Beveiligingsbewerkingen voor infrastructuur
Infrastructuur heeft veel onderdelen waar beveiligingsproblemen kunnen optreden als deze niet goed zijn geconfigureerd. Als onderdeel van uw bewakings- en waarschuwingsstrategie voor infrastructuur, bewaking en waarschuwingsevenementen op de volgende gebieden:
Verificatie en autorisatie
Hybride verificatieonderdelen incl. Federatieservers
Beleid
Abonnementen
Het bewaken en waarschuwen van de onderdelen van uw verificatie-infrastructuur is essentieel. Elk compromis kan leiden tot een volledig compromis van de hele omgeving. Veel ondernemingen die gebruikmaken van Microsoft Entra ID werken in een hybride verificatieomgeving. Cloud- en on-premises onderdelen moeten worden opgenomen in uw bewakings- en waarschuwingsstrategie. Een hybride verificatieomgeving introduceert ook een andere aanvalsvector in uw omgeving.
U wordt aangeraden alle onderdelen te beschouwen als activa van het besturingsvlak/laag 0 en de accounts die worden gebruikt om ze te beheren. Raadpleeg Beveiligd van bevoegde assets (BEVEILIGDVERIFICATIE) voor hulp bij het ontwerpen en implementeren van uw omgeving. Deze richtlijnen omvatten aanbevelingen voor elk van de onderdelen van hybride verificatie die mogelijk kunnen worden gebruikt voor een Microsoft Entra-tenant.
Een eerste stap bij het detecteren van onverwachte gebeurtenissen en mogelijke aanvallen is het vaststellen van een basislijn. Voor alle on-premises onderdelen die in dit artikel worden vermeld, raadpleegt u De implementatie van bevoegde toegang, die deel uitmaakt van de beveiligd-WACHTWOORDVERIFICATIE-handleiding (Privileged Assets).
Waar te zoeken
De logboekbestanden die u gebruikt voor onderzoek en bewaking zijn:
Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:
Microsoft Sentinel : maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor : maakt geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
Azure Event Hubs geïntegreerd met een SIEM - Microsoft Entra-logboeken kunnen worden geïntegreerd met andere SIEM's , zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.
Microsoft Defender voor Cloud-apps – Hiermee kunt u apps detecteren en beheren, beheren tussen apps en resources en de naleving van uw cloud-apps controleren.
Workloadidentiteiten beveiligen met Microsoft Entra ID Protection : wordt gebruikt voor het detecteren van risico's voor workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk.
In de rest van dit artikel wordt beschreven waarop u moet controleren en waarschuwen. Het is ingedeeld op basis van het type bedreiging. Waar er vooraf gemaakte oplossingen zijn, vindt u koppelingen naar deze oplossingen, na de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.
Verificatie-infrastructuur
In hybride omgevingen die zowel on-premises als cloudresources en -accounts bevatten, is de Active Directory-infrastructuur een belangrijk onderdeel van de verificatiestack. De stack is ook een doelwit voor aanvallen, dus moet worden geconfigureerd om een beveiligde omgeving te onderhouden en moet correct worden bewaakt. Voorbeelden van huidige soorten aanvallen die worden gebruikt voor uw verificatie-infrastructuur, maken gebruik van wachtwoordspray- en Solorigate-technieken. Hieronder vindt u koppelingen naar artikelen die worden aanbevolen:
Overzicht van het beveiligen van bevoegde toegang : dit artikel bevat een overzicht van de huidige technieken met behulp van Zero Trust-technieken voor het maken en onderhouden van beveiligde bevoegde toegang.
Bewaakte domeinactiviteiten van Microsoft Defender for Identity: dit artikel bevat een uitgebreide lijst met activiteiten voor het bewaken en instellen van waarschuwingen.
Zelfstudie over beveiligingswaarschuwingen voor Microsoft Defender for Identity: dit artikel bevat richtlijnen voor het maken en implementeren van een beveiligingswaarschuwingsstrategie.
Hieronder ziet u koppelingen naar specifieke artikelen die gericht zijn op het bewaken en waarschuwen van uw verificatie-infrastructuur:
Laterale verplaatsingspaden begrijpen en gebruiken met Microsoft Defender for Identity - Detectietechnieken om te bepalen wanneer niet-gevoelige accounts worden gebruikt om toegang te krijgen tot gevoelige netwerkaccounts.
Werken met beveiligingswaarschuwingen in Microsoft Defender for Identity : in dit artikel wordt beschreven hoe u waarschuwingen controleert en beheert nadat ze zijn geregistreerd.
Hier volgen specifieke zaken die u moet zoeken:
| Wat moet ik controleren? | Risiconiveau | Waar | Notities |
|---|---|---|---|
| Vergrendelingstrends voor extranet | Hoog | Microsoft Entra Connect Health | Zie AD FS bewaken met behulp van Microsoft Entra Connect Health voor hulpprogramma's en technieken om extranetvergrendelingstrends te detecteren. |
| Mislukte aanmeldingen | Hoog | Health Portal verbinden | Exporteer of download het riskante IP-rapport en volg de richtlijnen in het riskante IP-rapport (openbare preview) voor de volgende stappen. |
| Voldoet aan de privacy | Laag | Microsoft Entra Connect Health | Configureer Microsoft Entra Connect Health om gegevensverzamelingen en bewaking uit te schakelen met behulp van het artikel Gebruikersprivacy en Microsoft Entra Connect Health . |
| Mogelijke beveiligingsaanval op LDAP | Gemiddeld | Microsoft Defender for Identity | Gebruik sensor om potentiële beveiligingsaanvallen tegen LDAP te detecteren. |
| Reconnaissance van account-inventarisatie | Gemiddeld | Microsoft Defender for Identity | Gebruik sensor om verkenning van accounts uit te voeren. |
| Algemene correlatie tussen Microsoft Entra ID en Azure AD FS | Gemiddeld | Microsoft Defender for Identity | Gebruik mogelijkheden om activiteiten te correleren tussen uw Microsoft Entra ID en Azure AD FS-omgevingen. |
PassThrough-verificatiebewaking
Microsoft Entra passthrough-verificatie meldt gebruikers aan door hun wachtwoorden rechtstreeks te valideren op basis van on-premises Active Directory.
Hier volgen specifieke zaken die u moet zoeken:
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 : kan geen verbinding maken met Active Directory | Zorg ervoor dat agentservers lid zijn van hetzelfde AD-forest als de gebruikers van wie de wachtwoorden moeten worden gevalideerd en dat ze verbinding kunnen maken met Active Directory. |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 : er is een time-out opgetreden bij het maken van verbinding met Active Directory | Controleer of Active Directory beschikbaar is en reageert op aanvragen van de agents. |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 : de gebruikersnaam die aan de agent is doorgegeven, is ongeldig | Zorg ervoor dat de gebruiker zich probeert aan te melden met de juiste gebruikersnaam. |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - Validatie heeft onvoorspelbare WebException aangetroffen | Een tijdelijke fout. Voer de aanvraag opnieuw uit. Als deze blijft mislukken, neemt u contact op met De ondersteuning van Microsoft. |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - Er is een fout opgetreden tijdens de communicatie met Active Directory | Controleer de agentlogboeken voor meer informatie en controleer of Active Directory werkt zoals verwacht. |
| PassThrough-verificatiefouten van Microsoft Entra | Hoog | Win32 LogonUserA-functie-API | Aanmeldingsgebeurtenissen 4624(en): een account is aangemeld - correleren met – 4625(F): Aanmelden bij een account is mislukt |
Gebruik dit met de vermoedelijke gebruikersnamen op de domeincontroller die aanvragen verifiëren. Richtlijnen bij de functie LogonUserA (winbase.h) |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | PowerShell-script van domeincontroller | Zie de query na de tabel. | Gebruik de informatie bij Microsoft Entra Connect: problemen met passthrough-verificatieoplossen voor hulp. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Bewaking voor het maken van nieuwe Microsoft Entra-tenants
Organisaties moeten mogelijk controleren op en waarschuwen voor het maken van nieuwe Microsoft Entra-tenants wanneer de actie wordt gestart door identiteiten van hun organisatietenant. Bewaking voor dit scenario biedt inzicht in het aantal tenants dat wordt gemaakt en kan worden geopend door eindgebruikers.
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Een nieuwe Microsoft Entra-tenant maken met behulp van een identiteit van uw tenant. | Gemiddeld | Microsoft Entra-auditlogboeken | Categorie: Directorybeheer Activiteit: Bedrijf maken |
Doel(en) toont de gemaakte TenantID |
Privénetwerkconnector
Microsoft Entra ID en Microsoft Entra-toepassingsproxy bieden externe gebruikers een SSO-ervaring (eenmalige aanmelding). Gebruikers maken veilig verbinding met on-premises apps zonder een virtueel particulier netwerk (VPN) of servers met twee locaties en firewallregels. Als uw Microsoft Entra Private Network Connector-server is aangetast, kunnen aanvallers de SSO-ervaring wijzigen of de toegang tot gepubliceerde toepassingen wijzigen.
Zie Toepassingsproxy problemen en foutberichten oplossen om bewaking voor toepassingsproxy te configureren. Het gegevensbestand waarin gegevens worden geregistreerd, vindt u in logboeken voor toepassingen en services\Microsoft\Microsoft Entra-privénetwerk\Connector\Admin. Voor een volledige referentiehandleiding voor controleactiviteiten raadpleegt u de naslaginformatie over auditactiviteiten van Microsoft Entra. Specifieke zaken die moeten worden bewaakt:
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Kerberos-fouten | Gemiddeld | Verschillende hulpprogramma's | Gemiddeld | Richtlijnen voor Kerberos-verificatiefouten onder Kerberos-fouten bij het oplossen van toepassingsproxy problemen en foutberichten. |
| DC-beveiligingsproblemen | Hoog | DC-beveiligingscontrolelogboeken | Gebeurtenis-id 4742(S): er is een computeraccount gewijzigd -en- Vlag : vertrouwd voor delegatie -of- Vlag: vertrouwd om te verifiëren voor delegatie |
Onderzoek eventuele vlagwijziging. |
| Pass-the-ticket-achtige aanvallen | Hoog | Volg de richtlijnen in: Verkenning van beveiligingsprincipaal (LDAP) (externe id 2038) Zelfstudie: Gecompromitteerde referentiewaarschuwingen Laterale verplaatsingspaden begrijpen en gebruiken met Microsoft Defender for Identity Entiteitsprofielen begrijpen |
Verouderde verificatie-instellingen
Als meervoudige verificatie (MFA) effectief is, moet u ook verouderde verificatie blokkeren. Vervolgens moet u uw omgeving bewaken en waarschuwen voor elk gebruik van verouderde verificatie. Verouderde verificatieprotocollen zoals POP, SMTP, IMAP en MAPI kunnen MFA niet afdwingen. Dit maakt deze protocollen de voorkeursinvoerpunten voor aanvallers. Zie Nieuwe hulpprogramma's voor het blokkeren van verouderde verificatie in uw organisatie voor meer informatie over hulpprogramma's die u kunt gebruiken om verouderde verificatie te blokkeren.
Verouderde verificatie wordt vastgelegd in het aanmeldingslogboek van Microsoft Entra als onderdeel van de details van de gebeurtenis. U kunt de Azure Monitor-werkmap gebruiken om te helpen bij het identificeren van verouderd verificatiegebruik. Zie Aanmeldingen met verouderde verificatie voor meer informatie. Dit maakt deel uit van Azure Monitor Workbooks voor Microsoft Entra-rapporten. U kunt ook de werkmap onveilige protocollen voor Microsoft Sentinel gebruiken. Zie de implementatiehandleiding voor de werkmap Microsoft Sentinel Insecure Protocols voor meer informatie. Specifieke activiteiten die moeten worden bewaakt, zijn onder andere:
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Verouderde verificaties | Hoog | Aanmeldingslogboek van Microsoft Entra | ClientApp: POP ClientApp: IMAP ClientApp: MAPI ClientApp: SMTP ClientApp: ActiveSync naar EXO Andere clients = SharePoint en EWS |
In federatieve domeinomgevingen worden mislukte verificaties niet vastgelegd en worden ze niet weergegeven in het logboek. |
Microsoft Entra Connect
Microsoft Entra Connect biedt een gecentraliseerde locatie waarmee account- en kenmerksynchronisatie mogelijk is tussen uw on-premises en cloudgebaseerde Microsoft Entra-omgeving. Microsoft Entra Connect is het Microsoft-hulpprogramma dat is ontworpen om te voldoen aan uw hybride identiteitsdoelen en deze te bereiken. Het biedt de volgende functies:
Wachtwoord-hashsynchronisatie : een aanmeldingsmethode waarmee een hash van het on-premises AD-wachtwoord van een gebruiker wordt gesynchroniseerd met Microsoft Entra-id.
Synchronisatie : verantwoordelijk voor het maken van gebruikers, groepen en andere objecten. En zorg ervoor dat identiteitsgegevens voor uw on-premises gebruikers en groepen overeenkomen met de cloud. Deze synchronisatie bevat ook wachtwoordhashes.
Health Monitoring - Microsoft Entra Connect Health kan robuuste bewaking bieden en een centrale locatie bieden in Azure Portal om deze activiteit weer te geven.
Het synchroniseren van identiteit tussen uw on-premises omgeving en uw cloudomgeving introduceert een nieuw aanvalsoppervlak voor uw on-premises en cloudomgeving. We raden u aan:
U behandelt uw primaire en faseringsservers van Microsoft Entra Connect als Laag 0-systemen in uw besturingsvlak.
U volgt een standaardset beleidsregels die elk type account en het bijbehorende gebruik in uw omgeving bepalen.
U installeert Microsoft Entra Connect en Connect Health. Deze bieden voornamelijk operationele gegevens voor de omgeving.
Logboekregistratie van Microsoft Entra Connect-bewerkingen vindt op verschillende manieren plaats:
De wizard Microsoft Entra Connect registreert gegevens naar
\ProgramData\AADConnect. Telkens wanneer de wizard wordt aangeroepen, wordt er een tijdstempellogboekbestand gemaakt. Het traceringslogboek kan worden geïmporteerd in Sentinel of andere SIEM-hulpprogramma's (Security Information and Event Management) van derdenvoor analyse.Sommige bewerkingen starten een PowerShell-script om logboekgegevens vast te leggen. Als u deze gegevens wilt verzamelen, moet u ervoor zorgen dat logboekregistratie van scriptblokkering is ingeschakeld.
Configuratiewijzigingen bewaken
Microsoft Entra ID maakt gebruik van Microsoft SQL Server Data Engine of SQL om configuratiegegevens van Microsoft Entra Connect op te slaan. Daarom moet de bewaking en controle van de logboekbestanden die zijn gekoppeld aan de configuratie, worden opgenomen in uw bewakings- en controlestrategie. Neem met name de volgende tabellen op in uw bewakings- en waarschuwingsstrategie.
| Wat moet ik controleren? | Waar | Notities |
|---|---|---|
| mms_management_agent | Auditrecords voor SQL-service | Sql Server-controlerecords bekijken |
| mms_partition | Auditrecords voor SQL-service | Sql Server-controlerecords bekijken |
| mms_run_profile | Auditrecords voor SQL-service | Sql Server-controlerecords bekijken |
| mms_server_configuration | Auditrecords voor SQL-service | Sql Server-controlerecords bekijken |
| mms_synchronization_rule | Auditrecords voor SQL-service | Sql Server-controlerecords bekijken |
Raadpleeg voor meer informatie over wat en hoe u configuratiegegevens bewaakt:
Zie SQL Server Audit Records voor SQL Server.
Zie Verbinding maken met Windows-servers voor het verzamelen van beveiligingsevenementen voor Microsoft Sentinel.
Zie Wat is Microsoft Entra Connect ?
Synchronisatie bewaken en problemen oplossen
Een functie van Microsoft Entra Connect is het synchroniseren van hashsynchronisatie tussen het on-premises wachtwoord van een gebruiker en de Microsoft Entra-id. Als wachtwoorden niet worden gesynchroniseerd zoals verwacht, kan de synchronisatie van invloed zijn op een subset van gebruikers of alle gebruikers. Gebruik de volgende stappen om de juiste werking te controleren of problemen op te lossen:
Informatie over het controleren en oplossen van problemen met hashsynchronisatie, zie Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Connect Sync.
Wijzigingen in de verbindingsruimten, zie Problemen met Microsoft Entra Connect-objecten en -kenmerken oplossen.
Belangrijke bronnen voor bewaking
| Wat moet ik controleren? | Weg |
|---|---|
| Validatie van hashsynchronisatie | Zie Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Connect Sync |
| Wijzigingen in de verbindingslijnruimten | zie Problemen met Microsoft Entra Connect-objecten en -kenmerken oplossen |
| Wijzigingen in regels die u hebt geconfigureerd | Wijzigingen controleren in: filteren, domein- en OE-, kenmerk- en groepswijzigingen |
| SQL- en MSDE-wijzigingen | Wijzigingen in logboekparameters en toevoeging van aangepaste functies |
Controleer het volgende:
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Wijzigingen in Scheduler | Hoog | PowerShell | Set-ADSyncScheduler | Zoeken naar wijzigingen in planning |
| Wijzigingen in geplande taken | Hoog | Microsoft Entra-auditlogboeken | Activiteit = 4699(S): Een geplande taak is verwijderd -of- Activiteit = 4701(s): Een geplande taak is uitgeschakeld -of- Activiteit = 4702(en): een geplande taak is bijgewerkt |
Alles bewaken |
Zie Voor meer informatie over het vastleggen van PowerShell-scriptbewerkingen en het inschakelen van logboekregistratie van scriptblokken, dat deel uitmaakt van de PowerShell-referentiedocumentatie.
Voor meer informatie over het configureren van PowerShell-logboekregistratie voor analyse door Splunk raadpleegt u Gegevens ophalen in analyse van gebruikersgedrag van Splunk.
Naadloze eenmalige aanmelding bewaken
Microsoft Entra naadloze eenmalige aanmelding (naadloze eenmalige aanmelding) meldt gebruikers automatisch aan wanneer ze zich op hun bedrijfscomputers bevinden die zijn verbonden met uw bedrijfsnetwerk. Naadloze eenmalige aanmelding biedt uw gebruikers eenvoudige toegang tot uw cloudtoepassingen zonder andere on-premises onderdelen. Eenmalige aanmelding maakt gebruik van de mogelijkheden voor passthrough-verificatie en wachtwoord-hashsynchronisatie van Microsoft Entra Connect.
Het bewaken van eenmalige aanmelding en Kerberos-activiteit kan u helpen bij het detecteren van algemene aanvalspatronen voor referentiediefstal. Bewaken met behulp van de volgende informatie:
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Fouten met betrekking tot SSO- en Kerberos-validatiefouten | Gemiddeld | Aanmeldingslogboek van Microsoft Entra | Lijst met foutcodes voor eenmalige aanmelding bij eenmalige aanmelding. | |
| Query voor probleemoplossingsfouten | Gemiddeld | PowerShell | Zie de volgende tabel voor query's. check in elk forest waarvoor eenmalige aanmelding is ingeschakeld. | Check in elk forest waarvoor eenmalige aanmelding is ingeschakeld. |
| Kerberos-gerelateerde gebeurtenissen | Hoog | Microsoft Defender for Identity-bewaking | Bekijk de richtlijnen die beschikbaar zijn op Microsoft Defender for Identity Lateral Movement Paths (LMP's) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Beleid voor wachtwoordbeveiliging
Als u Microsoft Entra-wachtwoordbeveiliging implementeert, zijn bewaking en rapportage essentiële taken. In de volgende koppelingen vindt u meer informatie over verschillende bewakingstechnieken, waaronder waar elke service informatie registreert en hoe u kunt rapporteren over het gebruik van Microsoft Entra-wachtwoordbeveiliging.
De domeincontrolleragent (DC) en proxyservices registreren beide gebeurtenislogboekberichten. Alle PowerShell-cmdlets die hieronder worden beschreven, zijn alleen beschikbaar op de proxyserver (zie de PowerShell-module AzureADPasswordProtection). De DC-agentsoftware installeert geen PowerShell-module.
Gedetailleerde informatie voor het plannen en implementeren van on-premises wachtwoordbeveiliging is beschikbaar bij Plannen en implementeren van on-premises Microsoft Entra-wachtwoordbeveiliging. Zie On-premises Microsoft Entra-wachtwoordbeveiliging bewaken voor meer informatie over bewaking. Op elke domeincontroller schrijft de DC-agentservicesoftware de resultaten van elke afzonderlijke wachtwoordvalidatiebewerking (en andere status) naar het volgende lokale gebeurtenislogboek:
\Logboeken toepassingen en services\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Logboeken toepassingen en services\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Logboeken toepassingen en services\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Het beheerlogboek van de DC-agent is de primaire bron van informatie over hoe de software zich gedraagt. Het traceringslogboek is standaard uitgeschakeld en moet zijn ingeschakeld voordat gegevens worden vastgelegd. Voor het oplossen van problemen met de toepassingsproxy en foutberichten is gedetailleerde informatie beschikbaar op Microsoft Entra-toepassingsproxy oplossen. Informatie voor deze gebeurtenissen wordt aangemeld:
Logboeken toepassingen en services\Microsoft\Microsoft Entra particulier netwerk\Connector\Admin
Microsoft Entra-auditlogboek, categorie-toepassingsproxy
Volledige naslaginformatie voor Microsoft Entra-controleactiviteiten is beschikbaar in microsoft Entra-controleactiviteitenverwijzing.
Voorwaardelijke toegang
In Microsoft Entra ID kunt u de toegang tot uw resources beveiligen door beleid voor voorwaardelijke toegang te configureren. Als IT-beheerder wilt u ervoor zorgen dat uw beleid voor voorwaardelijke toegang werkt zoals verwacht om ervoor te zorgen dat uw resources worden beveiligd. Bij het bewaken en waarschuwen van wijzigingen in de service voor voorwaardelijke toegang zorgt u ervoor dat beleidsregels die door uw organisatie zijn gedefinieerd voor toegang tot gegevens worden afgedwongen. Microsoft Entra registreert wanneer wijzigingen worden aangebracht in voorwaardelijke toegang en biedt ook werkmappen om ervoor te zorgen dat uw beleid de verwachte dekking biedt.
Werkmapkoppelingen
Controleer de wijzigingen in het beleid voor voorwaardelijke toegang met behulp van de volgende informatie:
| Wat moet ik controleren? | Risiconiveau | Waar | Filter/subfilter | Notities |
|---|---|---|---|---|
| Nieuw beleid voor voorwaardelijke toegang gemaakt door niet-goedgekeurde actoren | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Beleid voor voorwaardelijke toegang toevoegen Categorie: Beleid Gestart door (actor): User Principal Name |
Wijzigingen in voorwaardelijke toegang bewaken en waarschuwen. Wordt gestart door (actor): goedgekeurd om wijzigingen aan te brengen in voorwaardelijke toegang? Microsoft Sentinel-sjabloon Sigma-regels |
| Beleid voor voorwaardelijke toegang verwijderd door niet-goedgekeurde actoren | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Beleid voor voorwaardelijke toegang verwijderen Categorie: Beleid Gestart door (actor): User Principal Name |
Wijzigingen in voorwaardelijke toegang bewaken en waarschuwen. Wordt gestart door (actor): goedgekeurd om wijzigingen aan te brengen in voorwaardelijke toegang? Microsoft Sentinel-sjabloon Sigma-regels |
| Beleid voor voorwaardelijke toegang bijgewerkt door niet-goedgekeurde actoren | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Beleid voor voorwaardelijke toegang bijwerken Categorie: Beleid Gestart door (actor): User Principal Name |
Wijzigingen in voorwaardelijke toegang bewaken en waarschuwen. Wordt gestart door (actor): goedgekeurd om wijzigingen aan te brengen in voorwaardelijke toegang? Gewijzigde eigenschappen controleren en 'oude' versus 'nieuwe' waarde vergelijken Microsoft Sentinel-sjabloon Sigma-regels |
| Verwijderen van een gebruiker uit een groep die wordt gebruikt voor het bereik van kritiek beleid voor voorwaardelijke toegang | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Lid verwijderen uit groep Categorie: GroupManagement Doel: User Principal Name |
Montior en Waarschuwing voor groepen die worden gebruikt voor het bereik van kritiek beleid voor voorwaardelijke toegang. Doel is de gebruiker die is verwijderd. Sigma-regels |
| Toevoeging van een gebruiker aan een groep die wordt gebruikt voor het bereik van kritiek beleid voor voorwaardelijke toegang | Laag | Microsoft Entra-auditlogboeken | Activiteit: Lid toevoegen aan groep Categorie: GroupManagement Doel: User Principal Name |
Montior en Waarschuwing voor groepen die worden gebruikt voor het bereik van kritiek beleid voor voorwaardelijke toegang. 'Doel' is de gebruiker die is toegevoegd. Sigma-regels |
Volgende stappen
Overzicht van Microsoft Entra-beveiligingsbewerkingen
Beveiligingsbewerkingen voor gebruikersaccounts
Beveiligingsbewerkingen voor consumentenaccounts
Beveiligingsbewerkingen voor bevoegde accounts
Beveiligingsbewerkingen voor Privileged Identity Management