Arbeitsmappe „Berichte zu sicherheitsrelevanten Vorgängen“

Als IT-Administrator müssen Sie in der Lage sein, Kompromittierungen in Ihrer Umgebung auszumachen, um sicherzustellen, dass sie in einem ordnungsgemäßen Zustand verbleibt.

Mit der Arbeitsmappe „Berichte zu sicherheitsrelevanten Vorgängen“ lassen sich verdächtige Anwendungs- und Dienstprinzipalaktivitäten identifizieren, die auf eine Kompromittierung in Ihrer Umgebung hinweisen können.

Dieser Artikel enthält eine Übersicht über die Arbeitsmappe Berichte zu sicherheitsrelevanten Vorgängen.

Voraussetzungen

Um Azure Workbooks für Microsoft Entra ID zu verwenden, benötigen Sie Folgendes:

• Ein Microsoft Entra-Mandant mit einer Premium P1-Lizenz
• Log Analytics-Arbeitsbereich und Zugriff auf diesen Arbeitsbereich
• Die geeigneten Rollen für Azure Monitor und Microsoft Entra ID

Log Analytics-Arbeitsbereich

Sie müssen einen Log Analytics-Arbeitsbereich erstellen, bevor Sie Microsoft Entra-Arbeitsmappen verwenden können. Mehrere Faktoren bestimmen den Zugriff auf Log Analytics-Arbeitsbereiche. Sie benötigen die richtigen Rollen für den Arbeitsbereich und die Ressourcen, die die Daten senden.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche.

Azure Monitor-Rollen

Azure Monitor bietet zwei integrierte Rollen zum Anzeigen von Überwachungsdaten und zum Bearbeiten von Überwachungseinstellungen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure bietet außerdem zwei integrierte Log Analytics-Rollen, die ähnlichen Zugriff gewähren.

• Anzeigen:

  • Überwachungsleser
  • Log Analytics-Leser

• Anzeigen und Ändern von Einstellungen:

  • Überwachungsmitwirkender
  • Log Analytics-Mitwirkender

Microsoft Entra-Rollen

Mit dem schreibgeschützten Zugriff können Sie Microsoft Entra ID-Protokolldaten in einer Arbeitsmappe anzeigen, Daten aus Log Analytics abfragen oder Protokolle im Microsoft Entra Admin Center lesen. Der Updatezugriff bietet die Möglichkeit, Diagnoseeinstellungen zu erstellen und zu bearbeiten, um Microsoft Entra-Daten an einen Log Analytics-Arbeitsbereich zu senden.

• Read (Lesen):

  • Berichtleseberechtigter
  • Sicherheitsleseberechtigter
  • Globaler Leser

• Update (Aktualisieren):

  • Sicherheitsadministrator

Weitere Informationen zu in Microsoft Entra integrierten Rollen finden Sie unter integrierte Rollen in Microsoft Entra.

Weitere Informationen zu den RBAC-Rollen für Log Analytics finden Sie unter Integrierte Azure-Rollen.

Beschreibung

In dieser Arbeitsmappe werden die kürzlich erfolgten sicherheitsrelevanten Vorgänge identifiziert, die in Ihrem Mandanten ausgeführt wurden und möglicherweise den Dienstprinzipal kompromittiert haben.

Wenn Ihre Organisation noch nicht mit Azure Monitor-Arbeitsmappen gearbeitet hat, müssen Sie Ihre Microsoft Entra-Anmelde- und Überwachungsprotokolle in Azure Monitor integrieren, bevor Sie auf die Arbeitsmappe zugreifen. Dank dieser Integration können Sie Ihre Protokolle bis zu zwei Jahre in Arbeitsmappen speichern, abfragen und visualisieren. Es werden nur Anmelde- und Überwachungsereignisse gespeichert, die nach der Integration in Azure Monitor erstellt wurden. Daher enthält die Arbeitsmappe keine Erkenntnisse zu Vorgängen vor diesem Zeitpunkt. Erfahren Sie mehr über die Voraussetzungen für Azure Monitor-Arbeitsmappen für Microsoft Entra ID. Wenn Sie Ihre Microsoft Entra-Anmelde- und Überwachungsprotokolle zuvor in Azure Monitor integriert haben, können Sie mithilfe der Arbeitsmappe frühere Informationen auswerten.

So greifen Sie auf die Arbeitsmappe zu

1. Melden Sie sich mit einer geeigneten Kombination von Rollen beim Microsoft Entra Admin Center an.

2. Browsen Sie zu Identität>Überwachung und Integrität>Workbooks.

3. Wählen Sie im Abschnitt Problembehandlung die Arbeitsmappe Berichte zu sicherheitsrelevanten Vorgängen aus.

Abschnitte

Diese Arbeitsmappe ist in vier Abschnitte unterteilt:

• Geänderte Anmeldeinformationen/Authentifizierungsmethoden für Anwendung und Dienstprinzipal: Dieser Bericht kennzeichnet Akteure, die kürzlich viele Anmeldeinformationen von Dienstprinzipalen geändert haben, und gibt an, wie viele der unterschiedlichen Anmeldeinformationstypen für Dienstprinzipale geändert wurden.

• Neue Berechtigungen für Dienstprinzipale: Diese Arbeitsmappe hebt auch die kürzlich Dienstprinzipalen gewährten OAuth 2.0-Berechtigungen hervor.

• Aktualisierungen der Verzeichnisrollen- und Gruppenmitgliedschaft für Dienstprinzipale

• Geänderte Verbundeinstellungen: Dieser Bericht hebt hervor, wenn ein Benutzer oder eine Anwendung Verbundeinstellungen für eine Domäne ändert. Gemeldet wird beispielsweise, wenn der Domäne ein neues TrustedRealm-Objekt des Active Directory-Verbunddiensts (Active Directory Federated Service, ADFS) hinzugefügt wird (z. B. ein Signaturzertifikat). Änderungen an Domänenverbundeinstellungen sollten selten erfolgen.

Geänderte Anmeldeinformationen/Authentifizierungsmethoden für Anwendungen und Dienstprinzipale

Eine der häufigsten Methoden für Angreifer, dauerhaft Zugriff auf die Umgebung zu erhalten, ist das Hinzufügen neuer Anmeldeinformationen zu vorhandenen Anwendungen und Dienstprinzipalen. Mithilfe der Anmeldeinformationen kann der Angreifer sich als Zielanwendung oder Dienstprinzipal authentifizieren und Zugriff auf alle Ressourcen erhalten, für die die Anwendung oder der Dienstprinzipal Berechtigungen hat.

Dieser Abschnitt enthält die folgenden Daten, die Sie bei der Erkennung unterstützen:

• Alle neuen Anmeldeinformationen, die Apps und Dienstprinzipalen hinzugefügt wurden, einschließlich des Anmeldeinformationstyps

• Die wichtigsten Akteure und Anzahl der von ihnen vorgenommenen Änderungen an Anmeldeinformationen

• Eine Zeitachse für alle Änderungen der Anmeldeinformationen

Neue Berechtigungen für Dienstprinzipale

Wenn der Angreifer keinen Dienstprinzipal oder keine Anwendung mit hohen Berechtigungen findet, mit denen er Zugriff erhält, versucht er häufig, die Berechtigungen einem anderen Dienstprinzipal oder einer anderen App hinzuzufügen.

Dieser Abschnitt enthält eine Aufschlüsselung der AppOnly-Berechtigungen, die vorhandenen Dienstprinzipalen gewährt werden. Administratoren sollten alle Vorkommen übermäßig hoher Berechtigungen untersuchen, die gewährt werden, einschließlich, aber nicht beschränkt auf Exchange Online und Microsoft Graph.

Aktualisierungen der Verzeichnisrollen- und Gruppenmitgliedschaft für Dienstprinzipale

Der Logik des Angreifers, vorhandenen Dienstprinzipalen und Anwendungen neue Berechtigungen hinzuzufügen, entspricht auch ein weiterer Ansatz, nämlich die Berechtigungen vorhandenen Verzeichnisrollen oder Gruppen hinzuzufügen.

Dieser Abschnitt enthält eine Übersicht über alle Änderungen, die an Mitgliedschaften des Dienstprinzipals vorgenommen wurden, und sollte auf mögliche Ergänzungen von Rollen und Gruppen mit hohen Rechten überprüft werden.

Geänderte Verbundeinstellungen

Auch folgender Ansatz wird häufig verwendet, um in der Umgebung langfristig Fuß zu fassen:

• Ändern der Domänenverbundvertrauensstellungen des Mandanten.
• Hinzufügen eines weiteren SAML-Identitätsanbieters, der vom Angreifer als vertrauenswürdige Authentifizierungsquelle gesteuert wird

Dieser Abschnitt enthält die folgenden Daten:

• An vorhandenen Domänenverbundvertrauensstellungen vorgenommene Änderungen

• Hinzufügungen neuer Domänen und Vertrauensstellungen

Filter

In diesem Absatz werden die unterstützten Filter für jeden Abschnitt aufgeführt.

Geänderte Anmeldeinformationen/Authentifizierungsmethoden für Anwendungen und Dienstprinzipale

• Uhrzeitbereich
• Vorgangsname
• Anmeldeinformationen
• Akteur
• Akteur ausschließen

Neue Berechtigungen für Dienstprinzipale

• Uhrzeitbereich
• Client-App
• Resource

Aktualisierungen der Verzeichnisrollen- und Gruppenmitgliedschaft für Dienstprinzipale

• Uhrzeitbereich
• Vorgang
• Initiieren eines Benutzers oder einer App

Geänderte Verbundeinstellungen

• Uhrzeitbereich
• Vorgang
• Initiieren eines Benutzers oder einer App

Bewährte Methoden

• • Verwenden Sie geänderte Anmeldeinformationen für Anwendungen und Dienstprinzipale, um nach Anmeldeinformationen zu suchen, die Dienstprinzipalen hinzugefügt werden, die in Ihrer Organisation nicht häufig verwendet werden. Verwenden Sie die in diesem Abschnitt enthaltenen Filter, um verdächtige Akteure oder Dienstprinzipale, die geändert wurden, genauer zu untersuchen.

• Verwenden Sie neue Berechtigungen für Dienstprinzipale, um nach umfassenden oder übermäßigen Berechtigungen zu suchen, die Dienstprinzipalen von Akteuren hinzugefügt werden, die möglicherweise kompromittiert sind.

• Verwenden Sie im Abschnitt Geänderte Verbundeinstellungen können Sie bestätigen, dass die hinzugefügte oder geänderte Zieldomäne/URL einem legitimen Administratorverhalten entspricht. Aktionen, durch die Domänenverbundvertrauensstellungen geändert oder hinzugefügt werden, sind selten und sollten mit großer Sorgfalt und baldmöglichst untersucht werden.