Přednáška: Microsoft Entra ID – Obrana

Konečně. Díl, kvůli kterému jsem se do celého studia Entra ID pustil. Jako obránci potřebujeme správně zabezpečit / ochránit Entra ID prostředí našich zákazníků. Avšak bez studia útoků – motivace, taktik, technik a procedur (TTP 😊) by byla obrana založena jen na pocitech.

Tímto dílem uzavírám naši krátkou sérii (počtem dílů, nikoliv množstvím času – cca 6 hodin školení) o Entra ID:

• Entra ID: Attack Surface
• Entra ID: Lateral movement and persistence
• Entra ID: Obrana (tento článek)

Pokud jste neviděli předchozí díly, určitě doporučuji začít jimi – celé školení na sebe navazuje.

Microsoft Entra ID – Obrana

Stejně jako u obrany on-premise prostředí, stavíme obranu Entra ID na více pilířích:

• Hardening: výchozí nastavení Entra ID není žádný zázrak. Pár přepínači dokážeme zabezpečení výrazně zvednout.
• Conditional Access: jedná se krok v rámci hardeningu (úpravu konfigurace pro vyšší zabezpečení). Avšak protože je CA rozsáhlá technologie, kterou jsme na on-prem Active Directory neměli, věnoval jsem jí samostatnou kapitolu.
• Monitorování: i přes sebelepší zabezpečení (hardening) může k nějakému incidentu dojít (však jste viděli předchozí epizody). Je proto nutné prostředí sledovat, zdali nedošlo k překonání našeho zabezpečení.
  Jednoduše řečeno. Cílem hardeningu je útočníkům útok co nejvíce „zesložitit“ a zpomalit, abychom v rámci monitoringu měli čas je detekovat dříve, než dosáhnou svého cíle (napáchají škodu).
• Zálohování: pokud by došlo na nejhorší a o data jsme přišli, případně byla narušena jejich důvěryhodnost (např. jejich částečná změna/falsifikace).

Jako vždy, mám pro vás zmíněná témata včetně názorných demonstrací. Doufám, že se vám školení bude líbit a přinese vám nové informace, znalosti či pohled na věc.

Jak zmiňuji na konci školení, touto epizodou zabezpečení Entra ID nekončí, spíše začíná. Microsoft 365 / Office 365 je rozsáhlé a rychle se vyvíjející prostředí. A nevypadá to, že v následujících letech by měl vývoj ustat.

Nástroje které jsme si vybrali

Když jsem školení natáčel, ještě jsem váhal mezi několika nástroji. Nakonec jsme si pro archivování logů, reportování a alertování vybrali AdminDroid.

Tento rok jsme investovali do nových výkonných serverů a tak se nám líbí možnost si provozovat AdminDroid sami. Získáváme tím (za dobrou cenu):

• rychlý nástroj (mnohem rychlejší než procházet logy přímo v M365),
• možnost archivovat logy po dobu několika let (aniž bychom museli řešit předplatné na Log Analytics pro každého zákazníka – značná administrativní zátěž),
• poměrně vysoké zabezpečení (vzhledem k uloženým tokenům, přístupům a datům se jedná o kritický server [viz má přednáška na Hacker Festu], proto je server nedostupný z internetu),
• multitenantní nástroj (data všech zákazníků vidíme současně – nemusíme tak logy kontrolovat pro každého zákazníka zvlášť),
• možnost spolupráce (k jednotlivým tenatům/datům můžeme nasdílet přístup i internímu IT).

AdminDroid pak doplňujeme o vlastní skripty, které kontrolují konfiguraci jednotlivých tenantů a auditují věci se složitější logikou.

Závěr

Toto interní školení bylo pro nás záležitostí srpna / září (na blogu jej zveřejňuji až se zpožděním). Nyní jsem již zase odpočatý a pracuji na interních školeních pro Intune a MS Defender. Snad vše půjde hladce 🤞.

Nechť jsou vaše sítě bezpečné.

Martin