Microsoft Entra-SecOps für Consumerkonten
Aktivitäten zum Schutz und zur Überwachung von Consumeridentitäten sind ein wichtiger Bereich für Ihre Organisation. Dieser Artikel gilt für Azure Active Directory B2C (Azure AD B2C)-Mandanten und enthält Anleitungen zum Überwachen von Aktivitäten auf Consumerkonten. Die Aktivitäten sind:
- Consumerkonto
- Privilegiertes Konto
- Application
- Infrastruktur
Voraussetzungen
Bevor Sie den Leitfaden in diesem Artikel anwenden, sollten den Leitfaden zu Microsoft Entra-SecOps lesen.
Definieren einer Baseline
Um anomales Verhalten zu entdecken, müssen Sie normales und erwartetes Verhalten definieren. Das Definieren des erwarteten Verhaltens für Ihre Organisation hilft Ihnen beim Entdecken des unerwarteten Verhaltens. Verwenden Sie die Definition, um False Positive-Ergebnisse während der Überwachung und Alarmierung zu reduzieren.
Nachdem das erwartete Verhalten definiert wurde, führen Sie eine Baselineüberwachung durch, um die Erwartungen zu überprüfen. Überwachen Sie dann Protokolle auf Ereignisse, die außerhalb der Toleranz liegen.
Verwenden Sie für Konten, die außerhalb normaler Prozesse erstellt wurden, die Microsoft Entra-Überwachungsprotokolle, Microsoft Entra-Anmeldeprotokolle und Verzeichnisattribute als Ihre Datenquellen. Die folgenden Vorschläge können Ihnen helfen, „normal“ zu definieren.
Erstellung von Consumerkonten
Werten Sie die folgende Liste aus:
- Strategie und Prinzipien für Tools und Prozesse zum Erstellen und Verwalten von Consumerkonten
- Beispiel: Standardattribute und Formate, die auf Attribute von Consumerkonten angewendet werden
- Genehmigte Quellen für die Kontoerstellung.
- Beispiel: Onboarding benutzerdefinierter Richtlinien, Kundenbereitstellung oder Migrationstool
- Benachrichtigungsstrategie für Konten, die außerhalb genehmigter Quellen erstellt wurden.
- Erstellen Sie eine kontrollierten Liste der Organisationen, mit denen Ihre Organisation zusammenarbeitet
- Strategie und Benachrichtigungsparameter für Konten, die von einem Administrator für nicht genehmigte Consumerkonten erstellt, geändert oder deaktiviert wurden
- Überwachungs- und Benachrichtigungsstrategie für Consumerkonten, die keine Standardattribute wie beispielsweise Kundennummer aufweisen, oder nicht der Benennungskonventionen der Organisation folgen
- Strategie, Prinzipien und Prozess zum Löschen und Aufbewahren von Konten
Zu untersuchende Protokolle
Verwenden Sie Protokolldateien zur Untersuchung und Überwachung. Weitere Informationen finden Sie in den folgenden Artikeln:
- Überwachungsprotokolle in Microsoft Entra ID
- Anmeldeprotokolle in Microsoft Entra ID (Vorschau)
- Anleitung: Untersuchen eines Risikos
Überwachungsprotokolle und Automatisierungstools
Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Verwenden Sie das Azure-Portal zur Integration von Microsoft Entra-Protokollen in andere Tools, um die Automatisierung von Überwachung und Benachrichtigungen zu ermöglichen:
- Microsoft Sentinel – Sicherheitsanalysen mit SIEM (Security Information & Event Management)-Funktionen
- Sigma-Regeln – ein offener Standard zum Schreiben von Regeln und Vorlagen, die von automatisierten Verwaltungstools zum Parsen von Protokolldateien verwendet werden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, haben wir einen Link zum Sigma-Repository hinzugefügt. Microsoft schreibt, testet oder verwaltet keine Sigma-Vorlagen. Das Repository und die Vorlagen werden von der IT-Sicherheitscommunity erstellt und gesammelt.
- Azure Monitor: Automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Erstellen oder Verwenden von Arbeitsmappen zum Kombinieren von Daten aus verschiedenen Quellen.
- Azure Event Hubs integriert mit einem SIEM-System: Integrieren von Microsoft Entra-Protokollen mit SIEM-Systemen wie beispielsweise Splunk, ArcSight, QRadar und Sumo Logic mit Azure Event Hubs
- Microsoft Defender for Cloud Apps – entdecken und verwalten von Apps, app- und ressourcenübergreifende Steuerung und Konformität mit Vorschriften für Cloud-Apps
- Microsoft Entra ID Protection – erkennen von Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Kompromittierung
Verwenden Sie den Rest des Artikels für Empfehlungen was Sie überwachen und benachrichtigen sollten. Weitere Informationen finden Sie in den Tabellen, die nach Bedrohungsart organisiert sind. Siehe Links zu vorgefertigten Lösungen oder Beispielen im Anschluss an die Tabelle. Erstellen von Benachrichtigungen mithilfe der vorgängig erwähnten Tools.
Consumerkonten
| Zu überwachende Elemente | Risikostufe | Dabei gilt: | Filter/Subfilter | Hinweise |
|---|---|---|---|---|
| Große Anzahl von Kontoerstellungen oder -löschungen | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Benutzer hinzufügen Status = Erfolg Initiiert von (Akteur) = CPIM-Dienst - und - Aktivität: Benutzer löschen Status = Erfolg Initiiert von (Akteur) = CPIM-Dienst |
Definieren Sie einen Basisschwellenwert und überwachen Sie ihn dann und passen ihn an die Verhaltensweisen Ihres Unternehmens an. Schränken Sie Fehlalarme ein. |
| Konten, die von nicht genehmigten Benutzern oder Prozessen erstellt und gelöscht wurden | Medium | Microsoft Entra-Überwachungsprotokolle | Initiiert von (Akteur): BENUTZERPRINZIPALNAME - und - Aktivität: Benutzer hinzufügen Status = Erfolg Initiiert von (Akteur) != CPIM-Dienst und/oder Aktivität: Benutzer löschen Status = Erfolg Initiiert von (Akteur) != CPIM-Dienst |
Konfigurieren Sie das Senden einer Warnung, wenn es sich bei den Akteuren um nicht genehmigte Benutzer handelt. |
| Konten, die einer privilegierten Rolle zugewiesen sind | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Benutzer hinzufügen Status = Erfolg Initiiert von (Akteur) == CPIM-Dienst - und - Aktivität: Mitglied zu Rolle hinzufügen Status = Erfolg |
Wenn das Konto einer Microsoft Entra-Rolle, einer Azure-Rolle oder einer privilegierten Gruppe zugewiesen ist, geben Sie eine Warnung aus, und priorisieren Sie die Untersuchung. |
| Fehlgeschlagene Anmeldeversuche | Mittel, falls isolierter Vorfall Hoch, wenn zahlreiche Konten das gleiche Muster aufweisen |
Microsoft Entra-Anmeldeprotokoll | Status = fehlgeschlagen - und - Anmeldefehlercode 50126: Fehler beim Überprüfen der Anmeldeinformationen aufgrund eines ungültigen Benutzernamens oder Kennworts. - und - Anwendung == „CPIM PowerShell Client“ Oder Anwendung == „ProxyIdentityExperienceFramework“ |
Legen Sie einen Basisschwellenwert fest, den Sie dann überwachen und entsprechend dem Verhalten Ihres Unternehmens anpassen können, um zu verhindern, dass Fehlwarnungen generiert werden. |
| Intelligente Aussperrereignisse | Mittel, falls isolierter Vorfall Hoch, wenn zahlreiche Konten das gleiche Muster oder eine VIP aufweisen |
Microsoft Entra-Anmeldeprotokoll | Status = fehlgeschlagen - und - Anmeldefehlercode = 50053: IdsLocked - und - Anwendung == „CPIM PowerShell Client“ Oder Anwendung == „ProxyIdentityExperienceFramework“ |
Legen Sie einen Basisschwellenwert fest, und dann überwachen Sie ihn und passen ihn an die Verhaltensweisen Ihres Unternehmens an, um Fehlalarme zu vermeiden. |
| Fehlgeschlagene Authentifizierungen aus Ländern oder Regionen, in denen Sie nicht arbeiten | Medium | Microsoft Entra-Anmeldeprotokoll | Status = fehlgeschlagen - und - Standort = <Nicht genehmigter Standort> - und - Anwendung == „CPIM PowerShell Client“ Oder Anwendung == „ProxyIdentityExperienceFramework“ |
Überwachen Sie Einträge, die nicht den angegebenen Stadtnamen entsprechen. |
| Vermehrte fehlgeschlagene Authentifizierungen jeglicher Art | Medium | Microsoft Entra-Anmeldeprotokoll | Status = fehlgeschlagen - und - Anwendung == „CPIM PowerShell Client“ Oder Anwendung == „ProxyIdentityExperienceFramework“ |
Wenn Sie keinen Schwellenwert festgelegt haben, überwachen und benachrichtigen Sie, wenn Fehler um 10 % oder mehr zunehmen. |
| Konto für Anmeldungen deaktiviert/blockiert | Niedrig | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Fehlercode = 50057, Das Benutzerkonto ist deaktiviert. |
Dieses Szenario könnte darauf hinweisen, dass jemand versucht, sich Zugriff auf ein Konto zu verschaffen, nachdem er die Organisation verlassen hat. Das Konto ist blockiert, aber es ist es wichtig, diese Aktivität zu protokollieren und zu benachrichtigen. |
| Messbarer Anstieg erfolgreicher Anmeldungen | Niedrig | Microsoft Entra-Anmeldeprotokoll | Status = Erfolg - und - Anwendung == „CPIM PowerShell Client“ Oder Anwendung == „ProxyIdentityExperienceFramework“ |
Wenn Sie keinen Schwellenwert festgelegt haben, überwachen und benachrichtigen Sie, wenn erfolgreiche Authentifizierungen um 10 % oder mehr zunehmen. |
Privilegierte Konten
| Zu überwachende Elemente | Risikostufe | Dabei gilt: | Filter/Subfilter | Hinweise |
|---|---|---|---|---|
| Anmeldefehler, Schwellenwert für falsches Kennwort | Hoch | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Fehlercode = 50126 |
Definieren Sie einen Basisschwellenwert und überwachen und passen Sie ihn an die Verhaltensweisen Ihres Unternehmens an. Schränken Sie Fehlalarme ein. |
| Fehler aufgrund der Anforderung für bedingten Zugriff | Hoch | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Fehlercode = 53003 - und - Fehlerursache = Durch bedingten Zugriff blockiert |
Das Ereignis kann darauf hinweisen, dass ein Angreifer versucht, auf das Konto zuzugreifen. |
| Interrupt | Hoch, mittel | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Fehlercode = 53003 - und - Fehlerursache = Durch bedingten Zugriff blockiert |
Das Ereignis kann darauf hinweisen, dass ein Angreifer über das Kontokennwort verfügt, aber die MFA-Herausforderung nicht bestehen kann. |
| Kontosperrung | Hoch | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Fehlercode = 50053 |
Definieren Sie einen Basisschwellenwert, dann überwachen Sie ihn und passen ihn an die Verhaltensweisen Ihres Unternehmens an. Schränken Sie Fehlalarme ein. |
| Konto für Anmeldungen deaktiviert/blockiert | niedrig | Microsoft Entra-Anmeldeprotokoll | Status = Fehler - und - Ziel = Benutzer-UPN - und - Fehlercode = 50057 |
Dieses Ereignis könnte darauf hinweisen, dass jemand versucht, sich Zugriff auf ein Konto zu verschaffen, nachdem er die Organisation verlassen hat. Obwohl das Konto blockiert ist, müssen Sie diese Aktivität protokollieren und benachrichtigen. |
| MFA-Betrugswarnung/Blockierung | Hoch | Microsoft Entra-Anmeldeprotokoll/Azure Log Analytics | Anmeldungen>Authentifizierungsdetails Ergebnisdetails = MFA verweigert, betrügerischen Code eingegeben |
„Privilegierte Benutzer“ deutet darauf hin, dass er die MFA-Eingabeaufforderung nicht veranlasst hat, was darauf hindeuten könnte, dass ein Angreifer über das Kontokennwort verfügt. |
| MFA-Betrugswarnung/Blockierung | Hoch | Microsoft Entra-Anmeldeprotokoll/Azure Log Analytics | Aktivitätstyp = Betrug wurde gemeldet – Benutzer ist für MFA gesperrt oder Betrug wurde gemeldet – keine Aktion ausgeführt basierend auf den Einstellungen für Betrugsberichte auf Mandantenebene | Beim privilegierten Benutzer war keine MFA-Eingabeaufforderung erkennbar. Das Szenario kann darauf hinweisen, dass ein Angreifer über das Kontokennwort verfügt. |
| Anmeldungen mit privilegierten Konten außerhalb der erwarteten Kontrollen | Hoch | Microsoft Entra-Anmeldeprotokoll | Status = Fehler UserPricipalName = <Administratorkonto> Standort = <Nicht genehmigter Standort> IP-Adresse = <Nicht genehmigte IP-Adresse> Geräteinformationen = <nicht genehmigter Browser, nicht genehmigtes Betriebssystem> |
Überwachen und benachrichtigen Sie Einträge, die Sie als nicht genehmigt definiert haben. |
| Außerhalb der normalen Anmeldezeiten | Hoch | Microsoft Entra-Anmeldeprotokoll | Status = Erfolg - und - Standort = - und - Zeit = außerhalb der Arbeitszeiten |
Überwachen und benachrichtigen Sie, wenn Anmeldungen außerhalb der erwarteten Zeiten erfolgen. Ermitteln Sie das normale Arbeitsmuster für jedes privilegierte Konto, und benachrichtigen Sie, wenn ungeplante Änderungen außerhalb der normalen Arbeitszeiten vorgenommen werden. Anmeldungen außerhalb der normalen Arbeitszeiten können auf eine Kompromittierung oder ein mögliche Insiderbedrohung hinweisen. |
| Kennwortänderung | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivitätsakteur = Administrator/Self-Service - und - Ziel = Benutzer - und - Status = Erfolg oder Fehler |
Warnung, wenn sich ein Kennwort für ein Administratorkonto ändert. Schreiben Sie eine Abfrage für privilegierte Konten. |
| Änderungen an Authentifizierungsmethoden | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Identitätsanbieter erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Die Änderung könnte darauf hinweisen, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben. |
| Identitätsanbieter, der von nicht genehmigten Akteuren aktualisiert wurde | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Identitätsanbieter aktualisieren Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Die Änderung könnte darauf hinweisen, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben. |
| Identitätsanbieter, der von nicht genehmigten Akteuren gelöscht wurde | Hoch | Microsoft Entra-Zugriffsüberprüfungen | Aktivität: Identitätsanbieter löschen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Die Änderung könnte darauf hinweisen, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben. |
Anwendungen
| Zu überwachende Elemente | Risikostufe | Dabei gilt: | Filter/Subfilter | Hinweise |
|---|---|---|---|---|
| Anmeldeinformationen wurden Anwendungen hinzugefügt | Hoch | Microsoft Entra-Überwachungsprotokolle | Dienst – Kernverzeichnis, Kategorie: ApplicationManagement Aktivität: Anwendungszertifikate und Geheimnisverwaltung aktualisieren - und - Aktivität: Dienstprinzipal/Anwendung aktualisieren |
Benachrichtigen Sie, wenn für Anmeldeinformationen Folgendes gilt: außerhalb der normalen Geschäftszeiten oder Workflows hinzugefügt, nicht in Ihrer Umgebung verwendeter Typ oder einem Nicht-SAML-Flow hinzugefügt, der den Dienstprinzipal unterstützt. |
| App, die einer Rolle der rollenbasierten Zugriffssteuerung in Azure (Role-based Access Control, RBAC) oder einer Microsoft Entra-Rolle zugewiesen ist | Hoch bis mittel | Microsoft Entra-Überwachungsprotokolle | Typ: Dienstprinzipal Aktivität: „Mitglied zu Rolle hinzufügen“ oder „Berechtigtes Mitglied zu Rolle hinzufügen“ Oder „Zugeordnetes Mitglied zu Rolle hinzufügen“ |
N/V |
| App mit besonders privilegierten Berechtigungen, z. B. Berechtigungen mit „.All“ (Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail.) | Hoch | Microsoft Entra-Überwachungsprotokolle | N/V | Apps mit umfassenden Berechtigungen wie „.All“ (Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail.) |
| Administrator, der Anwendungsberechtigungen (App-Rollen) oder hoch privilegierte delegierte Berechtigungen erteilt | Hoch | Microsoft 365-Portal | „App-Rollenzuweisung zu Dienstprinzipal hinzufügen“ Dabei gilt: Das Ziel identifiziert eine API mit sensiblen Daten (z. B. Microsoft Graph) „Erteilung delegierter Berechtigungen hinzufügen“ Dabei gilt: Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph) - und - DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen. |
Benachrichtigen Sie, wenn ein globaler, Anwendungs- oder Cloudanwendungsadministrator seine Einwilligung für eine Anwendung erteilt. Achten Sie insbesondere auf Einwilligungen außerhalb normaler Aktivitäts- und Änderungsverfahren. |
| Der Anwendung werden Berechtigungen für Microsoft Graph, Exchange, SharePoint oder Microsoft Entra ID erteilt. | Hoch | Microsoft Entra-Überwachungsprotokolle | „Erteilung delegierter Berechtigungen hinzufügen“ Oder „App-Rollenzuweisung zu Dienstprinzipal hinzufügen“ Dabei gilt: Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph, Exchange Online usw.) |
Verwenden Sie die Benachrichtigung in der vorherigen Zeile. |
| Hoch privilegierte delegierte Berechtigungen werden im Namen aller Benutzer erteilt | Hoch | Microsoft Entra-Überwachungsprotokolle | „Erteilung delegierter Berechtigungen hinzufügen“ Dabei gilt: Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph) DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen - und - DelegatedPermissionGrant.ConsentType ist „AllPrincipals“. |
Verwenden Sie die Benachrichtigung in der vorherigen Zeile. |
| Anwendungen, die den ROPC-Authentifizierungsflow verwenden | Medium | Microsoft Entra-Anmeldeprotokoll | Status=Erfolg Authentifizierungsprotokoll – ROPC |
Dieser Anwendung wird ein hohes Maß an Vertrauen entgegengebracht, da die Anmeldedaten zwischengespeichert oder gespeichert werden können. Wenn möglich wechseln Sie zu einem sichereren Authentifizierungsflow. Verwenden Sie den Prozess nur in automatisierten Anwendungstests, wenn überhaupt. |
| Verwaister URI | Hoch | Microsoft Entra-Protokolle und Anwendungsregistrierung | Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren Erfolg: Eigenschaftenname, AppAddress |
Achten Sie zum Beispiel auf verwaiste URIs, die auf einen Domänenamen verweisen, der verschwunden ist oder den Sie nicht besitzen. |
| Änderungen an der Konfiguration des Umleitungs-URI | Hoch | Microsoft Entra-Protokolle | Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren Erfolg: Eigenschaftenname, AppAddress |
Achten Sie auf URIs ohne HTTPS*, URIs mit Platzhaltern am Ende oder der Domäne der URL, URIs, die für die Anwendung nicht eindeutig sind, und URIs, die auf eine Domäne verweisen, die Sie nicht kontrollieren. |
| Änderungen am AppID-URI | Hoch | Microsoft Entra-Protokolle | Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren Aktivität: Dienstprinzipal aktualisieren |
Suchen Sie nach AppID-URI-Änderungen, z. B. Hinzufügen, Ändern oder Entfernen des URI. |
| Änderungen am Anwendungsbesitz | Medium | Microsoft Entra-Protokolle | Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Besitzer der Anwendung hinzufügen |
Suchen Sie nach Instanzen von Benutzern, die als Anwendungsbesitzer außerhalb der normalen Änderungsverwaltungsaktivitäten hinzugefügt wurden. |
| Änderungen an der Abmelde-URL | Niedrig | Microsoft Entra-Protokolle | Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren - und - Aktivität: Dienstprinzipal aktualisieren |
Suchen Sie nach Änderungen an einer Abmelde-URL. Leere Einträge oder Einträge zu nicht existierenden Speicherorten würden einen Benutzer am Beenden einer Sitzung hindern. |
Infrastruktur
| Zu überwachende Elemente | Risikostufe | Dabei gilt: | Filter/Subfilter | Hinweise |
|---|---|---|---|---|
| Neue Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren erstellt wird | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Richtlinie für bedingten Zugriff hinzufügen Kategorie: Richtlinie Initiiert von (Akteur): Benutzerprinzipalname |
Überwachen auf und Benachrichtigen von Änderungen am bedingten Zugriff. Initiiert von (Akteur): hat er die Genehmigung, Änderungen am bedingten Zugriff vorzunehmen? |
| Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren entfernt wird | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Richtlinie für bedingten Zugriff löschen Kategorie: Richtlinie Initiiert von (Akteur): Benutzerprinzipalname |
Überwachen auf und Benachrichtigen von Änderungen am bedingten Zugriff. Initiiert von (Akteur): hat er die Genehmigung, Änderungen am bedingten Zugriff vorzunehmen? |
| Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren aktualisiert wird | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Richtlinie für bedingten Zugriff aktualisieren Kategorie: Richtlinie Initiiert von (Akteur): Benutzerprinzipalname |
Überwachen auf und Benachrichtigen von Änderungen am bedingten Zugriff. Initiiert von (Akteur): hat er die Genehmigung, Änderungen am bedingten Zugriff vorzunehmen? Überprüfen von geänderten Eigenschaften und Vergleichen des alten mit dem neuen Wert |
| Benutzerdefinierte B2C-Richtlinie, die von nicht genehmigten Akteuren erstellt wurde | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Benutzerdefinierte Richtlinie erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen auf und Benachrichtigen bei Änderungen benutzerdefinierter Richtlinien. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an benutzerdefinierten Richtlinien vorzunehmen? |
| Benutzerdefinierte B2C-Richtlinie, die von nicht genehmigten Akteuren aktualisiert wurde | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Benutzerdefinierte Richtlinien abrufen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen auf und Benachrichtigen bei Änderungen benutzerdefinierter Richtlinien. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an benutzerdefinierten Richtlinien vorzunehmen? |
| Benutzerdefinierte B2C-Richtlinie, die von nicht genehmigten Akteuren gelöscht wurde | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Benutzerdefinierte Richtlinie löschen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen auf und Benachrichtigen bei Änderungen benutzerdefinierter Richtlinien. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an benutzerdefinierten Richtlinien vorzunehmen? |
| Benutzerflow, der von nicht genehmigten Akteuren erstellt wurde | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Benutzerflow erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen auf und Benachrichtigen bei Änderungen an Benutzerflows. Initiiert von (Akteur): Hat er die Genehmigung, Änderungen an Benutzerflows vorzunehmen? |
| Benutzerflow, der von nicht genehmigten Akteuren aktualisiert wurde | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Benutzerflow aktualisieren Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen auf und Benachrichtigen bei Änderungen an Benutzerflows. Initiiert von (Akteur): Hat er die Genehmigung, Änderungen an Benutzerflows vorzunehmen? |
| Benutzerflow, der von nicht genehmigten Akteuren gelöscht wurde | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Benutzerflow löschen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen auf und Benachrichtigen bei Änderungen an Benutzerflows. Initiiert von (Akteur): Hat er die Genehmigung, Änderungen an Benutzerflows vorzunehmen? |
| API-Connectors, die von nicht genehmigten Akteuren erstellt wurden | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: API-Connector erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen auf und Benachrichtigen bei Änderungen an API-Connectors. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an API-Connectors vorzunehmen? |
| API-Connectors, die von nicht genehmigten Akteuren aktualisiert wurden | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: API-Connector aktualisieren Kategorie: ResourceManagement Ziel: Benutzerprinzipalname: ResourceManagement |
Überwachen auf und Benachrichtigen bei Änderungen an API-Connectors. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an API-Connectors vorzunehmen? |
| API-Connectors, die von nicht genehmigten Akteuren gelöscht wurden | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: API-Connector aktualisieren Kategorie: ResourceManagment Ziel: Benutzerprinzipalname: ResourceManagement |
Überwachen auf und Benachrichtigen bei Änderungen an API-Connectors. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an API-Connectors vorzunehmen? |
| Identitätsanbieter (IdP), der von nicht genehmigten Akteuren erstellt wurde | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Identitätsanbieter erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen von und Benachrichtigen bei IdP-Änderungen. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an einer IdP-Konfiguration vorzunehmen? |
| Identitätsanbieter der von nicht genehmigten Akteuren aktualisiert wurde | Hoch | Microsoft Entra-Überwachungsprotokolle | Aktivität: Identitätsanbieter aktualisieren Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen von und Benachrichtigen bei IdP-Änderungen. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an einer IdP-Konfiguration vorzunehmen? |
| Identitätsanbieter, der von nicht genehmigten Akteuren gelöscht wurde | Medium | Microsoft Entra-Überwachungsprotokolle | Aktivität: Identitätsanbieter löschen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname |
Überwachen von und Benachrichtigen bei IdP-Änderungen. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an einer IdP-Konfiguration vorzunehmen? |
Nächste Schritte
Um mehr zu erfahren, lesen Sie die folgenden SecOps-Artikel:
- Leitfaden für Microsoft Entra-SecOps
- Microsoft Entra-SecOps für Consumerkonten
- SecOps für privilegierte Konten in Microsoft Entra ID
- Microsoft Entra-SecOps für Privileged Identity Management
- Leitfaden für Microsoft Entra-SecOps für Anwendungen
- Microsoft Entra-SecOps für Geräte
- Sicherheitsvorgänge für die Infrastruktur