Delen via


Fase 3: Microsoft Entra-machtigingsbeheer bewaking en waarschuwingen configureren

In deze sectie van de naslaggids voor Microsoft Entra-machtigingsbeheer bewerkingen worden de controles en acties beschreven die u moet ondernemen om een effectieve strategie voor waarschuwingen en rapportage te implementeren.

Een rapportagesysteem implementeren voor belangrijke belanghebbenden

Aanbevolen eigenaar: Informatiebeveiligingsarchitectuur

Belangrijke belanghebbenden identificeren die rapporten gebruiken

Microsoft Entra-machtigingsbeheer genereert systeemrapporten voor zichtbaarheid en inzichten in cloudomgevingen. Let op de volgende aanbevolen doelgroepen om te bepalen wie rapporten in uw organisatie verbruikt:

Rapport Aanbevolen doelgroep
Toegangssleutelrechten en -gebruik Informatiebeveiligingsbewerkingen, technische eigenaren van doelautorisatiesystemen
Groepsrechten en gebruik IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem
Groepsrechten en gebruik IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem
Identiteitsmachtigingen IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem
Analyse van machtigingen IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem
Rol-/beleidsdetails IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem
PCI-geschiedenis Informatiebeveiligingsbewerkingen, cloudinfrastructuur, beveiligingscontrole en controle
Alle machtigingen voor identiteit IAM, Security Assurance and Audit, Incident Response, target authorization system technical owners

Zie systeemrapporten in het dashboard Rapporten voor gedetailleerde beschrijvingen

Rapporten plannen voor belangrijke belanghebbenden

Voor de belangrijkste belanghebbenden die rapporten gebruiken, stelt u een regelmatige leveringsfrequentie in: elk uur, dagelijks, wekelijks, biweek of maandelijks. Meer informatie over het maken, weergeven en delen van een aangepast rapport.

Aangepaste auditquery's definiëren om te voldoen aan de vereisten van de organisatie

Gebruik aangepaste controlequery's om activiteitenlogboekgegevens te verkrijgen die het product opneemt, toegang controleert en nalevingsbeoordelingen uitvoert. Gebruik ze bovendien voor forensische gegevens. Gebruik bijvoorbeeld tijdens een beveiligingsincident auditquery's om het toegangspunt van een aanvaller te vinden en hun pad te traceren.

Gebruik Machtigingenbeheer om aangepaste auditquery's te maken en op te slaan die anderen in uw organisatie bekijken. U wordt aangeraden auditquery's te bouwen die overeenkomen met de informatie die uw organisatie regelmatig beoordeelt. Gebruik de volgende diagrammen om aan de slag te gaan.

Notitie

De volgende diagrammen zijn queryvoorbeelden. De exacte structuur is afhankelijk van uw query. Wanneer u aangepaste controlequery's maakt, selecteert u het type autorisatiesysteem en de autorisatiesystemen en mappen waarop u een query wilt uitvoeren.

Toegang tot kritieke resources controleren

Diagram of a query to review access to critical resources.

Beheerders- en bevoegde accountactiviteit controleren

Diagram of a query to review admin and privelged account activity.

Gebruik van machtigingen met een hoog risico controleren

Diagram of a query to review high-risk permissions usage.

Autorisatiefouten controleren

Diagram of a query to review authorization failures.

Gebruik van toegangssleutels controleren

Diagram of a query to review access key usage.

Herstelactiviteit voor machtigingenbeheer controleren

Notitie

Als u Microsoft Entra-machtigingsbeheer logboeken wilt opvragen, selecteert u Platform voor het type autorisatiesysteem.

Diagram of a query to review Permissions Management remediation activity.

Voor meer informatie over het maken, weergeven, opslaan en gebruiken van aangepaste query's:

Waarschuwingen configureren voor beveiligingsonderzoeken

U kunt waarschuwingen configureren om uw omgeving continu te bewaken. Ontvang meldingen voor overbelaste accounts, afwijkend machtigingengebruik, mogelijke bedreigingen en serviceonderbrekingen.

Bepaal de waarschuwingen die uw omgeving dienen en wie deze ontvangt. Deze actie biedt een beter inzicht in uw omgeving en maakt een proactievere benadering mogelijk voor het beheren van identiteiten en hun toegang tot resources.

Zie de handleiding Microsoft Entra-machtigingsbeheer waarschuwingen voor meer informatie over waarschuwingstypen en gebruiksscenario's.

Strategieën en playbooks voor waarschuwingsreacties ontwikkelen

Ontwikkel handmatige of geautomatiseerde responsstrategieën en playbooks voor uw geconfigureerde waarschuwingen.

  1. Bepalen wie op de waarschuwing reageert, waarschijnlijk de ontvanger van de waarschuwing
  2. Duidelijke herstelstappen maken en opgeven

Bekijk bijvoorbeeld de volgende antwoordstrategie en playbook voor een inactieve gebruikerswaarschuwing.

Voorbeeld van strategie voor handmatige respons

Herstel: wanneer een inactieve gebruiker-waarschuwing wordt geactiveerd, wijst de ontvanger van de waarschuwing de status Alleen-lezen toe en past de ck_exclude_from_reports tags toe op de gebruiker.

Gebruik in het handmatige antwoord Microsoft Entra-machtigingsbeheer hulpprogramma's voor herstel en geef aan dat ontvangers van de waarschuwingen van inactieve gebruikers herstel uitvoeren. De geadresseerden gebruiken Machtigingenbeheer om de status Alleen-lezen toe te wijzen aan de gebruiker. Met deze actie worden de machtigingen van de gebruiker ingetrokken en wordt de status alleen-lezen toegewezen met een klik op een knop.

Een ontvanger past de ck_exclude_from_reports tags toe op de gebruiker. Met deze tag wordt de gebruiker uit het rapport Permissions Analytics verwijderd, dus deze wordt niet uitgelicht als een inactieve gebruiker.

Voorbeeld van een strategie voor geautomatiseerde reacties

Herstel: wanneer een waarschuwing voor inactieve gebruikers wordt geactiveerd, wordt de gebruiker verwijderd door Microsoft Power Automate, een hulpprogramma voor het maken van stromen voor cloud-, bureaublad- en bedrijfsprocessen.

Gebruik Power Automate voor geautomatiseerde reacties op inactieve gebruikerswaarschuwingen. Maak bijvoorbeeld een stroom waarmee inactieve gebruikers worden verwijderd nadat een e-mailbericht van Permissions Management inactiviteit aangeeft.

Volgende stappen