Leitfaden für Microsoft Entra-SecOps für Anwendungen
Anwendungen bieten Sicherheitsverletzungen eine Angriffsfläche und müssen daher überwacht werden. Auch wenn sie nicht so häufig wie Benutzerkonten angegriffen werden, kann es zu Verletzungen kommen. Da Anwendungen häufig ohne menschliches Eingreifen ausgeführt werden, sind die Angriffe möglicherweise schwieriger zu erkennen.
Dieser Artikel enthält Anleitungen zum Überwachen auf und Warnen bei Anwendungsereignissen. Er wird regelmäßig aktualisiert, um sicherzustellen, dass Sie folgende Aufgaben erledigen können:
Verhindern, dass schädliche Anwendungen unberechtigten Zugriff auf Daten erhalten
Verhindern, dass Anwendungen von böswilligen Akteuren kompromittiert werden
Gewinnen von Erkenntnissen, mit denen Sie neue Anwendungen sicherer erstellen und konfigurieren können
Wenn Sie nicht mit der Funktionsweise von Anwendungen in Microsoft Entra ID vertraut sind, lesen Sie Apps und Dienstprinzipale in Microsoft Entra ID.
Hinweis
Wenn Sie die Übersicht über Microsoft Entra-Sicherheitsvorgänge noch nicht gelesen haben, sollten Sie dies jetzt in Erwägung ziehen.
Suchschwerpunkte
Wenn Sie Ihre Anwendungsprotokolle auf sicherheitsbezogene Incidents überwachen, sollten Sie die folgende Liste beachten, um normale von schädlichen Aktivitäten unterscheiden zu können. Die folgenden Ereignisse können Hinweise auf Sicherheitsmängel geben. Sie werden jeweils in diesem Artikel behandelt.
Alle Änderungen, die außerhalb der normalen Geschäftsprozesse und Zeitpläne auftreten
Änderungen von Anmeldeinformationen für Anwendungen
Anwendungsberechtigungen
Dienstprinzipal, der einer Microsoft Entra ID oder einer Azure RBAC-Rolle (Role-Based Access Control, rollenbasierte Zugriffssteuerung) zugewiesen ist
Anwendungen, denen sehr privilegierte Berechtigungen erteilt werden
Azure Key Vault-Änderungen
Endbenutzer, der eine Einwilligung für Anwendungen erteilt
Aufheben der Einwilligung des Endbenutzers basierend auf dem Risikograd
Änderungen an der Anwendungskonfiguration
Änderungen des URI (Uniform Resource Identifier), auch abweichend vom Standard
Änderungen an Anwendungsbesitzern
Änderungen von Abmelde-URLs
Zu untersuchende Protokolle
Zur Untersuchung und Überwachung verwenden Sie die folgenden Protokolldateien:
Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Das Azure-Portal bietet mehrere Möglichkeiten zur Integration von Microsoft Entra-Protokollen in andere Tools, die eine umfassendere Automatisierung von Überwachung und Benachrichtigungen ermöglichen:
Microsoft Sentinel: Ermöglicht intelligente Sicherheitsanalysen auf Unternehmensebene mit SIEM-Funktionen (Security Information and Event Management).
Sigma-Regeln: Sigma ist ein sich in Entwicklung befindender offener Standard zum Schreiben von Regeln und Vorlagen, die automatisierte Verwaltungstools zum Parsen von Protokolldateien verwenden können. Dort, wo Sigma-Vorlagen für die empfohlenen Suchkriterien vorhanden sind, wurde ein Link zum Sigma-Repository hinzugefügt. Die Sigma-Vorlagen werden nicht von Microsoft geschrieben, getestet und verwaltet. Das Repository und die Vorlagen werden von der weltweiten IT-Sicherheitscommunity erstellt und gesammelt.
Azure Monitor: Automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Mit dem Tool können Arbeitsmappen erstellt werden, die sich zum Kombinieren von Daten aus verschiedenen Quellen eignen.
Azure Event Hubs mit Integration mit einem SIEM-System- Microsoft Entra-Protokolle können in andere SIEM-Systeme wie Splunk, ArcSight, QRadar und Sumo Logic über die Azure Event Hub-Integration integriert werden.
Microsoft Defender für Cloud-Apps: Erkennung und Verwaltung von Apps, Steuerung von Apps und Ressourcen sowie Überprüfung der Kompatibilität Ihrer Cloud-Apps
Sichern von Workloadidentitäten mit Identity Protection (Preview): Erkennen von Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Gefährdung
Ein Großteil der Überwachung und zugehörigen Warnungen hängt von den Auswirkungen Ihrer Richtlinien für bedingten Zugriff ab. Sie können die Arbeitsmappe Erkenntnisse und Berichterstellung zum bedingten Zugriff verwenden, um die Auswirkungen einer oder mehrere Richtlinien für bedingten Zugriff auf Ihre Anmeldungen sowie die Ergebnisse von Richtlinien, einschließlich Gerätestatus, zu untersuchen. Verwenden Sie die Arbeitsmappe, um eine Zusammenfassung anzuzeigen und die Auswirkungen über einen bestimmten Zeitraum zu ermitteln. Sie können mithilfe der Arbeitsmappe die Anmeldungen eines bestimmten Benutzers untersuchen.
Im weiteren Verlauf dieses Artikels wird beschrieben, was Sie überwachen und wofür Sie Warnungen erstellen sollten. Der Artikel ist nach Art der Bedrohung gegliedert. Wo es vordefinierte Lösungen gibt, verweisen wir auf diese oder stellen Beispiele im Anschluss an die Tabelle zur Verfügung. Andernfalls können Sie Warnungen mithilfe der oben genannten Tools erstellen.
Anmeldeinformationen für Anwendungen
Viele Anwendungen verwenden Anmeldeinformationen für die Authentifizierung bei Microsoft Entra ID. Alle anderen Anmeldeinformationen, die außerhalb der erwarteten Prozesse hinzugefügt werden, können zu einem böswilligen Akteur gehören, der diese Anmeldeinformationen einsetzt. Wir empfehlen die Verwendung von X509-Zertifikaten, die von vertrauenswürdigen Stellen oder verwalteten Identitäten ausgestellt wurden, anstatt geheime Clientschlüssel zu verwenden. Wenn Sie jedoch geheime Clientgeheimnisse benötigen, befolgen Sie bewährte Methoden, um Anwendungen sicher zu halten. Hinweis: Aktualisierungen von Anwendungen und Dienstprinzipalen werden im Überwachungsprotokoll als zwei Einträge aufgezeichnet.
Überwachen Sie Anwendungen, um lange Ablaufzeiten für Anmeldeinformationen zu ermitteln.
Ersetzen Sie langfristige Anmeldeinformationen durch kurzfristige. Stellen Sie sicher, dass Anmeldeinformationen abgesichert gespeichert und nicht in Coderepositorys übertragen werden.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Hinzugefügte Anmeldeinformationen zu vorhandenen Anwendungen | Hoch | Microsoft Entra-Überwachungsprotokolle | Dienst – Kernverzeichnis, Kategorie: ApplicationManagement Aktivität: Anwendungszertifikate und Geheimnisverwaltung aktualisieren - und - Aktivität: Dienstprinzipal/Anwendung aktualisieren |
Warnung, wenn für Anmeldeinformationen Folgendes gilt: außerhalb der normalen Geschäftszeiten oder Workflows hinzugefügt, nicht in Ihrer Umgebung verwendeter Typ oder einem Nicht-SAML-Flow hinzugefügt, der den Dienstprinzipal unterstützt. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Anmeldeinformationen mit einer längeren Gültigkeitsdauer als Ihre Richtlinien zulassen | Medium | Microsoft Graph | Start- und Enddatum der Anmeldeinformationen für Anwendungsschlüssel - und - Anmeldeinformationen für Anwendungskennwort |
Sie können mithilfe der Microsoft Graph-API das Start- und Enddatum von Anmeldeinformationen ermitteln und die Gültigkeitsdauer auswerten, die länger als zulässig ist. Siehe das PowerShell-Skript im Anschluss an die Tabelle. |
Die folgenden vordefinierten Überwachungen und Warnungen sind verfügbar:
Microsoft Sentinel: Warnung, wenn neue Anmeldeinformationen für die App oder den Dienstprinzipal hinzugefügt wurden
Azure Monitor: Microsoft Entra-Arbeitsmappe, um Sie bei der Bewertung des Solorigate-Risikos zu unterstützen – Microsoft Tech Community
Defender für Cloud-Apps – Defender für Cloud-Apps-Leitfaden zur Untersuchung von Warnungen zur Anomalieerkennung
PowerShell: PowerShell-Beispielskript zum Ermitteln der Gültigkeitsdauer von Anmeldeinformationen
Anwendungsberechtigungen
Wie bei einem Administratorkonto können Anwendungen privilegierte Rollen zugewiesen werden. Apps können Micosoft Entra-Rollen, z. B. globaler Administrator, oder Azure RBAC-Rollen zugewiesen werden, z. B. Abonnementbesitzer. Da sie ohne einen Benutzer und als Hintergrunddienst ausgeführt werden können, überwachen sie genau, wann einer Anwendung eine Rolle oder Berechtigung mit hohen Privilegien gewährt wird.
Einer Rolle zugewiesener Dienstprinzipal
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Hinweise |
|---|---|---|---|---|
| App, die der Azure RBAC-Rolle oder Microsoft Entra-Rolle zugewiesen ist | Hoch bis mittel | Microsoft Entra-Überwachungsprotokolle | Typ: Dienstprinzipal Aktivität: „Mitglied zur Rolle hinzufügen“ oder „Berechtigtes Mitglied zur Rolle hinzufügen“ Oder „Zugeordnetes Mitglied zu Rolle hinzufügen“ |
Bei Rollen mit hohen Berechtigungen, z B. Globaler Administrator, ist das Risiko hoch. Bei Rollen mit niedrigeren Berechtigungen ist das Risiko mittel. Warnung auslösen, wenn eine Anwendung einer Azure-Rolle oder Microsoft Entra-Rolle außerhalb der normalen Änderungs- oder Konfigurationsverfahren zugewiesen wird. Microsoft Sentinel-Vorlage Sigma-Regeln |
Anwendungen, denen sehr privilegierte Berechtigungen erteilt werden
Anwendungen sollten dem Prinzip der geringsten Rechte entsprechen. Untersuchen Sie Anwendungsberechtigungen, um sicherzustellen, ob sie nötig sind. Sie können einen Bericht zur Zuweisung der App-Einwilligung erstellen, um Anwendungen zu identifizieren und privilegierte Berechtigungen hervorzuheben.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| App mit sehr privilegierten Berechtigungen, z. B. Berechtigungen mit „ .All“ (Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail. ) | Hoch | Microsoft Entra-Überwachungsprotokolle | „App-Rollenzuweisung zu Dienstprinzipal hinzufügen“ Dabei gilt: Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph) -und- AppRole.Value kennzeichnet eine besonders privilegierte Anwendungsberechtigung (App-Rolle). |
Apps mit weitreichenden erteilten Berechtigungen wie „ .All“ (Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail. ) Microsoft Sentinel-Vorlage Sigma-Regeln |
| Administrator, der entweder Berechtigungen für Anwendungen (App-Rollen) oder besonders privilegierte delegierte Berechtigungen erteilt | Hoch | Microsoft 365-Portal | „App-Rollenzuweisung zu Dienstprinzipal hinzufügen“ Dabei gilt: Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph) „Erteilung delegierter Berechtigungen hinzufügen“ Dabei gilt: Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph) -und- DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen. |
Warnung auslösen, wenn ein globaler Administrator, Anwendungsadministrator oder Cloudanwendungsadministrator seine Einwilligung für eine Anwendung gibt. Achten Sie insbesondere auf Einwilligungen außerhalb der normalen Aktivitäts- und Änderungsverfahren. Microsoft Sentinel-Vorlage Microsoft Sentinel-Vorlage Microsoft Sentinel-Vorlage Sigma-Regeln |
| Der Anwendung werden Berechtigungen für Microsoft Graph, Exchange, SharePoint oder Microsoft Entra ID erteilt. | Hoch | Microsoft Entra-Überwachungsprotokolle | „Erteilung delegierter Berechtigungen hinzufügen“ Oder „App-Rollenzuweisung zu Dienstprinzipal hinzufügen“ Dabei gilt: Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph, Exchange Online usw.) |
Warnung wie in der vorherigen Zeile auslösen. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Anwendungsberechtigungen (App-Rollen) für andere APIs werden erteilt. | Medium | Microsoft Entra-Überwachungsprotokolle | „App-Rollenzuweisung zu Dienstprinzipal hinzufügen“ Dabei gilt: Ziele identifizieren beliebige andere APIs. |
Warnung wie in der vorherigen Zeile auslösen. Sigma-Regeln |
| Besonders privilegierte delegierte Berechtigungen werden im Namen aller Benutzer erteilt | Hoch | Microsoft Entra-Überwachungsprotokolle | „Erteilung delegierter Berechtigungen hinzufügen“, wobei Ziele eine API mit sensiblen Daten identifizieren (z. B. Microsoft Graph) DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen -und- DelegatedPermissionGrant.ConsentType ist „AllPrincipals“. |
Warnung wie in der vorherigen Zeile auslösen. Microsoft Sentinel-Vorlage Microsoft Sentinel-Vorlage Microsoft Sentinel-Vorlage Sigma-Regeln |
Weitere Informationen zum Überwachen von App-Berechtigungen finden Sie in diesem Tutorial: Tutorial zum Untersuchen und Korrigieren risikobehafteter OAuth-Apps.
Azure Key Vault
Verwenden Sie Azure Key Vault zum Speichern der Geheimnisse Ihres Mandanten. Es wird empfohlen, alle Änderungen an der Konfiguration und den Aktivitäten von Key Vault mit Aufmerksamkeit zu verfolgen.
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Wann und von wem auf Ihre Schlüsseltresore zugegriffen wurde | Medium | Azure Key Vault-Protokolle | Ressourcentyp: Key Vault-Instanzen | Suchen nach: Jeglichem Zugriff auf Key Vault außerhalb regulärer Prozesse und Zeiten, Änderungen an der ACL für Key Vault Microsoft Sentinel-Vorlage Sigma-Regeln |
Nachdem Sie Azure Key Vault eingerichtet haben, aktivieren Sie die Protokollierung. Sehen Sie sich an, wie und wann auf Ihre Key Vault-Instanzen zugegriffen wird. Außerdem sollten Sie Warnungen für Key Vault konfigurieren, um zugewiesene Benutzer oder Verteilerlisten per E-Mail, Telefonanruf, Textnachricht oder Event Grid zu benachrichtigen, wenn die Integrität beeinträchtigt ist. Wenn Sie außerdem eine Überwachung mit Key Vault-Erkenntnissen einrichten, erhalten Sie eine Momentaufnahme der Anforderungen, Leistung, Ausfälle und Latenzzeiten von Key Vault. Log Analytics bietet auch einige Beispielabfragen für Azure Key Vault, auf die Sie zugreifen können, nachdem Sie Ihre Key Vault-Instanz ausgewählt und dann unter „Überwachung“ die Option „Protokolle“ ausgewählt haben.
Endbenutzereinwilligung
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Endbenutzereinwilligung in Anwendung | Niedrig | Microsoft Entra-Überwachungsprotokolle | Aktivität: Einwilligung in Anwendung geben /ConsentContext.IsAdminConsent = false | Suchen nach: Profil mit hohen Berechtigungen oder besonders privilegierte Konten, App fordert Berechtigungen mit hohem Risiko an, Apps mit verdächtigen Namen, z. B. generisch, falsch geschrieben usw. Microsoft Sentinel-Vorlage Sigma-Regeln |
Der Vorgang der Einwilligung in eine Anwendung ist nicht schädlich. Untersuchen Sie jedoch neue Einwilligungen von Endbenutzern in verdächtige Anwendungen. Sie können Benutzereinwilligungsvorgänge einschränken.
Weitere Informationen zu Einwilligungsvorgängen finden Sie in den folgenden Ressourcen:
Ermitteln und Beheben unrechtmäßiger Zuweisungen von Einwilligungen: Office 365
Playbook zur Reaktion auf Vorfälle: Untersuchung der Zuweisung der App-Einwilligung
Endbenutzereinwilligung aufgrund risikobasierter Zustimmung ausgesetzt
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Endbenutzereinwilligung aufgrund risikobasierter Zustimmung ausgesetzt | Medium | Microsoft Entra-Überwachungsprotokolle | Kernverzeichnis/ApplicationManagement/In Anwendung einwilligen Fehlerstatusursache = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Überwachen und analysieren Sie jedes Mal, wenn die Einwilligung aufgrund eines Risikos ausgesetzt wird. Suchen nach: Profil mit hohen Berechtigungen oder besonders privilegierte Konten, App fordert Berechtigungen mit hohem Risiko an oder Apps mit verdächtigen Namen, z. B. generisch, falsch geschrieben usw. Microsoft Sentinel-Vorlage Sigma-Regeln |
Anwendungsauthentifizierungsflows
Das OAuth 2.0-Protokoll enthält mehrere Flows. Der empfohlene Flow für eine Anwendung hängt vom Typ der Anwendung ab, die erstellt wird. In einigen Fällen gibt es eine Auswahl von verfügbaren Flows für die Anwendung. In diesem Fall werden einige Authentifizierungsflows gegenüber anderen empfohlen. Vermeiden Sie insbesondere Kennwortanmeldeinformationen des Ressourcenbesitzers (Resource Owner Password Credentials, ROPC), da diese voraussetzen, dass der Benutzer seine aktuellen Kennwortanmeldeinformationen für die Anwendung verfügbar macht. Die Anwendung verwendet dann die Anmeldeinformationen, um den Benutzer beim Identitätsanbieter zu authentifizieren. Die meisten Anwendungen sollten den Autorisierungscodeflow oder den Autorisierungscodeflow mit PKCE (Proof Key for Code Exchange, Prüfschlüssel für den Codeaustausch) verwenden, da dieser Flow empfohlen wird.
Das einzige Szenario, in dem ROPC vorgeschlagen wird, ist für automatisierte Anwendungstests vorgesehen. Ausführliche Informationen finden Sie unter Ausführen automatischer Integrationstests.
Der Gerätecodeflow ist ein weiterer OAuth 2.0-Protokollflow für Geräte mit Eingabebeschränkungen und wird nicht in allen Umgebungen verwendet. Wird dieser Gerätecodeflow in der Umgebung, aber nicht in einem Szenario mit Geräten mit Eingabebeschränkungen verwendet, ist eine weitere Untersuchung erforderlich, um falsch konfigurierte Anwendungen oder eine böse Absicht zu ermitteln. Der Gerätecodeflow kann auch im bedingten Zugriff blockiert oder zugelassen werden. Weitere Informationen finden Sie unter Bedingter Zugriff: Authentifizierungsflows.
Überwachen Sie die Anwendungsauthentifizierung mithilfe der folgenden Konstellation:
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Anwendungen, die den ROPC-Authentifizierungsflow verwenden | Medium | Microsoft Entra-Anmeldeprotokoll | Status=Erfolg Authentifizierungsprotokoll – ROPC |
Dieser Anwendung wird ein hohes Maß an Vertrauen entgegengebracht, da die Anmeldedaten zwischengespeichert oder gespeichert werden können. Wechseln Sie nach Möglichkeit zu einem sichereren Authentifizierungsflow. Dieser sollte – wenn überhaupt – nur bei automatisierten Tests von Anwendungen verwendet werden. Weitere Informationen finden Sie unter Microsoft Identity Platform und OAuth 2.0-Kennwortanmeldeinformationen des Ressourcenbesitzers. Sigma-Regeln |
| Anwendungen, die den Gerätecodeflow verwenden | Niedrig bis mittel | Microsoft Entra-Anmeldeprotokoll | Status=Erfolg Authentifizierungsprotokoll – Gerätecode |
Gerätecodeflows werden für Geräte mit Eingabeeinschränkung verwendet, die möglicherweise nicht in allen Umgebungen vorhanden sind. Wenn erfolgreiche Gerätecodeflows beobachtet werden, ohne dass Bedarf dafür besteht, untersuchen Sie sie auf ihre Gültigkeit hin. Weitere Informationen finden Sie unter Microsoft Identity Platform und der OAuth 2.0-Flow für Geräteautorisierungsgenehmigung. Sigma-Regeln |
Änderungen an der Anwendungskonfiguration
Überwachen Sie Änderungen an der Anwendungskonfiguration, insbesondere Änderungen an der Konfiguration von URI (Uniform Resource Identifier), Besitz und Abmelde-URL.
Änderungen an verwaistem URI und Umleitungs-URI
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Verwaister URI | Hoch | Microsoft Entra-Protokolle und Anwendungsregistrierung | Dienst – Kernverzeichnis, Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren Erfolg: Eigenschaftenname, AppAddress |
Achten Sie zum Beispiel auf verwaiste URIs, die auf eine Domäne verweisen, die nicht mehr vorhanden ist oder die Sie nicht explizit besitzen. Microsoft Sentinel-Vorlage Sigma-Regeln |
| Änderungen an der Konfiguration des Umleitungs-URI | Hoch | Microsoft Entra-Protokolle | Dienst – Kernverzeichnis, Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren Erfolg: Eigenschaftenname, AppAddress |
Achten Sie auf URIs ohne HTTPS*, URIs mit Platzhaltern am Ende oder der Domäne der URL, URIs, die für die Anwendung NICHT eindeutig sind, und URIs, die auf eine Domäne verweisen, die Sie nicht kontrollieren. Microsoft Sentinel-Vorlage Sigma-Regeln |
Warnung auslösen, wenn diese Änderungen erkannt werden
AppID-URI hinzugefügt, geändert oder entfernt
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Änderungen am AppID-URI | Hoch | Microsoft Entra-Protokolle | Dienst – Kernverzeichnis, Kategorie: ApplicationManagement Aktivität: Aktualisierung Application Aktivität: Dienstprinzipal aktualisieren |
Suchen Sie nach Änderungen des AppID-URI, z. B. Hinzufügen, Ändern oder Entfernen des URI. Microsoft Sentinel-Vorlage Sigma-Regeln |
Warnung auslösen, wenn diese Änderungen außerhalb der genehmigten Change Management-Verfahren entdeckt werden.
Neuer Besitzer
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Änderungen am Anwendungsbesitz | Medium | Microsoft Entra-Protokolle | Dienst – Kernverzeichnis, Kategorie: ApplicationManagement Aktivität: Besitzer der Anwendung hinzufügen |
Suchen Sie nach einer beliebigen Instanz eines Benutzers, der außerhalb der normalen Change Management-Aktivitäten als Anwendungsbesitzer hinzugefügt wird. Microsoft Sentinel-Vorlage Sigma-Regeln |
Geänderte oder entfernte Abmelde-URL
| Zu überwachende Elemente | Risikostufe | Hierbei gilt: | Filter/Unterfilter | Notizen |
|---|---|---|---|---|
| Änderungen an der Abmelde-URL | Niedrig | Microsoft Entra-Protokolle | Dienst – Kernverzeichnis, Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren - und - Aktivität: Dienstprinzipal aktualisieren |
Suchen Sie nach Änderungen an einer Abmelde-URL. Leere Einträge oder Einträge zu nicht existierenden Speicherorten würden einen Benutzer am Beenden einer Sitzung hindern. Microsoft Sentinel-Vorlage Sigma-Regeln |
Ressourcen
GitHub Microsoft Entra-Toolkit:https://github.com/microsoft/AzureADToolkit
Übersicht und Leitfaden zur Sicherheit von Azure Key Vault: Azure Key Vault – Sicherheit
Solorgate – Information zum Risiko und Tools: Microsoft Entra-Arbeitsmappe zum Bewerten des Solorigate-Risikos
Leitfaden zur Erkennung von OAuth-Angriffen: Ungewöhnliches Hinzufügen von Anmeldeinformationen zu einer OAuth-App
Informationen zur Konfiguration der Microsoft Entra-Überwachung für SIEM-Systeme: Partnertools mit Azure Monitor-Integration
Nächste Schritte
Übersicht zu Microsoft Entra-SecOps
Sicherheitsvorgänge für Benutzerkonten
Sicherheitsvorgänge für Consumerkonten
Sicherheitsvorgänge für privilegierte Konten
Sicherheitsvorgänge für Privileged Identity Management