Przewodnik po operacjach zabezpieczeń firmy Microsoft dla aplikacji
Aplikacje mają obszar ataków na naruszenia zabezpieczeń i muszą być monitorowane. Chociaż nie są stosowane tak często, jak konta użytkowników, mogą wystąpić naruszenia. Ponieważ aplikacje często działają bez interwencji człowieka, ataki mogą być trudniejsze do wykrycia.
Ten artykuł zawiera wskazówki dotyczące monitorowania i zgłaszania alertów dotyczących zdarzeń aplikacji. Jest ona regularnie aktualizowana, aby zapewnić, że:
Zapobieganie uzyskiwaniu nieuzasadnionego dostępu do danych przez złośliwe aplikacje
Zapobieganie naruszeniom zabezpieczeń aplikacji przez złych aktorów
Zbieranie szczegółowych informacji umożliwiających tworzenie i konfigurowanie nowych aplikacji w sposób bezpieczniejszy
Jeśli nie znasz sposobu działania aplikacji w usłudze Microsoft Entra ID, zobacz Aplikacje i jednostki usługi w identyfikatorze Entra firmy Microsoft.
Uwaga
Jeśli jeszcze nie przejrzeno przeglądu operacji zabezpieczeń firmy Microsoft Entra, rozważ to teraz.
Czego szukać
Podczas monitorowania dzienników aplikacji pod kątem zdarzeń zabezpieczeń zapoznaj się z poniższą listą, aby ułatwić odróżnienie normalnego działania od złośliwych działań. Następujące zdarzenia mogą wskazywać na obawy dotyczące bezpieczeństwa. Każdy z nich jest opisany w artykule.
Wszelkie zmiany występujące poza normalnymi procesami biznesowymi i harmonogramami
Zmiany poświadczeń aplikacji
Uprawnienia aplikacji
Jednostka usługi przypisana do identyfikatora Entra firmy Microsoft lub roli kontroli dostępu na podstawie ról (RBAC) platformy Azure
Aplikacje z uprawnieniami o wysokim poziomie uprawnień
Zmiany usługi Azure Key Vault
Użytkownik końcowy udzielając zgody na aplikacje
Zatrzymano zgodę użytkownika końcowego na podstawie poziomu ryzyka
Zmiany konfiguracji aplikacji
Identyfikator zasobu uniwersalnego (URI) został zmieniony lub niestandardowy
Zmiany właścicieli aplikacji
Zmodyfikowane adresy URL wylogowywane
Gdzie szukać
Pliki dziennika używane do badania i monitorowania to:
W witrynie Azure Portal możesz wyświetlić dzienniki inspekcji firmy Microsoft Entra i pobrać je jako pliki wartości rozdzielane przecinkami (CSV) lub JavaScript Object Notation (JSON). Witryna Azure Portal oferuje kilka sposobów integrowania dzienników firmy Microsoft z innymi narzędziami, które umożliwiają większą automatyzację monitorowania i zgłaszania alertów:
Microsoft Sentinel — umożliwia inteligentną analizę zabezpieczeń na poziomie przedsiębiorstwa dzięki możliwościom zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Reguły Sigma — Sigma to rozwijający się otwarty standard pisania reguł i szablonów, za pomocą których zautomatyzowane narzędzia do zarządzania mogą służyć do analizowania plików dziennika. Jeśli istnieją szablony Sigma dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Szablony Sigma nie są pisane, testowane i zarządzane przez firmę Microsoft. Zamiast tego repozytorium i szablony są tworzone i zbierane przez społeczność zabezpieczeń IT na całym świecie.
Azure Monitor — automatyczne monitorowanie i zgłaszanie alertów o różnych warunkach. Może tworzyć skoroszyty lub używać ich do łączenia danych z różnych źródeł.
Usługa Azure Event Hubs zintegrowana z dziennikami SIEM- firmy Microsoft Entra może być zintegrowana z innymi rozwiązaniami SIEM, takimi jak Splunk, ArcSight, QRadar i Sumo Logic za pośrednictwem integracji z usługą Azure Event Hubs.
aplikacje Microsoft Defender dla Chmury — odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz sprawdzanie zgodności aplikacji w chmurze.
Zabezpieczanie tożsamości obciążeń za pomocą usługi Identity Protection w wersji zapoznawczej — wykrywa ryzyko związane z tożsamościami obciążeń w ramach zachowania logowania i wskaźników naruszenia zabezpieczeń w trybie offline.
Większość monitorów i alertów jest skutkiem zasad dostępu warunkowego. Możesz użyć skoroszytu szczegółowych informacji o dostępie warunkowym i raportowania , aby sprawdzić wpływ co najmniej jednej zasady dostępu warunkowego na logowania oraz wyniki zasad, w tym stanu urządzenia. Użyj skoroszytu, aby wyświetlić podsumowanie i zidentyfikować efekty w danym okresie. Możesz użyć skoroszytu, aby zbadać logowania określonego użytkownika.
W pozostałej części tego artykułu zalecamy monitorowanie i alerty. Jest ona zorganizowana według typu zagrożenia. Jeśli istnieją wstępnie utworzone rozwiązania, łączymy się z nimi lub udostępniamy przykłady po tabeli. W przeciwnym razie można tworzyć alerty przy użyciu poprzednich narzędzi.
Poświadczenia aplikacji
Wiele aplikacji używa poświadczeń do uwierzytelniania w identyfikatorze Entra firmy Microsoft. Wszelkie inne poświadczenia dodane poza oczekiwanymi procesami mogą być złośliwym aktorem używającym tych poświadczeń. Zalecamy używanie certyfikatów X509 wystawionych przez zaufane urzędy lub tożsamości zarządzane zamiast używania wpisów tajnych klienta. Jeśli jednak musisz używać wpisów tajnych klienta, postępuj zgodnie z dobrymi praktykami higienicznymi, aby zapewnić bezpieczeństwo aplikacji. Należy pamiętać, że aktualizacje aplikacji i jednostki usługi są rejestrowane jako dwa wpisy w dzienniku inspekcji.
Monitoruj aplikacje w celu identyfikowania długich czasów wygaśnięcia poświadczeń.
Zastąp długotrwałe poświadczenia krótkim okresem życia. Upewnij się, że poświadczenia nie są zatwierdzane w repozytoriach kodu i są przechowywane bezpiecznie.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Dodano poświadczenia do istniejących aplikacji | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Katalog Service-Core, Category-ApplicationManagement Działanie: Aktualizowanie zarządzania certyfikatami aplikacji i wpisami tajnymi — i — Działanie: Aktualizowanie jednostki usługi/aktualizowanie aplikacji |
Alert, gdy poświadczenia są: dodawane poza normalnymi godzinami pracy lub przepływami pracy, typów, które nie są używane w danym środowisku, lub dodawane do przepływu bez protokołu SAML obsługującego jednostkę usługi. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Poświadczenia z okresem istnienia dłuższym niż są dozwolone zasady. | Śred. | Microsoft Graph | Stan i data zakończenia poświadczeń klucza aplikacji — i — Poświadczenia hasła aplikacji |
Za pomocą interfejsu API programu MS Graph można znaleźć datę rozpoczęcia i zakończenia poświadczeń oraz ocenić dłuższe niż dozwolone okresy istnienia. Zobacz skrypt programu PowerShell poniżej tej tabeli. |
Dostępne są następujące wstępnie utworzone monitorowanie i alerty:
Microsoft Sentinel — alert po dodaniu nowych poświadczeń jednostki aplikacji lub usługi
Azure Monitor — skoroszyt firmy Microsoft Entra, który pomaga ocenić ryzyko solorigate — Społeczność techniczna firmy Microsoft
Defender dla Chmury Apps — przewodnik badania alertów wykrywania anomalii w usłudze Defender dla Chmury Apps
PowerShell — przykładowy skrypt programu PowerShell umożliwiający znalezienie okresu istnienia poświadczeń.
Uprawnienia aplikacji
Podobnie jak konto administratora, aplikacje mogą mieć przypisane role uprzywilejowane. Do aplikacji można przypisać role firmy Microsoft Entra, takie jak globalny Administracja istrator lub role RBAC platformy Azure, takie jak właściciel subskrypcji. Ze względu na to, że mogą działać bez użytkownika i jako usługa w tle, należy uważnie monitorować, kiedy aplikacja otrzymuje wysoce uprzywilejowaną rolę lub uprawnienia.
Jednostka usługi przypisana do roli
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Aplikacja przypisana do roli RBAC platformy Azure lub roli Microsoft Entra | Wysoki do średni | Dzienniki inspekcji usługi Microsoft Entra | Typ: jednostka usługi Działanie: "Dodaj członka do roli" lub "Dodaj uprawnionego członka do roli" — lub — "Dodaj członka o określonym zakresie do roli". |
W przypadku ról o wysokim poziomie uprawnień, takich jak globalny Administracja istrator, ryzyko jest wysokie. W przypadku niższych ról uprzywilejowanych ryzyko jest średnie. Alert za każdym razem, gdy aplikacja zostanie przypisana do roli platformy Azure lub roli Firmy Microsoft Entra poza normalnymi procedurami zarządzania zmianami lub konfiguracji. Szablon usługi Microsoft Sentinel Reguły Sigma |
Aplikacja przyznała uprawnienia o wysokim poziomie uprawnień
Aplikacje powinny przestrzegać zasady najniższych uprawnień. Zbadaj uprawnienia aplikacji, aby upewnić się, że są potrzebne. Możesz utworzyć raport udzielania zgody aplikacji, aby ułatwić identyfikowanie aplikacji i wyróżnianie uprawnień uprzywilejowanych.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Aplikacja przyznała wysoce uprzywilejowane uprawnienia, takie jak uprawnienia z parametrem ". Wszystkie" (Directory.ReadWrite.All) lub szerokie uprawnienia (Poczta). | Wys. | Dzienniki inspekcji usługi Microsoft Entra | "Dodawanie przypisania roli aplikacji do jednostki usługi", -Gdzie- Obiekty docelowe identyfikują interfejs API z danymi poufnymi (takimi jak Program Microsoft Graph) — i — AppRole.Value identyfikuje uprawnienie aplikacji o wysokim poziomie uprawnień (rola aplikacji). |
Aplikacje przyznały szerokie uprawnienia, takie jak ". Wszystkie" (Directory.ReadWrite.All) lub szerokie uprawnienia (Poczta). Szablon usługi Microsoft Sentinel Reguły Sigma |
| Administracja istrator udziela uprawnień aplikacji (ról aplikacji) lub uprawnień delegowanych z wysokimi uprawnieniami uprzywilejowanym | Wys. | Portal platformy Microsoft 365 | "Dodawanie przypisania roli aplikacji do jednostki usługi", -Gdzie- Obiekty docelowe identyfikują interfejs API z danymi poufnymi (takimi jak Program Microsoft Graph) "Dodaj przyznawanie uprawnień delegowanych", -Gdzie- Obiekty docelowe identyfikują interfejs API z danymi poufnymi (takimi jak Program Microsoft Graph) — i — DelegatedPermissionGrant.Scope obejmuje uprawnienia o wysokim poziomie uprawnień. |
Alert, gdy administrator globalny, administrator aplikacji lub administrator aplikacji w chmurze wyraża zgodę na aplikację. Szczególnie poszukaj zgody poza normalną aktywność i procedury zmiany. Szablon usługi Microsoft Sentinel Szablon usługi Microsoft Sentinel Szablon usługi Microsoft Sentinel Reguły Sigma |
| Aplikacja ma przyznane uprawnienia dla programu Microsoft Graph, Programu Exchange, programu SharePoint lub identyfikatora entra firmy Microsoft. | Wys. | Dzienniki inspekcji usługi Microsoft Entra | "Dodawanie delegowanego udzielenia uprawnień" — lub — "Dodawanie przypisania roli aplikacji do jednostki usługi", -Gdzie- Obiekty docelowe identyfikują interfejs API z danymi poufnymi (takimi jak Microsoft Graph, Exchange Online itd.) |
Alert jak w poprzednim wierszu. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Uprawnienia aplikacji (role aplikacji) dla innych interfejsów API są przyznawane | Śred. | Dzienniki inspekcji usługi Microsoft Entra | "Dodawanie przypisania roli aplikacji do jednostki usługi", -Gdzie- Obiekty docelowe identyfikują inne interfejsy API. |
Alert jak w poprzednim wierszu. Reguły Sigma |
| Uprawnienia delegowane o wysokim poziomie uprawnień są przyznawane w imieniu wszystkich użytkowników | Wys. | Dzienniki inspekcji usługi Microsoft Entra | "Dodaj przyznawanie uprawnień delegowanych", gdzie obiekty docelowe identyfikują interfejs API z danymi poufnymi (takimi jak Microsoft Graph), DelegatedPermissionGrant.Scope obejmuje uprawnienia o wysokim poziomie uprawnień, — i — DelegatedPermissionGrant.ConsentType to "AllPrincipals". |
Alert jak w poprzednim wierszu. Szablon usługi Microsoft Sentinel Szablon usługi Microsoft Sentinel Szablon usługi Microsoft Sentinel Reguły Sigma |
Aby uzyskać więcej informacji na temat monitorowania uprawnień aplikacji, zobacz ten samouczek: Badanie i korygowanie ryzykownych aplikacji OAuth.
Azure Key Vault
Użyj usługi Azure Key Vault do przechowywania wpisów tajnych dzierżawy. Zalecamy zwrócenie uwagi na wszelkie zmiany w konfiguracji i działaniach usługi Key Vault.
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Jak i kiedy uzyskujesz dostęp do usługi Key Vault i przez kogo | Śred. | Dzienniki usługi Azure Key Vault | Typ zasobu: Magazyny kluczy | Poszukaj: dowolny dostęp do usługi Key Vault poza zwykłymi procesami i godzinami, wszelkie zmiany listy ACL usługi Key Vault. Szablon usługi Microsoft Sentinel Reguły Sigma |
Po skonfigurowaniu usługi Azure Key Vault włącz rejestrowanie. Zobacz , jak i kiedy uzyskujesz dostęp do usługi Key Vault, i skonfiguruj alerty w usłudze Key Vault, aby powiadamiać przypisanych użytkowników lub listy dystrybucyjne za pośrednictwem poczty e-mail, telefonu, tekstu lub powiadomienia usługi Event Grid , jeśli ma to wpływ na kondycję. Ponadto skonfigurowanie monitorowania za pomocą szczegółowych informacji usługi Key Vault zapewnia migawkę żądań usługi Key Vault, wydajności, awarii i opóźnień. Usługa Log Analytics zawiera również kilka przykładowych zapytań dotyczących usługi Azure Key Vault, do których można uzyskać dostęp po wybraniu usługi Key Vault, a następnie w obszarze "Monitorowanie" wybierz pozycję "Dzienniki".
Zgoda użytkownika końcowego
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Zgoda użytkownika końcowego na aplikację | Niski | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Zgoda na aplikację/ConsentContext.Is Administracja Consent = false | Wyszukaj: konta o wysokim poziomie lub wysoce uprzywilejowane, aplikacja żąda uprawnień wysokiego ryzyka, aplikacji z podejrzanymi nazwami, na przykład ogólnych, błędnie napisanych itp. Szablon usługi Microsoft Sentinel Reguły Sigma |
Czynność wyrażania zgody na aplikację nie jest złośliwa. Zbadaj jednak, czy nowe zgody użytkownika końcowego szukają podejrzanych aplikacji. Można ograniczyć operacje zgody użytkownika.
Aby uzyskać więcej informacji na temat operacji wyrażania zgody, zobacz następujące zasoby:
Zarządzanie zgodą na aplikacje i ocenianie żądań zgody w identyfikatorze Entra firmy Microsoft
Wykrywanie i korygowanie nielegalnych dotacji zgody — Office 365
Podręcznik reagowania na zdarzenia — badanie zgody aplikacji
Użytkownik końcowy został zatrzymany z powodu zgody opartej na ryzyku
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Zgoda użytkownika końcowego została zatrzymana z powodu zgody opartej na ryzyku | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Katalog podstawowy/aplikacjaZarządzanie/ Zgoda na aplikację Przyczyna stanu błędu = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Monitorowanie i analizowanie zgody w dowolnym momencie jest zatrzymywane z powodu ryzyka. Wyszukaj: konta z wysokim poziomem uprawnień lub wysoce uprzywilejowane, aplikacja żąda uprawnień wysokiego ryzyka lub aplikacji o podejrzanych nazwach, na przykład ogólnych, błędnie napisanych itp. Szablon usługi Microsoft Sentinel Reguły Sigma |
Przepływy uwierzytelniania aplikacji
Istnieje kilka przepływów w protokole OAuth 2.0. Zalecany przepływ aplikacji zależy od typu tworzonej aplikacji. W niektórych przypadkach istnieje wybór przepływów dostępnych dla aplikacji. W tym przypadku niektóre przepływy uwierzytelniania są zalecane przez inne. W szczególności należy unikać poświadczeń hasła właściciela zasobu (ROPC), ponieważ wymagają one od użytkownika ujawnienia bieżących poświadczeń hasła aplikacji. Następnie aplikacja używa poświadczeń do uwierzytelniania użytkownika względem dostawcy tożsamości. Większość aplikacji powinna używać przepływu kodu uwierzytelniania lub przepływu kodu uwierzytelniania z kluczem dowodowym dla programu Code Exchange (PKCE), ponieważ ten przepływ jest zalecany.
Jedynym scenariuszem sugerowanym przez ropc jest automatyczne testowanie aplikacji. Aby uzyskać szczegółowe informacje, zobacz Uruchamianie testów automatycznej integracji.
Przepływ kodu urządzenia to kolejny przepływ protokołu OAuth 2.0 dla urządzeń z ograniczonymi danymi wejściowymi i nie jest używany we wszystkich środowiskach. Gdy przepływ kodu urządzenia jest wyświetlany w środowisku i nie jest używany w scenariuszu urządzenia z ograniczonymi danymi wejściowymi. Więcej badań jest uzasadnione dla błędnie skonfigurowanej aplikacji lub potencjalnie coś złośliwego. Przepływ kodu urządzenia może być również blokowany lub dozwolony w dostępie warunkowym. Aby uzyskać szczegółowe informacje, zobacz Przepływy uwierzytelniania dostępu warunkowego.
Monitorowanie uwierzytelniania aplikacji przy użyciu następującej formacji:
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Aplikacje korzystające z przepływu uwierzytelniania ROPC | Śred. | Dziennik logowania firmy Microsoft Entra | Status=Powodzenie Protokół uwierzytelniania ROPC |
Wysoki poziom zaufania jest umieszczany w tej aplikacji, ponieważ poświadczenia mogą być buforowane lub przechowywane. Przenieś, jeśli to możliwe, do bezpieczniejszego przepływu uwierzytelniania. Powinno to być używane tylko w zautomatyzowanym testowaniu aplikacji, jeśli w ogóle. Aby uzyskać więcej informacji, zobacz Platforma tożsamości Microsoft i poświadczenia hasła właściciela zasobu OAuth 2.0 Reguły Sigma |
| Aplikacje korzystające z przepływu kodu urządzenia | Niski do średni | Dziennik logowania firmy Microsoft Entra | Status=Powodzenie Kod protokołu uwierzytelniania urządzenia |
Przepływy kodu urządzenia są używane do urządzeń z ograniczonymi danymi wejściowymi, które mogą nie znajdować się we wszystkich środowiskach. Jeśli pojawią się pomyślne przepływy kodu urządzenia bez konieczności ich używania, zbadaj poprawność. Aby uzyskać więcej informacji, zobacz Platforma tożsamości Microsoft i przepływ udzielania autoryzacji urządzenia OAuth 2.0 Reguły Sigma |
Zmiany konfiguracji aplikacji
Monitorowanie zmian w konfiguracji aplikacji. W szczególności konfiguracja zmienia się na jednolity identyfikator zasobu (URI), własność i adres URL wylogowywania.
Zwisające zmiany identyfikatora URI i identyfikatora URI przekierowania
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Zwisanie identyfikatora URI | Wys. | Dzienniki firmy Microsoft i rejestracja aplikacji | Katalog Service-Core, Category-ApplicationManagement Działanie: Aktualizowanie aplikacji Success — nazwa właściwości AppAddress |
Na przykład poszukaj zwisających identyfikatorów URI wskazujących nazwę domeny, która już nie istnieje lub nie jest jawnie właścicielem. Szablon usługi Microsoft Sentinel Reguły Sigma |
| Zmiany konfiguracji identyfikatora URI przekierowania | Wys. | Dzienniki usługi Microsoft Entra | Katalog Service-Core, Category-ApplicationManagement Działanie: Aktualizowanie aplikacji Success — nazwa właściwości AppAddress |
Poszukaj identyfikatorów URI, które nie używają protokołu HTTPS*, identyfikatorów URI z symbolami wieloznacznymi na końcu lub domeny adresu URL, identyfikatorów URI, które nie są unikatowe dla aplikacji, identyfikatory URI wskazujące domenę, której nie kontrolujesz. Szablon usługi Microsoft Sentinel Reguły Sigma |
Alert po wykryciu tych zmian.
Identyfikator URI appID został dodany, zmodyfikowany lub usunięty
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Zmiany identyfikatora URI identyfikatora AppID | Wys. | Dzienniki usługi Microsoft Entra | Katalog Service-Core, Category-ApplicationManagement Działanie: Aktualizowanie Aplikacja Działanie: Aktualizowanie jednostki usługi |
Wyszukaj wszelkie modyfikacje identyfikatora URI identyfikatora AppID, takie jak dodawanie, modyfikowanie lub usuwanie identyfikatora URI. Szablon usługi Microsoft Sentinel Reguły Sigma |
Alert po wykryciu tych zmian poza zatwierdzonymi procedurami zarządzania zmianami.
Nowy właściciel
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Zmiany własności aplikacji | Śred. | Dzienniki usługi Microsoft Entra | Katalog Service-Core, Category-ApplicationManagement Działanie: Dodawanie właściciela do aplikacji |
Poszukaj dowolnego wystąpienia użytkownika dodawanego jako właściciel aplikacji poza normalnymi działaniami zarządzania zmianami. Szablon usługi Microsoft Sentinel Reguły Sigma |
Adres URL wylogowywania został zmodyfikowany lub usunięty
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Zmiany w adresie URL wylogowywania | Niski | Dzienniki usługi Microsoft Entra | Katalog Service-Core, Category-ApplicationManagement Działanie: Aktualizowanie aplikacji — i — Działanie: Aktualizowanie jednostki usługi |
Wyszukaj wszelkie modyfikacje adresu URL wylogowywania. Puste wpisy lub wpisy do nieistniejących lokalizacji uniemożliwiłyby użytkownikowi zakończenie sesji. Szablon usługi Microsoft Sentinel Reguły Sigma |
Zasoby
GitHub Microsoft Entra toolkit — https://github.com/microsoft/AzureADToolkit
Omówienie zabezpieczeń i wskazówki dotyczące zabezpieczeń usługi Azure Key Vault — omówienie zabezpieczeń usługi Azure Key Vault
Solorgate informacji o ryzyku i narzędzia — skoroszyt firmy Microsoft Entra ułatwiający dostęp do ryzyka Solorigate
Wskazówki dotyczące wykrywania ataków OAuth — nietypowe dodawanie poświadczeń do aplikacji OAuth
Microsoft Entra monitoring configuration information for SIEMs — Partner tools with Azure Monitor integration (Informacje o konfiguracji monitorowania firmy Microsoft dla programu SIEM — narzędzia partnerskie z integracją usługi Azure Monitor)
Następne kroki
Omówienie operacji zabezpieczeń firmy Microsoft Entra
Operacje zabezpieczeń dla kont użytkowników
Operacje zabezpieczeń dla kont konsumentów
Operacje zabezpieczeń dla kont uprzywilejowanych
Operacje zabezpieczeń dla usługi Privileged Identity Management