Werkmap met een rapport over gevoelige bewerkingen
Als IT-beheerder moet u compromissen in uw omgeving kunnen identificeren om ervoor te zorgen dat u deze in een goede staat kunt houden.
Deze werkmap met gevoelige bewerkingen is bedoeld als hulp bij het identificeren van verdachte activiteiten bij toepassingen en service-principals, die mogelijk duiden op een inbreuk in uw omgeving.
Dit artikel bevat een overzicht van de werkmap Gevoelige bewerkingenrapport .
Vereisten
Als u Azure Workbooks voor Microsoft Entra ID wilt gebruiken, hebt u het volgende nodig:
- Een Microsoft Entra-tenant met een Premium P1-licentie
- Een Log Analytics-werkruimte en toegang tot die werkruimte
- De juiste rollen voor Azure Monitor en Microsoft Entra-id
Log Analytics-werkruimte
U moet een Log Analytics-werkruimtemaken voordat u Microsoft Entra-werkmappen kunt gebruiken. verschillende factoren bepalen de toegang tot Log Analytics-werkruimten. U hebt de juiste rollen nodig voor de werkruimte en de resources die de gegevens verzenden.
Zie Toegang tot Log Analytics-werkruimten beheren voor meer informatie.
Azure Monitor-rollen
Azure Monitor biedt twee ingebouwde rollen voor het weergeven van bewakingsgegevens en het bewerken van bewakingsinstellingen. Op rollen gebaseerd toegangsbeheer van Azure (RBAC) biedt ook twee ingebouwde Log Analytics-rollen die vergelijkbare toegang verlenen.
Weergave:
- Lezer voor bewaking
- Lezer van Log Analytics
Instellingen weergeven en wijzigen:
- Bijdrager voor bewaking
- Inzender van Log Analytics
Microsoft Entra-rollen
Met alleen-lezentoegang kunt u logboekgegevens van Microsoft Entra ID weergeven in een werkmap, gegevens opvragen uit Log Analytics of logboeken lezen in het Microsoft Entra-beheercentrum. Met updatetoegang kunt u diagnostische instellingen maken en bewerken om Microsoft Entra-gegevens naar een Log Analytics-werkruimte te verzenden.
Lezen:
- Rapportenlezer
- Beveiligingslezer
- Algemene lezer
Bijwerken:
- Beveiligingsbeheer
Zie Ingebouwde Microsoft Entra-rollen voor meer informatie over ingebouwde Microsoft Entra-rollen.
Zie ingebouwde Azure-rollen voor meer informatie over de Log Analytics RBAC-rollen.
Beschrijving
Deze werkmap identificeert recente gevoelige bewerkingen die zijn uitgevoerd in uw tenant en die mogelijk inbreuk maken op de service-principal.
Als uw organisatie geen toegang heeft tot Azure Monitor-werkmappen, moet u uw Microsoft Entra-aanmeldings- en auditlogboeken integreren met Azure Monitor voordat u toegang krijgt tot de werkmap. Met deze integratie kunt u uw logboeken opslaan en er query's op uitvoeren en deze visualiseren met behulp van werkmappen voor maximaal twee jaar. Alleen aanmeldings- en controlegebeurtenissen die zijn gemaakt nadat Azure Monitor-integratie is opgeslagen, zodat de werkmap geen inzichten bevat vóór die datum. Meer informatie over de vereisten voor Azure Monitor-werkmappen voor Microsoft Entra-id. Als u uw Microsoft Entra-aanmeldings- en auditlogboeken eerder hebt geïntegreerd met Azure Monitor, kunt u de werkmap gebruiken om eerdere gegevens te evalueren.
Toegang krijgen tot de werkmap
Meld u aan bij het Microsoft Entra-beheercentrum met behulp van de juiste combinatie van rollen.
Blader naar Werkmappen voor identiteitsbewaking>en -status>.
Selecteer de werkmap Gevoelige bewerkingenrapport in de sectie Problemen oplossen .
Secties
Deze werkmap is onderverdeeld in vier secties:
Toepassings- en service-principalreferenties/verificatiemethoden gewijzigd: dit rapport markeert actoren die onlangs veel referenties voor de service-principal hebben gewijzigd en hoeveel van elk type referenties voor de service-principal zijn gewijzigd.
Nieuwe machtigingen die zijn verleend aan service-principals: in deze werkmap worden ook de onlangs verleende OAuth 2.0-machtigingen voor service-principals gemarkeerd.
Updates van maprollen en het groepslidmaatschap voor service-principals
Gewijzigde federatie-instellingen: dit rapport markeert wanneer een gebruiker of toepassing federatie-instellingen wijzigt in een domein. Er wordt bijvoorbeeld gerapporteerd wanneer een nieuw Active Directory Federated Service (ADFS) TrustedRealm-object, zoals een handtekeningcertificaat, wordt toegevoegd aan het domein. Er zouden slechts weinig wijzigingen moeten worden aangebracht aan de domeinfederatie-instellingen.
Aangepaste referenties/verificatiemethoden voor toepassingen en service-principals
Een van de meest voorkomende manieren waarop aanvallers kunnen binnendringen in de omgeving is nieuwe referenties toe te voegen aan bestaande toepassingen en service-principals. Met de referenties kan de aanvaller zich verifiëren als de doeltoepassing of service-principal, waardoor deze toegang verleent tot alle resources waarvoor de aanvaller machtigingen heeft.
Deze sectie bevat de volgende gegevens om u te helpen bij het detecteren:
alle nieuwe referenties die zijn toegevoegd aan apps en service-principals, inclusief het referentietype
Belangrijkste actoren en het aantal wijzigingen aan referenties dat ze hebben uitgevoerd
een tijdlijn voor alle referentiewijzigingen
nieuwe machtigingen verleend aan service-principals
In gevallen waarin de aanvaller geen service-principal of een toepassing kan vinden met een set met hoge bevoegdheden waarmee toegang kan worden verleend, proberen ze vaak de machtigingen toe te voegen aan een andere service-principal of app.
Deze sectie bevat een uitsplitsing van de AppOnly-machtigingen die worden verleend aan bestaande service-principals. Beheer s moeten alle gevallen onderzoeken van overmatige hoge machtigingen die worden verleend, met inbegrip van, maar niet beperkt tot, Exchange Online en Microsoft Graph.
Updates van maprollen en het groepslidmaatschap voor service-principals
Overeenkomstig de logica van de aanvaller die nieuwe machtigingen toevoegt aan bestaande service-principals en toepassingen, wordt deze door een andere methode toegevoegd aan bestaande maprollen of groepen.
Deze sectie bevat een overzicht van alle wijzigingen die zijn aangebracht in service-principal lidmaatschappen en moet worden gecontroleerd op eventuele toevoegingen aan rollen en groepen met hoge bevoegdheden.
Gewijzigde federatieve instellingen
Een andere algemene aanpak om een vaste voet te krijgen op lange termijn in de omgeving is:
- de federatieve domeinvertrouwensrelaties van de tenant te wijzigen.
- Voeg nog een SAML IDP toe die wordt beheerd door de aanvaller als een vertrouwde verificatiebron.
Deze sectie bevat de volgende gegevens:
Wijzigingen uitgevoerd in bestaande domein federatievertrouwensrelaties
Toevoeging van nieuwe domeinen en vertrouwensrelaties
Filters
Deze paragraaf bevat de ondersteunde filters voor elke sectie.
Aangepaste referenties/verificatiemethoden voor toepassingen en service-principals
- Tijdsbereik
- Bewerkingsnaam
- Referentie
- Acteur
- Actor uitsluiten
nieuwe machtigingen verleend aan service-principals
- Tijdsbereik
- Client-app
- Bron
Updates van maprollen en groepslidmaatschap voor service-principals
- Tijdsbereik
- Operation
- Gebruiker of app initiëren
Gewijzigde federatieve instellingen
- Tijdsbereik
- Operation
- Gebruiker of app initiëren
Aanbevolen procedures
-
- Gebruik gewijzigde referenties voor toepassingen en service-principals** om te zoeken naar referenties die worden toegevoegd aan service-principals die niet vaak worden gebruikt in uw organisatie. Gebruik de filters die aanwezig zijn in deze sectie om een van de verdachte actoren of service-principals die zijn gewijzigd verder te onderzoeken.
Gebruik nieuwe machtigingen die zijn verleend aan service-principals om te kijken naar brede of overmatige machtigingen die worden toegevoegd aan service-principals door actoren die mogelijk worden aangetast.
Gebruik de sectie aangepaste federatie-instellingen om te bevestigen dat het toegevoegde of gewijzigde doeldomein/DE URL een legitiem beheerdersgedrag is. Acties die de vertrouwensrelaties van de domeinfederatie wijzigen of toevoegen, zijn zeldzaam en moeten worden behandeld met een hoge getrouwheid om zo snel mogelijk te worden onderzocht.