Bizalmas műveletek jelentés munkafüzete
Rendszergazdaként képesnek kell lennie a környezetében előforduló biztonsági rések azonosítására, hogy kifogástalan állapotban tarthassa azt.
A bizalmas műveleti jelentés munkafüzete segít azonosítani azokat a gyanús alkalmazás- és szolgáltatásnév-tevékenységeket, amelyek biztonsági réseket jelezhetnek a környezetben.
Ez a cikk áttekintést nyújt a Bizalmas műveletek jelentés munkafüzetről.
Előfeltételek
Az Azure-munkafüzetek Microsoft Entra-azonosítóhoz való használatához a következőkre van szükség:
- Prémium P1 licenccel rendelkező Microsoft Entra-bérlő
- Log Analytics-munkaterület és hozzáférés a munkaterülethez
- Az Azure Monitor és a Microsoft Entra ID megfelelő szerepkörei
Log Analytics-munkaterület
A Microsoft Entra-munkafüzetek használatához létre kell hoznia egy Log Analytics-munkaterületet. több tényező határozza meg a Log Analytics-munkaterületekhez való hozzáférést. Szüksége van a megfelelő szerepkörökre a munkaterülethez és az adatokat küldő erőforrásokhoz.
További információ: Log Analytics-munkaterületek hozzáférésének kezelése.
Azure Monitor-szerepkörök
Az Azure Monitor két beépített szerepkört biztosít a figyelési adatok megtekintéséhez és a monitorozási beállítások szerkesztéséhez. Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) két beépített Log Analytics-szerepkört is biztosít, amelyek hasonló hozzáférést biztosítanak.
Nézet:
- Figyelési olvasó
- Log Analytics olvasó
Beállítások megtekintése és módosítása:
- Figyelési közreműködő
- Log Analytics közreműködő
Microsoft Entra szerepek
Az írásvédett hozzáférés lehetővé teszi a Microsoft Entra ID naplóadatainak megtekintését egy munkafüzeten belül, adatokat kérdezhet le a Log Analyticsből, vagy olvashat naplókat a Microsoft Entra felügyeleti központban. A frissítési hozzáférés lehetővé teszi diagnosztikai beállítások létrehozását és szerkesztését, hogy Microsoft Entra-adatokat küldjön egy Log Analytics-munkaterületre.
Read:
- Jelentésolvasó
- Biztonsági olvasó
- Globális olvasó
Frissítés:
- Biztonsági rendszergazda
A Beépített Microsoft Entra szerepkörökről további információt a Microsoft Entra beépített szerepköreivel kapcsolatban talál.
A Log Analytics RBAC-szerepkörökről további információt az Azure beépített szerepköreivel kapcsolatban talál.
Leírás
Ez a munkafüzet azonosítja azokat a legutóbbi bizalmas műveleteket, amelyeket a bérlőn hajtottak végre, és amelyek az egyszerű biztonsági rést okozhatják.
Ha szervezete még nem használja az Azure Monitor-munkafüzeteket, a munkafüzet elérése előtt integrálnia kell a Microsoft Entra bejelentkezési és naplózási naplóit az Azure Monitorral. Ez az integráció lehetővé teszi a naplók tárolását és lekérdezését és vizualizációját munkafüzetek használatával akár két évig. Csak az Azure Monitor-integrációt követően létrehozott bejelentkezési és naplózási eseményeket tárolja, így a munkafüzet nem tartalmaz az adott dátum előtti megállapításokat. További információ az Azure Monitor-munkafüzetek Microsoft Entra-azonosítóhoz való előfeltételeiről. Ha korábban integrálta a Microsoft Entra bejelentkezési és naplózási naplóit az Azure Monitorral, a munkafüzettel felmérheti a múltbeli információkat.
A munkafüzet elérése
Jelentkezzen be a Microsoft Entra felügyeleti központba a szerepkörök megfelelő kombinációjával.
Tallózással keresse meg az Identitásfigyelés>és állapot>munkafüzeteket.
Válassza ki a Bizalmas műveletek jelentés munkafüzetet a Hibaelhárítás szakaszban.
Szakaszok
A munkafüzet négy részre van osztva:
Módosított alkalmazás- és szolgáltatásnév-hitelesítő adatok/hitelesítési módszerek – Ez a jelentés azokat a szereplőket jelöli, akik a közelmúltban számos egyszerű szolgáltatásnév hitelesítő adatait módosították, és hogy az egyes szolgáltatásnév-hitelesítő adatok közül hány módosult.
Új engedélyek a szolgáltatásnevek számára – Ez a munkafüzet a szolgáltatásnevekhez nemrég megadott OAuth 2.0-engedélyeket is kiemeli.
Címtárszerepkör és csoporttagság frissítése szolgáltatásnevekhez
Módosított összevonási beállítások – Ez a jelentés kiemeli, ha egy felhasználó vagy alkalmazás módosítja egy tartomány összevonási beállításait. Például azt jelenti, hogy egy új Active Directory Összevont szolgáltatás (ADFS) TrustedRealm objektum, például egy aláíró tanúsítvány kerül a tartományba. A tartomány összevonási beállításainak módosítása ritkán fordul elő.
Módosított alkalmazás- és szolgáltatásnév hitelesítő adatai/hitelesítési módszerei
A támadók egyik leggyakoribb módja, hogy megőrizze a környezetet, ha új hitelesítő adatokat ad hozzá a meglévő alkalmazásokhoz és szolgáltatásnevekhez. A hitelesítő adatok lehetővé teszik a támadó számára, hogy célalkalmazásként vagy szolgáltatásnévként hitelesítse magát, és hozzáférést biztosít számukra az összes olyan erőforráshoz, amelyhez engedélyekkel rendelkezik.
Ez a szakasz a következő adatokat tartalmazza az észleléshez:
Az alkalmazásokhoz és szolgáltatásnevekhez hozzáadott összes új hitelesítő adat, beleértve a hitelesítő adatokat is
A legfontosabb szereplők és a hitelesítő adatok által végrehajtott módosítások száma
Az összes hitelesítőadat-módosítás idővonala
Új engedélyek a szolgáltatásnevek számára
Azokban az esetekben, amikor a támadó nem talál olyan szolgáltatásnevet vagy magas jogosultsági szintű jogosultságokkal rendelkező alkalmazást, amelyen keresztül hozzáférést szeretne szerezni, gyakran megpróbálják hozzáadni az engedélyeket egy másik szolgáltatásnévhez vagy alkalmazáshoz.
Ez a szakasz a meglévő szolgáltatásneveknek nyújtott AppOnly-engedélyek részletezését tartalmazza. A Rendszergazda-nak meg kell vizsgálnia a túlzottan magas engedélyeket, beleértve, de nem kizárólagosan az Exchange Online-t és a Microsoft Graphot.
Címtárszerepkör és csoporttagság frissítése szolgáltatásnevekhez
A támadó logikáját követve új engedélyeket ad hozzá a meglévő szolgáltatásnevekhez és -alkalmazásokhoz, egy másik módszer az, hogy hozzáadja őket a meglévő címtárszerepkörökhöz vagy -csoportokhoz.
Ez a szakasz áttekintést nyújt a szolgáltatásnév-tagságok összes módosításáról, és felül kell vizsgálni a magas jogosultsági szintű szerepkörök és csoportok hozzáadását.
Módosított összevonási beállítások
A környezet hosszú távú láblécének megszerzésének másik gyakori módszere a következő:
- Módosítsa a bérlő összevont tartománymegbízhatóságait.
- Adjon hozzá egy másik SAML-azonosítót, amelyet a támadó megbízható hitelesítési forrásként vezérel.
Ez a szakasz a következő adatokat tartalmazza:
A meglévő tartományi összevonási megbízhatóságok módosításai
Új tartományok és megbízhatósági kapcsolatok hozzáadása
Szűrők
Ez a bekezdés felsorolja az egyes szakaszok támogatott szűrőit.
Módosított alkalmazás- és szolgáltatásnév hitelesítő adatai/hitelesítési módszerei
- Időtartomány
- Művelet neve
- Hitelesítő adat
- Színész
- Színész kizárása
Új engedélyek a szolgáltatásnevek számára
- Időtartomány
- Ügyfélalkalmazás
- Erőforrás
Címtárszerepkör és csoporttagság frissítése a szolgáltatásnevekhez
- Időtartomány
- Művelet
- Felhasználó vagy alkalmazás kezdeményezése
Módosított összevonási beállítások
- Időtartomány
- Művelet
- Felhasználó vagy alkalmazás kezdeményezése
Ajánlott eljárások
-
- A módosított alkalmazás- és szolgáltatásnév-hitelesítő adatok** segítségével figyelheti, hogy milyen hitelesítő adatokat ad hozzá a szervezetében gyakran nem használt szolgáltatásnevekhez. Az ebben a szakaszban található szűrőkkel tovább vizsgálhatja a módosított gyanús szereplőket vagy szolgáltatásneveket.
A szolgáltatásneveknek adott új engedélyek használatával ügyeljen arra, hogy az esetlegesen sérült szereplők széles körű vagy túlzott engedélyeket kapjanak a szolgáltatásnevekhez.
Használja a módosított összevonási beállítások szakaszt annak ellenőrzéséhez, hogy a hozzáadott vagy módosított céltartomány/URL-cím megbízható rendszergazdai viselkedés-e. A tartományi összevonási megbízhatóságokat módosító vagy hozzáadó műveletek ritkán fordulnak elő, ezért a lehető leghamarabb magas megbízhatósági állapotúnak kell tekinteni.