Nota
Capaian ke halaman ini memerlukan kebenaran. Anda boleh cuba mendaftar masuk atau menukar direktori.
Capaian ke halaman ini memerlukan kebenaran. Anda boleh cuba menukar direktori.
Digunakan untuk cadangan senarai semak Keselamatan Well-Architected ini Power Platform :
| SE:08 | Laksanakan strategi pemantauan holistik yang bergantung pada mekanisme pengesanan ancaman moden yang boleh disepadukan dengan platform. Mekanisme harus memberi amaran dengan pasti untuk triaj dan menghantar isyarat ke dalam proses SecOps sedia ada. |
|---|
Panduan ini menerangkan cadangan untuk pemantauan dan pengesanan ancaman. Pemantauan pada asasnya adalah proses mendapatkan maklumat tentang peristiwa yang telah berlaku. Pemantauan keselamatan ialah amalan menangkap maklumat pada ketinggian beban kerja yang berbeza (identiti, aliran, aplikasi, operasi) untuk mendapatkan kesedaran tentang aktiviti yang mencurigakan. Matlamatnya adalah untuk meramalkan insiden dan belajar daripada peristiwa lalu. Data pemantauan menyediakan asas analisis selepas kejadian tentang apa yang berlaku untuk membantu tindak balas insiden dan penyiasatan forensik.
Pemantauan ialah pendekatan Kecemerlangan Operasi yang digunakan merentasi semua Power Platform tonggak Well-Architected. Panduan ini memberikan cadangan hanya dari perspektif keselamatan. Konsep umum pemantauan diliputi dalam Cadangan untuk mereka bentuk dan mencipta sistem pemantauan.
Definisi
| Istilah | Takrif |
|---|---|
| Log audit | Rekod aktiviti dalam sistem. |
| Maklumat keselamatan dan pengurusan acara (SIEM) | Pendekatan yang menggunakan keupayaan pengesanan dan perisikan ancaman terbina dalam berdasarkan data yang diagregatkan daripada berbilang sumber. |
| Pengesanan ancaman | Strategi untuk mengesan sisihan daripada tindakan yang dijangkakan dengan menggunakan data yang dikumpul, dianalisis dan dikaitkan. |
| Perisikan ancaman | Strategi untuk mentafsir data pengesanan ancaman untuk mengesan aktiviti atau ancaman yang mencurigakan dengan memeriksa corak. |
| Pencegahan ancaman | Kawalan keselamatan yang diletakkan dalam beban kerja pada pelbagai ketinggian untuk melindungi asetnya. |
Strategi reka bentuk utama
Tujuan utama pemantauan keselamatan ialah pengesanan ancaman. Objektif utama adalah untuk mencegah potensi pelanggaran keselamatan dan mengekalkan persekitaran yang selamat. Walau bagaimanapun, sama pentingnya untuk menyedari bahawa tidak semua ancaman boleh disekat terlebih dahulu. Dalam keadaan sedemikian, pemantauan juga berfungsi sebagai mekanisme untuk mengenal pasti punca insiden keselamatan yang telah berlaku walaupun terdapat usaha pencegahan.
Pemantauan boleh didekati dari pelbagai perspektif:
Pantau pada pelbagai ketinggian. Memerhati dari pelbagai ketinggian ialah proses mendapatkan maklumat tentang aliran pengguna, akses data, identiti, rangkaian, dan juga sistem pengendalian. Setiap kawasan ini menawarkan cerapan unik yang boleh membantu anda mengenal pasti sisihan daripada tingkah laku yang dijangkakan yang diwujudkan terhadap garis dasar keselamatan. Sebaliknya, memantau sistem dan aplikasi secara berterusan dari semasa ke semasa boleh membantu mewujudkan postur asas itu. Sebagai contoh, anda biasanya melihat kira-kira 1,000 percubaan log masuk dalam sistem identiti anda setiap jam. Jika pemantauan anda mengesan lonjakan 50,000 percubaan log masuk dalam tempoh yang singkat, penyerang mungkin cuba mendapatkan akses kepada sistem anda.
Pantau pada pelbagai skop impak. Adalah penting untuk memerhatikan aplikasi dan platform. Andaikan pengguna aplikasi secara tidak sengaja mendapat keistimewaan yang meningkat atau pelanggaran keselamatan berlaku. Jika pengguna melakukan tindakan di luar skop yang ditetapkan, kesannya mungkin terhad kepada tindakan yang boleh dilakukan oleh pengguna lain.
Walau bagaimanapun, jika entiti dalaman menjejaskan pangkalan data, tahap potensi kerosakan tidak pasti.
Jejari letupan atau skop hentaman mungkin berbeza dengan ketara, bergantung pada senario mana yang berlaku.
Gunakan alat pemantauan khusus. Adalah penting untuk melabur dalam alat khusus yang boleh mengimbas secara berterusan untuk tingkah laku anomali yang mungkin menunjukkan serangan. Kebanyakan alat ini mempunyai keupayaan risikan ancaman yang boleh melakukan analisis ramalan berdasarkan jumlah data yang besar dan ancaman yang diketahui. Kebanyakan alatan tidak tanpa kerakyatan dan menggabungkan pemahaman yang mendalam tentang telemetri dalam konteks keselamatan.
Alat perlu disepadukan platform atau sekurang-kurangnya sedar platform untuk mendapatkan isyarat mendalam daripada platform dan membuat ramalan dengan kesetiaan tinggi. Mereka mesti boleh menjana makluman tepat pada masanya dengan maklumat yang mencukupi untuk menjalankan triaj yang betul. Menggunakan terlalu banyak alat yang pelbagai boleh membawa kepada kerumitan.
Gunakan pemantauan untuk tindak balas insiden. Data teragregat, diubah menjadi kecerdasan yang boleh diambil tindakan, membolehkan tindak balas yang pantas dan berkesan terhadap insiden. Pemantauan membantu dengan aktiviti selepas kejadian. Matlamatnya adalah untuk mengumpul data yang mencukupi untuk menganalisis dan memahami apa yang berlaku. Proses pemantauan menangkap maklumat tentang peristiwa masa lalu untuk meningkatkan keupayaan reaktif dan berpotensi meramalkan insiden masa hadapan.
Bahagian berikut menyediakan amalan yang disyorkan yang menggabungkan perspektif pemantauan sebelumnya.
Tangkap data untuk mengekalkan jejak aktiviti
Objektifnya adalah untuk mengekalkan jejak audit yang komprehensif bagi peristiwa yang penting dari perspektif keselamatan. Pembalakan ialah cara paling biasa untuk menangkap corak akses. Pembalakan mesti dilakukan untuk aplikasi dan platform.
Untuk jejak audit, anda perlu menentukan apa, bila dan siapa yang dikaitkan dengan tindakan Anda perlu mengenal pasti jangka masa tertentu apabila tindakan dilakukan. Buat penilaian ini dalam pemodelan ancaman anda. Untuk mengatasi ancaman penolakan, anda harus mewujudkan sistem pembalakan dan pengauditan yang kukuh yang menghasilkan rekod aktiviti dan transaksi.
Bahagian berikut menerangkan kes penggunaan untuk beberapa ketinggian biasa beban kerja.
Aliran pengguna beban kerja
Beban kerja anda hendaklah direka bentuk untuk memberikan keterlihatan masa jalan apabila peristiwa berlaku. Kenal pasti titik kritikal dalam beban kerja anda dan wujudkan pembalakan untuk titik ini. Adalah penting untuk mengakui sebarang peningkatan dalam keistimewaan pengguna, tindakan yang dilakukan oleh pengguna dan sama ada pengguna mengakses maklumat sensitif dalam stor data selamat. Jejaki aktiviti untuk pengguna dan sesi pengguna.
Untuk memudahkan penjejakan ini, kod hendaklah diinstrumentasikan melalui pembalakan berstruktur. Melakukannya membolehkan pertanyaan dan penapisan log yang mudah dan seragam.
Penting
Anda perlu menguatkuasakan pembalakan yang bertanggungjawab untuk mengekalkan kerahsiaan dan integriti sistem anda. Rahsia dan data sensitif tidak boleh muncul dalam log. Berhati-hati dengan kebocoran data peribadi dan keperluan pematuhan lain apabila anda menangkap data log ini.
Pemantauan identiti dan akses
Kekalkan rekod menyeluruh corak akses untuk aplikasi dan pengubahsuaian kepada sumber platform. Mempunyai log aktiviti yang teguh dan mekanisme pengesanan ancaman, terutamanya untuk aktiviti berkaitan identiti, kerana penyerang sering cuba memanipulasi identiti untuk mendapatkan akses yang tidak dibenarkan.
Laksanakan pembalakan komprehensif dengan menggunakan semua titik data yang ada. Sebagai contoh, sertakan alamat IP pelanggan untuk membezakan antara aktiviti pengguna biasa dan potensi ancaman daripada lokasi yang tidak dijangka. Semua peristiwa pembalakan hendaklah dicap masa oleh pelayan.
Rakam semua aktiviti akses sumber, tangkap siapa yang melakukan apa dan bila mereka melakukannya. Contoh peningkatan keistimewaan ialah titik data penting yang perlu dilog. Tindakan yang berkaitan dengan penciptaan atau pemadaman akaun oleh aplikasi juga mesti direkodkan. Cadangan ini merangkumi rahsia aplikasi. Pantau orang yang mengakses rahsia dan bila ia diputar.
Walaupun mengelog tindakan yang berjaya adalah penting, kegagalan rakaman adalah perlu dari perspektif keselamatan. Dokumentasikan sebarang pelanggaran, seperti pengguna yang mencuba tindakan tetapi menghadapi kegagalan kebenaran, percubaan akses untuk sumber yang tidak wujud dan tindakan lain yang kelihatan mencurigakan.
Pemantauan rangkaian
Reka bentuk pembahagian anda harus mendayakan titik pemerhatian di sempadan untuk memantau perkara yang melintasi mereka dan log data tersebut. Contohnya, pantau subnet yang mempunyai kumpulan keselamatan rangkaian yang menjana log aliran. Pantau juga log firewall yang menunjukkan aliran yang dibenarkan atau ditolak.
Terdapat log akses untuk permintaan sambungan masuk. Log ini merekodkan alamat IP sumber yang memulakan permintaan, jenis permintaan (GET, POST) dan semua maklumat lain yang merupakan sebahagian daripada permintaan.
Menangkap aliran DNS adalah keperluan penting bagi banyak organisasi. Sebagai contoh, log DNS boleh membantu mengenal pasti pengguna atau peranti yang memulakan pertanyaan DNS tertentu. Dengan mengaitkan aktiviti DNS dengan log pengesahan pengguna/peranti, anda boleh menjejaki aktiviti kepada pelanggan individu. Tanggungjawab ini selalunya meluas kepada pasukan beban kerja, terutamanya jika mereka menggunakan apa-apa yang menjadikan permintaan DNS sebahagian daripada operasi mereka. Analisis trafik DNS ialah aspek utama kebolehlihatan keselamatan platform.
Adalah penting untuk memantau permintaan DNS yang tidak dijangka atau permintaan DNS yang ditujukan kepada titik akhir arahan dan kawalan yang diketahui.
Pertukaran: Mengelog semua aktiviti rangkaian boleh menghasilkan sejumlah besar data. Malangnya, tidak mungkin untuk menangkap kejadian buruk sahaja kerana ia hanya boleh dikenal pasti selepas ia berlaku. Buat keputusan strategik tentang jenis acara yang hendak ditangkap dan berapa lama untuk menyimpannya. Jika anda tidak berhati-hati, mengurus data boleh menjadi sangat menggembirakan. Terdapat juga pertukaran pada kos penyimpanan data tersebut.
Tangkap perubahan sistem
Untuk mengekalkan integriti sistem anda, anda harus mempunyai rekod keadaan sistem yang tepat dan terkini. Jika terdapat perubahan, anda boleh menggunakan rekod ini untuk menangani sebarang isu yang timbul dengan segera.
Proses binaan juga harus memancarkan telemetri. Memahami konteks keselamatan peristiwa adalah kunci. Mengetahui perkara yang mencetuskan proses binaan, siapa yang mencetuskannya dan bila ia dicetuskan boleh memberikan cerapan yang berharga.
Jejaki apabila sumber dicipta dan apabila ia dinyahtauliahkan. Maklumat ini mesti diekstrak daripada platform. Maklumat ini memberikan cerapan berharga untuk pengurusan sumber dan akauntabiliti.
Pantau hanyut dalam konfigurasi sumber. Dokumentasikan sebarang perubahan pada sumber sedia ada. Jejaki juga perubahan yang tidak selesai sebagai sebahagian daripada pelancaran kepada armada sumber. Log mesti menangkap spesifik perubahan dan masa yang tepat ia berlaku.
Mempunyai pandangan yang komprehensif, dari perspektif tampalan, sama ada sistem itu terkini dan selamat. Pantau proses kemas kini rutin untuk mengesahkan bahawa ia selesai seperti yang dirancang. Proses tampalan keselamatan yang tidak lengkap harus dianggap sebagai kelemahan. Anda juga harus mengekalkan inventori yang merekodkan tahap tampalan dan sebarang butiran lain yang diperlukan.
Pengesanan perubahan juga terpakai kepada sistem pengendalian. Ini melibatkan penjejakan sama ada perkhidmatan ditambah atau dimatikan. Ia juga termasuk pemantauan untuk penambahan pengguna baharu pada sistem. Terdapat alat yang direka untuk menyasarkan sistem pengendalian. Mereka membantu dengan pemantauan tanpa konteks dalam erti kata bahawa mereka tidak menyasarkan kefungsian beban kerja. Sebagai contoh, pemantauan integriti fail ialah alat kritikal yang membolehkan anda menjejaki perubahan dalam fail sistem.
Anda harus menyediakan makluman untuk perubahan ini, terutamanya jika anda tidak menjangkakan ia akan berlaku dengan kerap.
Penting
Apabila anda melancarkan ke pengeluaran, pastikan makluman dikonfigurasikan untuk menangkap aktiviti anomali yang dikesan pada sumber aplikasi dan proses binaan.
Dalam rancangan ujian anda, sertakan pengesahan pembalakan dan amaran sebagai kes ujian yang diutamakan.
Simpan, agregat dan analisis data
Data yang dikumpul daripada aktiviti pemantauan ini mesti disimpan dalam sinki data di mana ia boleh diperiksa, dinormalisasi dan dikaitkan dengan teliti. Data keselamatan hendaklah dikekalkan di luar stor data sistem sendiri. Pemantauan sink, sama ada ia disetempatkan atau pusat, mesti hidup lebih lama daripada sumber data. Sinki tidak boleh sementara kerana sinki adalah sumber untuk sistem pengesanan pencerobohan.
Log rangkaian boleh bertele-tele dan mengambil storan. Terokai peringkat yang berbeza dalam sistem storan. Log secara semula jadi boleh beralih kepada storan yang lebih sejuk dari semasa ke semasa. Pendekatan ini bermanfaat kerana log aliran lama biasanya tidak digunakan secara aktif dan hanya diperlukan atas permintaan. Kaedah ini memastikan pengurusan storan yang cekap sambil memastikan anda boleh mengakses data sejarah apabila anda perlu.
Aliran beban kerja anda biasanya merupakan komposit berbilang sumber pembalakan. Data pemantauan mesti dianalisis dengan bijak merentas semua sumber tersebut. Sebagai contoh, firewall anda hanya akan menyekat trafik yang mencapainya. Jika anda mempunyai kumpulan keselamatan rangkaian yang telah menyekat trafik tertentu, trafik tersebut tidak dapat dilihat oleh firewall. Untuk membina semula jujukan peristiwa, anda perlu mengagregatkan data daripada semua komponen yang berada dalam aliran dan kemudian mengagregatkan data daripada semua aliran. Data ini amat berguna dalam senario tindak balas selepas insiden apabila anda cuba memahami perkara yang berlaku. Ketepatan masa yang tepat adalah penting. Untuk tujuan keselamatan, semua sistem perlu menggunakan sumber masa rangkaian supaya ia sentiasa disegerakkan.
Pengesanan ancaman berpusat dengan log berkorelasi
Anda boleh menggunakan sistem seperti pengurusan maklumat dan peristiwa keselamatan (SIEM) untuk menyatukan data keselamatan di lokasi pusat di mana ia boleh dikaitkan merentas pelbagai perkhidmatan. Sistem ini mempunyai mekanisme pengesanan ancaman terbina dalam. Mereka boleh menyambung ke suapan luaran untuk mendapatkan data risikan ancaman. Microsoft, sebagai contoh, menerbitkan data risikan ancaman yang boleh anda gunakan. Anda juga boleh membeli suapan risikan ancaman daripada pembekal lain, seperti Anomali dan FireEye. Suapan ini boleh memberikan cerapan berharga dan meningkatkan postur keselamatan anda. Untuk cerapan ancaman daripada Microsoft, lihat Security Insider.
Sistem SIEM boleh menjana makluman berdasarkan data yang berkorelasi dan dinormalisasi. Makluman ini merupakan sumber penting semasa proses tindak balas insiden.
Sistem SIEM biasanya diuruskan oleh pasukan pusat organisasi. Jika organisasi anda tidak mempunyainya, pertimbangkan untuk menyokongnya. Ia boleh meringankan beban analisis log manual dan korelasi untuk membolehkan pengurusan keselamatan yang lebih cekap dan berkesan.
Beberapa pilihan kos efektif disediakan oleh Microsoft. Banyak produk Microsoft Defender menyediakan kefungsian amaran sistem SIEM, tetapi tanpa ciri pengagregatan data.
Dengan menggabungkan beberapa alat yang lebih kecil, anda boleh meniru beberapa fungsi sistem SIEM. Walau bagaimanapun, anda perlu tahu bahawa penyelesaian sementara ini mungkin tidak dapat melakukan analisis korelasi. Alternatif ini boleh berguna, tetapi ia mungkin tidak menggantikan sepenuhnya fungsi sistem SIEM khusus.
Mengesan penyalahgunaan
Bersikap proaktif tentang pengesanan ancaman dan berwaspada terhadap tanda-tanda penyalahgunaan, seperti serangan kekerasan identiti pada komponen SSH atau titik akhir RDP. Walaupun ancaman luaran mungkin menghasilkan banyak bunyi bising, terutamanya jika aplikasi itu terdedah kepada internet, ancaman dalaman selalunya menjadi kebimbangan yang lebih besar. Serangan kekerasan yang tidak dijangka daripada sumber rangkaian yang dipercayai atau salah konfigurasi yang tidak disengajakan, sebagai contoh, harus disiasat dengan segera.
Ikuti amalan pengerasan anda. Pemantauan bukanlah pengganti untuk mengeraskan persekitaran anda secara proaktif. Kawasan permukaan yang lebih besar terdedah kepada lebih banyak serangan. Ketatkan kawalan sebanyak latihan. Mengesan dan menyahdayakan akaun yang tidak digunakan, gunakan tembok api IP dan sekat titik akhir yang tidak diperlukan dengan dasar Pencegahan Kehilangan Data, contohnya.
Pengesanan berasaskan tandatangan boleh memeriksa sistem secara terperinci. Ia melibatkan mencari tanda atau korelasi antara aktiviti yang mungkin menunjukkan potensi serangan. Mekanisme pengesanan mungkin mengenal pasti ciri-ciri tertentu yang menunjukkan jenis serangan tertentu. Ia mungkin tidak selalu mungkin untuk mengesan secara langsung mekanisme arahan dan kawalan serangan. Walau bagaimanapun, selalunya terdapat petunjuk atau corak yang dikaitkan dengan proses arahan dan kawalan tertentu. Sebagai contoh, serangan mungkin ditunjukkan oleh kadar aliran tertentu dari perspektif permintaan atau ia mungkin kerap mengakses domain yang mempunyai pengakhiran tertentu.
Mengesan corak capaian pengguna anomali supaya anda boleh mengenal pasti dan menyiasat sisihan daripada corak yang dijangkakan. Ini melibatkan membandingkan tingkah laku pengguna semasa dengan tingkah laku masa lalu untuk mengesan anomali. Walaupun mungkin tidak boleh dilakukan untuk melaksanakan tugas ini secara manual, anda boleh menggunakan alat perisikan ancaman untuk melakukannya. Melabur dalam alat Analitis Tingkah Laku Pengguna dan Entiti (UEBA) yang mengumpul tingkah laku pengguna daripada memantau data dan menganalisisnya. Alat ini selalunya boleh melakukan analisis ramalan yang memetakan tingkah laku yang mencurigakan kepada jenis serangan yang berpotensi.
Mengesan ancaman semasa peringkat pra-penggunaan dan pasca penggunaan. Semasa fasa pra-penggunaan, masukkan pengimbasan kerentanan ke dalam saluran paip dan ambil tindakan yang perlu berdasarkan keputusan. Selepas penggunaan, teruskan menjalankan pengimbasan kerentanan. Anda boleh menggunakan alatan seperti Microsoft Defender for Containers, yang mengimbas imej bekas. Sertakan keputusan dalam data yang dikumpul. Untuk maklumat tentang amalan pembangunan selamat, lihat Cadangan untuk amalan penggunaan selamat.
Power Platform Kemudahan
Bahagian berikut menerangkan mekanisme yang boleh anda gunakan untuk memantau dan mengesan ancaman Power Platform.
Microsoft Sentinel
Penyelesaian Microsoft Sentinel untuk Microsoft Power Platform membolehkan pelanggan mengesan pelbagai aktiviti yang mencurigakan, termasuk:
- Power Apps pelaksanaan daripada geografi yang tidak dibenarkan
- Pemusnahan data yang mencurigakan oleh Power Apps
- Pemadaman besar-besaran Power Apps
- Serangan pancingan data yang dibuat melalui Power Apps
- Power Automate mengalir aktiviti dengan pekerja yang berlepas
- Microsoft Power Platform penyambung yang ditambah pada persekitaran
- Kemas kini atau pengalihan keluar dasar Microsoft Power Platform pencegahan kehilangan data
Untuk maklumat lanjut, lihat penyelesaian Microsoft Sentinel untuk gambaran Microsoft Power Platform keseluruhan.
Pengelogan Aktiviti Microsoft Purview
Power Apps, Power Automate, Penyambung, Pencegahan Kehilangan Data dan Power Platform pengelogan aktiviti pentadbiran dijejaki dan dilihat daripada portal pematuhan Microsoft Purview.
Untuk maklumat lanjut, lihat:
- Power Apps Pembalakan aktiviti
- Power Automate Pembalakan aktiviti
- Copilot Studio Pembalakan aktiviti
- Power Pages Pembalakan aktiviti
- Power Platform Pengelogan aktiviti penyambung
- Pengelogan aktiviti pencegahan kehilangan data
- Power Platform Tindakan pentadbiran Aktiviti Pengelogan
- Microsoft Dataverse dan pengelogan aktiviti apl dipacu model
Pengauditan Dataverse
Log pengauditan pangkalan data perubahan yang dibuat pada rekod pelanggan dalam persekitaran dengan Dataverse pangkalan data. Pengauditan Dataverse juga log akses pengguna melalui aplikasi atau melalui SDK dalam persekitaran. Pengauditan ini didayakan pada peringkat persekitaran dan konfigurasi tambahan diperlukan untuk jadual dan lajur individu. Untuk maklumat lanjut, lihat Mengurus pengauditan Dataverse .
Analisis telemetri dengan Application Insights
Application Insights, ciri Pantau Azure, digunakan secara meluas dalam landskap perusahaan untuk pemantauan dan diagnostik. Data yang telah dikumpulkan daripada penyewa atau persekitaran tertentu ditolak ke persekitaran Application Insights anda sendiri. Data disimpan dalam log Azure Monitor oleh Application Insights dan divisualisasikan dalam panel Prestasi dan Kegagalan di bawah Siasat pada anak tetingkap kiri. Data yang dieksport ke persekitaran Application Insights anda dalam skema standard yang ditakrifkan oleh Application Insights. Sokongan, pembangun, dan persona pentadbir boleh menggunakan ciri ini untuk mencuba dan menyelesaikan isu.
Anda juga boleh:
- Sediakan Application Insights persekitaran untuk menerima telemetri pada diagnostik dan prestasi yang ditangkap oleh Dataverse platform.
- Langgan untuk menerima telemetri tentang operasi yang dilakukan oleh aplikasi pada pangkalan data anda Dataverse dan dalam aplikasi dipacu model. Telemetri ini menyediakan maklumat yang boleh anda gunakan untuk mendiagnosis dan menyelesaikan masalah isu yang berkaitan dengan ralat dan prestasi.
- Sediakan Power Automate aliran awan untuk disepadukan Application Insights.
- Tulis acara dan aktiviti daripada Power Apps apl kanvas ke Application Insights.
Untuk maklumat lanjut, lihat Gambaran keseluruhan penyepaduan dengan Application Insights.
Identiti
Pantau peristiwa risiko berkaitan identiti pada identiti yang berpotensi terjejas dan pulihkan risiko tersebut. Semak peristiwa risiko yang dilaporkan dengan cara berikut:
Gunakan Microsoft Entra pelaporan ID. Untuk maklumat lanjut, lihat Apakah itu Perlindungan Identiti? dan Perlindungan Identiti.
Gunakan ahli API pengesanan risiko Perlindungan Identiti untuk mendapatkan akses terprogram kepada pengesanan keselamatan melalui Microsoft Graph. Untuk maklumat lanjut, lihat riskDetection dan riskyUser.
Microsoft Entra ID menggunakan algoritma pembelajaran mesin adaptif, heuristik dan kelayakan terjejas yang diketahui (pasangan nama pengguna dan kata laluan) untuk mengesan tindakan mencurigakan yang berkaitan dengan akaun pengguna anda. Pasangan nama pengguna dan kata laluan ini muncul dengan memantau web awam dan gelap dan dengan bekerjasama dengan penyelidik keselamatan, penguatkuasaan undang-undang, pasukan keselamatan di Microsoft dan lain-lain.
Saluran paip Azure
DevOps menyokong pengurusan perubahan beban kerja melalui penyepaduan berterusan dan penghantaran berterusan (CI/CD). Pastikan anda menambah pengesahan keselamatan dalam saluran paip. Ikut panduan yang diterangkan dalam Melindungi Azure Pipelines.
Maklumat berkaitan
- Apakah Microsoft Sentinel?
- Penyepaduan risikan ancaman dalam Microsoft Sentinel
- Kenal pasti ancaman lanjutan dengan Analitis Tingkah Laku Pengguna dan Entiti (UEBA) dalam Microsoft Sentinel
Senarai semak keselamatan
Rujuk set lengkap cadangan.