論IT安全組的重要性

安全組會保護亦會破壞您的IT網絡安全，該組成員主要負責管理網絡中的訪問權限，如對資源和數據的訪問權限。但您有沒有想過，一個組成員身份的配置錯誤可能會致使一些安全事件的發生？

 

深度剖析組成員權限

 

在安全方面，Active Directory和Azure AD中的組成員身份一般會被低估，成員身份一般由IT管理員、服務檯和部門經理受權。

 

如下是在AD或Azure AD中配置組成員身份的錯誤場景：

 

嵌套和間接組成員身份

                                             

將一個組添加到另外一個組做爲成員時稱爲嵌套組。例如，能夠將一個或多個安全組添加到管理組。儘管能夠對該管理組的更改進行連續監視，但當不監視嵌套組的更改時，仍可能存在安全漏洞。

 

惡意內部人員或外部***者能夠輕鬆地將成員添加到嵌套組或間接組中，因爲嵌套組是管理組的一部分，因此他們很容易得到對敏感數據的訪問權限。爲了克服這一挑戰，建議企業採用「零信任」安全策略，僅向用戶授予他們所需的訪問權限。

 

讓咱們先看一下如何在AD中審覈組成員身份的更改。

當您啓用所需的審覈策略去審覈AD中的組成員時，AD域的任何類型的組中的任何成員身份更改事件都會被審覈並記錄在域控制器（DC）的Windows事件查看器的安全選項卡上。

 

可是，監視組的更改活動事件並非這麼簡單，由於AD域上的全部其餘安全更改（如權限，文件和文件夾的更改以及登陸和註銷活動）都會被轉儲到同一位置（即Event Viewer的安全選項卡）。因此咱們必須使用表示組更改的相應事件ID去查看全部這些安全事件（以下圖）。

 

根據組類型和執行的操做，如組建立、權限更改和成員身份更改會記錄成不一樣的事件ID，這使得審覈組更改事件並進行分類時很是繁瑣且耗時。

 

組不只僅是安全組

 

安全組是惟一能夠決定組成員對資源的訪問權限的組，可是AD和Azure中還有其餘各類類型的組能夠授予組成員對其餘網絡資源的訪問權限。

 

跨DC的通信組和安全組：若是您擁有多DC環境，那麼您可能已經瞭解這些組。有默認的管理員組，例如DNS admins、域管理員和企業管理員，這些管理員容許用戶管理AD域的某些組件。通信組可讓您自定義用戶角色或管理跨多個域的資源。

 

其餘平臺組： 任何第三方服務建立的組均可以決定用戶對該服務的訪問權限。例如：

 

l  本地AD組用於訪問Azure資源。

 

l  Exchange Server組：默認狀況下，該組有權清除域的安全日誌。因此任意加到該組內的惡意用戶均可以輕鬆刪除域的安全日誌，從而消除全部惡意活動痕跡。

 

l  Exchange Windows權限組：具備對域DNS節點的DACL寫入控制權。任何具備域DNS節點權限的用戶均可以更改並控制域中的每一個對象。

Azure AD安全組和Microsoft 365組： Azure AD和Microsoft 365組對於管理Azure AD中的資源相當重要。

 

l  安全組用於管理Azure中的一組用戶或計算機對共享資源的訪問權限。

 

l  Microsoft 365組經過容許成員訪問共享的郵箱、日曆、文件和SharePoint站點等來提供團隊協做。

 

讓咱們看一下Azure AD中的組成員身份審覈。

 

Azure AD審覈日誌

 

就像本地Active Directory中的Windows Event Viewer同樣，Azure AD也有一個位置用於存儲審覈日誌。這些審覈日誌記錄基於目錄的更改，例如對用戶、組和應用程序的更改。

 

不過與本地AD相比，Azure AD提供了更多的排序和篩選選項。例如，您能夠根據時間、操做等來過濾安全事件。

 

可是，審覈日誌不能提供安全更改的歸納圖。例如，假設您要查找在Azure AD中已修改的安全組的列表，您將不得不打開並檢查每一個日誌以肯定具體哪一個組被修改了，可想而知這是一個繁瑣且耗時的過程。

 

讓咱們看看審覈Azure AD中安全事件的其餘可能的方法。

 

Microsoft 365統一審覈日誌

 

Microsoft經過其安全與合規中心中的統一審覈日誌爲上述問題提供瞭解決方案。但其實，此解決方案效率並不高。

 

從上圖能夠看到，安全與合規中心具備審覈日誌搜索功能，可以讓您快速搜索和過濾審覈日誌。聽起來不錯吧？不徹底是！若是想進一步分析事件，因其詳細信息爲JSON格式，因此分析此數據的惟一方法就是導出JSON日誌數據，並使用Microsoft Excel對其再次進行過濾。

 

如您所見，儘管篩選選項會友好一些，可是Azure內也存在您在典型的本地AD基礎架構中面臨的那些審覈和分析中的挑戰！最重要的是，Azure AD和Microsoft 365都分別僅存儲30天和90天的短期內的日誌，這使得取證分析變得困難，甚至沒法執行！

 

綜上所述，實時捕獲和分析安全組成員身份更改是當務之急。儘管本機服務能夠按時捕獲敏感事件，可是有限的排序和搜索

功。

能使分析這些事件具備很是大的挑戰性。何況，僅檢測成員身份更改是不夠的。您的組織也應具備實時告警機制和響應措施，以應對任何未經受權的組成員身份更改事件的發生。