Microsoft Entra-beveiligingsbewerkingen voor consumentenaccounts
Activiteiten voor consumentenidentiteiten zijn een belangrijk gebied voor uw organisatie om te beveiligen en bewaken. Dit artikel is bedoeld voor Azure Active Directory B2C-tenants (Azure AD B2C) en bevat richtlijnen voor het bewaken van activiteiten voor consumentenaccounts. De activiteiten zijn:
- Consumentenaccount
- Bevoegd account
- Toepassing
- Infrastructuur
Voordat u begint
Voordat u de richtlijnen in dit artikel gebruikt, raden we u aan de handleiding voor beveiligingsbewerkingen van Microsoft Entra te lezen.
Een basislijn definiëren
Als u afwijkend gedrag wilt detecteren, definieert u normaal en verwacht gedrag. Als u verwacht gedrag definieert voor uw organisatie, kunt u onverwacht gedrag detecteren. Gebruik de definitie om fout-positieven te verminderen, tijdens het bewaken en waarschuwen.
Als verwacht gedrag is gedefinieerd, moet u basislijnbewaking uitvoeren om verwachtingen te valideren. Bewaak vervolgens logboeken voor wat buiten de tolerantie valt.
Voor accounts die buiten normale processen zijn gemaakt, gebruikt u de Microsoft Entra-auditlogboeken, aanmeldingslogboeken van Microsoft Entra en directorykenmerken als uw gegevensbronnen. Met de volgende suggesties kunt u normaal definiëren.
Het maken van een consumentenaccount
Evalueer de volgende lijst:
- Strategie en principes voor hulpprogramma's en processen voor het maken en beheren van consumentenaccounts
- Standaardkenmerken en -indelingen bijvoorbeeld toegepast op kenmerken van consumentenaccounts
- Goedgekeurde bronnen voor het maken van accounts.
- Bijvoorbeeld het onboarden van aangepast beleid, het inrichten of migreren van klanten
- Waarschuwingsstrategie voor accounts die buiten goedgekeurde bronnen zijn gemaakt.
- Een beheerde lijst maken met organisaties waarmee uw organisatie samenwerkt
- Strategie- en waarschuwingsparameters voor accounts die zijn gemaakt, gewijzigd of uitgeschakeld door een niet-goedgekeurde beheerder van het consumentenaccount
- Bewakings- en waarschuwingsstrategie voor consumentenaccounts ontbrekende standaardkenmerken, zoals klantnummer, of het niet volgen van organisatienaamconventies
- Strategie, principes en proces voor het verwijderen en bewaren van accounts
Waar te zoeken
Gebruik logboekbestanden om te onderzoeken en te controleren. Zie de volgende artikelen voor meer informatie:
- Auditlogboeken in Microsoft Entra-id
- Aanmeldingslogboeken in Microsoft Entra-id (preview)
- Procedure: Risico onderzoeken
Auditlogboeken en automatiseringsprogramma's
Vanuit Azure Portal kunt u auditlogboeken van Microsoft Entra bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). Gebruik Azure Portal om Microsoft Entra-logboeken te integreren met andere hulpprogramma's om bewaking en waarschuwingen te automatiseren:
- Microsoft Sentinel : beveiligingsanalyse met SIEM-mogelijkheden (Security Information and Event Management)
- Sigma-regels : een open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Als er Sigma-sjablonen zijn voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. Microsoft schrijft, test of beheert Sigma-sjablonen niet. De opslagplaats en sjablonen worden gemaakt en verzameld door de IT-beveiligingscommunity.
- Azure Monitor : geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden. Werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
- Azure Event Hubs geïntegreerd met een SIEM - Microsoft Entra-logboeken integreren met SIEM's zoals Splunk, ArcSight, QRadar en Sumo Logic met Azure Event Hubs
- Microsoft Defender voor Cloud-apps: apps detecteren en beheren, beheren voor apps en resources en voldoen aan de naleving van cloud-apps
- Identity Protection : risico's detecteren voor workloadidentiteiten bij aanmeldingsgedrag en offline-indicatoren van inbreuk
Gebruik de rest van het artikel voor aanbevelingen over wat u moet controleren en waarschuwen. Raadpleeg de tabellen, geordend op bedreigingstype. Zie koppelingen naar vooraf gebouwde oplossingen of voorbeelden na de tabel. Maak waarschuwingen met behulp van de eerder genoemde hulpprogramma's.
Consumentenaccounts
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Groot aantal accountcreaties of verwijderingen | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker toevoegen Status = Geslaagd Gestart door (actor) = CPIM Service en Activiteit: Gebruiker verwijderen Status = Geslaagd Gestart door (actor) = CPIM Service |
Definieer een drempelwaarde voor een basislijn en bewaak en pas deze vervolgens aan om het gedrag van uw organisatie in te stellen. Beperk valse waarschuwingen. |
| Accounts die zijn gemaakt en verwijderd door niet-goedgekeurde gebruikers of processen | Medium | Microsoft Entra-auditlogboeken | Gestart door (actor) – USER PRINCIPAL NAME en Activiteit: Gebruiker toevoegen Status = Geslaagd Gestart door (actor) != CPIM Service en-of Activiteit: Gebruiker verwijderen Status = Geslaagd Gestart door (actor) != CPIM Service |
Als de actoren niet-goedgekeurde gebruikers zijn, configureert u deze om een waarschuwing te verzenden. |
| Accounts die zijn toegewezen aan een bevoorrechte rol | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Gebruiker toevoegen Status = Geslaagd Gestart door (actor) == CPIM Service en Activiteit: Lid toevoegen aan rol Status = Geslaagd |
Als het account is toegewezen aan een Microsoft Entra-rol, Azure-rol of bevoorrechte groepslidmaatschap, waarschuwt u en geeft u prioriteit aan het onderzoek. |
| Mislukte aanmeldingspogingen | Gemiddeld - indien geïsoleerd incident Hoog: als veel accounts hetzelfde patroon hebben |
Aanmeldingslogboek van Microsoft Entra | Status = mislukt en Foutcode 50126: fout bij het valideren van referenties vanwege een ongeldige gebruikersnaam of wachtwoord. en Toepassing == "CPIM PowerShell-client" of Application == "ProxyIdentityExperienceFramework" |
Definieer een drempelwaarde voor de basislijn en bewaak en pas deze aan om af te stemmen op het gedrag van uw organisatie en het genereren van valse waarschuwingen te beperken. |
| Slimme vergrendelingsgebeurtenissen | Gemiddeld - indien geïsoleerd incident Hoog: als veel accounts hetzelfde patroon of een VIP hebben |
Aanmeldingslogboek van Microsoft Entra | Status = mislukt en Foutcode voor aanmelden = 50053 – IdsLocked en Toepassing == "CPIM PowerShell-client" of Application =="ProxyIdentityExperienceFramework" |
Definieer een drempelwaarde voor een basislijn en bewaak en pas deze vervolgens aan aan het gedrag van uw organisatie en beperk valse waarschuwingen. |
| Mislukte verificaties vanuit landen of regio's waaruit u niet werkt | Medium | Aanmeldingslogboek van Microsoft Entra | Status = mislukt en Locatie = <niet-goedgekeurde locatie> en Toepassing == "CPIM PowerShell-client" of Application == "ProxyIdentityExperienceFramework" |
Bewaak vermeldingen die niet gelijk zijn aan de opgegeven plaatsnamen. |
| Verhoogde mislukte verificaties van elk type | Medium | Aanmeldingslogboek van Microsoft Entra | Status = mislukt en Toepassing == "CPIM PowerShell-client" of Application == "ProxyIdentityExperienceFramework" |
Als u geen drempelwaarde hebt, kunt u controleren en waarschuwen als de fouten met 10% of hoger toenemen. |
| Account uitgeschakeld/geblokkeerd voor aanmeldingen | Laag | Aanmeldingslogboek van Microsoft Entra | Status = fout en foutcode = 50057, het gebruikersaccount is uitgeschakeld. |
In dit scenario kan worden aangegeven dat iemand toegang probeert te krijgen tot een account nadat hij of zij een organisatie heeft verlaten. Het account is geblokkeerd, maar het is belangrijk om deze activiteit te registreren en te waarschuwen. |
| Meetbare toename van geslaagde aanmeldingen | Laag | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd en Toepassing == "CPIM PowerShell-client" of Application == "ProxyIdentityExperienceFramework" |
Als u geen drempelwaarde hebt, kunt u controleren en waarschuwen als geslaagde verificaties met 10% of hoger toenemen. |
Bevoegde accounts
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Aanmeldingsfout, drempelwaarde voor ongeldig wachtwoord | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout en foutcode = 50126 |
Definieer een drempelwaarde voor de basislijn en bewaak en pas deze aan aan uw organisatiegedrag. Beperk valse waarschuwingen. |
| Fout vanwege vereiste voor voorwaardelijke toegang | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout en foutcode = 53003 en Reden van fout = Geblokkeerd door voorwaardelijke toegang |
De gebeurtenis kan aangeven dat een aanvaller het account probeert in te gaan. |
| Onderbreking | Hoog, gemiddeld | Aanmeldingslogboek van Microsoft Entra | Status = fout en foutcode = 53003 en Reden van fout = Geblokkeerd door voorwaardelijke toegang |
De gebeurtenis kan aangeven dat een aanvaller het accountwachtwoord heeft, maar de MFA-uitdaging niet kan doorstaan. |
| Accountvergrendeling | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout en foutcode = 50053 |
Definieer een drempelwaarde voor een basislijn, bewaak en pas deze aan aan uw organisatiegedrag. Beperk valse waarschuwingen. |
| Account is uitgeschakeld of geblokkeerd voor aanmeldingen | Beperkt | Aanmeldingslogboek van Microsoft Entra | Status = fout en Target = UPN van gebruiker en foutcode = 50057 |
De gebeurtenis kan aangeven dat iemand toegang probeert te krijgen tot het account nadat deze de organisatie heeft verlaten. Hoewel het account is geblokkeerd, meldt u zich aan en waarschuwt u deze activiteit. |
| Waarschuwing voor MFA-fraude of blokkeren | Hoog | Aanmeldingslogboek van Microsoft Entra/Azure Log Analytics | Aanmeldingsverificatiedetails> Resultaatdetails = MFA geweigerd, fraudecode ingevoerd |
Bevoegde gebruiker geeft aan dat ze de MFA-prompt niet hebben geïnstigeerd. Dit kan erop wijzen dat een aanvaller het accountwachtwoord heeft. |
| Waarschuwing voor MFA-fraude of blokkeren | Hoog | Aanmeldingslogboek van Microsoft Entra/Azure Log Analytics | Activiteitstype = Gerapporteerde fraude - Gebruiker wordt geblokkeerd voor MFA of door fraude gerapporteerd - Geen actie ondernomen, op basis van instellingen op tenantniveau van het frauderapport | Bevoegde gebruiker heeft geen instigatie van de MFA-prompt aangegeven. In het scenario kan worden aangegeven dat een aanvaller het accountwachtwoord heeft. |
| Aanmeldingen van bevoegde accounts buiten de verwachte besturingselementen | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = fout UserPricipalName = <Beheer-account> Locatie = <niet-goedgekeurde locatie> IP-adres = <niet-goedgekeurde IP> Apparaatgegevens = <niet-goedgekeurde browser, besturingssysteem> |
Controleer en waarschuwingsvermeldingen die u hebt gedefinieerd als niet-goedgekeurd. |
| Buiten normale aanmeldingstijden | Hoog | Aanmeldingslogboek van Microsoft Entra | Status = Geslaagd en Locatie = en Tijd = Buiten kantooruren |
Controleren en waarschuwen als aanmeldingen buiten verwachte tijden plaatsvinden. Zoek het normale werkpatroon voor elk bevoegd account en waarschuw als er niet-geplande wijzigingen zijn buiten de normale werktijden. Aanmeldingen buiten normale werkuren kunnen duiden op inbreuk of mogelijke insider-bedreiging. |
| Wachtwoord wijzigen | Hoog | Microsoft Entra-auditlogboeken | Activiteitsacteur = Beheer/selfservice en Doel = Gebruiker en Status = Geslaagd of mislukt |
Waarschuw eventuele wachtwoordwijzigingen voor beheerdersaccounts, met name voor globale beheerders, gebruikersbeheerders, abonnementsbeheerders en accounts voor toegang tot noodgevallen. Schrijf een query voor bevoegde accounts. |
| Wijzigingen in verificatiemethoden | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Id-provider maken Categorie: ResourceManagement Doel: User Principal Name |
De wijziging kan erop wijzen dat een aanvaller een verificatiemethode toevoegt aan het account, zodat deze toegang heeft. |
| Id-provider bijgewerkt door niet-goedgekeurde actoren | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Id-provider bijwerken Categorie: ResourceManagement Doel: User Principal Name |
De wijziging kan erop wijzen dat een aanvaller een verificatiemethode toevoegt aan het account, zodat deze toegang heeft. |
| Id-provider verwijderd door niet-goedgekeurde actoren | Hoog | Microsoft Entra-toegangsbeoordelingen | Activiteit: id-provider verwijderen Categorie: ResourceManagement Doel: User Principal Name |
De wijziging kan erop wijzen dat een aanvaller een verificatiemethode toevoegt aan het account, zodat deze toegang heeft. |
Toepassingen
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Referenties toegevoegd aan toepassingen | Hoog | Microsoft Entra-auditlogboeken | Service-Core Directory, Category-ApplicationManagement Activiteit: Beheer van toepassingscertificaten en geheimen bijwerken en Activiteit: Service-principal bijwerken/Toepassing bijwerken |
Waarschuwing wanneer referenties worden toegevoegd: toegevoegd buiten normale kantooruren of werkstromen, typen die niet in uw omgeving worden gebruikt of worden toegevoegd aan een niet-SAML-stroom die de service-principal ondersteunt. |
| App die is toegewezen aan een RBAC-rol (op rollen gebaseerd toegangsbeheer) van Azure of Aan Microsoft Entra-rol | Hoog tot gemiddeld | Microsoft Entra-auditlogboeken | Type: service-principal Activiteit: 'Lid toevoegen aan rol' of "In aanmerking komend lid toevoegen aan rol" of 'Bereiklid toevoegen aan rol'. |
N.v.t. |
| App heeft machtigingen met hoge bevoegdheden verleend, zoals machtigingen met '. All" (Directory.ReadWrite.All) of uitgebreide machtigingen (Mail.) | Hoog | Microsoft Entra-auditlogboeken | N.v.t. | Apps verleenden brede machtigingen, zoals '. All" (Directory.ReadWrite.All) of uitgebreide machtigingen (Mail.) |
| Beheer istrator die toepassingsmachtigingen (app-rollen) of gedelegeerde machtigingen met hoge bevoegdheden verleent | Hoog | Microsoft 365-portal | 'App-roltoewijzing toevoegen aan service-principal' -Waar- Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph) 'Gedelegeerde machtiging verlenen toevoegen' -Waar- Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph) en DelegatedPermissionGrant.Scope bevat machtigingen met hoge bevoegdheden. |
Waarschuw wanneer een globale, toepassings- of cloudtoepassingsbeheerder toestemming verleent voor een toepassing. Zoek vooral naar toestemming buiten normale activiteiten en wijzigingsprocedures. |
| De toepassing krijgt machtigingen voor Microsoft Graph, Exchange, SharePoint of Microsoft Entra ID. | Hoog | Microsoft Entra-auditlogboeken | 'Gedelegeerde machtigingstoestemming toevoegen' of 'App-roltoewijzing toevoegen aan service-principal' -Waar- Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph, Exchange Online, enzovoort) |
Gebruik de waarschuwing in de voorgaande rij. |
| Maximaal gemachtigde gedelegeerde machtigingen verleend namens alle gebruikers | Hoog | Microsoft Entra-auditlogboeken | 'Gedelegeerde machtigingstoestemming toevoegen' waar Doel(en) identificeert een API met gevoelige gegevens (zoals Microsoft Graph) DelegatedPermissionGrant.Scope bevat machtigingen met hoge bevoegdheden en DelegatedPermissionGrant.ConsentType is AllPrincipals. |
Gebruik de waarschuwing in de voorgaande rij. |
| Toepassingen die gebruikmaken van de ROPC-verificatiestroom | Medium | Aanmeldingslogboek van Microsoft Entra | Status=Geslaagd Authentication Protocol-ROPC |
Er wordt een hoog vertrouwensniveau in deze toepassing geplaatst omdat de referenties in de cache kunnen worden opgeslagen of opgeslagen. Ga indien mogelijk naar een veiligere verificatiestroom. Gebruik het proces alleen in geautomatiseerde toepassingstests, indien ooit. |
| Zwevende URI | Hoog | Microsoft Entra-logboeken en toepassingsregistratie | Service-Core Directory Category-ApplicationManagement Activiteit: Toepassing bijwerken Geslaagd – Eigenschapsnaam AppAddress |
Zoek bijvoorbeeld naar zwevende URI's die verwijzen naar een domeinnaam die weg is of een domeinnaam die u niet bezit. |
| Configuratiewijzigingen voor omleidings-URI | Hoog | Microsoft Entra-logboeken | Service-Core Directory Category-ApplicationManagement Activiteit: Toepassing bijwerken Geslaagd – Eigenschapsnaam AppAddress |
Zoek naar URI's die niet gebruikmaken van HTTPS*, URI's met jokertekens aan het einde of het domein van de URL, URI's die niet uniek zijn voor de toepassing, URI's die verwijzen naar een domein dat u niet beheert. |
| Wijzigingen in app-id-URI | Hoog | Microsoft Entra-logboeken | Service-Core Directory Category-ApplicationManagement Activiteit: Toepassing bijwerken Activiteit: Service-principal bijwerken |
Zoek naar appID-URI-wijzigingen, zoals het toevoegen, wijzigen of verwijderen van de URI. |
| Wijzigingen in toepassingseigendom | Medium | Microsoft Entra-logboeken | Service-Core Directory Category-ApplicationManagement Activiteit: Eigenaar toevoegen aan toepassing |
Zoek naar exemplaren van gebruikers die zijn toegevoegd als toepassingseigenaren buiten normale activiteiten voor wijzigingsbeheer. |
| Wijzigingen in afmeldings-URL | Laag | Microsoft Entra-logboeken | Service-Core Directory Category-ApplicationManagement Activiteit: Toepassing bijwerken en Activiteit: Service-principal bijwerken |
Zoek naar wijzigingen in een afmeldings-URL. Lege vermeldingen of vermeldingen op niet-bestaande locaties verhinderen dat een gebruiker een sessie beëindigt. |
Infrastructuur
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Nieuw beleid voor voorwaardelijke toegang gemaakt door niet-goedgekeurde actors | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Beleid voor voorwaardelijke toegang toevoegen Categorie: Beleid Gestart door (actor): User Principal Name |
Wijzigingen in voorwaardelijke toegang bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in voorwaardelijke toegang? |
| Beleid voor voorwaardelijke toegang verwijderd door niet-goedgekeurde actors | Medium | Microsoft Entra-auditlogboeken | Activiteit: Beleid voor voorwaardelijke toegang verwijderen Categorie: Beleid Gestart door (actor): User Principal Name |
Wijzigingen in voorwaardelijke toegang bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in voorwaardelijke toegang? |
| Beleid voor voorwaardelijke toegang bijgewerkt door niet-goedgekeurde actors | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Beleid voor voorwaardelijke toegang bijwerken Categorie: Beleid Gestart door (actor): User Principal Name |
Wijzigingen in voorwaardelijke toegang bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in voorwaardelijke toegang? Gewijzigde eigenschappen controleren en oude versus nieuwe waarde vergelijken |
| Aangepast B2C-beleid gemaakt door niet-goedgekeurde actoren | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Aangepast beleid maken Categorie: ResourceManagement Doel: User Principal Name |
Aangepaste beleidswijzigingen bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in aangepast beleid? |
| Aangepast B2C-beleid bijgewerkt door niet-goedgekeurde actoren | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Aangepast beleid ophalen Categorie: ResourceManagement Doel: User Principal Name |
Aangepaste beleidswijzigingen bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in aangepast beleid? |
| Aangepast B2C-beleid verwijderd door niet-goedgekeurde actoren | Medium | Microsoft Entra-auditlogboeken | Activiteit: Aangepast beleid verwijderen Categorie: ResourceManagement Doel: User Principal Name |
Aangepaste beleidswijzigingen bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in aangepast beleid? |
| Gebruikersstroom gemaakt door niet-goedgekeurde actoren | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Gebruikersstroom maken Categorie: ResourceManagement Doel: User Principal Name |
Wijzigingen in de gebruikersstroom bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in gebruikersstromen? |
| Gebruikersstroom bijgewerkt door niet-goedgekeurde actoren | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Gebruikersstroom bijwerken Categorie: ResourceManagement Doel: User Principal Name |
Wijzigingen in de gebruikersstroom bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in gebruikersstromen? |
| Gebruikersstroom verwijderd door niet-goedgekeurde actoren | Medium | Microsoft Entra-auditlogboeken | Activiteit: Gebruikersstroom verwijderen Categorie: ResourceManagement Doel: User Principal Name |
Wijzigingen in de gebruikersstroom bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in gebruikersstromen? |
| API-connectors die zijn gemaakt door niet-goedgekeurde actoren | Medium | Microsoft Entra-auditlogboeken | Activiteit: API-connector maken Categorie: ResourceManagement Doel: User Principal Name |
Wijzigingen in de API-connector bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in API-connectors? |
| API-connectors bijgewerkt door niet-goedgekeurde actoren | Medium | Microsoft Entra-auditlogboeken | Activiteit: API-connector bijwerken Categorie: ResourceManagement Doel: User Principal Name: ResourceManagement |
Wijzigingen in de API-connector bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in API-connectors? |
| API-connectors verwijderd door niet-goedgekeurde actoren | Medium | Microsoft Entra-auditlogboeken | Activiteit: API-connector bijwerken Categorie: ResourceManagment Doel: User Principal Name: ResourceManagment |
Wijzigingen in de API-connector bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in API-connectors? |
| IdP (IdP) die is gemaakt door niet-goedgekeurde actoren | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Id-provider maken Categorie: ResourceManagement Doel: User Principal Name |
IdP-wijzigingen bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in de IdP-configuratie? |
| IdP bijgewerkt door niet-goedgekeurde actoren | Hoog | Microsoft Entra-auditlogboeken | Activiteit: Id-provider bijwerken Categorie: ResourceManagement Doel: User Principal Name |
IdP-wijzigingen bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in de IdP-configuratie? |
| IdP verwijderd door niet-goedgekeurde actoren | Medium | Microsoft Entra-auditlogboeken | Activiteit: id-provider verwijderen Categorie: ResourceManagement Doel: User Principal Name |
IdP-wijzigingen bewaken en waarschuwen. Gestart door (actor): goedgekeurd om wijzigingen aan te brengen in de IdP-configuratie? |
Volgende stappen
Zie de volgende artikelen over beveiligingsbewerkingen voor meer informatie:
- Handleiding voor microsoft Entra-beveiligingsbewerkingen
- Microsoft Entra-beveiligingsbewerkingen voor gebruikersaccounts
- Beveiligingsbewerkingen voor bevoegde accounts in Microsoft Entra-id
- Microsoft Entra-beveiligingsbewerkingen voor Privileged Identity Management
- Handleiding voor microsoft Entra-beveiligingsbewerkingen voor toepassingen
- Microsoft Entra-beveiligingsbewerkingen voor apparaten
- Beveiligingsbewerkingen voor infrastructuur