Fase 3: Microsoft Entra-machtigingsbeheer bewaking en waarschuwingen configureren
In deze sectie van de naslaggids voor Microsoft Entra-machtigingsbeheer bewerkingen worden de controles en acties beschreven die u moet ondernemen om een effectieve strategie voor waarschuwingen en rapportage te implementeren.
Een rapportagesysteem implementeren voor belangrijke belanghebbenden
Aanbevolen eigenaar: Informatiebeveiligingsarchitectuur
Belangrijke belanghebbenden identificeren die rapporten gebruiken
Microsoft Entra-machtigingsbeheer genereert systeemrapporten voor zichtbaarheid en inzichten in cloudomgevingen. Let op de volgende aanbevolen doelgroepen om te bepalen wie rapporten in uw organisatie verbruikt:
Rapport | Aanbevolen doelgroep |
---|---|
Toegangssleutelrechten en -gebruik | Informatiebeveiligingsbewerkingen, technische eigenaren van doelautorisatiesystemen |
Groepsrechten en gebruik | IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem |
Groepsrechten en gebruik | IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem |
Identiteitsmachtigingen | IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem |
Analyse van machtigingen | IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem |
Rol-/beleidsdetails | IAM, Security Assurance and Audit, technische eigenaren van het doelautorisatiesysteem |
PCI-geschiedenis | Informatiebeveiligingsbewerkingen, cloudinfrastructuur, beveiligingscontrole en controle |
Alle machtigingen voor identiteit | IAM, Security Assurance and Audit, Incident Response, target authorization system technical owners |
Zie systeemrapporten in het dashboard Rapporten voor gedetailleerde beschrijvingen
Rapporten plannen voor belangrijke belanghebbenden
Voor de belangrijkste belanghebbenden die rapporten gebruiken, stelt u een regelmatige leveringsfrequentie in: elk uur, dagelijks, wekelijks, biweek of maandelijks. Meer informatie over het maken, weergeven en delen van een aangepast rapport.
Aangepaste auditquery's definiëren om te voldoen aan de vereisten van de organisatie
Gebruik aangepaste controlequery's om activiteitenlogboekgegevens te verkrijgen die het product opneemt, toegang controleert en nalevingsbeoordelingen uitvoert. Gebruik ze bovendien voor forensische gegevens. Gebruik bijvoorbeeld tijdens een beveiligingsincident auditquery's om het toegangspunt van een aanvaller te vinden en hun pad te traceren.
Gebruik Machtigingenbeheer om aangepaste auditquery's te maken en op te slaan die anderen in uw organisatie bekijken. U wordt aangeraden auditquery's te bouwen die overeenkomen met de informatie die uw organisatie regelmatig beoordeelt. Gebruik de volgende diagrammen om aan de slag te gaan.
Notitie
De volgende diagrammen zijn queryvoorbeelden. De exacte structuur is afhankelijk van uw query. Wanneer u aangepaste controlequery's maakt, selecteert u het type autorisatiesysteem en de autorisatiesystemen en mappen waarop u een query wilt uitvoeren.
Toegang tot kritieke resources controleren
Beheerders- en bevoegde accountactiviteit controleren
Gebruik van machtigingen met een hoog risico controleren
Autorisatiefouten controleren
Gebruik van toegangssleutels controleren
Herstelactiviteit voor machtigingenbeheer controleren
Notitie
Als u Microsoft Entra-machtigingsbeheer logboeken wilt opvragen, selecteert u Platform voor het type autorisatiesysteem.
Voor meer informatie over het maken, weergeven, opslaan en gebruiken van aangepaste query's:
- Een aangepaste query maken
- Gebruikersactiviteit filteren en opvragen
- Query's gebruiken om te zien hoe gebruikers toegang krijgen tot informatie
Waarschuwingen configureren voor beveiligingsonderzoeken
U kunt waarschuwingen configureren om uw omgeving continu te bewaken. Ontvang meldingen voor overbelaste accounts, afwijkend machtigingengebruik, mogelijke bedreigingen en serviceonderbrekingen.
Bepaal de waarschuwingen die uw omgeving dienen en wie deze ontvangt. Deze actie biedt een beter inzicht in uw omgeving en maakt een proactievere benadering mogelijk voor het beheren van identiteiten en hun toegang tot resources.
Zie de handleiding Microsoft Entra-machtigingsbeheer waarschuwingen voor meer informatie over waarschuwingstypen en gebruiksscenario's.
Strategieën en playbooks voor waarschuwingsreacties ontwikkelen
Ontwikkel handmatige of geautomatiseerde responsstrategieën en playbooks voor uw geconfigureerde waarschuwingen.
- Bepalen wie op de waarschuwing reageert, waarschijnlijk de ontvanger van de waarschuwing
- Duidelijke herstelstappen maken en opgeven
Bekijk bijvoorbeeld de volgende antwoordstrategie en playbook voor een inactieve gebruikerswaarschuwing.
Voorbeeld van strategie voor handmatige respons
Herstel: wanneer een inactieve gebruiker-waarschuwing wordt geactiveerd, wijst de ontvanger van de waarschuwing de status Alleen-lezen toe en past de ck_exclude_from_reports tags toe op de gebruiker.
Gebruik in het handmatige antwoord Microsoft Entra-machtigingsbeheer hulpprogramma's voor herstel en geef aan dat ontvangers van de waarschuwingen van inactieve gebruikers herstel uitvoeren. De geadresseerden gebruiken Machtigingenbeheer om de status Alleen-lezen toe te wijzen aan de gebruiker. Met deze actie worden de machtigingen van de gebruiker ingetrokken en wordt de status alleen-lezen toegewezen met een klik op een knop.
Een ontvanger past de ck_exclude_from_reports tags toe op de gebruiker. Met deze tag wordt de gebruiker uit het rapport Permissions Analytics verwijderd, dus deze wordt niet uitgelicht als een inactieve gebruiker.
Voorbeeld van een strategie voor geautomatiseerde reacties
Herstel: wanneer een waarschuwing voor inactieve gebruikers wordt geactiveerd, wordt de gebruiker verwijderd door Microsoft Power Automate, een hulpprogramma voor het maken van stromen voor cloud-, bureaublad- en bedrijfsprocessen.
Gebruik Power Automate voor geautomatiseerde reacties op inactieve gebruikerswaarschuwingen. Maak bijvoorbeeld een stroom waarmee inactieve gebruikers worden verwijderd nadat een e-mailbericht van Permissions Management inactiviteit aangeeft.