, משתמשים אשר ביצעו רישום לאיפוס סיסמאות, משתמשים אשר יכולים לבצע איפוס סיסמה.

הדוח מכיל שלושה סוגי משתמשים:

משתמש Registered – משתמש אשר ביצע רישום באופן מסודר ולפי המדיניות הארגונית אשר כוללת את מספר סוג ההזדהות הנדרשים, בנוסף לכך הרישום כולל את SSPR + MFA יחד.

משתמש Enabled – משתמש אשר נמצא בהגדרת SCOP של SSPR ויכול לבצע רישום או איפוס סיסמה, הגדרת Scope יכולה להיות ברמת טננט או קבוצה למעט Guest ולכן משתמש מסוג זה נספר בכל אחת מן ההגדרות.

משתמש Capable – משתמש אשר ביצע רישום וגם מוגדר במצב Enabled, ולכן במצב כזה משתמש יכול לבצע את הפעולות כולל SSPR.

בממשק Usage & insights – Authentication methods activity ניתן לקבל את המידע העדכני לגבי סוגי המשתמשים, ובכל אחת מן הקטגוריות ניתן לקבל מידע נוסף.

טיפ: המידע בדוחות מתעדכן עד 60 דקות

לאחר בחירת באחת האפשרויות ניתן לעבוד עם דוח מתקדם מעט יותר בשביל להבין באיזה תצורת עבודה המשתמשים רשומים, או לחלופין משתמש שאינו ביצע רישום עד כה.

ניתן לעבוד עם הדוחות לפי מספר מצבים, בין היתר:

  • לפי סוגי משתמשים
  • לפי סוגי רכיבים (SSPR \ MFA)
  • תצורות הזדהות
  • סטטוס

לסיכום

ממשק הדוחות של Usage & insights – Authentication methods activity מספק דיווח חיוני מול משתמשים שאינם רשומים עם רכיבי Azure MFA וכן SSPR. מעבר לעובדה שהדוח סוגר פינה של אבטחת מידע הוא מסייע בפריסה של הרכיבים מול המשתמשים בארגון.

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.