Operace zabezpečení pro infrastrukturu
Infrastruktura má mnoho komponent, kde může dojít k ohrožením zabezpečení, pokud není správně nakonfigurované. Jako součást strategie monitorování a upozorňování pro infrastrukturu monitorujte a upozorňování v následujících oblastech:
Ověřování a autorizace
Komponenty hybridního ověřování včetně. Federační servery
Politiky
Předplatná
Monitorování a upozorňování komponent infrastruktury ověřování je důležité. Jakékoli ohrožení může vést k úplnému ohrožení celého prostředí. Mnoho podniků, které používají Microsoft Entra ID, funguje v hybridním ověřovacím prostředí. Součástí strategie monitorování a upozorňování by měly být cloudové a místní komponenty. Prostředí hybridního ověřování také představuje další vektor útoku pro vaše prostředí.
Všechny komponenty doporučujeme považovat za řídicí rovinu nebo prostředky vrstvy 0 a účty, které se používají ke správě. Pokyny k návrhu a implementaci prostředí najdete v tématu Zabezpečení privilegovaných prostředků (SPA ). Tyto pokyny zahrnují doporučení pro každou z komponent hybridního ověřování, které by se mohly použít pro tenanta Microsoft Entra.
Prvním krokem při zjišťování neočekávaných událostí a potenciálních útoků je vytvoření směrného plánu. Všechny místní komponenty uvedené v tomto článku najdete v tématu Nasazení privilegovaného přístupu, které je součástí průvodce zabezpečením privilegovaných prostředků (SPA).
Kam se podívat
Soubory protokolů, které používáte pro šetření a monitorování, jsou:
Na webu Azure Portal můžete zobrazit protokoly auditu Microsoft Entra a stáhnout jako soubory JSON (Hodnoty oddělené čárkami) nebo JavaScript Object Notation (JSON). Azure Portal nabízí několik způsobů integrace protokolů Microsoft Entra s dalšími nástroji, které umožňují větší automatizaci monitorování a upozorňování:
Microsoft Sentinel – Umožňuje inteligentní analýzy zabezpečení na podnikové úrovni tím, že poskytuje funkce zabezpečení a správy událostí (SIEM).
Pravidla Sigma – Sigma je vyvíjející se otevřený standard pro psaní pravidel a šablon, které mohou automatizované nástroje pro správu použít k analýze souborů protokolu. Kde existují šablony Sigma pro naše doporučená kritéria hledání, přidali jsme odkaz na úložiště Sigma. Šablony Sigma nejsou napsané, otestované a spravované Microsoftem. Úložiště a šablony se vytvářejí a shromažďují komunitou zabezpečení IT po celém světě.
Azure Monitor – Umožňuje automatizované monitorování a upozorňování různých podmínek. Můžete vytvářet nebo používat sešity ke kombinování dat z různých zdrojů.
Služba Azure Event Hubs integrovaná se systémem SIEM – Protokoly Microsoft Entra je možné integrovat do jiných prostředí SIEM, jako jsou Splunk, ArcSight, QRadar a Sumo Logic prostřednictvím integrace služby Azure Event Hubs.
Microsoft Defender for Cloud Apps – umožňuje zjišťovat a spravovat aplikace, řídit se napříč aplikacemi a prostředky a kontrolovat dodržování předpisů cloudových aplikací.
Zabezpečení identit úloh pomocí služby Microsoft Entra ID Protection – používá se ke zjišťování rizik u identit úloh napříč chováním přihlašování a offline indikátory ohrožení.
Zbývající část tohoto článku popisuje, co se má monitorovat a upozorňovat na to. Je uspořádaná podle typu hrozby. Tam, kde jsou předdefinovaná řešení, najdete odkazy na ně za tabulkou. V opačném případě můžete vytvářet výstrahy pomocí předchozích nástrojů.
Infrastruktura ověřování
V hybridních prostředích, která obsahují místní i cloudové prostředky a účty, je infrastruktura služby Active Directory klíčovou součástí zásobníku ověřování. Zásobník je také cílem útoků, takže musí být nakonfigurovaný tak, aby udržoval zabezpečené prostředí a musí být řádně monitorován. Příklady aktuálních typů útoků používaných proti infrastruktuře ověřování používají techniky Password Spray a Solorigate. Tady jsou odkazy na články, které doporučujeme:
Přehled zabezpečení privilegovaného přístupu – tento článek poskytuje přehled aktuálních technik pomocí technik nulová důvěra (Zero Trust) k vytváření a údržbě zabezpečeného privilegovaného přístupu.
Aktivity monitorované doménou v programu Microsoft Defender for Identity – tento článek obsahuje úplný seznam aktivit pro monitorování a nastavení výstrah.
Kurz výstrah zabezpečení v programu Microsoft Defender for Identity – Tento článek obsahuje pokyny k vytvoření a implementaci strategie výstrah zabezpečení.
Tady jsou odkazy na konkrétní články, které se zaměřují na monitorování a upozorňování infrastruktury ověřování:
Seznamte se s postupy laterálního pohybu v programu Microsoft Defender for Identity – Techniky detekce, které pomáhají identifikovat, kdy se k získání přístupu k citlivým síťovým účtům používají účty, které nejsou citlivé.
Práce s výstrahami zabezpečení v programu Microsoft Defender for Identity – tento článek popisuje, jak kontrolovat a spravovat výstrahy po jejich zaprotokolování.
Následují konkrétní věci, které je potřeba hledat:
| Co monitorovat | Úroveň rizika | Kde | Poznámky |
|---|---|---|---|
| Trendy uzamčení extranetu | Vysoko | Microsoft Entra Connect Health | Viz monitorování služby AD FS pomocí služby Microsoft Entra Connect Health pro nástroje a techniky, které pomáhají odhalit trendy uzamčení extranetu. |
| Neúspěšná přihlášení | Vysoko | Připojení portálu Health | Vyexportujte nebo stáhněte sestavu rizikových IP adres a postupujte podle pokynů v sestavě rizikových IP adres (Public Preview) a proveďte další kroky. |
| Dodržování předpisů v oblasti ochrany osobních údajů | Nízký | Microsoft Entra Connect Health | Nakonfigurujte Službu Microsoft Entra Connect Health tak, aby zakázala shromažďování a monitorování dat pomocí ochrany osobních údajů uživatelů a článku microsoft Entra Connect Health . |
| Potenciální útok hrubou silou na LDAP | Středně | Microsoft Defender for Identity | Pomocí senzoru můžete detekovat potenciální útoky hrubou silou proti protokolu LDAP. |
| Rekognoskace účtů | Středně | Microsoft Defender for Identity | Pomocí senzoru můžete provádět rekognoskaci výčtu účtů. |
| Obecná korelace mezi ID Microsoft Entra a Azure AD FS | Středně | Microsoft Defender for Identity | Pomocí možností můžete korelovat aktivity mezi vaším ID Microsoft Entra a prostředími Azure AD FS. |
Monitorování předávacího ověřování
Předávací ověřování Microsoft Entra přihlašuje uživatele ověřením hesla přímo proti místní Active Directory.
Následují konkrétní věci, které je potřeba hledat:
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Poznámky |
|---|---|---|---|---|
| Chyby předávacího ověřování Microsoft Entra | Středně | Protokoly aplikací a služeb\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Nejde se připojit ke službě Active Directory | Ujistěte se, že jsou servery agentů členy stejné doménové struktury AD jako uživatelé, jejichž hesla je potřeba ověřit, a že se můžou připojit ke službě Active Directory. |
| Chyby předávacího ověřování Microsoft Entra | Středně | Protokoly aplikací a služeb\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 – Došlo k vypršení časového limitu připojení ke službě Active Directory. | Zkontrolujte, jestli je služba Active Directory dostupná a reaguje na požadavky z agentů. |
| Chyby předávacího ověřování Microsoft Entra | Středně | Protokoly aplikací a služeb\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 – uživatelské jméno předané agentu nebylo platné. | Ujistěte se, že se uživatel pokouší přihlásit pomocí správného uživatelského jména. |
| Chyby předávacího ověřování Microsoft Entra | Středně | Protokoly aplikací a služeb\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 – Při ověřování došlo k nepředvídatelné chybě WebException | Přechodná chyba. Zkuste požadavek zopakovat. Pokud i nadále selže, obraťte se na podporu Microsoftu. |
| Chyby předávacího ověřování Microsoft Entra | Středně | Protokoly aplikací a služeb\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 – při komunikaci se službou Active Directory došlo k chybě | V protokolech agenta vyhledejte další informace a ověřte, že služba Active Directory funguje podle očekávání. |
| Chyby předávacího ověřování Microsoft Entra | Vysoko | Rozhraní API funkce Win32 LogonUserA | Přihlášení událostí 4624: Účet byl úspěšně přihlášen. - korelovat s – 4625(F): Účet se nepodařilo přihlásit |
Používá se s podezřelými uživatelskými jmény na řadiči domény, který ověřuje požadavky. Pokyny k funkci LogonUserA (winbase.h) |
| Chyby předávacího ověřování Microsoft Entra | Středně | PowerShellový skript řadiče domény | Podívejte se na dotaz za tabulkou. | Informace najdete v microsoft Entra Connect: Pokyny k řešení potíží s předávacím ověřováním. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Monitorování pro vytváření nových tenantů Microsoft Entra
Organizace můžou potřebovat monitorovat vytváření nových tenantů Microsoft Entra a upozorňovat na to, když je akce inicializována identitami z jejich tenanta organizace. Monitorování pro tento scénář poskytuje přehled o tom, kolik tenantů se vytváří a ke kolika koncovým uživatelům může přistupovat.
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Poznámky |
|---|---|---|---|---|
| Vytvoření nového tenanta Microsoft Entra pomocí identity z vašeho tenanta | Středně | Protokoly auditu Microsoft Entra | Kategorie: Správa adresářů Aktivita: Vytvoření společnosti |
Cílové hodnoty zobrazují id vytvořeného tenanta. |
Konektor privátní sítě
Microsoft Entra ID a proxy aplikace Microsoft Entra poskytují vzdáleným uživatelům prostředí jednotného přihlašování (SSO). Uživatelé se bezpečně připojují k místním aplikacím bez virtuální privátní sítě (VPN) nebo dvoudomátových serverů a pravidel brány firewall. Pokud dojde k ohrožení zabezpečení serveru privátního síťového konektoru Microsoft Entra, útočníci můžou změnit prostředí jednotného přihlašování nebo změnit přístup k publikovaným aplikacím.
Pokud chcete nakonfigurovat monitorování pro proxy aplikací, přečtěte si téma Řešení potíží proxy aplikací a chybových zpráv. Datový soubor, který protokoluje informace, najdete v protokolech aplikací a služeb\Microsoft\Microsoft Entra private network\Connector\Admin. Kompletní referenční příručku k aktivitě auditu najdete v referenčních informacích k aktivitě auditu Microsoft Entra. Konkrétní věci, které se mají monitorovat:
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Poznámky |
|---|---|---|---|---|
| Chyby protokolu Kerberos | Středně | Různé nástroje | Středně | Pokyny k chybě ověřování protokolu Kerberos v části Chyby protokolu Kerberos při řešení proxy aplikací problémů a chybových zpráv. |
| Problémy se zabezpečením řadiče domény | Vysoko | Protokoly auditu zabezpečení DC | ID události 4742(S): Došlo ke změně účtu počítače. -a- Příznak – důvěryhodný pro delegování -nebo- Příznak – důvěryhodný pro ověřování pro delegování |
Prozkoumejte všechny změny příznaku. |
| Útoky typu Pass-the-Ticket | Vysoko | Postupujte podle pokynů v: Rekognoskace objektu zabezpečení (LDAP) (externí ID 2038) Kurz: Upozornění na ohrožené přihlašovací údaje Principy a používání laterálních cest pohybu v programu Microsoft Defender for Identity Principy profilů entit |
Nastavení starší verze ověřování
Aby vícefaktorové ověřování (MFA) bylo efektivní, musíte také zablokovat starší ověřování. Pak potřebujete monitorovat prostředí a upozorňovat na jakékoli použití starší verze ověřování. Starší ověřovací protokoly, jako jsou POP, SMTP, IMAP a MAPI, nemůžou vynutit vícefaktorové ověřování. Díky tomu jsou tyto protokoly upřednostňovaným vstupním místem pro útočníky. Další informace o nástrojích, které můžete použít k blokování starší verze ověřování, najdete v tématu Nové nástroje pro blokování starší verze ověřování ve vaší organizaci.
Starší verze ověřování se zaznamenává v protokolu přihlášení Microsoft Entra jako součást podrobností události. Sešit služby Azure Monitor můžete použít k identifikaci staršího využití ověřování. Další informace najdete v tématu Přihlášení pomocí starší verze ověřování, které je součástí postupu použití sešitů služby Azure Monitor pro sestavy Microsoft Entra. Sešit nezabezpečených protokolů můžete použít také pro Microsoft Sentinel. Další informace najdete v tématu Průvodce implementací sešitu nezabezpečených protokolů služby Microsoft Sentinel. Mezi konkrétní aktivity, které se mají monitorovat, patří:
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Poznámky |
|---|---|---|---|---|
| Starší verze ověřování | Vysoko | Protokol přihlášení Microsoft Entra | ClientApp: POP ClientApp: IMAP ClientApp: MAPI ClientApp: SMTP ClientApp: ActiveSync přejděte na EXO Ostatní klienti = SharePoint a EWS |
V prostředích federované domény se neúspěšná ověřování nezaznamenávají a nezobrazují se v protokolu. |
Microsoft Entra Connect
Microsoft Entra Connect poskytuje centralizované umístění, které umožňuje synchronizaci účtů a atributů mezi místním a cloudovým prostředím Microsoft Entra. Microsoft Entra Connect je nástroj Microsoftu navržený tak, aby splňoval a splnil vaše cíle hybridní identity. Poskytuje následující funkce:
Synchronizace hodnot hash hesel – metoda přihlašování, která synchronizuje hodnotu hash místního hesla uživatele ad s Id Microsoft Entra.
Synchronizace – zodpovídá za vytváření uživatelů, skupin a dalších objektů. A zajistit, aby informace o identitě místních uživatelů a skupin odpovídaly cloudu. Tato synchronizace zahrnuje také hodnoty hash hesel.
Monitorování stavu ing – Microsoft Entra Connect Health může poskytovat robustní monitorování a centrální umístění na webu Azure Portal k zobrazení této aktivity.
Synchronizace identity mezi místním prostředím a cloudovým prostředím představuje nový prostor pro útoky pro vaše místní i cloudové prostředí. Doporučujeme:
Primární a přípravné servery Microsoft Entra Connect považujete za systémy vrstvy 0 ve vaší řídicí rovině.
Dodržujete standardní sadu zásad, které řídí jednotlivé typy účtů a jejich využití ve vašem prostředí.
Nainstalujete Microsoft Entra Connect a Connect Health. Ty primárně poskytují provozní data pro prostředí.
Protokolování operací Microsoft Entra Connect probíhá různými způsoby:
Průvodce Microsoft Entra Connect protokoluje data do
\ProgramData\AADConnect. Při každém vyvolání průvodce se vytvoří soubor protokolu trasování s časovým razítkem. Protokol trasování je možné importovat do služby Sentinel nebo do jiných nástrojů pro správu událostí (SIEM) 3rd party security information and event management (SIEM).Některé operace iniciují skript PowerShellu pro zaznamenání informací o protokolování. Pokud chcete shromažďovat tato data, musíte se ujistit, že je povolené protokolování bloku skriptu.
Monitorování změn konfigurace
Microsoft Entra ID používá microsoft SQL Server Data Engine nebo SQL k ukládání informací o konfiguraci služby Microsoft Entra Connect. Monitorování a auditování souborů protokolů přidružených ke konfiguraci by proto mělo být součástí vaší strategie monitorování a auditování. Konkrétně do strategie monitorování a upozorňování zahrňte následující tabulky.
| Co monitorovat | Kde | Poznámky |
|---|---|---|
| mms_management_agent | Záznamy auditu služby SQL | Zobrazení záznamů auditu SQL Serveru |
| mms_partition | Záznamy auditu služby SQL | Zobrazení záznamů auditu SQL Serveru |
| mms_run_profile | Záznamy auditu služby SQL | Zobrazení záznamů auditu SQL Serveru |
| mms_server_configuration | Záznamy auditu služby SQL | Zobrazení záznamů auditu SQL Serveru |
| mms_synchronization_rule | Záznamy auditu služby SQL | Zobrazení záznamů auditu SQL Serveru |
Informace o tom, co a jak monitorovat informace o konfiguraci, najdete tady:
Informace o SQL Serveru najdete v tématu Záznamy auditu SQL Serveru.
Informace o službě Microsoft Sentinel najdete v tématu Připojení k serverům s Windows za účelem shromažďování událostí zabezpečení.
Informace o konfiguraci a používání služby Microsoft Entra Connect naleznete v tématu Co je Microsoft Entra Connect?
Monitorování a řešení potíží se synchronizací
Jednou z funkcí Microsoft Entra Connect je synchronizace hodnot hash mezi místním heslem uživatele a ID Microsoft Entra. Pokud se hesla nesynchronují podle očekávání, může synchronizace ovlivnit podmnožinu uživatelů nebo všech uživatelů. Následující postup vám pomůže s ověřením správné operace nebo řešením potíží:
Informace o kontrole a řešení potíží se synchronizací hodnot hash naleznete v tématu Řešení potíží se synchronizací hodnot hash hesel pomocí nástroje Microsoft Entra Connect Sync.
Úpravy prostorů konektorů najdete v tématu Řešení potíží s objekty a atributy služby Microsoft Entra Connect.
Důležité zdroje informací o monitorování
| Co monitorovat | Prostředky |
|---|---|
| Ověřování synchronizace hodnot hash | Viz Řešení potíží se synchronizací hodnot hash hesel se synchronizací služby Microsoft Entra Connect Sync |
| Změny prostorů spojnice | Viz Řešení potíží s objekty a atributy Microsoft Entra Connect |
| Úpravy pravidel, která jste nakonfigurovali | Monitorování změn: filtrování, doména a organizační jednotky, atributy a změny založené na skupinách |
| Změny SQL a MSDE | Změny parametrů protokolování a přidání vlastních funkcí |
Sledujte následující:
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Poznámky |
|---|---|---|---|---|
| Změny plánovače | Vysoko | PowerShell | Set-ADSyncScheduler | Hledejte úpravy plánu. |
| Změny naplánovaných úkolů | Vysoko | Protokoly auditu Microsoft Entra | Aktivita = 4699(S): Byl odstraněn naplánovaný úkol. -nebo- Aktivita = 4701(ů): Naplánovaný úkol byl zakázán. -nebo- Aktivita = 4702(ů): Naplánovaný úkol byl aktualizován. |
Monitorování všech |
Další informace o protokolování operací skriptů PowerShellu najdete v tématu Povolení protokolování bloků skriptů, které je součástí referenční dokumentace k PowerShellu.
Další informace o konfiguraci protokolování PowerShellu pro analýzu nástrojem Splunk najdete v tématu Získání dat do analýzy chování uživatelů splunk.
Monitorování bezproblémového jednotného přihlašování
Microsoft Entra bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) automaticky přihlásí uživatele, když jsou na firemních stolních počítačích, které jsou připojené k podnikové síti. Bezproblémové jednotné přihlašování poskytuje uživatelům snadný přístup k cloudovým aplikacím bez dalších místních komponent. Jednotné přihlašování používá předávací ověřování a možnosti synchronizace hodnot hash hesel, které poskytuje Microsoft Entra Connect.
Monitorování aktivit jednotného přihlašování a protokolu Kerberos vám může pomoct při zjišťování obecných vzorů útoku na krádež přihlašovacích údajů. Monitorování pomocí následujících informací:
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Poznámky |
|---|---|---|---|---|
| Chyby spojené se selháním jednotného přihlašování a ověřování protokolu Kerberos | Středně | Protokol přihlášení Microsoft Entra | Seznam kódů chyb jednotného přihlašování při jednotném přihlašování | |
| Dotaz na chyby při řešení potíží | Středně | PowerShell | Viz následující tabulka s dotazem. vrácení se změnami v každé doménové struktuře s povoleným jednotným přihlašováním | Přihlaste se ke každé doménové struktuře s povoleným jednotným přihlašováním. |
| Události související s protokolem Kerberos | Vysoko | Monitorování identity v programu Microsoft Defender for Identity | Projděte si doprovodné materiály dostupné v programu Microsoft Defender for Identity Lateral Movement Paths (LMPs) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Zásady ochrany heslem
Pokud nasadíte ochranu heslem Microsoft Entra, monitorování a vytváření sestav jsou zásadními úlohami. Následující odkazy obsahují podrobnosti, které vám pomůžou porozumět různým technikám monitorování, včetně informací o jednotlivých protokolech služeb a o tom, jak hlásit použití microsoft Entra Password Protection.
Agent řadiče domény (DC) i proxy služby protokoluje zprávy protokolu událostí. Všechny níže popsané rutiny PowerShellu jsou dostupné jenom na proxy serveru (viz modul PowerShellu AzureADPasswordProtection). Software agenta DC nenainstaluje modul PowerShellu.
Podrobné informace o plánování a implementaci místní ochrany hesel jsou k dispozici v plánu a nasazení místní ochrany heslem Microsoft Entra. Podrobnosti o monitorování najdete v tématu Monitorování místní ochrany heslem Microsoft Entra. Na každém řadiči domény zapisuje software služby agenta DC výsledky jednotlivých operací ověření hesla (a další stav) do následujícího místního protokolu událostí:
\Protokoly aplikací a služeb\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Protokoly aplikací a služeb\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Protokoly aplikací a služeb\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Protokol správy agenta DC je primárním zdrojem informací o tom, jak se software chová. Ve výchozím nastavení je protokol trasování vypnutý a musí být povolený před zaprotokolováním dat. Podrobné informace o řešení potíží s proxy aplikací a chybových zprávách najdete v tématu Řešení potíží s proxy aplikací Microsoft Entra. Informace o těchto událostech jsou zaznamenány:
Protokoly aplikací a služeb\Microsoft\Microsoft Entra private network\Connector\Admin
Protokol auditu Microsoft Entra, kategorie proxy aplikací
Kompletní referenční informace o aktivitách auditu Microsoft Entra najdete v referenčních informacích k aktivitě auditu Microsoft Entra.
Podmíněný přístup
V Microsoft Entra ID můžete chránit přístup k vašim prostředkům konfigurací zásad podmíněného přístupu. Jako správce IT chcete zajistit, aby zásady podmíněného přístupu fungovaly podle očekávání, aby se zajistilo, že jsou vaše prostředky chráněné. Monitorování a upozorňování na změny služby podmíněného přístupu zajišťuje vynucení zásad definovaných vaší organizací pro přístup k datům. Microsoft Entra protokoluje při změnách podmíněného přístupu a také poskytuje sešity, které zajistí, že zásady poskytují očekávané pokrytí.
Propojení sešitu
Pomocí následujících informací monitorujte změny zásad podmíněného přístupu:
| Co monitorovat | Úroveň rizika | Kde | Filtr nebo podfiltr | Poznámky |
|---|---|---|---|---|
| Nové zásady podmíněného přístupu vytvořené neschválými aktéry | Středně | Protokoly auditu Microsoft Entra | Aktivita: Přidání zásad podmíněného přístupu Kategorie: Zásady Zahájil (actor): Hlavní název uživatele |
Monitorování a upozorňování na změny podmíněného přístupu Zahájil (actor): schválil změny podmíněného přístupu? Šablona Microsoft Sentinelu Pravidla Sigma |
| Zásady podmíněného přístupu odebrané neschválinými aktéry | Středně | Protokoly auditu Microsoft Entra | Aktivita: Odstranění zásad podmíněného přístupu Kategorie: Zásady Zahájil (actor): Hlavní název uživatele |
Monitorování a upozorňování na změny podmíněného přístupu Zahájil (actor): schválil změny podmíněného přístupu? Šablona Microsoft Sentinelu Pravidla Sigma |
| Zásady podmíněného přístupu aktualizované neschválými aktéry | Středně | Protokoly auditu Microsoft Entra | Aktivita: Aktualizace zásad podmíněného přístupu Kategorie: Zásady Zahájil (actor): Hlavní název uživatele |
Monitorování a upozorňování na změny podmíněného přístupu Zahájil (actor): schválil změny podmíněného přístupu? Zkontrolujte změněné vlastnosti a porovnejte starou a novou hodnotu. Šablona Microsoft Sentinelu Pravidla Sigma |
| Odebrání uživatele ze skupiny používané k určení rozsahu důležitých zásad podmíněného přístupu | Středně | Protokoly auditu Microsoft Entra | Aktivita: Odebrání člena ze skupiny Kategorie: GroupManagement Cíl: Hlavní název uživatele |
Montior a alert for groups used to scope critical Conditional Access Policies. Cíl je uživatel, který byl odebrán. Pravidla Sigma |
| Přidání uživatele do skupiny používané k určení rozsahu důležitých zásad podmíněného přístupu | Nízký | Protokoly auditu Microsoft Entra | Aktivita: Přidání člena do skupiny Kategorie: GroupManagement Cíl: Hlavní název uživatele |
Montior a alert for groups used to scope critical Conditional Access Policies. Cíl je uživatel, který byl přidán. Pravidla Sigma |
Další kroky
Přehled operací zabezpečení Microsoft Entra
Operace zabezpečení uživatelských účtů
Operace zabezpečení pro uživatelské účty
Operace zabezpečení pro privilegované účty
Operace zabezpečení pro Privileged Identity Management