Freigeben über

Lernprogramm: Konfigurieren von Sicherheitsanalysen für Azure Active Directory B2C-Daten mit Microsoft Sentinel

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Erhöhen Sie die Sicherheit Ihrer Azure Active Directory B2C (Azure AD B2C)-Umgebung, indem Sie Protokolle und Überwachungsinformationen an Microsoft Sentinel weiterleiten. Das skalierbare Microsoft Sentinel ist eine cloudeigene, sicherheitsbasierte Informations- und Ereignisverwaltungslösung (SIEM) und Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR). Verwenden Sie die Lösung für warnungserkennung, Bedrohungssichtbarkeit, proaktive Suche und Bedrohungsreaktion für Azure AD B2C.

Weitere Informationen:

Weitere Verwendungsmöglichkeiten für Microsoft Sentinel mit Azure AD B2C sind:

  • Erkennen zuvor nicht erkannter Bedrohungen und Minimieren falsch positiver Ergebnisse mit Analyse- und Bedrohungserkennungsfeatures
  • Untersuchen von Bedrohungen mit künstlicher Intelligenz (KI)
    • Suche nach verdächtigen Aktivitäten im großen Maßstab und profitieren von der Erfahrung der jahrelangen Cybersicherheitsarbeit bei Microsoft
  • Schnelles Reagieren auf Vorfälle mit gängiger Aufgaben-Orchestrierung und Automatisierung
  • Erfüllen der Sicherheits- und Complianceanforderungen Ihrer Organisation

In dieser Anleitung lernen Sie, wie man:

  • Übertragen von Azure AD B2C-Protokollen in einen Log Analytics-Arbeitsbereich
  • Aktivieren von Microsoft Sentinel in einem Log Analytics-Arbeitsbereich
  • Erstellen einer Beispielregel in Microsoft Sentinel zum Auslösen eines Vorfalls
  • Konfigurieren einer automatisierten Antwort

Konfigurieren von Azure AD B2C mit Azure Monitor Log Analytics

So definieren Sie, wo Protokolle und Metriken für eine Ressource gesendet werden,

  1. Aktivieren Sie Diagnoseeinstellungen in Microsoft Entra ID in Ihrem Azure AD B2C-Mandanten.
  2. Konfigurieren Sie Azure AD B2C, um Protokolle an Azure Monitor zu senden.

Weitere Informationen: Überwachen von Azure AD B2C mit Azure Monitor.

Bereitstellen einer Microsoft Sentinel-Instanz

Nachdem Sie Ihre Azure AD B2C-Instanz zum Senden von Protokollen an Azure Monitor konfiguriert haben, aktivieren Sie eine Instanz von Microsoft Sentinel.

Von Bedeutung

Um Microsoft Sentinel zu aktivieren, erhalten Sie Mitwirkendeberechtigungen für das Abonnement, in dem sich der Microsoft Sentinel-Arbeitsbereich befindet. Um Microsoft Sentinel zu verwenden, verwenden Sie die Berechtigungen "Mitwirkender" oder "Leser" für die Ressourcengruppe, zu der der Arbeitsbereich gehört.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie das Abonnement aus, in dem der Log Analytics-Arbeitsbereich erstellt wird.

  3. Suchen und wählen Sie Microsoft Sentinel aus.

    Screenshot: Azure Sentinel wurde in das Suchfeld eingegeben und die Azure Sentinel-Option wird angezeigt.

  4. Wählen Sie Hinzufügen aus.

  5. Wählen Sie im Feld "Arbeitsbereiche suchen " den neuen Arbeitsbereich aus.

    Screenshot des Sucharbeitsbereichsfelds unter

  6. Wählen Sie "Microsoft Sentinel hinzufügen" aus.

    Hinweis

    Es ist möglich, Microsoft Sentinel auf mehr als einem Arbeitsbereich auszuführen, daten sind jedoch in einem einzigen Arbeitsbereich isoliert.
    Siehe Schnellstart: Onboarding von Microsoft Sentinel durchführen

Erstellen einer Microsoft Sentinel-Regel

Nachdem Sie Microsoft Sentinel aktiviert haben, werden Sie benachrichtigt, wenn etwas Verdächtiges in Ihrem Azure AD B2C-Mandanten auftritt.

Sie können benutzerdefinierte Analyseregeln erstellen, um Bedrohungen und ungewöhnliche Verhaltensweisen in Ihrer Umgebung zu erkennen. Diese Regeln suchen nach bestimmten Ereignissen oder Ereignissätzen und benachrichtigen Sie, wenn Ereignisschwellenwerte oder Bedingungen erfüllt sind. Anschließend werden Vorfälle zur Untersuchung generiert.

Siehe: Erstellen von benutzerdefinierten Analyseregeln zum Erkennen von Bedrohungen

Hinweis

Microsoft Sentinel verfügt über Vorlagen zum Erstellen von Bedrohungserkennungsregeln, die Ihre Daten nach verdächtigen Aktivitäten durchsuchen. In diesem Lernprogramm erstellen Sie eine Regel.

Benachrichtigungsregel für nicht erfolgreichen erzwungenen Zugriff

Führen Sie die folgenden Schritte aus, um Benachrichtigungen über zwei oder mehr erfolglose, erzwungene Zugriffsversuche in Ihre Umgebung zu erhalten. Ein Beispiel hierfür ist brute-force-Angriff.

  1. Wählen Sie in Microsoft Sentinel im linken Menü "Analyse" aus.

  2. Wählen Sie auf der oberen Leiste die Option +Geplante Abfrageregel> aus.

    Screenshot der Option

  3. Wechseln Sie im Assistenten für Analyseregeln zu Allgemein.

  4. Geben Sie unter "Name" einen Namen für nicht erfolgreiche Anmeldungen ein.

  5. Geben Sie für die Beschreibung an, dass die Regel Benachrichtigungen für zwei oder mehr erfolglose Anmeldungen innerhalb von 60 Sekunden auslöst.

  6. Wählen Sie für Taktiken eine Kategorie aus. Wählen Sie z. B. "PreAttack" aus.

  7. Wählen Sie für Schweregrad einen Schweregrad aus.

  8. Der Status ist standardmäßig aktiviert . Um eine Regel zu ändern, wechseln Sie zur Registerkarte "Aktive Regeln ".

    Screenshot der Option

  9. Wählen Sie die Registerkarte Regellogik festlegen aus.

  10. Geben Sie eine Abfrage in das Regelabfragefeld ein. Im Abfragebeispiel werden die Anmeldungen nach UserPrincipalName organisiert.

    Screenshot des Abfragetexts im Abfragefeld

  11. Wechseln Sie zur Abfrageplanung.

  12. Geben Sie für Abfrage ausführen alle die Werte 5 und Minuten ein.

  13. Geben Sie für Nachschlagen von Daten der letzten die Werte 5 und Minuten ein.

  14. Wählen Sie für "Warnung generieren" aus, wenn die Anzahl der Abfrageergebnissegrößer als und 0 ist.

  15. Wählen Sie für die Ereignisgruppierung"Alle Ereignisse in einer einzigen Warnung gruppieren" aus.

  16. Wählen Sie "Aus"aus, um die Ausführung der Abfrage nach dem Generieren der Warnung zu beenden.

  17. Wählen Sie "Weiter": Vorfalleinstellungen (Vorschau) aus.

Screenshot: Auswahl und Optionen für die Abfrageplanung.

  1. Wechseln Sie zur Registerkarte "Überprüfen und Erstellen", um die Regeleinstellungen zu überprüfen.

  2. Wenn das Banner "Überprüfung bestanden" angezeigt wird, wählen Sie "Erstellen" aus.

    Screenshot der ausgewählten Einstellungen, des banners

Zeigen Sie die Regel und die von ihr generierten Vorfälle an. Finden Sie Ihre neu erstellte benutzerdefinierte Regel vom Typ Geplant in der Tabelle unter der Registerkarte Aktive Regeln auf der Hauptseite.

  1. Wechseln Sie zum Analysebildschirm .
  2. Wählen Sie die Registerkarte "Aktive Regeln " aus.
  3. Suchen Sie in der Tabelle unter "Geplant" die Regel.

Sie können die Regel bearbeiten, aktivieren, deaktivieren oder löschen.

Screenshot der aktiven Regeln mit den Optionen

Triage, Untersuchung und Behebung von Vorfällen

Ein Vorfall kann mehrere Warnungen enthalten und ist eine Aggregation relevanter Nachweise für eine Untersuchung. Auf Vorfallebene können Sie Eigenschaften wie Schweregrad und Status festlegen.

Weitere Informationen: Untersuchen von Vorfällen mit Microsoft Sentinel.

  1. Wechseln Sie zur Seite "Vorfälle ".

  2. Wählen Sie einen Vorfall aus.

  3. Auf der rechten Seite werden detaillierte Vorfallinformationen angezeigt, einschließlich Schweregrad, Entitäten, Ereignissen und der Vorfall-ID.

    Screenshot, der Vorfallinformationen zeigt.

  4. Wählen Sie im Bereich "Vorfälle " die Option "Vollständige Details anzeigen" aus.

  5. Überprüfen Sie Registerkarten, auf denen der Vorfall zusammengefasst wird.

    Screenshot einer Liste der Vorfälle.

  6. Wählen Sie Nachweise>Ereignisse>Link zu Log Analytics aus.

  7. Sehen Sie sich in den Ergebnissen den Identitätswert UserPrincipalName an, der sich anzumelden versucht.

    Screenshot der Vorfalldetails.

Automatisierte Antwort

Microsoft Sentinel verfügt über Funktionen zur Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR). Fügen Sie automatisierte Aktionen oder ein Playbook zu Analyseregeln hinzu.

Siehe Was ist SOAR?

E-Mail-Benachrichtigung für einen Vorfall

Verwenden Sie für diese Aufgabe ein Playbook aus dem Microsoft Sentinel GitHub-Repository.

  1. Wechseln Sie zu einem konfigurierten Playbook.
  2. Bearbeiten Sie die Regel.
  3. Wählen Sie auf der Registerkarte "Automatisierte Antwort " das Playbook aus.

Weitere Informationen: Vorfall-E-Mail-Benachrichtigung

Screenshot der automatisierten Antwortoptionen für eine Regel.

Ressourcen

Weitere Informationen zu Microsoft Sentinel und Azure AD B2C finden Sie unter:

Nächster Schritt

Behandeln falsch positiver Ergebnisse in Microsoft Sentinel