Säkerhetsåtgärder för infrastruktur
Infrastrukturen har många komponenter där sårbarheter kan inträffa om de inte är korrekt konfigurerade. Som en del av din övervaknings- och aviseringsstrategi för infrastruktur, övervakar och aviserar händelser inom följande områden:
Autentisering och auktorisering
Hybridautentiseringskomponenter inkl. Federationsservrar
Principer
Prenumerationer
Det är viktigt att övervaka och varna komponenterna i din autentiseringsinfrastruktur. Alla kompromisser kan leda till en fullständig kompromiss i hela miljön. Många företag som använder Microsoft Entra-ID fungerar i en hybridautentiseringsmiljö. Molnbaserade och lokala komponenter bör ingå i din övervaknings- och aviseringsstrategi. Om du har en hybridautentiseringsmiljö introduceras även en annan attackvektor i din miljö.
Vi rekommenderar att alla komponenter betraktas som kontrollplan/nivå 0-tillgångar och de konton som används för att hantera dem. Se Skydda privilegierade tillgångar (SPA) för vägledning om hur du utformar och implementerar din miljö. Den här vägledningen innehåller rekommendationer för var och en av de hybridautentiseringskomponenter som potentiellt kan användas för en Microsoft Entra-klientorganisation.
Ett första steg för att identifiera oväntade händelser och potentiella attacker är att upprätta en baslinje. Alla lokala komponenter som anges i den här artikeln finns i Distribution av privilegierad åtkomst, som ingår i guiden Skydda privilegierade tillgångar (SPA).
Var du ska titta
Loggfilerna som du använder för undersökning och övervakning är:
Från Azure-portalen kan du visa Microsoft Entra-granskningsloggarna och ladda ned som kommaavgränsade värdefiler (CSV) eller JSON-filer (JavaScript Object Notation). Azure-portalen har flera sätt att integrera Microsoft Entra-loggar med andra verktyg som möjliggör större automatisering av övervakning och aviseringar:
Microsoft Sentinel – Möjliggör intelligent säkerhetsanalys på företagsnivå genom att tillhandahålla siem-funktioner (säkerhetsinformation och händelsehantering).
Sigma-regler – Sigma är en utvecklande öppen standard för att skriva regler och mallar som automatiserade hanteringsverktyg kan använda för att parsa loggfiler. Där Sigma-mallar finns för våra rekommenderade sökvillkor har vi lagt till en länk till Sigma-lagringsplatsen. Sigma-mallarna skrivs, testas och hanteras inte av Microsoft. Lagringsplatsen och mallarna skapas och samlas i stället in av den globala IT-säkerhetscommunityn.
Azure Monitor – Möjliggör automatisk övervakning och avisering av olika villkor. Kan skapa eller använda arbetsböcker för att kombinera data från olika källor.
Azure Event Hubs integrerat med en SIEM – Microsoft Entra-loggar kan integreras med andra SIEM:er som Splunk, ArcSight, QRadar och Sumo Logic via Azure Event Hubs-integreringen.
Microsoft Defender för molnet-appar – Gör att du kan identifiera och hantera appar, styra mellan appar och resurser och kontrollera dina molnappars efterlevnad.
Skydda arbetsbelastningsidentiteter med Identity Protection Preview – Används för att identifiera risker för arbetsbelastningsidentiteter för inloggningsbeteende och offlineindikatorer för kompromisser.
Resten av den här artikeln beskriver vad du ska övervaka och avisera om. Den organiseras efter typ av hot. Där det finns fördefinierade lösningar hittar du länkar till dem efter tabellen. Annars kan du skapa aviseringar med hjälp av föregående verktyg.
Infrastruktur för autentisering
I hybridmiljöer som innehåller både lokala och molnbaserade resurser och konton är Active Directory-infrastrukturen en viktig del av autentiseringsstacken. Stacken är också ett mål för attacker, så måste konfigureras för att upprätthålla en säker miljö och måste övervakas korrekt. Exempel på aktuella typer av attacker som används mot din autentiseringsinfrastruktur använder tekniker för lösenordsspray och solorigate. Följande är länkar till artiklar som vi rekommenderar:
Översikt över privilegierad åtkomst – Den här artikeln innehåller en översikt över aktuella tekniker som använder Nolltillit tekniker för att skapa och upprätthålla säker privilegierad åtkomst.
Microsoft Defender för identitetsövervakade domänaktiviteter – Den här artikeln innehåller en omfattande lista över aktiviteter att övervaka och ange aviseringar för.
Självstudie om microsoft Defender för identitetssäkerhetsaviseringar – Den här artikeln innehåller vägledning om hur du skapar och implementerar en strategi för säkerhetsaviseringar.
Följande är länkar till specifika artiklar som fokuserar på övervakning och avisering av din autentiseringsinfrastruktur:
Förstå och använda laterala rörelsevägar med Microsoft Defender för identitet – Identifieringstekniker för att identifiera när icke-känsliga konton används för att få åtkomst till känsliga nätverkskonton.
Arbeta med säkerhetsaviseringar i Microsoft Defender för identitet – Den här artikeln beskriver hur du granskar och hanterar aviseringar när de har loggats.
Följande är specifika saker att leta efter:
| Vad du ska övervaka | Risknivå | Där | Kommentar |
|---|---|---|---|
| Trender för extranätsutelåsning | Högt | Microsoft Entra Connect Health | Se Övervaka AD FS med Hjälp av Microsoft Entra Anslut Health för verktyg och tekniker för att identifiera trender för extranätsutelåsning. |
| Misslyckade inloggningar | Högt | Anslut hälsoportalen | Exportera eller ladda ned den riskfyllda IP-rapporten och följ anvisningarna i Riskfylld IP-rapport (offentlig förhandsversion) för nästa steg. |
| Uppfyller sekretesskrav | Låg | Microsoft Entra Connect Health | Konfigurera Microsoft Entra Anslut Health för att inaktivera datasamlingar och övervakning med hjälp av artikeln Användarsekretess och Microsoft Entra Anslut Health. |
| Potentiell råstyrkeattack på LDAP | Medium | Microsoft Defender for Identity | Använd sensorn för att identifiera potentiella råstyrkeattacker mot LDAP. |
| Kontouppräkningsspaning | Medium | Microsoft Defender for Identity | Använd sensorn för att utföra kontouppräkningsspaning. |
| Allmän korrelation mellan Microsoft Entra ID och Azure AD FS | Medium | Microsoft Defender for Identity | Använd funktioner för att korrelera aktiviteter mellan dina Microsoft Entra-ID och Azure AD FS-miljöer. |
Direktautentiseringsövervakning
Microsoft Entra-direktautentisering loggar in användare genom att verifiera sina lösenord direkt mot lokal Active Directory.
Följande är specifika saker att leta efter:
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Autentiseringsfel för Microsoft Entra-direktautentisering | Medium | Program- och tjänstloggar\Microsoft\AzureAd Anslut\AuthenticationAgent\Admin | AADSTS80001 – Det går inte att ansluta till Active Directory | Se till att agentservrarna är medlemmar i samma AD-skog som de användare vars lösenord måste verifieras och att de kan ansluta till Active Directory. |
| Autentiseringsfel för Microsoft Entra-direktautentisering | Medium | Program- och tjänstloggar\Microsoft\AzureAd Anslut\AuthenticationAgent\Admin | AADSTS8002 – Det uppstod en tidsgräns vid anslutning till Active Directory | Kontrollera att Active Directory är tillgängligt och svarar på begäranden från agenterna. |
| Autentiseringsfel för Microsoft Entra-direktautentisering | Medium | Program- och tjänstloggar\Microsoft\AzureAd Anslut\AuthenticationAgent\Admin | AADSTS80004 – Användarnamnet som skickades till agenten var inte giltigt | Kontrollera att användaren försöker logga in med rätt användarnamn. |
| Autentiseringsfel för Microsoft Entra-direktautentisering | Medium | Program- och tjänstloggar\Microsoft\AzureAd Anslut\AuthenticationAgent\Admin | AADSTS80005 – Validering påträffade oförutsägbar WebException | Ett tillfälligt fel. Försök igen med begäran. Om det fortsätter att misslyckas kontaktar du Microsofts support. |
| Autentiseringsfel för Microsoft Entra-direktautentisering | Medium | Program- och tjänstloggar\Microsoft\AzureAd Anslut\AuthenticationAgent\Admin | AADSTS80007 – Ett fel uppstod vid kommunikation med Active Directory | Kontrollera agentloggarna för mer information och kontrollera att Active Directory fungerar som förväntat. |
| Autentiseringsfel för Microsoft Entra-direktautentisering | Högt | Win32 LogonUserA-funktions-API | Logga in händelser 4624(s): Ett konto har loggats in - korrelera med – 4625(F): Det gick inte att logga in på ett konto |
Använd med de misstänkta användarnamnen på domänkontrollanten som autentiserar begäranden. Vägledning vid funktionen LogonUserA (winbase.h) |
| Autentiseringsfel för Microsoft Entra-direktautentisering | Medium | PowerShell-skript för domänkontrollant | Se frågan efter tabellen. | Använd informationen på Microsoft Entra Anslut: Felsöka direktautentiseringför vägledning. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Övervakning för att skapa nya Microsoft Entra-klienter
Organisationer kan behöva övervaka och avisera om att nya Microsoft Entra-klienter skapas när åtgärden initieras av identiteter från organisationens klientorganisation. Övervakning för det här scenariot ger insyn i hur många klienter som skapas och kan nås av slutanvändare.
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Skapa en ny Microsoft Entra-klientorganisation med hjälp av en identitet från din klientorganisation. | Medium | Microsoft Entra-granskningsloggar | Kategori: Kataloghantering Aktivitet: Skapa företag |
Mål visar det skapade TenantID |
Privat nätverksanslutning
Microsoft Entra ID och Microsoft Entra-programproxy ger fjärranvändare en enkel inloggning (SSO). Användare ansluter säkert till lokala appar utan ett virtuellt privat nätverk (VPN) eller servrar med dubbla hem och brandväggsregler. Om din privata Microsoft Entra-nätverksanslutningsserver komprometteras kan angripare ändra SSO-upplevelsen eller ändra åtkomsten till publicerade program.
Information om hur du konfigurerar övervakning för Programproxy finns i Felsöka Programproxy problem och felmeddelanden. Datafilen som loggar information finns i Program- och tjänstloggar\Microsoft\Microsoft Entra privat nätverk\Anslut or\Admin. En fullständig referensguide för granskningsaktivitet finns i Referens för Microsoft Entra-granskningsaktivitet. Specifika saker att övervaka:
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Kerberos-fel | Medium | Olika verktyg | Medium | Felvägledning för Kerberos-autentisering under Kerberos-fel i Felsöka Programproxy problem och felmeddelanden. |
| Dc-säkerhetsproblem | Högt | Domänkontrollantens säkerhetsgranskningsloggar | Händelse-ID 4742(S): Ett datorkonto har ändrats -och- Flagga – betrodd för delegering -eller- Flagga – Betrodd att autentisera för delegering |
Undersök eventuella flaggändringar. |
| Pass-the-ticket-liknande attacker | Högt | Följ vägledningen i: Rekognosering av säkerhetsobjekt (LDAP) (externt ID 2038) Självstudie: Aviseringar om komprometterade autentiseringsuppgifter Förstå och använda laterala förflyttningsvägar med Microsoft Defender för identitet Förstå entitetsprofiler |
Äldre autentiseringsinställningar
För att multifaktorautentisering (MFA) ska vara effektivt måste du också blockera äldre autentisering. Sedan måste du övervaka din miljö och avisera om all användning av äldre autentisering. Äldre autentiseringsprotokoll som POP, SMTP, IMAP och MAPI kan inte framtvinga MFA. Detta gör dessa protokoll till de föredragna startpunkterna för angripare. Mer information om verktyg som du kan använda för att blockera äldre autentisering finns i Nya verktyg för att blockera äldre autentisering i din organisation.
Äldre autentisering registreras i Inloggningsloggen för Microsoft Entra som en del av detaljerna i händelsen. Du kan använda Azure Monitor-arbetsboken för att identifiera äldre autentiseringsanvändning. Mer information finns i Inloggningar med äldre autentisering, som är en del av Hur du använder Azure Monitor-arbetsböcker för Microsoft Entra-rapporter. Du kan också använda arbetsboken Osäkra protokoll för Microsoft Sentinel. Mer information finns i Implementeringsguide för arbetsbok för osäkra protokoll i Microsoft Sentinel. Specifika aktiviteter som ska övervakas är:
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Äldre autentiseringar | Högt | Inloggningslogg för Microsoft Entra | ClientApp: POP ClientApp : IMAP ClientApp: MAPI ClientApp: SMTP ClientApp: ActiveSync går till EXO Andra klienter = SharePoint och EWS |
I federerade domänmiljöer registreras inte misslyckade autentiseringar och visas inte i loggen. |
Microsoft Entra Connect
Microsoft Entra Anslut tillhandahåller en central plats som möjliggör konto- och attributsynkronisering mellan din lokala och molnbaserade Microsoft Entra-miljö. Microsoft Entra Anslut är Microsoft-verktyget som utformats för att uppfylla och uppnå dina hybrididentitetsmål. Den tillhandahåller följande funktioner:
Synkronisering av lösenordshash – en inloggningsmetod som synkroniserar en hash för en användares lokala AD-lösenord med Microsoft Entra-ID.
Synkronisering – Ansvarar för att skapa användare, grupper och andra objekt. Och se till att identitetsinformationen för dina lokala användare och grupper matchar molnet. Den här synkroniseringen omfattar även lösenordshasher.
Hälsoövervakning – Microsoft Entra Anslut Health kan tillhandahålla robust övervakning och tillhandahålla en central plats i Azure-portalen för att visa den här aktiviteten.
Genom att synkronisera identiteten mellan din lokala miljö och din molnmiljö introduceras en ny attackyta för din lokala och molnbaserade miljö. Vi rekommenderar följande åtgärder:
Du behandlar dina Microsoft Entra-Anslut primära servrar och mellanlagringsservrar som nivå 0-system i kontrollplanet.
Du följer en standarduppsättning principer som styr varje typ av konto och dess användning i din miljö.
Du installerar Microsoft Entra Anslut och Anslut Health. Dessa tillhandahåller främst driftdata för miljön.
Loggning av Microsoft Entra-Anslut åtgärder sker på olika sätt:
Microsoft Entra Anslut-guiden loggar data till
\ProgramData\AADConnect. Varje gång guiden anropas skapas en tidsstämplad spårningsloggfil. Spårningsloggen kan importeras till Sentinel eller andra SIEM-verktyg (3rd party security information and event management) för analys.Vissa åtgärder initierar ett PowerShell-skript för att samla in loggningsinformation. Om du vill samla in dessa data måste du se till att loggning av skriptblock är aktiverat.
Övervaka konfigurationsändringar
Microsoft Entra ID använder Microsoft SQL Server Data Engine eller SQL för att lagra Konfigurationsinformation för Microsoft Entra Anslut. Därför bör övervakning och granskning av loggfiler som är associerade med konfiguration ingå i din övervaknings- och granskningsstrategi. Mer specifikt inkluderar du följande tabeller i din övervaknings- och aviseringsstrategi.
| Vad du ska övervaka | Där | Kommentar |
|---|---|---|
| mms_management_agent | SQL-tjänstgranskningsposter | Se SQL Server-granskningsposter |
| mms_partition | SQL-tjänstgranskningsposter | Se SQL Server-granskningsposter |
| mms_run_profile | SQL-tjänstgranskningsposter | Se SQL Server-granskningsposter |
| mms_server_configuration | SQL-tjänstgranskningsposter | Se SQL Server-granskningsposter |
| mms_synchronization_rule | SQL-tjänstgranskningsposter | Se SQL Server-granskningsposter |
Information om vad och hur du övervakar konfigurationsinformation finns i:
Information om SQL Server finns i SQL Server-granskningsposter.
Information om Microsoft Sentinel finns i Anslut till Windows-servrar för att samla in säkerhetshändelser.
Information om hur du konfigurerar och använder Microsoft Entra Anslut finns i Vad är Microsoft Entra Anslut?
Övervakning och felsökning av synkronisering
En funktion i Microsoft Entra Anslut är att synkronisera hash-synkronisering mellan en användares lokala lösenord och Microsoft Entra-ID. Om lösenord inte synkroniseras som förväntat kan synkroniseringen påverka en delmängd av användare eller alla användare. Använd följande för att verifiera korrekt åtgärd eller felsöka problem:
Information om hur du kontrollerar och felsöker hash-synkronisering finns i Felsöka synkronisering av lösenordshash med Microsoft Entra Anslut Sync.
Ändringar av anslutningsutrymmena finns i Felsöka Microsoft Entra-Anslut objekt och attribut.
Viktiga resurser för övervakning
| Vad du ska övervaka | Resurser |
|---|---|
| Verifiering av hashsynkronisering | Se Felsöka synkronisering av lösenordshash med Microsoft Entra Anslut Sync |
| Ändringar av anslutningsutrymmen | se Felsöka Microsoft Entra-Anslut-objekt och attribut |
| Ändringar av regler som du har konfigurerat | Övervaka ändringar i: filtrering, domän och organisationsenhet, attribut och gruppbaserade ändringar |
| SQL- och MSDE-ändringar | Ändringar i loggningsparametrar och tillägg av anpassade funktioner |
Övervaka följande:
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Ändringar i Scheduler | Högt | PowerShell | Set-ADSyncScheduler | Leta efter ändringar att schemalägga |
| Ändringar i schemalagda aktiviteter | Högt | Microsoft Entra-granskningsloggar | Aktivitet = 4699(S): En schemalagd aktivitet har tagits bort -eller- Aktivitet = 4701(s): En schemalagd aktivitet inaktiverades -eller- Aktivitet = 4702(s): En schemalagd aktivitet uppdaterades |
Övervaka alla |
Mer information om hur du loggar PowerShell-skriptåtgärder finns i Aktivera loggning av skriptblockering, som ingår i PowerShell-referensdokumentationen.
Mer information om hur du konfigurerar PowerShell-loggning för analys av Splunk finns i Hämta data till Splunk User Behavior Analytics.
Övervaka sömlös enkel inloggning
Microsoft Entra sömlös enkel inloggning (sömlös enkel inloggning) loggar automatiskt in användare när de är på sina företagsskrivbord som är anslutna till företagets nätverk. Sömlös enkel inloggning ger användarna enkel åtkomst till dina molnbaserade program utan andra lokala komponenter. Enkel inloggning använder funktionerna för direktautentisering och synkronisering av lösenordshash som tillhandahålls av Microsoft Entra Anslut.
Övervakning av enkel inloggning och Kerberos-aktivitet kan hjälpa dig att identifiera allmänna mönster för stöld av autentiseringsuppgifter. Övervaka med hjälp av följande information:
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Fel som är associerade med SSO- och Kerberos-valideringsfel | Medium | Inloggningslogg för Microsoft Entra | Lista med enkel inloggning med felkoder vid enkel inloggning. | |
| Fråga efter felsökningsfel | Medium | PowerShell | Se fråga efter tabell. checka in varje skog med enkel inloggning aktiverat. | Checka in varje skog med enkel inloggning aktiverat. |
| Kerberos-relaterade händelser | Högt | Microsoft Defender för identitetsövervakning | Läs vägledningen som är tillgänglig på Microsoft Defender for Identity Lateral Movement Paths (LMPs) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Lösenordsskyddsprinciper
Om du distribuerar Microsoft Entra Password Protection är övervakning och rapportering viktiga uppgifter. Följande länkar innehåller information som hjälper dig att förstå olika övervakningstekniker, inklusive var varje tjänst loggar information och hur du rapporterar om användningen av Microsoft Entra Password Protection.
Domänkontrollantagenten (DC) och proxytjänsterna loggar både händelseloggmeddelanden. Alla PowerShell-cmdletar som beskrivs nedan är endast tillgängliga på proxyservern (se PowerShell-modulen AzureADPasswordProtection). DC-agentprogramvaran installerar inte någon PowerShell-modul.
Detaljerad information för planering och implementering av lokalt lösenordsskydd finns i Planera och distribuera lokalt Microsoft Entra Password Protection. Mer information om övervakning finns i Övervaka lokalt Microsoft Entra-lösenordsskydd. På varje domänkontrollant skriver DC-agenttjänstens programvara resultatet av varje enskild lösenordsverifieringsåtgärd (och annan status) till följande lokala händelselogg:
\Program- och tjänstloggar\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Program- och tjänstloggar\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Program- och tjänstloggar\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Administratörsloggen för DC-agenten är den primära informationskällan för hur programvaran beter sig. Spårningsloggen är inaktiverad som standard och måste aktiveras innan data loggas. För att felsöka problem med programproxy och felmeddelanden finns detaljerad information på Felsöka Microsoft Entra-programproxy. Information om dessa händelser loggas in:
Program- och tjänstloggar\Microsoft\Microsoft Entra privat nätverk\Anslut or\Admin
Microsoft Entra-granskningslogg, kategori Programproxy
Fullständig referens för Microsoft Entra-granskningsaktiviteter finns på Microsoft Entra-granskningsaktivitetsreferens.
Villkorlig åtkomst
I Microsoft Entra-ID kan du skydda åtkomsten till dina resurser genom att konfigurera principer för villkorlig åtkomst. Som IT-administratör vill du se till att dina principer för villkorsstyrd åtkomst fungerar som förväntat för att säkerställa att dina resurser skyddas. Övervakning och aviseringar vid ändringar i tjänsten för villkorsstyrd åtkomst säkerställer att principer som definierats av din organisation för åtkomst till data framtvingas. Microsoft Entra loggar när ändringar görs i villkorsstyrd åtkomst och tillhandahåller även arbetsböcker för att säkerställa att dina principer ger den förväntade täckningen.
Arbetsbokslänkar
Övervaka ändringar i principer för villkorsstyrd åtkomst med hjälp av följande information:
| Vad du ska övervaka | Risknivå | Där | Filtrera/underfilter | Kommentar |
|---|---|---|---|---|
| Ny princip för villkorlig åtkomst som skapats av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Lägg till princip för villkorsstyrd åtkomst Kategori: Princip Initierad av (aktör): Användarens huvudnamn |
Övervaka och avisera om ändringar i villkorsstyrd åtkomst. Initieras av (aktör): godkänns för att göra ändringar i villkorlig åtkomst? Microsoft Sentinel-mall Sigma-regler |
| Princip för villkorlig åtkomst har tagits bort av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Ta bort princip för villkorsstyrd åtkomst Kategori: Princip Initierad av (aktör): Användarens huvudnamn |
Övervaka och avisera om ändringar i villkorsstyrd åtkomst. Initieras av (aktör): godkänns för att göra ändringar i villkorlig åtkomst? Microsoft Sentinel-mall Sigma-regler |
| Princip för villkorlig åtkomst har uppdaterats av icke-godkända aktörer | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Uppdatera principen för villkorsstyrd åtkomst Kategori: Princip Initierad av (aktör): Användarens huvudnamn |
Övervaka och avisera om ändringar i villkorsstyrd åtkomst. Initieras av (aktör): godkänns för att göra ändringar i villkorlig åtkomst? Granska Ändrade egenskaper och jämför "gammalt" och "nytt" värde Microsoft Sentinel-mall Sigma-regler |
| Borttagning av en användare från en grupp som används för att begränsa viktiga principer för villkorsstyrd åtkomst | Medium | Microsoft Entra-granskningsloggar | Aktivitet: Ta bort medlem från grupp Kategori: GroupManagement Mål: Användarens huvudnamn |
Montior och Avisering för grupper som används för att begränsa kritiska principer för villkorsstyrd åtkomst. "Mål" är den användare som har tagits bort. Sigma-regler |
| Tillägg av en användare till en grupp som används för att begränsa viktiga principer för villkorsstyrd åtkomst | Låg | Microsoft Entra-granskningsloggar | Aktivitet: Lägg till medlem i grupp Kategori: GroupManagement Mål: Användarens huvudnamn |
Montior och Avisering för grupper som används för att begränsa kritiska principer för villkorsstyrd åtkomst. "Target" är den användare som har lagts till. Sigma-regler |
Nästa steg
Översikt över Microsoft Entra-säkerhetsåtgärder
Säkerhetsåtgärder för användarkonton
Säkerhetsåtgärder för konsumentkonton
Säkerhetsåtgärder för privilegierade konton