В современную эпоху цифровой трансформации защита корпоративных систем становится приоритетом для организаций всех масштабов. Одной из ключевых платформ для управления идентификацией и доступом является Microsoft Entra ID, предоставляющая расширенные возможности по контролю и защите учетных записей пользователей и приложений. Для эффективного мониторинга и анализа безопасности в Entra ID разработан инструмент Entra ID Security Config Analyzer (EIDSCA), который помогает организациям выявлять пробелы в конфигурациях и оперативно реагировать на потенциальные угрозы. EIDSCA представляет собой решение, ориентированное на проактивную работу с безопасностью Entra ID, позволяя не только выявлять изменения в настройках безопасности, но и визуализировать их состояние, основываясь на лучших практиках отрасли. Инструмент собирает данные с использованием Microsoft Graph API, интегрирует их в Azure Log Analytics и предоставляет гибкую визуализацию через Azure Workbook.
При необходимости аналитика интегрируется с Microsoft Sentinel, создавая инциденты в случае критических изменений конфигураций. Основа архитектуры EIDSCA — использование Microsoft Graph API, который обеспечивает доступ к различным политикам и настройкам безопасности Entra ID. Этот подход позволяет централизованно собирать информацию о параметрах авторизации, управления приложениями, политик внешних пользователей, методов аутентификации и многих других важных аспектах, влияющих на общую безопасность среды. Важно отметить, что EIDSCA не охватывает все доступные конечные точки Microsoft Graph API, а сфокусирован на тех, которые влияют на безопасность и имеют ключевое значение для предотвращения атак. В числе основных конечных точек — AuthorizationPolicy, activityBasedTimeoutPolicies, externalIdentitiesPolicy, authenticationMethodsPolicy и другие.
Эти настройки анализируются с учетом соответствия рекомендованным параметрам безопасности. Для того чтобы организация могла оперативно идентифицировать уязвимости, разработчики EIDSCA использовали MITRE ATT&CK Framework, распределяя настройки безопасности по тактикам и техникам возможных атак. Такой подход позволяет соотносить конфигурационные параметры с распространенными сценариями атак, включая фишинг, компрометацию учетных данных, обход средств защиты и другие. Одним из ключевых преимуществ применения EIDSCA является возможность визуализации анализа в формате Azure Workbook. Это рабочее пространство предоставляет представление в разрезе текущего состояния безопасности, сравнивая фактические настройки с рекомендованными.
Каждая конфигурация сопровождается статусом, отражающим степень соответствия и уровнем риска: Passed, Failed, Review, Verify и Informational. Такой формат упрощает восприятие информации и помогает ответственным специалистам сфокусироваться на наиболее критичных проблемах. Для более глубокого и автоматизированного реагирования EIDSCA интегрируется с Microsoft Sentinel. При обнаружении изменений, например, в AuthorizationPolicy, запускается Logic App, который создает инцидент в системе управления событиями безопасности. В инциденте отображаются подробности с указанием предыдущих, новых и рекомендованных значений настроек, а также меры по устранению выявленных проблем.
Время задержки от изменения до регистрации инцидента составляет порядка 10-15 минут, что обеспечивает своевременное информирование команды безопасности. Развертывание EIDSCA предполагает наличие Azure Log Analytics workspace для хранения собираемых данных, а также соответствующих разрешений для Logic App, использующего управляемую идентичность для доступа к Microsoft Graph API. Чтобы упростить процесс настройки, доступны ARM-шаблоны, которые автоматизируют развертывание Logic App и подключений, а также примеры скриптов на PowerShell для назначения необходимых разрешений. Пользователи могут самостоятельно настраивать Azure Workbook, адаптируя рекомендации под индивидуальные требования организации. Для этого можно клонировать JSON-файл метаданных и изменить критерии проверки конфигураций.
Такой гибкий подход позволяет учитывать уникальные бизнес-процессы, повышая эффективность контроля и управления безопасностью. С ростом числа угроз и развитием техник атак, вопросы поддержания безопасности облачных инфраструктур приобретают особую значимость. Инструмент Entra ID Security Config Analyzer отвечает вызовам современного мира, предлагая комплексное решение для оценки и улучшения безопасности идентификационных сервисов Microsoft. Его использование способствует своевременному обнаружению слабых мест и ускоряет процессы реагирования на инциденты. Кроме того, проект EIDSCA является инициативой сообщества, что означает открытость для доработок и совершенствования.
