Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A bizalmas műveleti jelentés munkafüzete segít azonosítani azokat a gyanús alkalmazás- és szolgáltatásnév-tevékenységeket, amelyek biztonsági réseket jelezhetnek a környezetben.
Ez a cikk áttekintést nyújt a Bizalmas műveletek jelentés munkafüzetről.
Előfeltételek
Az Azure-munkafüzetek Microsoft Entra-azonosítóhoz való használatához a következőkre van szükség:
- Microsoft Entra bérlő, amely Prémium P1 licenccel rendelkezik
- Log Analytics-munkaterület és hozzáférés a munkaterülethez
- Az Azure Monitor és a Microsoft Entra ID megfelelő szerepkörei
Log Analytics-munkaterület
A Microsoft Entra-munkafüzetek használatához létre kell hoznia egy Log Analytics-munkaterületet. több tényező határozza meg a Log Analytics-munkaterületekhez való hozzáférést. Szüksége van a megfelelő szerepkörökre a munkaterülethez és az adatokat küldő erőforrásokhoz.
További információ: Log Analytics-munkaterületek hozzáférésének kezelése.
Azure Monitor-szerepkörök
Az Azure Monitor két beépített szerepkört biztosít a figyelési adatok megtekintéséhez és a monitorozási beállítások szerkesztéséhez. Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) két beépített Log Analytics-szerepkört is biztosít, amelyek hasonló hozzáférést biztosítanak.
Nézet:
- Figyelési olvasó
- Log Analytics olvasó
Beállítások megtekintése és módosítása:
- Figyelési közreműködő
- Log Analytics közreműködő
Microsoft Entra szerepek
Az írásvédett hozzáférés lehetővé teszi a Microsoft Entra ID naplóadatainak megtekintését egy munkafüzeten belül, adatokat kérdezhet le a Log Analyticsből, vagy olvashat naplókat a Microsoft Entra felügyeleti központban. A frissítési hozzáférés lehetővé teszi diagnosztikai beállítások létrehozását és szerkesztését, hogy Microsoft Entra-adatokat küldjön egy Log Analytics-munkaterületre.
Olvasd:
- Jelentésolvasó
- Biztonsági olvasó
- Globális olvasó
Frissítés:
- Biztonsági rendszergazda
A Microsoft Entra beépített szerepköreiről bővebb információt a Microsoft Entra beépített szerepkörei oldalon talál.
A Log Analytics RBAC-szerepkörökről további információt az Azure beépített szerepköreivel kapcsolatban talál.
Leírás
Ez a munkafüzet a bérlőben végrehajtott legutóbbi bizalmas műveleteket azonosítja.
Ha szervezete még nem használja az Azure Monitor-munkafüzeteket, a munkafüzet elérése előtt integrálnia kell a Microsoft Entra bejelentkezési és naplózási naplóit az Azure Monitorral. Ez az integráció lehetővé teszi a naplók tárolását, lekérdezését és vizualizációját munkafüzetek használatával akár két évig is. Csak az Azure Monitor-integrációt követően létrehozott bejelentkezési és naplózási eseményeket tárolja, így a munkafüzet nem tartalmaz az adott dátum előtti megállapításokat. További információ: Microsoft Entra-naplók integrálása az Azure Monitorral.
A munkafüzet elérése
Jelentkezzen be a Microsoft Entra felügyeleti központba a szerepkörök megfelelő kombinációjával.
Keresse fel az Entra ID>Felügyelet és egészség>Munkafüzeteket.
Válassza ki a Bizalmas műveletek jelentés munkafüzetet a Hibaelhárítás szakaszban.
Szakaszok
A munkafüzet négy részre van osztva:
Módosított alkalmazás- és szolgáltatásnév-hitelesítő adatok/hitelesítési módszerek – Ez a jelentés jelöli azokat a szereplőket, akik nemrég módosították a szolgáltatásnév hitelesítő adatait, és hogy az egyes szolgáltatásnév-hitelesítő adatok közül hány módosult.
Új engedélyek a szolgáltatásnevek számára – Ez a munkafüzet a szolgáltatásnevekhez nemrég megadott OAuth 2.0-engedélyeket is kiemeli.
Címtárszerepkör és csoporttagság frissítése szolgáltatásfőelemekhez
Módosított összevonási beállítások – Ez a jelentés kiemeli, ha egy felhasználó vagy alkalmazás módosítja egy tartomány összevonási beállításait. Például jelentést készít, amikor egy új Active Directory Összevont Szolgáltatás (ADFS) TrustedRealm objektum, mint például egy aláíró tanúsítvány, hozzáadódik a tartományhoz. A tartomány összevonási beállításainak módosítása ritkán fordul elő.
Módosított alkalmazás- és szolgáltatásnév-objektum hitelesítő adatok/hitelesítési módszerek
A támadók egyik leggyakoribb módja, hogy hozzáférést szerezzenek a környezetben, ha új hitelesítő adatokat ad hozzá a meglévő alkalmazásokhoz és szolgáltatásnevekhez. A hitelesítő adatok lehetővé teszik a támadó számára, hogy célalkalmazásként vagy szolgáltatásnévként hitelesítse magát, és hozzáférést biztosít számukra az összes olyan erőforráshoz, amelyhez engedélyekkel rendelkezik.
Ez a szakasz a következő adatokat tartalmazza az észleléshez:
Az alkalmazásokhoz és szolgáltatási főkapcsolatokhoz hozzáadott összes új hitelesítő adat, beleértve a hitelesítő típusát is
A legfontosabb szereplők és a hitelesítő adatok által végrehajtott módosítások száma
Az összes hitelesítőadat-módosítás idővonala
Új engedélyek adva a szolgáltatási szerepköröknek
A támadók gyakran megpróbálnak engedélyeket hozzáadni egy másik szolgáltatásnévhez vagy alkalmazáshoz, ha nem találnak olyan szolgáltatásnevet vagy alkalmazást, amely olyan magas jogosultsági szintű engedélykészlettel rendelkezik, amelyen keresztül hozzáférést szerezhetnek.
Ez a szakasz a meglévő szolgáltatásneveknek nyújtott AppOnly-engedélyek részletezését tartalmazza. A rendszergazdáknak meg kell vizsgálniuk a túlzottan magas engedélyeket, beleértve, de nem kizárólagosan az Exchange Online-t és a Microsoft Graphot.
Címtárszerepkör és csoporttagság frissítése szolgáltatás-felelősök számára
A támadó logikáját követve új engedélyeket ad hozzá a meglévő szolgáltatásnevekhez és -alkalmazásokhoz, egy másik módszer az, hogy hozzáadja őket a meglévő címtárszerepkörökhöz vagy -csoportokhoz.
Ez a szakasz áttekintést nyújt a szolgáltatási főtagságok összes módosításáról, és át kell tekinteni a magas jogosultságú szerepkörökhöz és csoportokhoz való bármilyen kiegészítést.
Módosított összevonási beállítások
A környezetben való hosszú távú megszilárdítás másik gyakori módja a következő:
- Módosítsa a bérlői federált tartománymeghatalmazásokat.
- Adjon hozzá egy másik SAML-azonosítót, amelyet a támadó megbízható hitelesítési forrásként vezérel.
Ez a szakasz a következő adatokat tartalmazza:
A meglévő tartományegyesítési bizalmi kapcsolatok változtatásai
Új tartományok és megbízhatósági kapcsolatok hozzáadása
Szűrők
Ez a bekezdés felsorolja az egyes szakaszok támogatott szűrőit.
Módosított alkalmazás- és szolgáltatásfő hitelesítő adatok/hitelesítési módszerek
- Időtartomány
- Művelet neve
- Hitelesítő adat
- Színész
- Színész kizárása
Új engedélyek adva a szolgáltatási szerepköröknek
- Időtartomány
- Ügyfélalkalmazás
- Erőforrás
Címtárszerepkör és csoporttagság frissítése a szolgáltatásnevekhez
- Időtartomány
- Művelet
- Felhasználó vagy alkalmazás kezdeményezése
Módosított összevonási beállítások
- Időtartomány
- Művelet
- Felhasználó vagy alkalmazás kezdeményezése
Ajánlott eljárások
Használja a módosított alkalmazás- és szolgáltatáspéldány-hitelesítő adatokat, hogy figyelemmel kísérje azokat a hitelesítő adatokat, amelyeket a szervezetében nem gyakran használt szolgáltatáspéldányokhoz adnak hozzá. Az ebben a szakaszban található szűrőkkel tovább vizsgálhatja a módosított gyanús szereplőket vagy szolgáltatásneveket.
A szolgáltatásneveknek adott új engedélyek használatával ügyeljen arra, hogy az esetlegesen sérült szereplők széles körű vagy túlzott engedélyeket kapjanak a szolgáltatásnevekhez.
Használja a módosított összevonási beállítások szakaszt annak ellenőrzéséhez, hogy a hozzáadott vagy módosított céltartomány/URL-cím megbízható rendszergazdai viselkedés-e. A tartományi federációs bizalmak módosítása vagy hozzáadása ritka és nagy jelentőségű esemény, ezért azonnali vizsgálatot igényel.