استخدم السجلات لاكتشاف النشاط المريب
- 8 دقائق
يحدث فقدان البيانات بشكل أساسي عندما يتم اختراق حسابات المستخدمين ثم استخدامها للوصول إلى الأصول أو الموارد السرية على شبكتك. تقدم Azure إمكانيات التسجيل والتدقيق التي يمكنها أن تساعدك في تقييم ما إذا كان سلوك المستخدمين الأخير يتوافق مع سلوكهم النموذجي. فعندما ينحرف سلوك المستخدم عن السلوك العادي، توضع علامة عليه باعتباره مريبًا.
يشعر أعضاء فريق الأمان لديك بالقلق من تكرار خرق حدث مؤخراً. ويريدون معرفة ميزات وخدمات Azure التي قد تساعد في منع خرق البيانات. لطمأنة الفريق، تريد معرفة المزيد حول ما يقدمه Azure لتسجيل أنشطة المستخدم وكيفية استخدام التسجيل لتحديد سلوك تسجيل الدخول المريب.
في هذه الوحدة النمطية، سترى أسلوبين لمراقبة سلوك المستخدم. يركز الأسلوب الأول على تفاصيل تسجيل دخول المستخدم، والتي يتم تخزينها في ملفات سجل sign-in. بينما يبحث الأسلوب الثاني في نشاط المستخدم أثناء تسجيل الدخول. يتم تخزين هذه الأنشطة في ملفات audit.
سجلات Microsoft Entra
يلتقط معرف Microsoft Entra معلومات السجل لمستأجر Azure بأكمله. يمكنك استخدام المعلومات في التحليل وإعداد التقارير. عندما تقوم بتقييم سلوك المستخدم، سترغب في إلقاء نظرة على سجلات النشاط وسجلات الأمان التي تم جمعها للمستأجر الخاص بك.
تغطي سجلات النشاط جميع سلوكيات المستخدم وتفاعلاته مع شبكتك وأصولها. تريد أن تولي اهتماماً خاصاً لنوعين من ملفات السجل:
- سجلات تسجيل الدخول: تحتوي سجلات تسجيل الدخول على تفاصيل حول جميع أنشطة المستخدم والتطبيقات التي طلبت المصادقة لتسجيل الدخول.
- سجلات التدقيق: تعرض سجلات التدقيق ما فعله المستخدم أو المجموعة أثناء تسجيل الدخول إلى شبكتك.
تمثل سجلات الأمان قائمة بالاستثناءات الموجودة في سجلات الأنشطة. من المهم الانتباه إلى ملفي سجل أمان أساسيين:
- عمليات تسجيل الدخول المحفوفة بالمخاطر: تحتوي سجلات تسجيل الدخول المحفوفة بالمخاطر على بيانات حول حسابات المستخدمين حيث يتعارض سلوك تسجيل الدخول مع محاولات تسجيل الدخول السابقة.
- تم وضع علامة على المستخدمين لكونهم خطراً: سجلات المستخدمين الذين وضع علامة عليهم لكونهم خطراً تعرض جميع المستخدمين الذين تم الإبلاغ عنهم كمستخدمين خطرين.
ولكن يهمك في الوقت الحالي تعقب سجل تسجيل الدخول وسجل النشاط للمستخدمين فقط.
ملفات سجل تسجيل الدخول
تحتوي ملفات سجل تسجيل الدخول على نسخة من جميع محاولات تسجيل الدخول إلى شبكتك. السجلات تتبع فقط عمليات تسجيل الدخول التقليدية التي تستخدم معلومات تسجيل دخول المستخدم. لا تسجل ملفات سجل تسجيل الدخول المصادقة التلقائية المستخدمة في اتصالات الخادم إلى الخادم.
يمكنك استخدام ملفات سجل تسجيل الدخول لتحديد ما يلي:
- أنماط سلوك تسجيل دخول المستخدم.
- اتجاهات نشاط تسجيل دخول المستخدم بمرور الوقت.
- الحالة العامة لجميع المستخدمين الذين يصلون إلى شبكتك.
المتطلبات الأساسية لسجلات تسجيل الدخول
نظراً للطبيعة الحساسة لبيانات السجل التي يتم التقاطها بواسطة سجلات تسجيل الدخول، فإن الوصول إلى السجلات محجوز ومحدود. لاستخدام ملفات تسجيل الدخول، يجب أن يكون لديك:
- اشتراك Microsoft Entra ID P1 أو P2 أو Premium 2.
- مستخدم واحد على الأقل لديه دور Global Administrator أو Report Reader أو Security Reader أو Security Administrator.
عرض سجلات تسجيل الدخول
تلتقط Azure مجموعة كبيرة من البيانات حول نشاط المستخدم، من فترات الوصول إلى التطبيق الذي قدم طلب تسجيل الدخول، والمزيد غير ذلك. يمكنك الوصول إلى ملف سجل تسجيل الدخول في مثيل Microsoft Entra في مدخل Microsoft Azure. في المرة الأولى التي يتم فيها تمكين خدمة تسجيل الدخول، قد لا تشاهد البيانات لمدة تصل إلى ساعة.
لمشاهدة سجلات تسجيل الدخول للمستأجر الخاص بك، في القائمة اليسرى ضمن Monitoring، حدد Sign-in logs. يعرض المثال التالي طريقة عرض نموذجية لبيانات جدول تسجيل الدخول:
تعرض أعمدة الجدول الافتراضية معلومات مثل تاريخ تسجيل الدخول واسم المستخدم وحالة تسجيل الدخول والموقع.
كما هو الحال مع جميع التقارير في Azure، يمكنك تخصيص بنية التقرير عن طريق إضافة أعمدة وإزالتها. لتغيير الأعمدة، في شريط قائمة سجلات تسجيل الدخول، حدد Columns. في جزء Columns، يمكنك إضافة أعمدة أو إزالتها بناءً على احتياجاتك. بالإضافة إلى الأعمدة الافتراضية، يمكنك اختيار أعمدة لعرض مزيد من المعلومات.
تصفية بيانات السجل
حتى بعد تحديد جميع أعمدة تسجيل الدخول التي ترغب في عرضها، لا يزال لديك قدر كبير من البيانات. لإدارة أحجام البيانات والوصول إلى البيانات التي تحتاجها، يمكنك تطبيق عوامل التصفية. على سبيل المثال، قد ترغب في مشاهدة سجلات تسجيل الدخول فقط التي تم فيها وضع علامة على المستخدمين الذين يمثلون خطراً أو السجلات التي فشلت فيها المصادقة متعددة العوامل. باستخدام عوامل التصفية، يمكنك عرض البيانات الأولية بطرق مختلفة لتحديد الاتجاهات أو الأنماط.
لاستخدام عوامل التصفية، في شريط قائمة سجلات تسجيل الدخول، حدد Add filters، ثم حدد عوامل التصفية التي تريد استخدامها.
فيما يلي بعض عوامل التصفية الرئيسية والغرض من استخدامك لها:
- User: يُستخدم للبحث عن مستخدمين محددين، إما بالاسم أو بالاسم الأساسي للمستخدم.
- Application: استخدمه للبحث عن طلبات تسجيل الدخول من تطبيقات معينة.
- Status: استخدمها لتضييق نطاق النتائج للمستخدمين الذين سجلوا الدخول بنجاح أو المستخدمين الذين فشل تسجيل الدخول لهم.
- Conditional Access: استخدمه لفحص ما إذا كان قد تم تطبيق أي نُهج وصول مشروط سارية.
- Date: استخدمه لضبط الإطار الزمني للبيانات التي تبحث عنها، من شهر إلى يوم واحد.
تنزيل سجلات تسجيل الدخول
لقد حددت الأعمدة التي تحتوي على المعلومات التي تريدها، وقمت بتطبيق عوامل التصفية لتضييق البيانات على مجموعة فرعية محددة يمكن إدارتها من البيانات. والآن يمكنك معالجة البيانات. رغم أن Azure تقدم بعض الأدوات الرائعة لتصور البيانات والتحليل الإضافي، فقد تستخدم بالفعل تطبيقات معينة لمعالجة البيانات. باستخدام Azure، يمكنك تنزيل بيانات تسجيل الدخول استنادًا إلى عوامل التصفية الحالية.
عندما تقوم بتنزيل سجلات تسجيل الدخول، فأنت مقيد بأحدث 250000 سجل، بناءً على معايير التصفية التي قمت بتطبيقها.
لتنزيل البيانات في ملفك الشخصي، في شريط قائمة سجلات تسجيل الدخول، حدد Download. ستحدد تنسيقاً لاستخدامه للبيانات، CSV أو JSON، ثم أدخل اسم ملف لملف التنزيل.
رموز خطأ تسجيل الدخول
يعد تحليل عمليات تسجيل الدخول الفاشلة طريقة أساسية لمساعدتك في الحفاظ على بيئة Azure آمنة وصحية. عند مراجعة ملفات تسجيل الدخول الخاصة بك، يمكنك تصفية الحالة لإظهار عمليات تسجيل الدخول الفاشلة فقط:
عند تحديد أي سجل تسجيل دخول في قائمة النتائج، سترى لقطة من السجل، بما في ذلك حالة تسجيل الدخول ورمز خطأ تسجيل الدخول وسبب الفشل.
في وحدة الملخص الخاصة بهذه الوحدة، ستجد ارتباطاً لقائمة كاملة من رموز الأخطاء. يحتوي الجدول التالي على بضعة أمثلة لرموز الخطأ وأوصافها الرسمية:
| خطأ | الوصف |
|---|---|
| 50002 | فشل تسجيل الدخول بسبب تقييد وصول الوكيل على المستأجر. فإذا كانت هذه سياسة المستأجر الخاصة بك، يمكنك تغيير إعدادات المستأجر المقيدة لحل هذه المشكلة. |
| 50005 | حاول المستخدمون تسجيل الدخول إلى جهاز من نظام أساسي غير مدعوم حالياً من خلال نهج Conditional Access. |
| 50020 | المستخدم غير مصرح له لأحد الأسباب التالية: إما أن المستخدم يحاول تسجيل الدخول باستخدام حساب MSA بنقطة نهاية الإصدار 1، أو أن المستخدم غير موجود في المستأجر. اتصل بمالك التطبيق. |
| 50055 | تم إدخال كلمة مرور غير صالحة أو كلمة المرور انتهت صلاحيتها. |
| 50057 | تم تعطيل حساب المستخدم. تم تعطيل الحساب من جانب مسؤول. |
| 50074 | لم يجتز المستخدم تحدي المصادقة متعددة العوامل (MFA). |
| 50126 | اسم مستخدم أو كلمة مرور غير صالحين، أو اسم مستخدم أو كلمة مرور محليان غير صالحين. |
| 50133 | الجلسة غير صالحة بسبب انتهاء الصلاحية أو تغيير كلمة المرور الأخيرة. |
| 50173 | هناك حاجة إلى رمز مميز جديد. اطلب من المستخدم تسجيل الدخول مرة أخرى باستخدام بيانات اعتماد جديدة. |
| 53003 | تم حظر الوصول بسبب سياسات "الوصول المشروط". |
| 65004 | رفض المستخدم الموافقة على الوصول إلى التطبيق. اطلب من المستخدم إعادة محاولة تسجيل الدخول والموافقة على التطبيق. |
| 70019 | انتهت صلاحية رمز التحقق. اطلب من المستخدم إعادة محاولة تسجيل الدخول. |
| 80007 | لا يمكن لعامل المصادقة التحقق من صحة كلمة مرور المستخدم. |
| 81007 | لم يتم تمكين المستأجر من تسجيل دخول أحادي سلس. |
ملفات سجل التدقيق
توفر ملفات التدقيق محفوظات لكل نشاط في مستأجر Microsoft Entra. يتم الاحتفاظ بسجلات التدقيق للامتثال وهي تحتفظ بسجلات لجميع أنشطة نظامك. قد لا يتم تضمين الأنشطة الحديثة في النتائج لمدة تصل إلى ساعة بعد حدوثها.
المتطلبات الأساسية لسجلات التدقيق
للوصول إلى ملفات سجل التدقيق، يجب أن يكون لدى مستخدم واحد على الأقل في المستأجر دور Global Administrator أو Report Reader أو Security Reader أو Security Administrator.
عرض سجلات التدقيق
الوصول إلى سجلات التدقيق من خلال مثيل Microsoft Entra في مدخل Microsoft Azure. في القائمة اليسرى ضمن Monitoring، حدد Audit logs.
مثل سجلات تسجيل الدخول، يمكنك تعديل سجلات التدقيق لتلبية احتياجاتك الخاصة. يعرض زر عرض سجل التدقيق الافتراضي الأعمدة التالية:
- التاريخ
- الخدمة
- الفئة
- النشاط
- الحالة
- سبب الحالة
- الهدف (الأهداف)
- بمبادرة من (المستخدم)
يمكنك أيضاً إضافة العمود User Agent.
تصفية نتائج سجل التدقيق
قد تحتوي سجلات التدقيق على مئات الآلاف من الإدخالات من بيئة Azure بأكملها. لإدارة حجم البيانات، يمكنك تطبيق عوامل تصفية على النتائج لعرض البيانات التي تحتاجها. يمكنك تصفية البيانات في الحقول التالية فقط:
- Date: حدد نطاقاً زمنياً، والذي يمكن أن يختلف من شهر إلى يوم واحد، أو فترة زمنية مخصصة.
- Show dates a: حدد Local أو UTC.
- Service: تضييق نطاق الخدمات المضمنة في النتائج.
- Category: حدد فئة التدقيق التي تريدها. على سبيل المثال، قد تختار وحدة إدارية أو إدارة مستخدم.
- Activity: تعتمد الخيارات على نوع الخدمة والفئة التي حددتها.
- Status: تصفية حسب نجاح أو فشل النشاط.
حدد Add filters لتحديد أحد عوامل التصفية التالية:
- Target: تصفية على اسم هدف أو اسم مستخدم أساسي.
- Initiated by (المستخدم): حدد اسم مستخدم أو اسم أساسي عام للتصفية عليه. يتحسس كلاهما لحالة الأحرف.
- User Agent: تصفية حسب اسم وكيل المستخدم.
تنزيل سجلات التدقيق
عندما تقوم بتطبيق عوامل التصفية لتضييق نطاق البيانات إلى مجموعة فرعية محددة يمكن إدارتها، يمكنك تنزيل البيانات. عندما تنزل سجلات سجل التدقيق، تتقيد بأحدث 250000 سجل، استنادًا إلى معايير التصفية المطبقة.
كما هو الحال مع سجلات تسجيل الدخول، حدد تنسيقاً لاستخدامه للبيانات، إما CSV أو JSON، ثم أدخل اسم ملف للتنزيل.
سجلات الوصول من خلال المستخدمين والمجموعات وتطبيقات المؤسسة
يمكنك الوصول إلى سجلات تسجيل الدخول وسجلات التدقيق التي يتم تجميعها لمثيل Microsoft Entra من خلال المستخدمين والمجموعات وتطبيقات المؤسسة. يتم تصفية البيانات مسبقًا وفقًا لنقطة الوصول المستخدمة. إذا قمت بالوصول إلى السجلات من خلال قائمة المستخدمين، فسترى فقط بيانات السجل المتعلقة بالمستخدمين. وينطبق المثل على المجموعات وتطبيقات المؤسسة.
للوصول إلى سجلات تسجيل دخول المستخدم أو سجلات تدقيق المستخدم من مثيل Microsoft Entra، في القائمة اليمنى ضمن إدارة، حدد المستخدمون. بعد ذلك، ضمن Activity، حدد نوع السجل الذي تريد عرضه.
للوصول إلى سجلات تدقيق المجموعة من مثيل Microsoft Entra، حدد المجموعات في القائمة اليمنى.