Konečně. Díl, kvůli kterému jsem se do celého studia Entra ID pustil. Jako obránci potřebujeme správně zabezpečit / ochránit Entra ID prostředí našich zákazníků. Avšak bez studia útoků – motivace, taktik, technik a procedur (TTP 😊) by byla obrana založena jen na pocitech.
Tímto dílem uzavírám naši krátkou sérii (počtem dílů, nikoliv množstvím času – cca 6 hodin školení) o Entra ID:
- Entra ID: Attack Surface
- Entra ID: Lateral movement and persistence
- Entra ID: Obrana (tento článek)
Pokud jste neviděli předchozí díly, určitě doporučuji začít jimi – celé školení na sebe navazuje.
Microsoft Entra ID – Obrana
Stejně jako u obrany on-premise prostředí, stavíme obranu Entra ID na více pilířích:
- Hardening: výchozí nastavení Entra ID není žádný zázrak. Pár přepínači dokážeme zabezpečení výrazně zvednout.
- Conditional Access: jedná se krok v rámci hardeningu (úpravu konfigurace pro vyšší zabezpečení). Avšak protože je CA rozsáhlá technologie, kterou jsme na on-prem Active Directory neměli, věnoval jsem jí samostatnou kapitolu.
- Monitorování: i přes sebelepší zabezpečení (hardening) může k nějakému incidentu dojít (však jste viděli předchozí epizody). Je proto nutné prostředí sledovat, zdali nedošlo k překonání našeho zabezpečení.
Jednoduše řečeno. Cílem hardeningu je útočníkům útok co nejvíce „zesložitit“ a zpomalit, abychom v rámci monitoringu měli čas je detekovat dříve, než dosáhnou svého cíle (napáchají škodu). - Zálohování: pokud by došlo na nejhorší a o data jsme přišli, případně byla narušena jejich důvěryhodnost (např. jejich částečná změna/falsifikace).
Jako vždy, mám pro vás zmíněná témata včetně názorných demonstrací. Doufám, že se vám školení bude líbit a přinese vám nové informace, znalosti či pohled na věc.
Jak zmiňuji na konci školení, touto epizodou zabezpečení Entra ID nekončí, spíše začíná. Microsoft 365 / Office 365 je rozsáhlé a rychle se vyvíjející prostředí. A nevypadá to, že v následujících letech by měl vývoj ustat.
Nástroje které jsme si vybrali
Když jsem školení natáčel, ještě jsem váhal mezi několika nástroji. Nakonec jsme si pro archivování logů, reportování a alertování vybrali AdminDroid.
Tento rok jsme investovali do nových výkonných serverů a tak se nám líbí možnost si provozovat AdminDroid sami. Získáváme tím (za dobrou cenu):
- rychlý nástroj (mnohem rychlejší než procházet logy přímo v M365),
- možnost archivovat logy po dobu několika let (aniž bychom museli řešit předplatné na Log Analytics pro každého zákazníka – značná administrativní zátěž),
- poměrně vysoké zabezpečení (vzhledem k uloženým tokenům, přístupům a datům se jedná o kritický server [viz má přednáška na Hacker Festu], proto je server nedostupný z internetu),
- multitenantní nástroj (data všech zákazníků vidíme současně – nemusíme tak logy kontrolovat pro každého zákazníka zvlášť),
- možnost spolupráce (k jednotlivým tenatům/datům můžeme nasdílet přístup i internímu IT).
AdminDroid pak doplňujeme o vlastní skripty, které kontrolují konfiguraci jednotlivých tenantů a auditují věci se složitější logikou.
Závěr
Toto interní školení bylo pro nás záležitostí srpna / září (na blogu jej zveřejňuji až se zpožděním). Nyní jsem již zase odpočatý a pracuji na interních školeních pro Intune a MS Defender. Snad vše půjde hladce 🤞.
Nechť jsou vaše sítě bezpečné.
Martin