未強制執行的風險使用者

MEDIUM

說明

Microsoft Entra ID Protection (前稱 Identity Protection) 可識別 Entra ID 中的風險使用者,且需要 Microsoft Entra ID P2 授權才能執行。正如關於風險偵測的 Microsoft 說明文件中所述,風險偵測有兩種類型:

  • 登入風險偵測,已在專用的曝險指標 (IoE)「有風險登入不需要 MFA」中處理
  • 使用者風險偵測

在以下情況中,系統可能會判定使用者有風險:

目前有三個風險等級:

請使用條件式存取原則,以在系統識別出有風險的使用者時強制執行安全措施。

根據 BOD 25-01 的強制要求,CISA 發表之「Microsoft Entra ID 的 M365 安全設定基準」中的 MS.AAD.2.1v1 原則規定:「偵測結果為高風險的使用者必須予以封鎖」。根據 CISA 指導方針,本曝險指標 (IoE) 會確保至少有一個條件式存取原則包含下列設定:

  • 使用者」設定為包含「所有使用者」
  • 。「目標資源」設定為「所有資源」。
  • 條件 > 使用者風險」 設定為「是」,並選取「高度」風險等級。
  • 授予」設定為「封鎖存取」。
  • 「啟用原則」設定為「開啟」(而非「關閉」或「僅報告」)。

相反地,如果您選擇遵循 Microsoft 的建議,則本曝險指標 (IoE) 會確保至少有一個條件式存取原則包含下列設定:

  • 將「使用者」設定為包含「所有使用者」。
  • 將「目標資源」設定為「所有資源」。
  • 將「條件 > 使用者風險」設定為「是」,然後選取「高」風險等級。
  • 授予 」設定為「需要變更密碼」。
  • 「啟用原則」設定為「開啟」(不是「關閉」或「僅限報告」)。

解決方案

租用戶必須存在已啟用的條件式存取原則 (CAP),以保護其不受所有識別為高風險的使用者攻擊。

Tenable 建議僅封鎖高風險等級的使用者,以盡可能地減少業務中斷。 CISA 和 Microsoft 對於如何防範此風險有不同的意見:

  • 根據 BOD 25-01 的強制要求,CISA發表之「Microsoft Entra ID 的 M365 安全設定基準」中的 MS.AAD.2.1v1 原則建議完全封鎖風險使用者。
  • 反之,Microsoft 則建議要求變更密碼,藉此觸發自我修復功能。

Tenable 建議遵循 CISA 指導方針,因為這是最安全的做法。不過,由於這也是限制性最高的做法,因此您可以使用曝險指標 (IoE) 中提供的選項輕鬆切換至 Microsoft 建議。

為此,您可以依下列方法建立 CAP:

  • 套用在此曝險指標 (IoE) 說明中指定的設定來修改現有 CAP。
  • 建立專用 CAP,並根據曝險指標 (IoE) 說明中的規格設定。

如果您遵循 Microsoft 的建議而非 CISA 指導方針,您也可以使用 Microsoft 的「高風險使用者需要變更密碼 」CAP 範本。當您啟用遵循 Microsoft 建議的選項時,此範本符合本曝險指標 (IoE) 中列出的所有標準。

請注意: Microsoft 和 Tenable 都建議您將部分帳戶排除在條件式存取原則之外,以避免整體租用戶遭到鎖定或引發意外的副作用。Tenable 也建議您遵照 Microsoft 說明文件「規劃條件式存取部署」的指引,以確保妥善規劃、管理變更,並減少帳戶遭到鎖定的風險。具體而言,如果使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合型身分管理解決方案,必須將相關服務帳戶 從原則中排除,因為帳戶無法符合條件式存取原則的要求。使用「排除使用者」動作並直接排除服務帳戶,或勾選「目錄角色」選項並選取「目錄同步處理帳戶」角色。

設定 CAP 對於防止入侵而言極為重要,但其並不能取代對所報告風險的鑑識調查。如果您有興趣深入瞭解,Microsoft 提供了調查指南

指標詳細資料

名稱: 未強制執行的風險使用者

代碼名稱: RISKY-USERS-WITHOUT-ENFORCEMENT

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: