Microsoft Entra ID: Jak odhalovat prolomené účty a sjednat nápravu

1

Už je to přes osm roků od našeho prvního zásahu u ransomware incidentu (viz Ransomware 1: Obnova dat aneb štěstí v neštěstí). Od té doby se ransomware útoky výrazně posunuly – jak ve výši výkupného, kde jsme se z desítek tisíc dostali na desítky milionů, tak i v profesionalitě útočníků. Už se téměř nestává, že bychom našli chybu v šifrovacím nástroji a dokázali obnovit data bez spolupráce s útočníky.

Tentokrát se ale ransomware útokům věnovat nechci. Rád bych se zaměřil na útoky vůči cloudovým prostředím. V posledních letech totiž pozorujeme jejich postupný nárůst. Jakmile se Microsoft 365 stal celosvětově rozšířenou platformou, začali se na něj ve velkém zaměřovat i útočníci. Dnes už prakticky každý týden řešíme kompromitovaný uživatelský účet. A za tu dobu jsme nasbírali spoustu zkušeností, o které se chci podělit.

Microsoft Entra ID Protection

Dobrou zprávou je, že řešení běžných incidentů nevyžaduje ani složité nástroje, ani velké úsilí. Microsoft totiž v rámci vašeho Entra ID prostředí poskytuje přehledné informace o tom, které účty považuje za kompromitované – včetně vysvětlení, proč si to myslí. Správci tak mají k dispozici konkrétní data o rizikových přihlášeních, podezřelých aktivitách i chování uživatelů.

Z našich auditů ale víme, že o této funkci mnoho správců neví. Přitom jde o nástroj s vynikajícím poměrem cena/výkon – jeho správa zabere minimum času a generuje jen velmi málo falešně pozitivních hlášení. Je to přesně ten typ funkcionality, který stojí za to se naučit a používat.

Rozhodl jsem se proto natočit přednášku, ve které ukazuji, jak s Microsoft Entra ID Protection efektivně pracovat. Dozvíte se v ní, jak ověřit, zda je účet skutečně kompromitovaný, jak zjistit, jak se útočník dovnitř dostal, jak jej z prostředí vyhodit, ke kterým datům měl přístup a co v prostředí provedl. Věřím, že to pomůže správcům i bezpečnostním týmům rychleji reagovat a posílit bezpečnost svých cloudových prostředí.

Závěr

Pokud vás napadá nějaké zajímavé téma ohledně Entra ID, na které se podívat příště, budu rád za podnět.

A přeji vám, přátelé, ať jsou vaše sítě bezpečné.

Martin

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Martin Haller
Jsem spoluzakladatel společnosti PATRON-IT a celým srdcem technik. Specializuji se na správu firemního IT prostředí, kybernetickou bezpečnost a "řešení neřešitelných" IT problémů.

Související

Diskuze k článku

Petr

03. 11. 2025 v 21:28

super ukázka na reálném útočníkovi.
Monitoring risky (users|signin) je fakt tak trochu skrytý poklad.
Bohužel pro běžného správce to znamená do toho muset každý den nahlížet. Vestavěný alerting bez P2 licence nefunguje.
U tenantů může být levnější alternativa nechat si logy (sign/audit aj) kopírovat do Log analytics. Stojí z mé zkušenosti max. pár dolarů měsíčně, retence klidně 30 dní. Nad tím by pak měl jít udělat alert (třeba jakmile se risk faktor nějakého uživatele/přihlášení zvýší) s logicapp. Píšu „měl by“, protože jsem to následkem tohoto blogpostu sice nastavil, ale v reálu ještě neotestoval.
Přidávám se k doporučení všechny Entra logy stahovat i onprem (kvůli retenci). Nejen sign-in (které do UAL nejdou), ale i audit logy (Entry a Intune), případně Azure.
Při incidentu anebo pokud se něco „samo“ pokazí, jde rázem zjistit víc.

Odpovědět

Odpovědět

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Hack The Box OSCP MCSE CHFI ECSA CCNP CCNA