Javaslatok a figyeléshez és a fenyegetések észleléséhez

Erre a Power Platform jól felépített biztonsági ellenőrzőlistára vonatkozó javaslatra vonatkozik:

SE:08	Holisztikus figyelési stratégiát valósíthat meg, amely a platformmal integrálható modern fenyegetésészlelési mechanizmusokra támaszkodik. A mechanizmusoknak megbízhatóan figyelmeztetniük kell az osztályozásra, és jeleket kell küldeniük a meglévő SecOps-folyamatokba.

Ez az útmutató a figyelésre és a fenyegetésészlelésre vonatkozó javaslatokat ismerteti. A monitorozás alapvetően a már megtörtént eseményekről szóló információk megszerzésének folyamata. A biztonsági monitorozás a számítási feladatok (identitás, folyamatok, alkalmazás, műveletek) különböző magasságaiban lévő információk rögzítésének gyakorlata, hogy felhívja a figyelmet a gyanús tevékenységekre. A cél az incidensek előrejelzése és a múltbeli eseményekből való tanulás. A megfigyelési adatok képezik a történtek incidens utáni elemzésének alapját, hogy segítsék az incidensek válasz és a kriminalisztikai vizsgálatokat.

A monitorozás egy működési kiválósági megközelítés, amely az összes Power Platform jól felépített pilléren alkalmazható. Ez az útmutató csak biztonsági szempontból tartalmaz javaslatokat. A felügyelet általános fogalmait az Ajánlások felügyeleti rendszer tervezéséhez és létrehozásához című dokumentumtartalmazza.

Meghatározások

Kifejezés	Definíció
Auditnaplók	A rendszerben végzett tevékenységek nyilvántartása.
Biztonsági információk és eseménykezelés (SIEM)	Olyan megközelítés, amely beépített fenyegetésészlelési és intelligenciaképességeket használ több forrásból összesített adatok alapján.
Fenyegetés észlelése	A várt műveletektől való eltérések észlelésére szolgáló stratégia összegyűjtött, elemzett és korrelált adatok felhasználásával.
Fenyegetések felderítése	A fenyegetésészlelési adatok értelmezésére szolgáló stratégia a gyanús tevékenységek vagy fenyegetések minták vizsgálatával történő észleléséhez.
Fenyegetések megelőzése	Biztonsági vezérlők, amelyek különböző magasságokban munkaterhelésbe kerülnek, hogy véd eszközeit.

Fő tervezési stratégiák

A biztonsági figyelés fő célja a fenyegetések észlelése. Az elsődleges cél a potenciális biztonsági incidensek megelőzése és a biztonságos környezet fenntartása. Ugyanilyen fontos azonban felismerni, hogy nem minden fenyegetés blokkolható megelőző jelleggel. Ilyen esetekben a megfigyelés mechanizmusként is szolgál a megelőzési erőfeszítések ellenére bekövetkezett biztonsági incidens okának azonosítására.

A megfigyelés különböző Nézőpontok közelíthető meg:

• Figyeljen különböző magasságokban. A különböző magasságokból történő megfigyelés a felhasználói áramlásokkal, az adatokhoz való hozzáféréssel, az identitással, a hálózattal és még az operációs rendszerrel kapcsolatos információk megszerzésének folyamata. Ezen területek mindegyike egyedi elemzéseket kínál, amelyek segítségével azonosíthatja a biztonsági alapkonfiguráció alapján megállapított várt viselkedéstől való eltéréseket. Ezzel szemben a rendszer és az alkalmazások folyamatos figyelése segíthet az alaphelyzet kialakításában. Előfordulhat például, hogy óránként körülbelül 1 000 bejelentkezési kísérletet lát az identitásrendszerben. Ha a figyelés rövid időn belül 50 000 bejelentkezési kísérletet észlel, előfordulhat, hogy egy támadó megpróbál hozzáférni a rendszerhez.

• Figyelje a különböző hatásköröket. Kritikus fontosságú az alkalmazás és a platform megfigyelése. Tegyük fel, hogy egy alkalmazásfelhasználó véletlenül eszkalált jogosultságokat kap, vagy biztonsági incidens történik. Ha a felhasználó a kijelölt hatókörön kívül hajt végre műveleteket, a hatás a más felhasználók által végrehajtható műveletekre korlátozódhat.

  Ha azonban egy belső entitás veszélyezteti az adatbázist, a potenciális kár mértéke bizonytalan.

  A robbanási sugár vagy a becsapódási hatókör jelentősen eltérhet attól függően, hogy melyik forgatókönyv fordul elő.

• Használjon speciális felügyeleti eszközöket. Rendkívül fontos, hogy olyan speciális eszközökbe fektessen be, amelyek folyamatosan ellenőrzik a támadásra utaló rendellenes viselkedést. Ezen eszközök többsége olyan fenyegetésfelderítési képességekkel rendelkezik , amelyek nagy mennyiségű adat és ismert fenyegetések alapján prediktív elemzést végezhetnek. A legtöbb eszköz nem állapot nélküli, és magában foglalja a telemetria mély megértését biztonsági környezetben.

  Az eszközöknek platformintegráltnak vagy legalábbis platformtudatosnak kell lenniük, hogy mély jeleket kapjanak a platformról, és nagy pontossággal előrejelzéseket készítsenek. Képesnek kell lenniük arra, hogy időben riasztásokat generáljanak, elegendő információval a megfelelő osztályozás elvégzéséhez. A túl sok különböző eszköz használata bonyolultsághoz vezethet.

• Használja az incidensek figyelését válasz. Az összesített adatok, amelyeket hasznosítható hírszerzéssé alakítanak át, lehetővé teszik az incidensekre való gyors és hatékony reagálást . A monitorozás segít az incidens utáni tevékenységekben. A cél az, hogy elegendő adatot gyűjtsenek a történtek elemzéséhez és megértéséhez. A monitorozási folyamat rögzíti a múltbeli eseményekre vonatkozó információkat a reaktív képességek javítása és a jövőbeli incidensek potenciális előrejelzése érdekében.

A következő szakaszok olyan ajánlott eljárásokat tartalmaznak, amelyek magukban foglalják az előző figyelési Nézőpontok.

Adatok rögzítése a tevékenységek nyomon követéséhez

A cél a biztonsági szempontból jelentős események átfogó ellenőrzési nyomvonalának fenntartása . A naplózás a hozzáférési minták rögzítésének leggyakoribb módja. A naplózást az alkalmazásra és a platformra vonatkozóan kell elvégezni.

Az auditnaplóhoz meg kell határoznia , hogy mit, mikor és ki társít a műveletekhez Meg kell határoznia a műveletek végrehajtásának konkrét időkereteit. Ezt az értékelést a fenyegetésmodellezésben végezze el. Az elutasítási fenyegetés elhárítása érdekében erős naplózási és naplózási rendszereket kell létrehoznia, amelyek a tevékenységek és tranzakciók nyilvántartását eredményezik.

A következő szakaszok a számítási feladatok egyes gyakori magasságainak használati eseteit ismertetik.

Számítási feladatok felhasználói folyamatai

A számítási feladatot úgy kell megtervezni, hogy futásidejű láthatóságot biztosítson események bekövetkezésekor. Azonosítsa a számítási feladat kritikus pontjait, és hozzon létre naplózást ezekhez a pontokhoz. Fontos tudomásul venni a felhasználói jogosultságok eszkalációját, a felhasználó által végrehajtott műveleteket, valamint azt, hogy a felhasználó biztonságos adattár hozzáfért-e a bizalmas adatokhoz. Kövesse nyomon a felhasználó és a felhasználói munkamenet tevékenységeit.

A nyomon követés megkönnyítése érdekében a kódot strukturált naplózással kellkialakítani. Ez lehetővé teszi a naplók egyszerű és egységes lekérdezését és szűrését.

Fontos

A rendszer titkosságának és integritásának megőrzése érdekében ki kell kényszerítenie a felelős naplózást. A titkos kulcsok és bizalmas adatok nem jelenhetnek meg a naplókban. A naplóadatok rögzítésekor vegye figyelembe a személyes adatok kiszivárgását és az egyéb megfelelőségi követelményeket.

Identitás- és hozzáférés-figyelés

Részletes nyilvántartást vezethet az alkalmazás hozzáférési mintáiról és a platformerőforrások módosításairól. Robusztus tevékenységnaplókkal és fenyegetésészlelési mechanizmusokkal rendelkezik, különösen az identitással kapcsolatos tevékenységek esetében, mivel a támadók gyakran megpróbálják manipulálni az identitásokat jogosulatlan hozzáférés megszerzése érdekében.

Átfogó naplózás megvalósítása az összes rendelkezésre álló adatpont használatával. Adja meg például az ügyfél IP-címét, hogy megkülönböztesse a szokásos felhasználói tevékenységet és a váratlan helyekről érkező potenciális fenyegetéseket. A kiszolgálónak minden naplózási eseményt időbélyeggel kell ellátnia.

Rögzítse az összes erőforrás-hozzáférési tevékenységet, és rögzítse, hogy ki mit csinál, és mikor csinálja. A jogosultságok eszkalációjának esetei jelentős adatpont, amelyeket naplózni kell. Az alkalmazás által a fiók létrehozásával vagy törlésével kapcsolatos műveleteket szintén rögzíteni kell. Ez a javaslat kiterjed az alkalmazás titkos kulcsaira is. Figyelheti, hogy ki fér hozzá a titkos kulcsokhoz, és mikor vannak elforgatva.

Bár a sikeres műveletek naplózása fontos, a hibák rögzítése biztonsági szempontból szükséges. Dokumentálja a szabálysértéseket, például egy műveletet, de engedélyezési hibát észlelő felhasználót, nem létező erőforrásokhoz való hozzáférési kísérleteket és más, gyanúsnak tűnő műveleteket.

Hálózatfigyelés

A szegmentálási tervnek lehetővé kell tennie, hogy a megfigyelési pontok a határokon figyeljék, mi keresztezi őket, és naplózza ezeket az adatokat. Figyelheti például azokat az alhálózatokat, amelyek folyamatnaplókat létrehozó hálózati biztonsági csoportokkal rendelkeznek. Figyelje az engedélyezett vagy tiltott folyamatokat megjelenítő tűzfalnaplókat is.

A bejövő kapcsolatkérelmekhez hozzáférési naplók tartoznak. Ezek a naplók rögzítik a kéréseket kezdeményező forrás IP-címeket, a kérés típusát (GET, POST) és a kérések részét képező összes egyéb információt.

A DNS-folyamatok rögzítése számos szervezet számára jelentős követelmény. A DNS-naplók például segíthetnek azonosítani, hogy melyik felhasználó vagy eszköz kezdeményezett egy adott DNS-lekérdezést. A DNS-tevékenység és a felhasználó-/eszközhitelesítési naplók korrelálásával nyomon követheti az egyes ügyfelek tevékenységeit. Ez a felelősség gyakran kiterjed a munkaterhelési csapatra, különösen akkor, ha bármit telepítenek, ami a DNS-kéréseket a működésük részévé teszi. A DNS-forgalom elemzése a platform biztonsági megfigyelhetőségének kulcsfontosságú szempontja.

Fontos figyelni a váratlan DNS-kérelmeket vagy az ismert parancs- és vezérlővégpontokra irányuló DNS-kéréseket.

Kompromisszum: Az összes hálózati tevékenység naplózása nagy mennyiségű adatot eredményezhet. Sajnos nem lehet csak a nemkívánatos eseményeket rögzíteni, mert csak a bekövetkezésük után lehet azonosítani őket. Stratégiai döntéseket hozhat a rögzíteni kívánt események típusáról és a tárolás időtartamáról. Ha nem vigyáz, az adatok kezelése megterhelő lehet. Az adatok tárolásának költségei is kompromisszumot kötnek.

Rendszerváltozások rögzítése

A rendszer integritásának megőrzése érdekében pontos és naprakész nyilvántartással kell rendelkeznie a rendszerállapotról. Ha változások történnek, ezzel a rekorddal azonnal megoldhatja a felmerülő problémákat.

A buildfolyamatoknak telemetriát is ki kell bocsátaniuk. Az események biztonsági környezetének megértése kulcsfontosságú. Annak ismerete, hogy mi indította el a buildfolyamatot, ki aktiválta, és mikor aktiválódott, értékes betekintést nyújthat.

Nyomon követheti , hogy mikor jönnek létre az erőforrások, és mikor szerelik le őket. Ezeket az információkat a platformról kell kinyerni. Ezek az információk értékes betekintést nyújtanak az erőforrás-kezelésbe és az elszámoltathatóságba.

Az erőforrás-konfiguráció sodródásának figyelése. Meglévő erőforrás bármilyen módosításának dokumentálása. Kövesse nyomon azokat a módosításokat is, amelyek nem fejeződnek be az erőforrások flottájában való bevezetés részeként. A naplóknak rögzíteniük kell a változás részleteit és pontos időpontját.

Átfogó képet kaphat a javítás szempontjából, hogy a rendszer naprakész és biztonságos-e. Figyelje a rutinszerű frissítési folyamatokat , és ellenőrizze, hogy a tervek szerint befejeződnek-e. A nem befejeződő biztonsági javítási folyamatot biztonsági résnek kell tekinteni. Emellett nyilvántartást kell vezetnie, amely rögzíti a javítási szinteket és az egyéb szükséges részleteket.

A változásészlelés az operációs rendszerre is vonatkozik. Ez magában foglalja annak nyomon követését, hogy a szolgáltatások hozzáadódtak-e vagy ki vannak-e kapcsolva. Ez magában foglalja az új felhasználók rendszerhez való hozzáadásának figyelését is. Vannak olyan eszközök, amelyeket úgy terveztek, hogy egy operációs rendszert célozzanak meg. Segítenek a környezet nélküli monitorozásban abban az értelemben, hogy nem célozzák meg a számítási feladat funkcióit. A fájlintegritás-figyelés például kritikus eszköz, amely lehetővé teszi a rendszerfájlok változásainak nyomon követését.

Állítson be riasztásokat ezekhez a változásokhoz, különösen akkor, ha nem számít arra, hogy gyakran előfordulnak.

Fontos

Az éles környezetben való bevezetéskor győződjön meg arról, hogy a riasztások úgy vannak konfigurálva, hogy elkapják az alkalmazás-erőforrásokon és a buildfolyamaton észlelt rendellenes tevékenységeket.

A tesztelési tervekben tartalmazza a naplózás és a riasztások érvényesítését rangsorolt tesztesetekként.

Adatok tárolása, összesítése és elemzése

Az ezekből a figyelési tevékenységekből gyűjtött adatokat adatfogadókban kell tárolni, ahol alaposan megvizsgálhatók, normalizálhatók és korrelálhatók. A biztonsági adatokat a rendszer saját adattárain kívül kell megőrizni. A figyelési fogadóknak, függetlenül attól, hogy honosak vagy központiak, túl kell élniük az adatforrásokat. A mosogatók nem lehetnek ideiglenesek , mert a mosogatók a behatolásérzékelő rendszerek forrása.

A hálózati naplók részletesek lehetnek, és tárhelyet foglalhatnak el. Fedezze fel a tárolórendszerek különböző szintjeit. A naplók idővel természetesen áttérhetnek hidegebb tárolásra. Ez a megközelítés azért hasznos, mert a régebbi folyamatnaplókat általában nem használják aktívan, és csak igény szerint van rájuk szükség. Ez a módszer biztosítja a hatékony tárolókezelést, miközben azt is biztosítja, hogy szükség esetén hozzáférhessen az előzményadatokhoz.

A számítási feladatok folyamatai általában több naplózási forrás összetett elemei. A monitorozási adatokat intelligensen kell elemezni az összes ilyen forráson. A tűzfal például csak az oda érkező forgalmat blokkolja. Ha olyan hálózati biztonsági csoporttal rendelkezik, amely már blokkolt bizonyos forgalmat, ez a forgalom nem látható a tűzfal számára. Az események sorrendjének rekonstruálásához összesítenie kell a folyamatban lévő összes összetevő adatait, majd összesítenie kell az összes folyamat adatait. Ezek az adatok különösen hasznosak az incidens utáni válasz forgatókönyvekben, amikor megpróbálja megérteni, mi történt. A pontos időmérés elengedhetetlen. Biztonsági okokból minden rendszernek hálózati időforrást kell használnia, hogy mindig szinkronban legyenek.

Központi fenyegetésészlelés korrelált naplókkal

A biztonsági információk és eseménykezelés (SIEM) rendszerekhez hasonló rendszerekkel egy központi helyen egyesítheti a biztonsági adatokat, ahol azok különböző szolgáltatások között korrelálhatók. Ezek a rendszerek beépített fenyegetésészlelési mechanizmusokkal rendelkeznek . Külső hírcsatornákhoz kapcsolódva fenyegetésintelligencia-adatokat szerezhetnek be. Microsoftpéldául közzéteszi a felhasználható fenyegetésintelligencia-adatokat. Más szolgáltatóktól, például az Anomalitól és a FireEye-tól is vásárolhat fenyegetésintelligencia-hírcsatornákat. Ezek a hírcsatornák értékes elemzéseket nyújthatnak, és javíthatják a biztonsági helyzetet. A fenyegetésekkel kapcsolatos elemzésekért Microsoft lásd: Security Insider.

A SIEM-rendszerek korrelált és normalizált adatok alapján hozhatnak létre riasztásokat . Ezek a riasztások jelentős erőforrást jelentenek az incidensek válasz folyamata során.

Kompromisszum: A SIEM-rendszerek drágák, összetettek és speciális képességek igényelhetnek. Ha azonban nem rendelkezik ilyennel, előfordulhat, hogy saját magának kell korrelálnia az adatokat. Ez időigényes és összetett folyamat lehet.

A SIEM-rendszereket általában a szervezet központi csapatai kezelik. Ha a szervezet nem rendelkezik ilyennel, fontolja meg annak támogatását. Enyhítheti a manuális naplóelemzés és korreláció terheit, hogy hatékonyabb és eredményesebb biztonságkezelést tegyen lehetővé.

Néhány költséghatékony lehetőséget biztosít Microsoft. Számos Microsoft Defender-termék biztosítja a SIEM-rendszer riasztási funkcióit, de adatösszesítési funkció nélkül.

Több kisebb eszköz kombinálásával emulálhatja a SIEM-rendszer egyes funkcióit. Tudnia kell azonban, hogy ezek a rögtönzött megoldások nem biztos, hogy képesek korrelációs elemzést végezni. Ezek az alternatívák hasznosak lehetnek, de előfordulhat, hogy nem helyettesítik teljes mértékben a dedikált SIEM-rendszer funkcióit.

Visszaélések észlelése

Legyen proaktív a fenyegetések észlelésével kapcsolatban, és legyen éber a visszaélések jeleire, például az SSH-összetevő elleni találgatásos támadásokra vagy az RDP-végpont. Bár a külső fenyegetések sok zajt generálhatnak, különösen, ha az alkalmazás ki van téve az internetnek, a belső fenyegetések gyakran nagyobb aggodalomra adnak okot. Például egy megbízható hálózati forrásból származó váratlan találgatásos támadást vagy egy véletlen hibás konfigurációt azonnal ki kell vizsgálni.

Tartson lépést az edzési gyakorlatokkal. A monitorozás nem helyettesíti a környezet proaktív megerősítését. A nagyobb felület hajlamos több támadásra. Szigorítsa az ellenőrzést, mint a gyakorlatot. Észlelheti és letilthatja a nem használt fiókokat, használhat IP-tűzfalat, és blokkolhatja például az adatveszteség-megelőzési szabályzatokkal nem szükséges végpontokat.

Az aláírás-alapú észlelés részletesen megvizsgálhatja a rendszert. Ez magában foglalja olyan jelek vagy korrelációk keresését olyan tevékenységek között, amelyek potenciális támadásra utalhatnak. Az észlelési mechanizmus azonosíthat bizonyos jellemzőket, amelyek egy adott típusú támadásra utalnak. Előfordulhat, hogy nem mindig lehetséges közvetlenül észlelni a támadás parancs-vezérlési mechanizmusát. Azonban gyakran vannak utalások vagy minták egy adott parancs-vezérlési folyamathoz társítva. Előfordulhat például, hogy egy támadást egy bizonyos áramlási sebesség jelez a kérés szempontjából, vagy gyakran fér hozzá olyan tartományokhoz, amelyek meghatározott végződésekkel rendelkeznek.

Rendellenes felhasználói hozzáférési minták észlelése , így azonosíthatja és megvizsgálhatja a várt mintáktól való eltéréseket. Ez magában foglalja a jelenlegi felhasználói viselkedés összehasonlítását a múltbeli viselkedéssel az anomáliák észlelése érdekében. Bár előfordulhat, hogy a feladat manuális végrehajtása nem kivitelezhető, fenyegetésintelligencia-eszközökkel is elvégezheti. Fektessen be a felhasználói és entitásviselkedés-elemzési (UEBA) eszközökbe , amelyek összegyűjtik a felhasználói viselkedést az adatok figyelése és elemzése alapján. Ezek az eszközök gyakran képesek prediktív elemzést végezni, amely leképezi a gyanús viselkedéseket a lehetséges támadástípusokra.

Fenyegetések észlelése az üzembe helyezés előtti és utáni szakaszokban. Az üzembe helyezés előtti fázisban építse be a biztonsági rések vizsgálatát a folyamatokba, és az eredmények alapján tegye meg a szükséges műveleteket. Az üzembe helyezés után folytassa a biztonsági rések vizsgálatát. Olyan eszközöket használhat, mint a Microsoft Defender for Containers, amely megvizsgálja a tároló rendszerképeit. Foglalja bele az eredményeket az összegyűjtött adatokba. További információ a biztonságos fejlesztési eljárásokról: Javaslatok a biztonságos telepítési eljárásokhoz.

Power Platform Megkönnyítése

A következő szakaszok ismertetik azokat a mechanizmusokat, amelyek segítségével figyelheti és észlelheti a Power Platform fenyegetéseket.

Microsoft Őrszem

Microsoft A Sentinel megoldás lehetővé teszi az Microsoft Power Platform ügyfelek számára a különböző gyanús tevékenységek észlelését, többek között:

• Power Apps Végrehajtás jogosulatlan földrajzi helyekről
• Gyanús adatmegsemmisítés Power Apps
• Tömeges törlés Power Apps
• Adathalász támadások Power Apps
• Power Automate Folyamatok a távozó alkalmazottak tevékenységével
• Microsoft Power Platform Környezethez hozzáadott összekötők
• Adatveszteség-megelőzési házirendek Microsoft Power Platform frissítése vagy eltávolítása

További információ: Microsoft Sentinel megoldás áttekintése Microsoft Power Platform .

Microsoft Purview tevékenység naplózása

Power Apps, Power Automate, Az összekötőket, az adatveszteség-megelőzést és Power Platform a felügyeleti tevékenységek naplózását a rendszer nyomon követi és megtekinti a Microsoft Purview megfelelőségi portálról.

További információkért lásd:

• Power Apps Tevékenység naplózása
• Power Automate Tevékenység naplózása
• Copilot Studio Tevékenység naplózása
• Power Pages Tevékenység naplózása
• Power Platform Összekötő-tevékenység naplózása
• Adatveszteség-megelőzési tevékenység naplózása
• Power Platform Felügyeleti műveletek tevékenységnaplózása
• Microsoft Dataverse és modellvezérelt alkalmazások tevékenységnaplózása

Dataverse könyvvizsgálat

Az adatbázis-naplózás naplózza az ügyfélrekordokon végrehajtott módosításokat egy adatbázissal rendelkező Dataverse környezetben. A Dataverse naplózása a felhasználói hozzáférést is rögzíti egy alkalmazáson vagy az SDK-n keresztül egy környezeten belül. Ez a naplózás környezeti szinten engedélyezett, és további konfigurációra van szükség az egyes táblákhoz és oszlopokhoz. További információ: Naplózás Dataverse kezelése.

Telemetria elemzése az Application Insights használatával

A Application Insights, az Azure Monitor egyik funkcióját széles körben használják a vállalati környezetben a felügyeletre és a diagnosztikára. Az egy adott bérlőtől vagy környezetből már összegyűjtött adatokat az Ön saját Application Insights-környezetébe tolja. Az adatokat a rendszer Azure Monitor naplókban Application Insights tárolja, és a bal oldali panel Vizsgálat alatti Teljesítmény és hibák paneleken jeleníti meg. Az adatokat a Application Insights-környezetébe exportálja a Application Insights által definiált standard sémában. A támogatási, fejlesztői és adminisztrátori személyiségek használhatják ezt a funkciót a problémák kezelésére és megoldására.

A következőket is teheti:

• Állítson be egy Application Insights környezetet a platform által rögzített diagnosztika és teljesítmény telemetriai Dataverse adatainak fogadására.
• Iratkozzon fel, hogy telemetriai adatokat kapjon az alkalmazások által az adatbázison és a Dataverse modellvezérelt alkalmazásokon belül végrehajtott műveletekről. Ez a telemetria olyan információkat szolgáltat, amelyek segítségével diagnosztizálhatja és elháríthatja a hibákkal és a teljesítménnyel kapcsolatos problémákat.
• Power Automate Felhőfolyamatok beállítása integráláshoz Application Insights.
• Eseményeket és tevékenységeket írhat vászonalapú alkalmazásokból Power Apps . Application Insights

További információ: Az integráció Application Insights áttekintése.

Identitás

Figyelje az identitással kapcsolatos kockázati eseményeket a potenciálisan feltört identitásokon, és orvosolja ezeket a kockázatokat. Tekintse át a jelentett kockázati eseményeket a következő módokon:

• Személyazonosító azonosítók jelentésének használata Microsoft Entra . További információ: Mi az Identity Protection? és az Identity Protection.

• Az Identity Protection kockázatészlelési API-tagok használatával programozott hozzáférést kaphat a biztonsági észlelésekhez a Microsoft Graph. További információ: riskDetection és riskyUser.

Microsoft Entra Az ID adaptív gépi tanulás algoritmusokat, heurisztikákat és ismert feltört hitelesítő adatokat (felhasználónév és jelszó párokat) használ a felhasználói fiókokkal kapcsolatos gyanús műveletek észleléséhez. Ezeket a felhasználónév- és jelszópárokat a nyilvános és a sötét web megfigyelésével, valamint a biztonsági kutatókkal, a bűnüldöző szervekkel, a biztonsági csapatokkal Microsoft és másokkal együttműködve hozzák felszínre.

Azure-folyamatok

A DevOps támogatja a számítási feladatok változáskezelését folyamatos integráció és folyamatos teljesítés (CI/CD) révén. Ügyeljen arra, hogy biztonsági érvényesítést adjon hozzá a folyamatokhoz. Kövesse az Azure Pipelines biztonságossá tételecímű témakörben leírt útmutatást.

Kapcsolódó információk

• Mi az a Microsoft Sentinel?
• Fenyegetésintelligencia-integráció a Sentinelben Microsoft
• Speciális fenyegetések azonosítása a Sentinel felhasználói és entitásviselkedés-elemzésével (UEBA) Microsoft

Biztonsági ellenőrzőlista

Tekintse meg a javaslatok teljes készletét.

Biztonsági ellenőrzőlista