Infrastruktúra biztonsági műveletei
Az infrastruktúra számos olyan összetevőt tartalmaz, ahol biztonsági rések léphetnek fel, ha nincs megfelelően konfigurálva. Az infrastruktúra monitorozási és riasztási stratégiájának részeként a következő területeken monitorozza és riasztási eseményeket:
Hitelesítés és engedélyezés
Hibrid hitelesítési összetevők a következőkkel együtt: Összevonási kiszolgálók
Házirendek
Előfizetések
A hitelesítési infrastruktúra összetevőinek monitorozása és riasztása kritikus fontosságú. Bármilyen kompromisszum az egész környezet teljes veszélyeztetéséhez vezethet. A Microsoft Entra ID-t használó számos vállalat hibrid hitelesítési környezetben működik. A monitorozási és riasztási stratégiában szerepelnie kell a felhőalapú és a helyszíni összetevőknek. A hibrid hitelesítési környezet egy másik támadási vektort is bevezet a környezetbe.
Azt javasoljuk, hogy az összes összetevőt vezérlősík/0. rétegbeli objektumnak tekintsük, valamint a kezelésükhöz használt fiókokat. A környezet tervezésével és megvalósításával kapcsolatos útmutatásért tekintse meg a kiemelt objektumok biztonságossá tételét (SPA). Ez az útmutató a Microsoft Entra-bérlőkhöz esetleg használható hibrid hitelesítési összetevőkre vonatkozó javaslatokat tartalmaz.
A váratlan események és a lehetséges támadások észlelésének első lépése egy alapkonfiguráció létrehozása. Az ebben a cikkben felsorolt összes helyszíni összetevő esetében lásd a privileged access deployment (Emelt szintű hozzáférés üzembe helyezése) című témakört, amely a Biztonságos emelt szintű eszközök (SPA) útmutatójának része.
Hol érdemes keresni?
A vizsgálathoz és monitorozáshoz használt naplófájlok a következők:
Az Azure Portalon megtekintheti a Microsoft Entra naplózási naplóit, és letöltheti vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation -fájlként (JSON-fájlként). Az Azure Portal számos módon integrálhatja a Microsoft Entra-naplókat más eszközökkel, amelyek lehetővé teszik a figyelés és riasztások nagyobb automatizálását:
Microsoft Sentinel – Lehetővé teszi az intelligens biztonsági elemzéseket vállalati szinten a biztonsági információk és az eseménykezelés (SIEM) képességeinek biztosításával.
Sigma szabályok – A Sigma egy folyamatosan fejlődő nyílt szabvány a szabályok és sablonok írásához, amelyeket az automatizált felügyeleti eszközök a naplófájlok elemzésére használhatnak. Ahol Sigma-sablonok léteznek az ajánlott keresési feltételekhez, hozzáadtunk egy hivatkozást a Sigma adattárhoz. A Sigma-sablonokat nem a Microsoft írja, teszteli és kezeli. Ehelyett az adattárat és a sablonokat a globális informatikai biztonsági közösség hozza létre és gyűjti össze.
Azure Monitor – Lehetővé teszi a különböző feltételek automatikus monitorozását és riasztását. Létrehozhat vagy használhat munkafüzeteket különböző forrásokból származó adatok kombinálására.
SIEM-szel integrált Azure Event Hubs – A Microsoft Entra-naplók integrálhatók más SIEM-ekkel , például a Splunk, az ArcSight, a QRadar és a Sumo Logic szolgáltatással az Azure Event Hubs-integráción keresztül.
Felhőhöz készült Microsoft Defender-alkalmazások – Lehetővé teszi az alkalmazások felderítését és kezelését, az alkalmazások és erőforrások közötti szabályozást, valamint a felhőalkalmazások megfelelőségének ellenőrzését.
Számítási feladatok identitásainak biztonságossá tétele az Identity Protection előzetes verziójával – A számítási feladatok identitásainak kockázatának észlelésére szolgál a bejelentkezési viselkedés és a biztonsági rés offline jelzései között.
A cikk további része azt ismerteti, hogy mi legyen a figyelés és a riasztás. A fenyegetés típusa szerint van rendszerezve. Ahol előre elkészített megoldások találhatók, a táblázat után megtalálja azokra mutató hivatkozásokat. Ellenkező esetben riasztásokat hozhat létre az előző eszközökkel.
Hitelesítési infrastruktúra
A helyszíni és felhőalapú erőforrásokat és fiókokat egyaránt tartalmazó hibrid környezetekben az Active Directory-infrastruktúra kulcsfontosságú része a hitelesítési veremnek. A verem támadások célpontja is, ezért konfigurálni kell a biztonságos környezet fenntartásához, és megfelelően kell figyelni. Példák a hitelesítési infrastruktúra elleni támadások jelenlegi típusaira a Password Spray és a Solorigate technikák használatával. Az alábbi hivatkozások a javasolt cikkekre mutatnak:
A kiemelt hozzáférés biztonságossá tételének áttekintése – Ez a cikk áttekintést nyújt az aktuális technikákról, amelyek Teljes felügyelet technikákat használnak a biztonságos emelt szintű hozzáférés létrehozásához és fenntartásához.
Microsoft Defender for Identity monitorozott tartományi tevékenységek – Ez a cikk a riasztások figyelésére és beállítására szolgáló tevékenységek átfogó listáját tartalmazza.
Microsoft Defender for Identity biztonsági riasztások oktatóanyaga – Ez a cikk útmutatást nyújt egy biztonsági riasztási stratégia létrehozásához és implementálásához.
Az alábbiakban olyan cikkekre mutató hivatkozások találhatók, amelyek a hitelesítési infrastruktúra figyelésére és riasztására összpontosítanak:
A Microsoft Defender for Identity oldalirányú mozgási útvonalainak megismerése és használata – Észlelési technikák, amelyek segítenek azonosítani, hogy a nem bizalmas fiókok mikor férnek hozzá a bizalmas hálózati fiókokhoz.
Biztonsági riasztások használata a Microsoft Defender for Identity szolgáltatásban – Ez a cikk bemutatja, hogyan tekintheti át és kezelheti a riasztásokat a naplózás után.
Az alábbiakat érdemes megkeresni:
| Monitorozási teendők | Kockázati szint | Where | Jegyzetek |
|---|---|---|---|
| Extranet zárolási tendenciák | Magas | Microsoft Entra Connect Health | Lásd: Az AD FS monitorozása a Microsoft Entra Connect Health használatával eszközökhöz és technikákhoz az extranetes kizárási trendek észleléséhez. |
| Sikertelen bejelentkezések | Magas | Állapotportál csatlakoztatása | Exportálja vagy töltse le a Kockázatos IP-jelentést, és kövesse a Kockázatos IP-jelentés (nyilvános előzetes verzió) útmutatását a következő lépésekhez. |
| Adatvédelmi megfelelőség | Alacsony | Microsoft Entra Connect Health | Konfigurálja a Microsoft Entra Connect Health szolgáltatást az adatgyűjtések és a monitorozás letiltásához a Felhasználói adatvédelem és a Microsoft Entra Connect Health című cikk használatával. |
| Lehetséges találgatásos támadás az LDAP ellen | Közepes | Microsoft Defender for Identity | Használjon érzékelőt az LDAP elleni lehetséges találgatásos támadások észleléséhez. |
| Fiók számbavételének felderítése | Közepes | Microsoft Defender for Identity | Használjon érzékelőt a fiókok számbavételének felderítéséhez. |
| Általános korreláció a Microsoft Entra ID és az Azure AD FS között | Közepes | Microsoft Defender for Identity | A képességek használatával korrelálhatja a tevékenységeket a Microsoft Entra-azonosító és az Azure AD FS-környezetek között. |
Átmenő hitelesítés monitorozása
A Microsoft Entra átmenő hitelesítése közvetlenül a helyi Active Directory ellenőrzi a felhasználókat.
Az alábbiakat érdemes megkeresni:
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| A Microsoft Entra átmenő hitelesítési hibái | Közepes | Alkalmazás- és szolgáltatásnaplók\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Nem lehet csatlakozni az Active Directoryhoz | Győződjön meg arról, hogy az ügynökkiszolgálók ugyanahhoz az AD-erdőhöz tartoznak, mint azok a felhasználók, akiknek a jelszavát ellenőrizni kell, és csatlakozhatnak az Active Directoryhoz. |
| A Microsoft Entra átmenő hitelesítési hibái | Közepes | Alkalmazás- és szolgáltatásnaplók\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 – Időtúllépés történt az Active Directoryhoz való csatlakozáskor | Ellenőrizze, hogy az Active Directory elérhető-e, és válaszol-e az ügynököktől érkező kérésekre. |
| A Microsoft Entra átmenő hitelesítési hibái | Közepes | Alkalmazás- és szolgáltatásnaplók\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 – Az ügynöknek átadott felhasználónév érvénytelen volt | Győződjön meg arról, hogy a felhasználó a megfelelő felhasználónévvel próbál bejelentkezni. |
| A Microsoft Entra átmenő hitelesítési hibái | Közepes | Alkalmazás- és szolgáltatásnaplók\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 – Az ellenőrzés kiszámíthatatlan WebException hibát észlelt | Átmeneti hiba. Ismételje meg a kérést. Ha továbbra is sikertelen, forduljon a Microsoft ügyfélszolgálatához. |
| A Microsoft Entra átmenő hitelesítési hibái | Közepes | Alkalmazás- és szolgáltatásnaplók\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 – Hiba történt az Active Directoryval való kommunikáció során | További információt az ügynöknaplókban talál, és ellenőrizze, hogy az Active Directory a várt módon működik-e. |
| A Microsoft Entra átmenő hitelesítési hibái | Magas | Win32 LogonUserA függvény API | Bejelentkezési események 4624(ek): Sikeresen bejelentkezett egy fiók - korrelál a – 4625(F): Egy fiók nem tudott bejelentkezni |
Használja a kérelmek hitelesítését végző tartományvezérlő feltételezett felhasználóneveit. Útmutató a LogonUserA függvényhez (winbase.h) |
| A Microsoft Entra átmenő hitelesítési hibái | Közepes | Tartományvezérlő PowerShell-szkriptje | Tekintse meg a lekérdezést a tábla után. | Útmutatásért használja a Microsoft Entra Connectben található információkat : Az átmenő hitelesítéshibaelhárítása. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Új Microsoft Entra-bérlők létrehozásának monitorozása
Előfordulhat, hogy a szervezeteknek figyelniük kell az új Microsoft Entra-bérlők létrehozására vonatkozó riasztásokat, amikor a műveletet a szervezeti bérlő identitásai kezdeményezik. Ennek a forgatókönyvnek a monitorozása lehetővé teszi, hogy a végfelhasználók hány bérlőt hoznak létre és férhessenek hozzá.
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Új Microsoft Entra-bérlő létrehozása a bérlő identitásának használatával. | Közepes | Microsoft Entra ellenőrzési naplók | Kategória: Címtárkezelés Tevékenység: Vállalat létrehozása |
A cél(ok) a létrehozott bérlőazonosítót jeleníti meg |
Privát hálózati összekötő
A Microsoft Entra ID és a Microsoft Entra alkalmazásproxy egyszeri bejelentkezést (SSO) biztosít a távoli felhasználóknak. A felhasználók biztonságosan csatlakoznak a helyszíni alkalmazásokhoz virtuális magánhálózat (VPN) vagy kettős otthonú kiszolgálók és tűzfalszabályok nélkül. Ha a Microsoft Entra privát hálózati összekötő kiszolgálója sérült, a támadók megváltoztathatják az egyszeri bejelentkezést, vagy módosíthatják a közzétett alkalmazásokhoz való hozzáférést.
A alkalmazásproxy monitorozásának konfigurálásához tekintse meg alkalmazásproxy problémák és hibaüzenetek hibaelhárítását. Az adatokat naplózó adatfájl az Alkalmazások és szolgáltatások naplói\Microsoft\Microsoft Entra privát hálózat\Connector\Admin mappában található. A naplózási tevékenységre vonatkozó teljes útmutatót a Microsoft Entra naplózási tevékenységének referenciájában találja. A figyelendő konkrét dolgok:
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Kerberoshoz kapcsolódó hibák | Közepes | Különböző eszközök | Közepes | A Kerberos-hitelesítési hibákra vonatkozó útmutató a Kerberos-hibák alkalmazásproxy problémák és hibaüzenetek hibaelhárítása című témakörben. |
| Tartományvezérlő biztonsági problémái | Magas | DC biztonsági naplózási naplók | Eseményazonosító: 4742(S): A számítógépfiók megváltozott -és- Jelölő – Megbízható delegálás -vagy- Jelző – Megbízható hitelesítés delegáláshoz |
Vizsgálja meg az esetleges jelölőmódosításokat. |
| Pass-the-ticket, mint a támadások | Magas | Kövesse az alábbi útmutatást: Biztonsági egyszerű felderítés (LDAP) (külső azonosító: 2038) Oktatóanyag: Sérült hitelesítő adatokra vonatkozó riasztások Oldalirányú mozgási útvonalak megismerése és használata a Microsoft Defender for Identity használatával Az entitásprofilok ismertetése |
Régi hitelesítési beállítások
Ahhoz, hogy a többtényezős hitelesítés (MFA) hatékony legyen, a régi hitelesítést le kell tiltani. Ezután figyelnie kell a környezetet és a riasztást az örökölt hitelesítés bármilyen használatával kapcsolatban. Az örökölt hitelesítési protokollok, például a POP, az SMTP, az IMAP és a MAPI nem tudják kikényszeríteni az MFA-t. Így ezek a protokollok lesznek a támadók számára előnyben részesített belépési pontok. Az örökölt hitelesítés letiltására használható eszközökkel kapcsolatos további információkért lásd : Új eszközök az örökölt hitelesítés letiltásához a szervezetben.
Az örökölt hitelesítést az esemény részleteinek részeként rögzíti a Microsoft Entra bejelentkezési naplója. Az Azure Monitor-munkafüzet segítségével azonosíthatja az örökölt hitelesítési használatot. További információkért tekintse meg az örökölt hitelesítést használó bejelentkezéseket, amely az Azure Monitor-munkafüzetek Microsoft Entra-jelentésekhez való használatának része. A Microsoft Sentinel nem biztonságos protokollok munkafüzetét is használhatja. További információt a Microsoft Sentinel nem biztonságos protokollok munkafüzet-implementálási útmutatójában talál. A figyelendő tevékenységek közé tartoznak a következők:
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Örökölt hitelesítések | Magas | Microsoft Entra bejelentkezési napló | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp : ActiveSync ugrás az EXO-ra Egyéb ügyfelek = SharePoint és EWS |
Összevont tartománykörnyezetekben a rendszer nem rögzíti a sikertelen hitelesítéseket, és nem jelenik meg a naplóban. |
Microsoft Entra Connect
A Microsoft Entra Connect egy központosított helyet biztosít, amely lehetővé teszi a fiókok és attribútumok szinkronizálását a helyszíni és a felhőalapú Microsoft Entra-környezet között. A Microsoft Entra Connect az a Microsoft-eszköz, amelyet a hibrid identitással kapcsolatos célok teljesítésére és megvalósítására terveztek. Ez a tevékenység a következő jellemzőkkel bír:
Jelszókivonat-szinkronizálás – Bejelentkezési módszer, amely a felhasználó helyszíni AD-jelszavának kivonatát szinkronizálja a Microsoft Entra-azonosítóval.
Szinkronizálás – A felhasználók, csoportok és egyéb objektumok létrehozásáért felelős. Emellett győződjön meg arról, hogy a helyszíni felhasználók és csoportok identitásadatai megegyeznek a felhőben. A szinkronizáció a jelszókivonatokat is érinti.
Állapotfigyelő ing – A Microsoft Entra Connect Health robusztus monitorozást biztosít, és központi helyet biztosít az Azure Portalon a tevékenység megtekintéséhez.
A helyszíni környezet és a felhőkörnyezet identitásának szinkronizálása új támadási felületet biztosít a helyszíni és a felhőalapú környezet számára. Az alábbiakat javasoljuk:
A Microsoft Entra Connect elsődleges és átmeneti kiszolgálóit 0. rétegbeli rendszerként kezeli a vezérlősíkon.
Egy szabványos szabályzatkészletet követ, amely az egyes fióktípusokat és azok használatát szabályozza a környezetben.
A Microsoft Entra Connect és a Connect Health telepítése. Ezek elsősorban a környezet működési adatait biztosítják.
A Microsoft Entra Connect-műveletek naplózása különböző módokon történik:
A Microsoft Entra Connect varázsló naplózza az adatokat.
\ProgramData\AADConnectA varázsló minden meghívásakor létrejön egy időbélyegzővel ellátott nyomkövetési naplófájl. A nyomkövetési napló importálható a Sentinelbe vagy más 3távoli asztali biztonsági információ- és eseménykezelő (SIEM) eszközökbe elemzés céljából.Egyes műveletek egy PowerShell-szkriptet kezdeményeznek a naplózási adatok rögzítéséhez. Az adatok gyűjtéséhez meg kell győződnie arról, hogy engedélyezve van a szkriptek naplózása.
Konfigurációváltozások monitorozása
A Microsoft Entra ID a Microsoft SQL Server adatmotort vagy az SQL-t használja a Microsoft Entra Connect konfigurációs adatainak tárolására. Ezért a konfigurációhoz társított naplófájlok monitorozását és naplózását is be kell vonni a figyelési és naplózási stratégiába. A figyelési és riasztási stratégiában szerepeltesse az alábbi táblázatokat.
A konfigurációs információk figyelésére vonatkozó információkért lásd:
Az SQL Server esetében lásd az SQL Server naplózási rekordjait.
A Microsoft Sentinel esetében lásd : Csatlakozás Windows-kiszolgálókhoz a biztonsági események gyűjtéséhez.
A Microsoft Entra Connect konfigurálásáról és használatáról további információt a Microsoft Entra Connect bemutatásakor talál .
Szinkronizálás monitorozása és hibaelhárítása
A Microsoft Entra Connect egyik funkciója, hogy szinkronizálja a kivonatszinkronizálást a felhasználó helyszíni jelszava és a Microsoft Entra-azonosító között. Ha a jelszavak nem a várt módon szinkronizálódnak, a szinkronizálás hatással lehet a felhasználók vagy az összes felhasználó egy részhalmazára. A megfelelő működés ellenőrzéséhez vagy a problémák elhárításához használja az alábbiakat:
A kivonat-szinkronizálás ellenőrzéséről és hibaelhárításáról további információt a Microsoft Entra Connect Synctel való jelszókivonat-szinkronizálás hibaelhárítása című témakörben talál.
Az összekötőhelyek módosítása: Microsoft Entra Connect-objektumok és -attribútumok hibaelhárítása.
Fontos erőforrások a monitorozáshoz
| Monitorozási teendők | Források |
|---|---|
| Kivonatszinkronizálás ellenőrzése | Lásd: Jelszókivonat-szinkronizálás hibaelhárítása a Microsoft Entra Connect Synctel |
| Az összekötőhelyek módosítása | lásd: Microsoft Entra Connect-objektumok és -attribútumok hibaelhárítása |
| A konfigurált szabályok módosítása | A következő változások monitorozása: szűrés, tartomány és szervezeti egység, attribútum és csoportalapú módosítások |
| SQL- és MSDE-módosítások | A naplózási paraméterek módosítása és az egyéni függvények hozzáadása |
Figyelje a következőket:
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Ütemező módosításai | Magas | PowerShell | Set-ADSyncScheduler | Ütemezési módosítások keresése |
| Ütemezett tevékenységek módosítása | Magas | Microsoft Entra ellenőrzési naplók | Activity = 4699(S): Egy ütemezett tevékenység törölve lett -vagy- Tevékenység = 4701(ek): Egy ütemezett tevékenység le lett tiltva -vagy- Tevékenység = 4702(ek): Egy ütemezett tevékenység frissült |
Az összes figyelése |
A PowerShell-szkriptműveletek naplózásával kapcsolatos további információkért lásd a Szkriptblokkok naplózásának engedélyezése című témakört, amely a PowerShell referenciadokumentációjának része.
A PowerShell-naplózás Splunk általi elemzésre való konfigurálásáról további információt az Adatok beolvasása a Splunk Felhasználói viselkedéselemzés szolgáltatásba című témakörben talál.
Közvetlen egyszeri bejelentkezés monitorozása
A Microsoft Entra közvetlen egyszeri bejelentkezés (közvetlen egyszeri bejelentkezés) automatikusan bejelentkezik a felhasználókba, amikor a vállalati hálózathoz csatlakoztatott vállalati asztalaikon vannak. A közvetlen egyszeri bejelentkezés egyszerű hozzáférést biztosít a felhasználóknak a felhőalapú alkalmazásokhoz más helyszíni összetevők nélkül. Az egyszeri bejelentkezés a Microsoft Entra Connect által biztosított átmenő hitelesítési és jelszókivonat-szinkronizálási képességeket használja.
Az egyszeri bejelentkezés és a Kerberos-tevékenység monitorozása segíthet az általános hitelesítőadat-lopási támadási minták észlelésében. Monitorozás a következő információk használatával:
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Az egyszeri bejelentkezéssel és a Kerberos-érvényesítési hibákkal kapcsolatos hibák | Közepes | Microsoft Entra bejelentkezési napló | Az egyszeri bejelentkezéskor megjelenő hibakódok egyszeri bejelentkezési listája. | |
| Hibaelhárítási hibák lekérdezése | Közepes | PowerShell | Tekintse meg a következő lekérdezési táblát. ellenőrizze az összes erdőt, ha engedélyezve van az egyszeri bejelentkezés. | Ellenőrizze az összes erdőt, ha engedélyezve van az egyszeri bejelentkezés. |
| Kerberoshoz kapcsolódó események | Magas | Microsoft Defender for Identity monitorozása | Tekintse át a Microsoft Defender for Identity lateral Movement Paths (LMP) című cikkben elérhető útmutatót |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Jelszóvédelmi szabályzatok
A Microsoft Entra Password Protection üzembe helyezésekor a monitorozás és a jelentéskészítés alapvető feladat. Az alábbi hivatkozások részletesen ismertetik a különböző figyelési technikákat, többek között azt, hogy az egyes szolgáltatások hol naplóznak információkat, és hogyan jelenthetik a Microsoft Entra Password Protection használatát.
A tartományvezérlő ügynöke és a proxyszolgáltatás egyaránt naplózza az eseménynapló-üzeneteket. Az alábbiakban ismertetett összes PowerShell-parancsmag csak a proxykiszolgálón érhető el (lásd az AzureADPasswordProtection PowerShell-modult). A DC-ügynök szoftvere nem telepít PowerShell-modult.
A helyszíni jelszóvédelem tervezésével és megvalósításával kapcsolatos részletes információk a helyszíni Microsoft Entra Password Protection tervezésében és üzembe helyezésében érhetők el. A monitorozás részleteiért lásd a helyszíni Microsoft Entra Password Protection monitorozását. Minden tartományvezérlőn a DC Agent szolgáltatásszoftver minden egyes jelszóérvényesítési művelet eredményét (és egyéb állapotát) a következő helyi eseménynaplóba írja:
\Alkalmazások és szolgáltatások naplói\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Alkalmazások és szolgáltatások naplói\Microsoft\AzureADPasswordProtection\DCAgent\Trace
A DC-ügynök rendszergazdai naplója az elsődleges információforrás a szoftver viselkedéséről. Alapértelmezés szerint a nyomkövetési napló ki van kapcsolva, és az adatok naplózása előtt engedélyezni kell. Az alkalmazásproxyval kapcsolatos problémák és hibaüzenetek hibaelhárításához részletes információk érhetők el a Microsoft Entra alkalmazásproxy hibaelhárításában. Ezekre az eseményekre vonatkozó információk be vannak jelentkezve:
Alkalmazások és szolgáltatások naplói\Microsoft\Microsoft Entra privát hálózat\Connector\Admin
Microsoft Entra auditnapló, Category alkalmazásproxy
A Microsoft Entra naplózási tevékenységeire vonatkozó teljes referenciát a Microsoft Entra naplózási tevékenységére vonatkozó referenciában tekintheti meg.
Feltételes hozzáférés
A Microsoft Entra ID-ban feltételes hozzáférési szabályzatok konfigurálásával megvédheti az erőforrásokhoz való hozzáférést. Rendszergazdaként gondoskodnia kell arról, hogy a feltételes hozzáférési szabályzatok a várt módon működjenek, hogy az erőforrások védettek legyenek. A feltételes hozzáférési szolgáltatás változásainak figyelése és riasztása biztosítja, hogy a szervezet által az adatokhoz való hozzáférésre meghatározott szabályzatok kikényszeríthetők legyenek. A Microsoft Entra naplózza a feltételes hozzáférés módosításait, és munkafüzeteket is biztosít, hogy a szabályzatok biztosíthassák a várt lefedettséget.
Munkafüzet hivatkozásai
A feltételes hozzáférési szabályzatok módosításainak monitorozása az alábbi információk használatával:
| Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
|---|---|---|---|---|
| Nem jóváhagyott szereplők által létrehozott új feltételes hozzáférési szabályzat | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Feltételes hozzáférési szabályzat hozzáadása Kategória: Szabályzat Kezdeményezője (színész): Felhasználónév |
A feltételes hozzáférés változásainak figyelése és riasztása. A (színész) kezdeményezi: jóváhagyva a feltételes hozzáférés módosításához? Microsoft Sentinel-sablon Sigma-szabályok |
| A feltételes hozzáférési szabályzatot nem jóváhagyott szereplők távolítják el | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Feltételes hozzáférési szabályzat törlése Kategória: Szabályzat Kezdeményezője (színész): Felhasználónév |
A feltételes hozzáférés változásainak figyelése és riasztása. A (színész) kezdeményezi: jóváhagyva a feltételes hozzáférés módosításához? Microsoft Sentinel-sablon Sigma-szabályok |
| Nem jóváhagyott szereplők által frissített feltételes hozzáférési szabályzat | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Feltételes hozzáférési szabályzat frissítése Kategória: Szabályzat Kezdeményezője (színész): Felhasználónév |
A feltételes hozzáférés változásainak figyelése és riasztása. A (színész) kezdeményezi: jóváhagyva a feltételes hozzáférés módosításához? Tekintse át a módosított tulajdonságokat, és hasonlítsa össze a "régi" és az "új" értéket Microsoft Sentinel-sablon Sigma-szabályok |
| Felhasználó eltávolítása egy olyan csoportból, amely a kritikus feltételes hozzáférési szabályzatok hatókörének hatókörét használja | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Tag eltávolítása a csoportból Kategória: GroupManagement Cél: Felhasználónév |
Montior és Alert a kritikus feltételes hozzáférési szabályzatok hatóköréhez használt csoportokhoz. A "Target" az a felhasználó, aki el lett távolítva. Sigma-szabályok |
| Felhasználó hozzáadása a kritikus feltételes hozzáférési szabályzatok hatóköréhez használt csoporthoz | Alacsony | Microsoft Entra ellenőrzési naplók | Tevékenység: Tag hozzáadása csoporthoz Kategória: GroupManagement Cél: Felhasználónév |
Montior és Alert a kritikus feltételes hozzáférési szabályzatok hatóköréhez használt csoportokhoz. A "Target" az a felhasználó, aki hozzá lett adva. Sigma-szabályok |
Következő lépések
A Microsoft Entra biztonsági műveleteinek áttekintése
Felhasználói fiókok biztonsági műveletei
Biztonsági műveletek fogyasztói fiókokhoz
Kiemelt fiókok biztonsági műveletei
A Privileged Identity Management biztonsági műveletei
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: