Beveiligingsbewerkingen voor infrastructuur
Infrastructuur heeft veel onderdelen waar beveiligingsproblemen kunnen optreden als deze niet correct zijn geconfigureerd. Als onderdeel van uw bewakings- en waarschuwingsstrategie voor infrastructuur-, bewakings- en waarschuwingsgebeurtenissen op de volgende gebieden:
Verificatie en autorisatie
Inclusief onderdelen voor hybride verificatie Federatieve servers
Beleidsregels
Abonnementen
Bewaken en waarschuwen bij de onderdelen van uw verificatie-infrastructuur is essentieel. Elke inbreuk kan ertoe leiden dat de hele omgeving wordt gecompromitteerd. Veel ondernemingen die gebruikmaken van Microsoft Entra ID werken in een hybride verificatieomgeving. Cloud- en on-premises onderdelen moeten worden opgenomen in uw bewakings- en waarschuwingsstrategie. Een omgeving met hybride verificatie introduceert ook een andere aanvalsvector in uw omgeving.
U wordt aangeraden alle onderdelen te beschouwen als activa van het besturingsvlak/laag 0 en de accounts die worden gebruikt om ze te beheren. Raadpleeg Bevoorrechte assets beveiligen voor richtlijnen bij het ontwerpen en implementeren van uw omgeving. Deze richtlijnen omvatten aanbevelingen voor elk van de onderdelen van hybride verificatie die mogelijk kunnen worden gebruikt voor een Microsoft Entra-tenant.
Een eerste stap voor het kunnen detecteren van onverwachte gebeurtenissen en mogelijke aanvallen is het vaststellen van een basislijn. Voor alle on-premises onderdelen die in dit artikel worden vermeld, raadpleegt u Implementatie van bevoegde toegang (onderdeel van de SPA-handleiding (Securing Privileged Assets, Bevoorrechte assets beveiligen)).
Waar te zoeken
De logboekbestanden die u gebruikt voor onderzoek en controle zijn:
Vanuit Azure Portal kunt u de Microsoft Entra-auditlogboeken bekijken en downloaden als csv-bestanden (door komma's gescheiden waarden) of JSON-bestanden (JavaScript Object Notation). De Azure-portal biedt verschillende manieren om Microsoft Entra-logboeken te integreren met andere hulpprogramma's waarmee bewaking en waarschuwingen kunnen worden geautomatiseerd:
Microsoft Sentinel : maakt intelligente beveiligingsanalyse op ondernemingsniveau mogelijk door SIEM-mogelijkheden (Security Information and Event Management) te bieden.
Sigma-regels - Sigma is een steeds verder ontwikkelende open standaard voor het schrijven van regels en sjablonen die geautomatiseerde beheerhulpprogramma's kunnen gebruiken om logboekbestanden te parseren. Waar Sigma-sjablonen bestaan voor onze aanbevolen zoekcriteria, hebben we een koppeling toegevoegd aan de Sigma-opslagplaats. De Sigma-sjablonen worden niet geschreven, getest en beheerd door Microsoft. In plaats daarvan worden de opslagplaats en sjablonen gemaakt en verzameld door de wereldwijde IT-beveiligingscommunity.
Azure Monitor : maakt geautomatiseerde bewaking en waarschuwingen van verschillende voorwaarden mogelijk. U kunt werkmappen maken of gebruiken om gegevens uit verschillende bronnen te combineren.
Azure Event Hubs geïntegreerd met een SIEM - Microsoft Entra-logboeken kunnen worden geïntegreerd met andere SIEM's , zoals Splunk, ArcSight, QRadar en Sumo Logic via de Integratie van Azure Event Hubs.
Microsoft Defender voor Cloud-apps – Hiermee kunt u apps detecteren en beheren, beheren tussen apps en resources en de naleving van uw cloud-apps controleren.
Workloadidentiteiten beveiligen met Identity Protection Preview: wordt gebruikt om risico's van workloadidentiteiten bij aanmeldingsgedrag en offline indicatoren van inbreuk te detecteren.
In de rest van dit artikel wordt beschreven wat u moet bewaken en waarvoor waarschuwingen moeten worden gegenereerd. Het is ingedeeld op basis van het type bedreiging. Waar er vooraf gemaakte oplossingen zijn, vindt u koppelingen naar deze oplossingen, na de tabel. Anders kunt u waarschuwingen maken met behulp van de voorgaande hulpprogramma's.
Verificatie-infrastructuur
In hybride omgevingen die zowel on-premises als cloudresources en -accounts bevatten, is de Active Directory-infrastructuur een belangrijk onderdeel van de verificatiestack. De stack is ook een doel voor aanvallen. Het is daarom nodig de stack zo te configureren dat er een veilige omgeving wordt onderhouden en de stack op de juiste wijze te bewaken. Voorbeelden van huidige typen aanvallen die worden gebruikt voor uw verificatie-infrastructuur, maken gebruik van wachtwoordspray- en Solorigate-technieken. Hieronder vindt u koppelingen naar artikelen die worden aanbevolen:
Overzicht van het beveiligen van uitgebreide toegang: in dit artikel vindt u een overzicht van de huidige technieken die gebruikmaken van Zero Trust-technieken voor het maken en onderhouden van beveiligde uitgebreide toegang.
Met Microsoft Defender for Identity bewaakte domeinactiviteiten: dit artikel bevat een uitgebreide lijst met activiteiten die moeten worden bewaakt en waarvoor waarschuwingen moeten worden ingesteld.
Zelfstudie over Microsoft Defender for Identity-beveiligingswaarschuwingen: dit artikel bevat richtlijnen voor het maken en implementeren van een strategie voor beveiligingswaarschuwingen.
Hieronder ziet u koppelingen naar specifieke artikelen die zich richten op bewaken en waarschuwen bij een verificatie-infrastructuur:
Laterale verplaatsingspaden begrijpen en gebruiken met Microsoft Defender for Identity - Detectietechnieken om te bepalen wanneer niet-gevoelige accounts worden gebruikt om toegang te krijgen tot gevoelige netwerkaccounts.
Werken met beveiligingswaarschuwingen in Microsoft Defender for Identity : in dit artikel wordt beschreven hoe u waarschuwingen controleert en beheert nadat ze zijn geregistreerd.
Hier volgen specifieke aandachtspunten:
| Wat moet er worden bewaakt | Risiconiveau | Waar | Opmerkingen |
|---|---|---|---|
| Trends voor vergrendeling van extranet | Hoog | Microsoft Entra Connect Health | Zie AD FS bewaken met behulp van Microsoft Entra Verbinding maken Health voor hulpprogramma's en technieken om extranetvergrendelingstrends te detecteren. |
| Mislukte aanmeldingen | Hoog | Connect Health-portal | Exporteer of download het rapport over riskante IP-adressen en volg de richtlijnen voor het rapport over riskante IP-adressen (openbare preview) voor de volgende stappen. |
| Krachtige privacybeveiliging | Beperkt | Microsoft Entra Connect Health | Configureer Microsoft Entra Verbinding maken Health om gegevensverzamelingen en -bewaking uit te schakelen met behulp van het artikel Gebruikersprivacy en Microsoft Entra Verbinding maken Health. |
| Mogelijke beveiligingsaanval op LDAP | Gemiddeld | Microsoft Defender for Identity | Gebruik de sensor om mogelijke beveiligingsaanvallen op LDAP te detecteren. |
| Verkenning met accountopsommingen | Gemiddeld | Microsoft Defender for Identity | Gebruik de sensor om de verkenning met accountopsommingen uit te voeren. |
| Algemene correlatie tussen Microsoft Entra ID en Azure AD FS | Gemiddeld | Microsoft Defender for Identity | Gebruik mogelijkheden om activiteiten te correleren tussen uw Microsoft Entra ID en Azure AD FS-omgevingen. |
Bewaking van passthrough-verificatie
Microsoft Entra passthrough-verificatie meldt gebruikers aan door hun wachtwoorden rechtstreeks te valideren op basis van on-premises Active Directory.
Hier volgen specifieke aandachtspunten:
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAd Verbinding maken\AuthenticationAgent\Beheer | AADSTS80001: kan geen verbinding maken met Active Directory | Zorg ervoor dat agentservers lid zijn van hetzelfde AD-forest als de gebruikers van wie wachtwoorden moeten worden gevalideerd, en dat ze verbinding kunnen maken met Active Directory. |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAd Verbinding maken\AuthenticationAgent\Beheer | AADSTS8002: er is een time-out opgetreden bij het verbinden met Active Directory | Controleer of Active Directory beschikbaar is en reageert op aanvragen van de agents. |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAd Verbinding maken\AuthenticationAgent\Beheer | AADSTS80004: de gebruikersnaam die aan de agent is doorgegeven, is ongeldig | Zorg ervoor dat de gebruiker zich aanmeldt met de juiste gebruikersnaam. |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAd Verbinding maken\AuthenticationAgent\Beheer | AADSTS80005: bij de validatie is een onvoorspelbare WebException aangetroffen | Een tijdelijke fout. Probeer de aanvraag opnieuw. Als het probleem zich blijft voordoen, neemt u contact op met Microsoft Ondersteuning. |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | Toepassings- en servicelogboeken\Microsoft\AzureAd Verbinding maken\AuthenticationAgent\Beheer | AADSTS80007: er is een fout opgetreden tijdens de communicatie met Active Directory | Controleer de agentlogboeken voor meer informatie en controleer of Active Directory werkt zoals verwacht. |
| PassThrough-verificatiefouten van Microsoft Entra | Hoog | Win32 LogonUserA-functie-API | Aanmeldingsgebeurtenissen 4624(en): een account is aangemeld - correleren met – 4625(F): een account kan niet worden aangemeld |
Gebruik met de vermoedelijke gebruikersnamen op de domeincontroller die aanvragen verifieert. Richtlijnen bij de functie LogonUserA (winbase.h) |
| PassThrough-verificatiefouten van Microsoft Entra | Gemiddeld | PowerShell-script van domeincontroller | Zie de query na de tabel. | Gebruik de informatie op Microsoft Entra Verbinding maken: Problemen met passthrough-verificatieoplossen voor hulp. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Bewaking voor het maken van nieuwe Microsoft Entra-tenants
Organisaties moeten mogelijk controleren op en waarschuwen voor het maken van nieuwe Microsoft Entra-tenants wanneer de actie wordt gestart door identiteiten van hun organisatietenant. Bewaking voor dit scenario biedt inzicht in het aantal tenants dat wordt gemaakt en kan worden geopend door eindgebruikers.
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Een nieuwe Microsoft Entra-tenant maken met behulp van een identiteit van uw tenant. | Gemiddeld | Microsoft Entra-auditlogboeken | Categorie: Directorybeheer Activiteit: Bedrijf maken |
Doel(en) toont de gemaakte TenantID |
Privénetwerkconnector
Microsoft Entra ID en Microsoft Entra-toepassingsproxy bieden externe gebruikers een SSO-ervaring (eenmalige aanmelding). Gebruikers maken veilig verbinding met on-premises apps zonder een VPN (Virtual Private Network) of dual-homed servers en firewallregels. Als uw Microsoft Entra Private Network Connector-server is aangetast, kunnen aanvallers de SSO-ervaring wijzigen of de toegang tot gepubliceerde toepassingen wijzigen.
Zie Toepassingsproxy problemen en foutberichten oplossen om bewaking voor toepassingsproxy te configureren. Het gegevensbestand waarin gegevens worden geregistreerd, vindt u in logboeken voor toepassingen en services\Microsoft\Microsoft Entra-privénetwerk\Verbinding maken or\Beheer. Voor een volledige referentiehandleiding voor controleactiviteiten raadpleegt u de naslaginformatie over auditactiviteiten van Microsoft Entra. Specifieke zaken die moeten worden bewaakt:
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Kerberos-fouten | Gemiddeld | Verschillende hulpprogramma's | Gemiddeld | Richtlijnen voor Kerberos-verificatiefouten onder Kerberos-fouten op Problemen en foutberichten met toegangsproxy oplossen. |
| Problemen bij DC-beveiliging | Hoog | Auditlogboeken voor DC-beveiliging | Gebeurtenis-id 4742(S): er is een computeraccount gewijzigd en Vlag: Vertrouwd voor delegatie – of – Vlag: Vertrouwd om te verifiëren voor delegatie |
Onderzoek elke vlagwijziging. |
| Pass-the-Ticket-achtige aanvallen | Hoog | Volg richtlijnen in: Verkenning beveiligingsprincipals (LDAP) (externe id 2038) Zelfstudie: Waarschuwingen voor verdachte referenties Inzicht in en gebruik van Lateral Movement Paths met Microsoft Defender for Identity Entiteitsprofielen begrijpen |
Verouderde verificatie-instellingen
Meervoudige verificatie (MFA) is alleen effectief als u de verouderde verificatie blokkeert. Vervolgens moet u uw omgeving bewaken en waarschuwen bij elk gebruik van verouderde verificatie. Verouderde verificatieprotocollen zoals POP, SMTP, IMAP en MAPI kunnen MFA niet afdwingen. Dit maakt deze protocollen de voorkeursinvoerpunten voor aanvallers. Zie Nieuwe hulpprogramma's voor het blokkeren van verouderde verificatie in uw organisatie voor meer informatie over hulpprogramma's die u kunt gebruiken om verouderde verificatie te blokkeren.
Verouderde verificatie wordt vastgelegd in het aanmeldingslogboek van Microsoft Entra als onderdeel van de details van de gebeurtenis. U kunt de Azure Monitor-werkmap gebruiken om het gebruik van verouderde verificatie te identificeren. Zie Aanmeldingen met verouderde verificatie voor meer informatie. Dit maakt deel uit van Azure Monitor Workbooks voor Microsoft Entra-rapporten. U kunt ook de werkmap Niet-beveiligde protocollen voor Microsoft Sentinel gebruiken. Zie de implementatiehandleiding voor Microsoft Sentinel-werkmap Niet-beveiligde protocollen voor meer informatie. Specifieke activiteiten die moeten worden bewaakt, zijn onder andere:
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Verouderde verificaties | Hoog | Aanmeldingslogboek van Microsoft Entra | ClientApp: POP ClientApp: IMAP ClientApp: MAPI ClientApp: SMTP ClientApp: ActiveSync go to EXO Andere clients = SharePoint en EWS |
In federatieve domeinomgevingen worden mislukte verificaties niet vastgelegd en worden ze niet weergegeven in het logboek. |
Microsoft Entra Connect
Microsoft Entra Verbinding maken biedt een gecentraliseerde locatie waarmee account- en kenmerksynchronisatie mogelijk is tussen uw on-premises en cloudgebaseerde Microsoft Entra-omgeving. Microsoft Entra Verbinding maken is het Microsoft-hulpprogramma dat is ontworpen om te voldoen aan uw hybride identiteitsdoelen en deze te bereiken. Deze biedt de volgende functies:
Wachtwoord-hashsynchronisatie : een aanmeldingsmethode waarmee een hash van het on-premises AD-wachtwoord van een gebruiker wordt gesynchroniseerd met Microsoft Entra-id.
Synchronisatie: verantwoordelijk voor het maken van gebruikers, groepen en andere objecten. En zorg ervoor dat identiteitsgegevens voor uw on-premises gebruikers en groepen overeenkomen met de cloud. Deze synchronisatie bevat ook wachtwoord-hashes.
Statuscontrole - Microsoft Entra Verbinding maken Health kan robuuste bewaking bieden en een centrale locatie bieden in Azure Portal om deze activiteit weer te geven.
Het synchroniseren van identiteit tussen uw on-premises omgeving en uw cloudomgeving introduceert een nieuw aanvalsoppervlak voor uw on-premises en cloudomgeving. We raden het volgende aan:
U behandelt uw Microsoft Entra Verbinding maken primaire en faseringsservers als Laag 0-systemen in uw besturingsvlak.
U volgt een standaardset beleidsregels die van toepassing is op elk type account en het bijbehorende gebruik in uw omgeving.
U installeert Microsoft Entra Verbinding maken en Verbinding maken Health. Deze bieden primair operationele gegevens voor de omgeving.
Logboekregistratie van Microsoft Entra-Verbinding maken-bewerkingen vindt op verschillende manieren plaats:
De wizard Microsoft Entra Verbinding maken registreert gegevens naar
\ProgramData\AADConnect. Telkens wanneer de wizard wordt aangeroepen, wordt er een traceringslogboekbestand met timestamp gemaakt. Het traceringslogboek kan worden geïmporteerd in Sentinel of andere SIEM-hulpprogramma's (Security Information and Event Management) van derden voor analyse.Sommige bewerkingen starten een PowerShell-script om logboekgegevens vast te leggen. Als u deze gegevens wilt verzamelen, moet u ervoor zorgen dat logboekregistratie van scriptblokken is ingeschakeld.
Configuratiewijzigingen bewaken
Microsoft Entra ID maakt gebruik van Microsoft SQL Server Data Engine of SQL voor het opslaan van Microsoft Entra Verbinding maken configuratiegegevens. Daarom moeten bewakings- en auditgegevens van de logboekbestanden die zijn gekoppeld aan de configuratie, worden opgenomen in uw bewakings- en auditstrategie. Neem met name de volgende tabellen op in uw bewakings- en waarschuwingsstrategie.
| Wat moet er worden bewaakt | Waar | Opmerkingen |
|---|---|---|
| mms_management_agent | Auditrecords van SQL-service | Zie Auditrecords SQL Server |
| mms_partition | Auditrecords van SQL-service | Zie Auditrecords SQL Server |
| mms_run_profile | Auditrecords van SQL-service | Zie Auditrecords SQL Server |
| mms_server_configuration | Auditrecords van SQL-service | Zie Auditrecords SQL Server |
| mms_synchronization_rule | Auditrecords van SQL-service | Zie Auditrecords SQL Server |
Raadpleeg voor informatie over welke configuratiegegevens u bewaakt en hoe u dit doet:
Zie Auditrecords SQL Server voor SQL Server.
Zie Verbinding maken met Windows-servers om beveiligingsgebeurtenissen te verzamelen voor Microsoft Sentinel.
Zie Wat is Microsoft Entra Verbinding maken voor informatie over het configureren en gebruiken van Microsoft Entra Verbinding maken?
Synchronisatie bewaken en problemen hiermee oplossen
Een functie van Microsoft Entra Verbinding maken is het synchroniseren van hashsynchronisatie tussen het on-premises wachtwoord van een gebruiker en de Microsoft Entra-id. Als wachtwoorden niet worden gesynchroniseerd zoals verwacht, kan de synchronisatie van invloed zijn op een subset van gebruikers of alle gebruikers. Gebruik het volgende om voor een juiste werking te zorgen of problemen op te lossen:
Zie Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Verbinding maken Sync voor informatie over het controleren en oplossen van problemen met hashsynchronisatie.
Wijzigingen in de connectorruimten, zie Problemen met Microsoft Entra Verbinding maken objecten en kenmerken oplossen.
Belangrijke informatiebronnen over bewaking
| Wat moet er worden bewaakt | Resources |
|---|---|
| Validatie van hashsynchronisatie | Zie Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Verbinding maken Sync |
| Wijzigingen in de verbindingsruimten | Zie Problemen met Microsoft Entra-Verbinding maken-objecten en -kenmerken oplossen |
| Wijzigingen in regels die u hebt geconfigureerd | Wijzigingen controleren in: filteren, domein- en OE-, kenmerk- en groepswijzigingen |
| SQL- en MSDE-wijzigingen | Wijzigingen in logboekregistratieparameters en toevoeging van aangepaste functies |
Bewaak het volgende:
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Wijzigingen in Scheduler | Hoog | Powershell | Set-ADSyncScheduler | Zoeken naar wijzigingen in de planning |
| Wijzigingen in geplande taken | Hoog | Microsoft Entra-auditlogboeken | Activiteit = 4699(S): een geplande taak is verwijderd – of – Activiteit = 4701(s): een geplande taak is uitgeschakeld – of – Activiteit = 4702(en): een geplande taak is bijgewerkt |
Alles bewaken |
Zie Voor meer informatie over het vastleggen van PowerShell-scriptbewerkingen en het inschakelen van logboekregistratie van scriptblokken, dat deel uitmaakt van de PowerShell-referentiedocumentatie.
Voor meer informatie over het configureren van PowerShell-logboekregistratie voor analyses door Splunk raadpleegt u Gegevens ophalen in Splunk User Behavior Analytics.
Naadloze eenmalige aanmelding bewaken
Microsoft Entra naadloze eenmalige aanmelding (naadloze eenmalige aanmelding) meldt gebruikers automatisch aan wanneer ze zich op hun bedrijfscomputers bevinden die zijn verbonden met uw bedrijfsnetwerk. Naadloze eenmalige aanmelding biedt uw gebruikers eenvoudige toegang tot uw cloudtoepassingen zonder andere on-premises onderdelen. Eenmalige aanmelding maakt gebruik van de mogelijkheden voor passthrough-verificatie en wachtwoord-hashsynchronisatie van Microsoft Entra Verbinding maken.
Bij het bewaken van eenmalige aanmelding en Kerberos-activiteiten kunt u algemene aanvalspatronen voor referentiediefstal detecteren. Bewaken met de volgende informatie:
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Fouten met betrekking tot validatie via eenmalige aanmelding en Kerberos | Gemiddeld | Aanmeldingslogboek van Microsoft Entra | Lijst met foutcodes voor eenmalige aanmelding. | |
| Query voor probleemoplossingsfouten | Gemiddeld | Powershell | Zie de tabel na de query. elke forest inchecken met eenmalige aanmelding ingeschakeld. | Elke forest inchecken met eenmalige aanmelding ingeschakeld. |
| Kerberos-gerelateerde gebeurtenissen | Hoog | Microsoft Defender for Identity-bewaking | Raadpleeg de richtlijnen die beschikbaar zijn op Microsoft Defender for Identity-LMP's (Lateral Movement Paths) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Wachtwoordbeveiligingsbeleid
Als u Microsoft Entra-wachtwoordbeveiliging implementeert, zijn bewaking en rapportage essentiële taken. In de volgende koppelingen vindt u meer informatie over verschillende bewakingstechnieken, waaronder waar elke service informatie registreert en hoe u kunt rapporteren over het gebruik van Microsoft Entra-wachtwoordbeveiliging.
De DC-agent (Domain Controller) en proxyservices leggen beide logboekgebeurtenissen vast. Alle PowerShell-cmdlets die hieronder worden beschreven, zijn alleen beschikbaar op de proxyserver (zie de PowerShell-module AzureADPasswordProtection). De DC-agentsoftware installeert geen PowerShell-module.
Gedetailleerde informatie voor het plannen en implementeren van on-premises wachtwoordbeveiliging is beschikbaar bij Plannen en implementeren van on-premises Microsoft Entra-wachtwoordbeveiliging. Zie On-premises Microsoft Entra-wachtwoordbeveiliging bewaken voor meer informatie over bewaking. Op elke domeincontroller schrijft de DC-agentservicesoftware de resultaten van elke afzonderlijke bewerking voor wachtwoordvalidatie (en andere status) naar het volgende lokale gebeurtenislogboek:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Het beheerlogboek van de DC-agent is de primaire informatiebron voor de werking van de software. Standaard is het Trace-logboek uitgeschakeld en moet deze zijn ingeschakeld voordat gegevens worden geregistreerd. Voor het oplossen van problemen met de toepassingsproxy en foutberichten is gedetailleerde informatie beschikbaar op Microsoft Entra-toepassingsproxy oplossen. Informatie voor deze gebeurtenissen wordt geregistreerd in:
Logboeken toepassingen en services\Microsoft\Microsoft Entra-privénetwerk\Verbinding maken or\Beheer
Microsoft Entra-auditlogboek, categorie-toepassingsproxy
Volledige naslaginformatie voor Microsoft Entra-controleactiviteiten is beschikbaar in microsoft Entra-controleactiviteitenverwijzing.
Voorwaardelijke toegang
In Microsoft Entra ID kunt u de toegang tot uw resources beveiligen door beleid voor voorwaardelijke toegang te configureren. Als IT-beheerder wilt u ervoor zorgen dat uw beleid voor voorwaardelijke toegang werkt zoals verwacht om ervoor te zorgen dat uw resources worden beveiligd. Bij het bewaken en waarschuwen van wijzigingen in de service voor voorwaardelijke toegang zorgt u ervoor dat beleidsregels die door uw organisatie zijn gedefinieerd voor toegang tot gegevens worden afgedwongen. Microsoft Entra registreert wanneer wijzigingen worden aangebracht in voorwaardelijke toegang en biedt ook werkmappen om ervoor te zorgen dat uw beleid de verwachte dekking biedt.
Werkmapkoppelingen
Bewaak wijzigingen in beleid voor voorwaardelijke toegang met behulp van de volgende informatie:
| Wat moet er worden bewaakt | Risiconiveau | Waar | Filter/subfilter | Opmerkingen |
|---|---|---|---|---|
| Nieuw beleid voor voorwaardelijke toegang gemaakt door niet-goedgekeurde actors | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Beleid voor voorwaardelijke toegang toevoegen Categorie: Beleid Gestart door (actor): User Principal Name |
Bewaak mogelijke wijzigingen in voorwaardelijke toegang en genereer hiervoor waarschuwingen. Is Gestart door (actor): goedgekeurd om wijzigingen aan voorwaardelijke toegang aan te brengen? Microsoft Sentinel-sjabloon Sigma-regels |
| Beleid voor voorwaardelijke toegang verwijderd door niet-goedgekeurde actors | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Beleid voor voorwaardelijke toegang verwijderen Categorie: Beleid Gestart door (actor): User Principal Name |
Bewaak mogelijke wijzigingen in voorwaardelijke toegang en genereer hiervoor waarschuwingen. Is Gestart door (actor): goedgekeurd om wijzigingen aan voorwaardelijke toegang aan te brengen? Microsoft Sentinel-sjabloon Sigma-regels |
| Beleid voor voorwaardelijke toegang bijgewerkt door niet-goedgekeurde actors | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Beleid voor voorwaardelijke toegang bijwerken Categorie: Beleid Gestart door (actor): User Principal Name |
Bewaak mogelijke wijzigingen in voorwaardelijke toegang en genereer hiervoor waarschuwingen. Is Gestart door (actor): goedgekeurd om wijzigingen aan voorwaardelijke toegang aan te brengen? Gewijzigde eigenschappen controleren en oude en nieuwe waarde met elkaar vergelijken Microsoft Sentinel-sjabloon Sigma-regels |
| Verwijdering van een gebruiker uit een groep die wordt gebruikt om kritiek beleid voor voorwaardelijke toegang te bepalen | Gemiddeld | Microsoft Entra-auditlogboeken | Activiteit: Lid uit groep verwijderen Categorie: GroupManagement Doel: User Principal Name |
Bewaken en waarschuwen voor groepen die worden gebruikt om kritiek beleid voor voorwaardelijke toegang te bepalen. Doel is de gebruiker die is verwijderd. Sigma-regels |
| Toevoeging van een gebruiker aan een groep die wordt gebruikt om kritiek beleid voor voorwaardelijke toegang te bepalen | Beperkt | Microsoft Entra-auditlogboeken | Activiteit: Lid toevoegen aan groep Categorie: GroupManagement Doel: User Principal Name |
Bewaken en waarschuwen voor groepen die worden gebruikt om kritiek beleid voor voorwaardelijke toegang te bepalen. Doel is de gebruiker die is toegevoegd. Sigma-regels |
Volgende stappen
Overzicht van Microsoft Entra-beveiligingsbewerkingen
Beveiligingsbewerkingen voor gebruikersaccounts
Beveiligingsbewerkingen voor consumentenaccounts
Beveiligingsbewerkingen voor bevoegde accounts
Beveiligingsbewerkingen voor Privileged Identity Management