Samouczek: konfigurowanie analizy zabezpieczeń dla danych usługi Azure Active Directory B2C za pomocą usługi Microsoft Sentinel

  • Artykuł

Zwiększ bezpieczeństwo środowiska usługi Azure Active Directory B2C (Azure AD B2C), wysyłając dzienniki routingu i informacje inspekcji do usługi Microsoft Sentinel. Skalowalna usługa Microsoft Sentinel to natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i odpowiedzi (SOAR). Użyj rozwiązania do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia dla Azure AD B2C.

Więcej informacji:

Więcej zastosowań usługi Microsoft Sentinel z Azure AD B2C to:

  • Wykrywanie wcześniej niezakrytych zagrożeń i minimalizowanie wyników fałszywie dodatnich za pomocą funkcji analizy i analizy zagrożeń
  • Badanie zagrożeń za pomocą sztucznej inteligencji (AI)
    • Wyszukiwanie podejrzanych działań na dużą skalę i korzystanie z doświadczenia lat pracy nad cyberbezpieczeństwem w firmie Microsoft
  • Szybkie reagowanie na zdarzenia dzięki wspólnej aranżacji i automatyzacji zadań
  • Spełnianie wymagań dotyczących zabezpieczeń i zgodności organizacji

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Transfer Azure AD dzienników B2C do obszaru roboczego usługi Log Analytics
  • Włączanie usługi Microsoft Sentinel w obszarze roboczym usługi Log Analytics
  • Tworzenie przykładowej reguły w usłudze Microsoft Sentinel w celu wyzwolenia zdarzenia
  • Konfigurowanie automatycznej odpowiedzi

Konfigurowanie usługi Azure AD B2C przy użyciu usługi Azure Monitor Log Analytics

Aby zdefiniować, gdzie są wysyłane dzienniki i metryki dla zasobu,

  1. Włącz ustawienia diagnostyczne w identyfikatorze Microsoft Entra w dzierżawie usługi Azure AD B2C.
  2. Skonfiguruj Azure AD B2C, aby wysyłać dzienniki do usługi Azure Monitor.

Dowiedz się więcej, Monitorowanie Azure AD B2C za pomocą usługi Azure Monitor.

Wdrażanie wystąpienia usługi Microsoft Sentinel

Po skonfigurowaniu wystąpienia usługi Azure AD B2C w celu wysyłania dzienników do usługi Azure Monitor włącz wystąpienie usługi Microsoft Sentinel.

Ważne

Aby włączyć usługę Microsoft Sentinel, uzyskaj uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy usługi Microsoft Sentinel. Aby użyć usługi Microsoft Sentinel, użyj uprawnień Współautor lub Czytelnik w grupie zasobów, do której należy obszar roboczy.

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz subskrypcję, w której jest tworzony obszar roboczy usługi Log Analytics.

  3. Wyszukaj i wybierz pozycję Microsoft Sentinel.

    Zrzut ekranu przedstawiający usługę Azure Sentinel wprowadzoną w polu wyszukiwania i wyświetloną opcję usługi Azure Sentinel.

  4. Wybierz pozycję Dodaj.

  5. W polu Obszary robocze wyszukiwania wybierz nowy obszar roboczy.

    Zrzut ekranu przedstawiający pole obszarów roboczych wyszukiwania w obszarze Wybierz obszar roboczy do dodania do usługi Azure Sentinel.

  6. Wybierz pozycję Dodaj usługę Microsoft Sentinel.

    Uwaga

    Istnieje możliwość uruchomienia usługi Microsoft Sentinel w więcej niż jednym obszarze roboczym, jednak dane są izolowane w jednym obszarze roboczym.
    Zobacz, Szybki start: dołączanie usługi Microsoft Sentinel

Tworzenie reguły usługi Microsoft Sentinel

Po włączeniu usługi Microsoft Sentinel otrzymasz powiadomienie o wystąpieniu podejrzanego zdarzenia w dzierżawie usługi Azure AD B2C.

Możesz utworzyć niestandardowe reguły analizy w celu odnajdywania zagrożeń i nietypowych zachowań w środowisku. Te reguły wyszukują określone zdarzenia lub zestawy zdarzeń i ostrzegają o spełnieniu progów zdarzeń lub warunków. Następnie zdarzenia są generowane na potrzeby badania.

Zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń

Uwaga

Usługa Microsoft Sentinel ma szablony do tworzenia reguł wykrywania zagrożeń, które wyszukują dane pod kątem podejrzanych działań. Na potrzeby tego samouczka utworzysz regułę.

Reguła powiadomień dotycząca nieudanego wymuszonego dostępu

Wykonaj następujące kroki, aby otrzymywać powiadomienie o co najmniej dwóch nieudanych próbach wymuszonego dostępu do środowiska. Przykładem jest atak siłowy.

  1. W usłudze Microsoft Sentinel z menu po lewej stronie wybierz pozycję Analiza.

  2. Na górnym pasku wybierz pozycję + Utwórz>regułę zaplanowanego zapytania.

    Zrzut ekranu przedstawiający opcję Utwórz w obszarze Analiza.

  3. W kreatorze Reguła analizy przejdź do pozycji Ogólne.

  4. W polu Nazwa wprowadź nazwę nieudanych logowań.

  5. W polu Opis wskaż regułę powiadamiającą o co najmniej dwóch nieudanych logowaniu w ciągu 60 sekund.

  6. W obszarze Taktyka wybierz kategorię. Na przykład wybierz pozycję PreAttack.

  7. W obszarze Ważność wybierz poziom ważności.

  8. Stan jest domyślnie włączony . Aby zmienić regułę, przejdź do karty Aktywne reguły .

    Zrzut ekranu przedstawiający tworzenie nowej reguły z opcjami i opcjami.

  9. Wybierz kartę Ustaw logikę reguły .

  10. Wprowadź zapytanie w polu Zapytanie reguły . Przykład zapytania organizuje logowania przy użyciu polecenia UserPrincipalName.

    Zrzut ekranu przedstawiający tekst zapytania w polu Zapytanie reguły w obszarze Ustaw logikę reguły.

  11. Przejdź do pozycji Planowanie zapytań.

  12. W polu Uruchom zapytanie co wprowadź wartość 5 i Minuty.

  13. W polu Dane odnośnika z ostatniego wprowadź wartość 5 i Minuty.

  14. W obszarze Generowanie alertu, gdy liczba wyników zapytania jest większa, wybierz pozycję Jest większa niż i 0.

  15. W obszarze Grupowanie zdarzeń wybierz pozycję Grupuj wszystkie zdarzenia w jeden alert.

  16. W obszarze Zatrzymaj uruchamianie zapytania po wygenerowaniu alertu wybierz pozycję Wyłączone.

  17. Wybierz pozycję Dalej: Ustawienia zdarzenia (wersja zapoznawcza).

Zrzut ekranu przedstawiający opcje i opcje planowania zapytań.

  1. Przejdź do karty Przeglądanie i tworzenie, aby przejrzeć ustawienia reguły.

  2. Po wyświetleniu baneru Walidacja przekazana wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający wybrane ustawienia, baner z przekazywaniem walidacji i opcję Utwórz.

Wyświetl regułę i wygenerowane zdarzenia. Znajdź nowo utworzoną niestandardową regułę typu Zaplanowane w tabeli na karcie Aktywne reguły na głównej karcie

  1. Przejdź do ekranu Analiza .
  2. Wybierz kartę Aktywne reguły .
  3. W tabeli w obszarze Zaplanowane znajdź regułę.

Regułę można edytować, włączać, wyłączać lub usuwać.

Zrzut ekranu przedstawiający aktywne reguły z opcjami Włącz, Wyłącz, Usuń i Edytuj.

Klasyfikowanie, badanie i korygowanie zdarzeń

Zdarzenie może zawierać wiele alertów i jest agregacją odpowiednich dowodów na potrzeby badania. Na poziomie zdarzenia można ustawić właściwości, takie jak Ważność i Stan.

Dowiedz się więcej: Badanie zdarzeń za pomocą usługi Microsoft Sentinel.

  1. Przejdź do strony Zdarzenia .

  2. Wybierz zdarzenie.

  3. Po prawej stronie zostaną wyświetlone szczegółowe informacje o zdarzeniu, w tym ważność, jednostki, zdarzenia i identyfikator zdarzenia.

    Zrzut ekranu przedstawiający informacje o zdarzeniu.

  4. W okienku Zdarzenia wybierz pozycję Wyświetl pełne szczegóły.

  5. Przejrzyj karty, które podsumowują zdarzenie.

    Zrzut ekranu przedstawiający listę zdarzeń.

  6. Wybierz pozycję Linkzdarzeń dowodowych>>do usługi Log Analytics.

  7. W wynikach zobacz wartość tożsamości UserPrincipalName , która próbuje się zalogować.

    Zrzut ekranu przedstawiający szczegóły zdarzenia.

Automatyczna odpowiedź

Usługa Microsoft Sentinel ma funkcje orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR). Dołączanie zautomatyzowanych akcji lub podręcznika do reguł analizy.

Zobacz: Co to jest SOAR?

Email powiadomienie o zdarzeniu

W tym zadaniu użyj podręcznika z repozytorium GitHub usługi Microsoft Sentinel.

  1. Przejdź do skonfigurowanego podręcznika.
  2. Edytuj regułę.
  3. Na karcie Automatyczna odpowiedź wybierz podręcznik.

Dowiedz się więcej: Powiadomienie o zdarzeniach Email

Zrzut ekranu przedstawiający opcje automatycznej odpowiedzi dla reguły.

Zasoby

Aby uzyskać więcej informacji na temat usługi Microsoft Sentinel i Azure AD B2C, zobacz:

Następny krok

Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel