Skoroszyt raportu operacji poufnych

Jako administrator IT musisz mieć możliwość identyfikowania kompromisów w środowisku, aby upewnić się, że można zachować je w dobrej kondycji.

Skoroszyt raportu o operacjach poufnych ma na celu ułatwienie identyfikowania podejrzanej aktywności aplikacji i jednostki usługi, które mogą wskazywać na naruszenia zabezpieczeń w środowisku.

Ten artykuł zawiera omówienie skoroszytu Raport operacji poufnych.

Wymagania wstępne

Aby użyć skoroszytów platformy Azure dla identyfikatora Entra firmy Microsoft, potrzebne są następujące elementy:

• Dzierżawa firmy Microsoft Entra z licencją Premium P1
• Obszar roboczy usługi Log Analytics i dostęp do tego obszaru roboczego
• Odpowiednie role dla usług Azure Monitor i Microsoft Entra ID

Obszar roboczy usługi Log Analytics

Aby móc korzystać ze skoroszytów firmy Microsoft Entra, musisz utworzyć obszar roboczy usługi Log Analytics. kilka czynników określa dostęp do obszarów roboczych usługi Log Analytics. Potrzebne są odpowiednie role dla obszaru roboczego i zasobów wysyłających dane.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do obszarów roboczych usługi Log Analytics.

Role usługi Azure Monitor

Usługa Azure Monitor udostępnia dwie wbudowane role do wyświetlania danych monitorowania i edytowania ustawień monitorowania. Kontrola dostępu oparta na rolach (RBAC) na platformie Azure udostępnia również dwie wbudowane role usługi Log Analytics, które udzielają podobnego dostępu.

• Wyświetl:

  • Czytelnik monitorowania
  • Czytelnik usługi Log Analytics

• Wyświetlanie i modyfikowanie ustawień:

  • Współautor monitorowania
  • Współautor usługi Log Analytics

Role Microsoft Entra

Dostęp tylko do odczytu umożliwia wyświetlanie danych dziennika usługi Microsoft Entra ID w skoroszycie, wykonywanie zapytań o dane z usługi Log Analytics lub odczytywanie dzienników w centrum administracyjnym firmy Microsoft Entra. Dostęp do aktualizacji dodaje możliwość tworzenia i edytowania ustawień diagnostycznych w celu wysyłania danych firmy Microsoft Entra do obszaru roboczego usługi Log Analytics.

• Odczyt:

  • Czytelnik raportów
  • Czytelnik zabezpieczeń
  • Czytelnik globalny

• Aktualizacja:

  • Administrator zabezpieczeń

Aby uzyskać więcej informacji na temat wbudowanych ról firmy Microsoft, zobacz Microsoft Entra wbudowane role.

Aby uzyskać więcej informacji na temat ról RBAC usługi Log Analytics, zobacz Role wbudowane platformy Azure.

opis

Ten skoroszyt identyfikuje ostatnie poufne operacje, które zostały wykonane w dzierżawie i które mogą naruszyć bezpieczeństwo jednostki usługi.

Jeśli Twoja organizacja jest nowym użytkownikiem skoroszytów usługi Azure Monitor, musisz zintegrować dzienniki logowania i inspekcji firmy Microsoft z usługą Azure Monitor przed uzyskaniem dostępu do skoroszytu. Ta integracja umożliwia przechowywanie i wykonywanie zapytań oraz wizualizowanie dzienników przy użyciu skoroszytów przez maksymalnie dwa lata. Przechowywane są tylko zdarzenia logowania i inspekcji utworzone po integracji usługi Azure Monitor, więc skoroszyt nie będzie zawierać szczegółowych informacji przed tą datą. Dowiedz się więcej o wymaganiach wstępnych dotyczących skoroszytów usługi Azure Monitor dla identyfikatora Entra firmy Microsoft. Jeśli wcześniej zintegrowaliśmy dzienniki logowania i inspekcji firmy Microsoft z usługą Azure Monitor, możesz użyć skoroszytu, aby ocenić wcześniejsze informacje.

Jak uzyskać dostęp do skoroszytu

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu odpowiedniej kombinacji ról.

2. Przejdź do skoroszytów monitorowania tożsamości>i kondycji.>

3. Wybierz skoroszyt Raport operacji poufnych w sekcji Rozwiązywanie problemów.

Sekcje

Ten skoroszyt jest podzielony na cztery sekcje:

• Zmodyfikowano poświadczenia aplikacji i jednostki usługi/metody uwierzytelniania — ten raport oznacza aktorów, którzy ostatnio zmienili wiele poświadczeń jednostki usługi i ile z każdego typu poświadczeń jednostki usługi zostało zmienionych.

• Nowe uprawnienia przyznane jednostkom usługi — ten skoroszyt wyróżnia również niedawno przyznane uprawnienia OAuth 2.0 do jednostek usługi.

• Aktualizacje roli katalogu i członkostwa w grupach dla jednostek usługi

• Zmodyfikowane ustawienia federacji — ten raport jest wyróżniany, gdy użytkownik lub aplikacja modyfikuje ustawienia federacji w domenie. Na przykład raportuje, gdy do domeny zostanie dodany nowy obiekt TrustedRealm usługi Federacyjnej (ADFS) usługi Federacyjnej (ADFS), taki jak certyfikat podpisywania. Modyfikacja ustawień federacji domeny powinna być rzadka.

Zmodyfikowana aplikacja i poświadczenia jednostki usługi/metody uwierzytelniania

Jednym z najpopularniejszych sposobów na uzyskanie trwałości w środowisku przez osoby atakujące jest dodanie nowych poświadczeń do istniejących aplikacji i jednostek usługi. Poświadczenia umożliwiają atakującemu uwierzytelnienie się jako docelowa aplikacja lub jednostka usługi, udzielając im dostępu do wszystkich zasobów, do których ma uprawnienia.

Ta sekcja zawiera następujące dane ułatwiające wykrywanie:

• Wszystkie nowe poświadczenia dodane do aplikacji i jednostek usługi, w tym typ poświadczeń

• Najważniejsze aktorzy i liczba modyfikacji poświadczeń, które wykonali

• Oś czasu dla wszystkich zmian poświadczeń

Nowe uprawnienia przyznane jednostkom usługi

W przypadkach, gdy osoba atakująca nie może znaleźć jednostki usługi lub aplikacji z wysokim zestawem uprawnień, za pomocą którego można uzyskać dostęp, często próbuje dodać uprawnienia do innej jednostki usługi lub aplikacji.

Ta sekcja zawiera podział uprawnień AppOnly udzielanych istniejącym jednostkom usługi. Administracja należy zbadać wszelkie wystąpienia nadmiernie wysokich uprawnień, w tym, ale nie tylko, usługi Exchange Online i programu Microsoft Graph.

Aktualizacje roli katalogu i członkostwa w grupach dla jednostek usługi

Zgodnie z logiką osoby atakującej dodanie nowych uprawnień do istniejących jednostek usługi i aplikacji inna metoda polega na dodaniu ich do istniejących ról katalogu lub grup.

Ta sekcja zawiera omówienie wszystkich zmian wprowadzonych w członkostwie jednostki usługi i należy je przejrzeć pod kątem dodatków do ról i grup o wysokim poziomie uprawnień.

Zmodyfikowane ustawienia federacji

Innym typowym podejściem do uzyskania długoterminowego przyczółka w środowisku jest:

• Zmodyfikuj relacje zaufania domeny federacyjnej dzierżawy.
• Dodaj innego dostawcę tożsamości SAML kontrolowanego przez osobę atakującą jako zaufane źródło uwierzytelniania.

Ta sekcja zawiera następujące dane:

• Zmiany wprowadzone w istniejących relacjach zaufania federacji domeny

• Dodawanie nowych domen i relacji zaufania

Filtry

Ten akapit zawiera listę obsługiwanych filtrów dla każdej sekcji.

Zmodyfikowane poświadczenia aplikacji i jednostki usługi/metody uwierzytelniania

• Zakres czasu
• Nazwa operacji
• Referencje
• Aktor
• Wyklucz aktora

Nowe uprawnienia przyznane jednostkom usługi

• Zakres czasu
• Aplikacja kliencka
• Zasób

Aktualizacje roli katalogu i członkostwa w grupach dla jednostek usługi

• Zakres czasu
• Operacja
• Inicjowanie użytkownika lub aplikacji

Zmodyfikowane ustawienia federacji

• Zakres czasu
• Operacja
• Inicjowanie użytkownika lub aplikacji

Najlepsze rozwiązania

• • Użyj zmodyfikowanych poświadczeń aplikacji i jednostki usługi**, aby wyszukać poświadczenia dodawane do jednostek usługi, które nie są często używane w organizacji. Użyj filtrów znajdujących się w tej sekcji, aby dokładniej zbadać dowolny z podejrzanych podmiotów lub jednostek usługi, które zostały zmodyfikowane.

• Użyj nowych uprawnień przyznanych jednostkom usługi, aby wyszukać szerokie lub nadmierne uprawnienia dodawane do jednostek usługi przez aktorów, które mogą zostać naruszone.

• Użyj zmodyfikowanej sekcji ustawień federacji, aby potwierdzić, że dodana lub zmodyfikowana domena docelowa/adres URL jest uzasadnionym zachowaniem administratora. Akcje modyfikujące lub dodające relacje zaufania federacji domeny są rzadkie i powinny być traktowane tak szybko, jak to możliwe.