Altyapı için güvenlik işlemleri
Altyapı, düzgün yapılandırılmamışsa güvenlik açıklarının oluşabileceği birçok bileşene sahiptir. Altyapı için izleme ve uyarı stratejinizin bir parçası olarak, aşağıdaki alanlardaki olayları izleyin ve uyarın:
Kimlik Doğrulaması ve Yetkilendirme
Karma Kimlik Doğrulama bileşenleri dahil. Federasyon Sunucuları
Koşullarıdır
Abonelik
Kimlik doğrulama altyapınızın bileşenlerini izlemek ve uyarmak kritik önem taşır. Herhangi bir uzlaşma, tüm ortamın tam olarak tehlikeye atılmasına neden olabilir. Microsoft Entra ID kullanan birçok kuruluş karma kimlik doğrulama ortamında çalışır. Bulut ve şirket içi bileşenler izleme ve uyarı stratejinize dahil edilmelidir. Karma kimlik doğrulama ortamına sahip olmak, ortamınıza başka bir saldırı vektöru da ekler.
Tüm bileşenlerin Denetim Düzlemi / Katman 0 varlıkları ve bunları yönetmek için kullanılan hesaplar olarak değerlendirilmesini öneririz. Ortamınızı tasarlama ve uygulama konusunda rehberlik için Ayrıcalıklı varlıkların güvenliğini sağlama (SPA) bölümüne bakın. Bu kılavuz, bir Microsoft Entra kiracısı için kullanılabilecek karma kimlik doğrulama bileşenlerinin her biri için öneriler içerir.
Beklenmeyen olayları ve olası saldırıları algılayabilmenin ilk adımı bir temel oluşturmaktır. Bu makalede listelenen tüm şirket içi bileşenler için bkz . Ayrıcalıklı varlıkların güvenliğini sağlama (SPA) kılavuzunun bir parçası olan Ayrıcalıklı erişim dağıtımı.
Nereye bakılır?
Araştırma ve izleme için kullandığınız günlük dosyaları şunlardır:
Azure portalından Microsoft Entra denetim günlüklerini görüntüleyebilir ve virgülle ayrılmış değer (CSV) veya JavaScript Nesne Gösterimi (JSON) dosyaları olarak indirebilirsiniz. Azure portalında, microsoft Entra günlüklerini izleme ve uyarı otomasyonuna olanak sağlayan diğer araçlarla tümleştirmenin çeşitli yolları vardır:
Microsoft Sentinel – Güvenlik bilgileri ve olay yönetimi (SIEM) özellikleri sağlayarak kurumsal düzeyde akıllı güvenlik analizini etkinleştirir.
Sigma kuralları - Sigma, otomatik yönetim araçlarının günlük dosyalarını ayrıştırmak için kullanabileceği kurallar ve şablonlar yazmak için gelişen bir açık standarttır. Önerilen arama ölçütlerimiz için Sigma şablonlarının bulunduğu yerde, Sigma deposuna bir bağlantı ekledik. Sigma şablonları Microsoft tarafından yazılmıyor, test edilmedi ve yönetilmiyor. Bunun yerine, depo ve şablonlar dünya çapında BT güvenlik topluluğu tarafından oluşturulur ve toplanır.
Azure İzleyici – Çeşitli koşulların otomatik olarak izlenmesini ve uyarılmasını sağlar. Farklı kaynaklardan verileri birleştirmek için çalışma kitapları oluşturabilir veya kullanabilir.
SIEM ile tümleştirilmiş Azure Event Hubs - Microsoft Entra günlükleri, Azure Event Hubs tümleştirmesi aracılığıyla Splunk, ArcSight, QRadar ve Sumo Logic gibi diğer SIEM'lerle tümleştirilebilir.
Bulut için Microsoft Defender Uygulamaları – Uygulamaları keşfetmenize ve yönetmenize, uygulamalar ve kaynaklar arasında idare sağlamanıza ve bulut uygulamalarınızın uyumluluğunu denetlemenize olanak tanır.
Microsoft Entra Kimlik Koruması ile iş yükü kimliklerinin güvenliğini sağlama - Oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimlikleri üzerindeki riski algılamak için kullanılır.
Bu makalenin geri kalanında nelerin izleneceği ve nelerin uyarıldığı açıklanmaktadır. Tehdit türüne göre düzenlenir. Önceden oluşturulmuş çözümlerin bulunduğu yerlerde, tablodan sonra bunların bağlantılarını bulabilirsiniz. Aksi takdirde, önceki araçları kullanarak uyarılar oluşturabilirsiniz.
Kimlik doğrulama altyapısı
Hem şirket içi hem de bulut tabanlı kaynaklar ve hesaplar içeren karma ortamlarda, Active Directory altyapısı kimlik doğrulama yığınının önemli bir parçasıdır. Yığın aynı zamanda saldırılar için de bir hedeftir, bu nedenle güvenli bir ortamı korumak için yapılandırılmalı ve düzgün bir şekilde izlenmelidir. Kimlik doğrulama altyapınıza karşı kullanılan geçerli saldırı türlerine örnek olarak Parola Spreyi ve Solorigate teknikleri kullanılır. Aşağıda, önerdiğimiz makalelerin bağlantıları bulunmaktadır:
Ayrıcalıklı erişimin güvenliğini sağlamaya genel bakış – Bu makalede, güvenli ayrıcalıklı erişim oluşturmak ve korumak için Sıfır Güven teknikleri kullanan geçerli tekniklere genel bir bakış sağlanmaktadır.
İzlenen etki alanı etkinlikleri Kimlik için Microsoft Defender - Bu makale, izlenecek ve uyarı ayarlayabilecek etkinliklerin kapsamlı bir listesini sağlar.
Kimlik için Microsoft Defender güvenlik uyarısı öğreticisi - Bu makalede güvenlik uyarısı stratejisi oluşturma ve uygulama konusunda rehberlik sağlanır.
Aşağıda, kimlik doğrulama altyapınızı izlemeye ve uyarmaya odaklanan belirli makalelerin bağlantıları bulunur:
Hassas olmayan hesapların hassas ağ hesaplarına erişim elde etmek için ne zaman kullanıldığını belirlemeye yardımcı olmak için Kimlik için Microsoft Defender - Algılama teknikleri ile YanAl Hareket Yollarını anlayın ve kullanın.
Kimlik için Microsoft Defender'da güvenlik uyarılarıyla çalışma - Bu makalede, uyarıların günlüğe kaydedildikten sonra nasıl gözden geçirilip yönetileceğini açıklanmaktadır.
Aşağıdakiler, aranacak belirli şeylerdir:
| İzlenecekler | Risk düzeyi | Nerede | Notlar |
|---|---|---|---|
| Extranet kilitleme eğilimleri | Yüksek | Microsoft Entra Connect Health | Extranet kilitleme eğilimlerini algılamaya yardımcı olacak araçlar ve teknikler için bkz. Microsoft Entra Connect Health kullanarak AD FS'yi izleme. |
| Başarısız oturum açma işlemleri | Yüksek | Sistem Durumu Portalı'na bağlanma | Riskli IP raporunu dışarı aktarın veya indirin ve sonraki adımlar için Riskli IP raporu (genel önizleme) yönergelerini izleyin. |
| Gizlilikle uyumlu | Alçak | Microsoft Entra Connect Health | Kullanıcı gizliliği ve Microsoft Entra Connect Health makalesini kullanarak veri koleksiyonlarını ve izlemeyi devre dışı bırakmak için Microsoft Entra Connect Health'i yapılandırın. |
| LDAP'de olası deneme yanılma saldırısı | Orta | Kimlik için Microsoft Defender | LDAP'ye karşı olası deneme yanılma saldırılarını algılamaya yardımcı olması için algılayıcıyı kullanın. |
| Hesap numaralandırma keşfi | Orta | Kimlik için Microsoft Defender | Hesap numaralandırması keşfi gerçekleştirmeye yardımcı olması için algılayıcıyı kullanın. |
| Microsoft Entra Id ile Azure AD FS arasında genel bağıntı | Orta | Kimlik için Microsoft Defender | Microsoft Entra Id ile Azure AD FS ortamlarınız arasındaki etkinlikleri ilişkilendirmek için özellikleri kullanın. |
Doğrudan kimlik doğrulaması izleme
Microsoft Entra doğrudan kimlik doğrulaması, parolalarını doğrudan şirket içi Active Directory karşı doğrulayarak kullanıcıları oturum açar.
Aşağıdakiler, aranacak belirli şeylerdir:
| İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Microsoft Entra doğrudan kimlik doğrulama hataları | Orta | Uygulama ve Hizmet Günlükleri\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 – Active Directory'ye bağlanılamıyor | Aracı sunucularının, parolalarının doğrulanması gereken ve Active Directory'ye bağlanabilen kullanıcılarla aynı AD ormanına üye olduğundan emin olun. |
| Microsoft Entra doğrudan kimlik doğrulama hataları | Orta | Uygulama ve Hizmet Günlükleri\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 - Active Directory'ye bağlanırken zaman aşımı oluştu | Active Directory'nin kullanılabilir olduğundan ve aracılardan gelen isteklere yanıt verdiğinden emin olun. |
| Microsoft Entra doğrudan kimlik doğrulama hataları | Orta | Uygulama ve Hizmet Günlükleri\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 - Aracıya geçirilen kullanıcı adı geçerli değil | Kullanıcının doğru kullanıcı adıyla oturum açmaya çalıştığından emin olun. |
| Microsoft Entra doğrudan kimlik doğrulama hataları | Orta | Uygulama ve Hizmet Günlükleri\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 - Doğrulama öngörülemeyen WebException ile karşılaşıldı | Geçici bir hata. İsteği yeniden deneyin. Başarısızlığa devam ederse Microsoft desteğine başvurun. |
| Microsoft Entra doğrudan kimlik doğrulama hataları | Orta | Uygulama ve Hizmet Günlükleri\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 - Active Directory ile iletişim kurulurken bir hata oluştu | Daha fazla bilgi için aracı günlüklerini denetleyin ve Active Directory'nin beklendiği gibi çalıştığını doğrulayın. |
| Microsoft Entra doğrudan kimlik doğrulama hataları | Yüksek | Win32 LogonUserA işlev API'si | 4624(ler) olaylarında oturum açma: Bir hesap başarıyla oturum açtı - ile bağıntı – 4625(F): Bir hesap oturum açamadı |
İsteklerin kimliğini doğrulayan etki alanı denetleyicisinde şüpheli kullanıcı adlarıyla kullanın. LogonUserA işlevinde (winbase.h) yönergeler |
| Microsoft Entra doğrudan kimlik doğrulama hataları | Orta | Etki alanı denetleyicisinin PowerShell betiği | Tablodan sonraki sorguya bakın. | Microsoft Entra Connect: Yönergeler için Doğrudan Kimlik Doğrulamasısorunlarını giderme sayfasındaki bilgileri kullanın. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Yeni Microsoft Entra kiracılarının oluşturulmasını izleme
Kuruluşların, eylem kuruluş kiracılarındaki kimlikler tarafından başlatıldığında yeni Microsoft Entra kiracılarının oluşturulmasını izlemesi ve bu kiracılar hakkında uyarı göndermesi gerekebilir. Bu senaryo için izleme, kaç kiracı oluşturulduğuna ve son kullanıcılar tarafından erişilebildiğine ilişkin görünürlük sağlar.
| İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Kiracınızdan bir kimlik kullanarak yeni bir Microsoft Entra kiracısı oluşturma. | Orta | Microsoft Entra denetim günlükleri | Kategori: Dizin Yönetimi Etkinlik: Şirket Oluşturma |
Hedefler, oluşturulan TenantID değerini gösterir |
Özel ağ bağlayıcısı
Microsoft Entra Id ve Microsoft Entra uygulama proxy'si uzak kullanıcılara çoklu oturum açma (SSO) deneyimi sunar. Kullanıcılar, sanal özel ağ (VPN) veya çift girişli sunucular ve güvenlik duvarı kuralları olmadan şirket içi uygulamalara güvenli bir şekilde bağlanır. Microsoft Entra özel ağ bağlayıcısı sunucunuzun güvenliği aşıldıysa, saldırganlar SSO deneyimini değiştirebilir veya yayımlanan uygulamalara erişimi değiştirebilir.
Uygulama Ara Sunucusu için izlemeyi yapılandırmak için bkz. Uygulama Ara Sunucusu sorunlarını ve hata iletilerini giderme. Bilgileri günlüğe kaydeden veri dosyası, Uygulamalar ve Hizmetler Günlükleri\Microsoft\Microsoft Entra private network\Connector\Admin konumunda bulunabilir. Denetim etkinliğine yönelik eksiksiz bir başvuru kılavuzu için bkz . Microsoft Entra denetim etkinliği başvurusu. İzlenecek belirli şeyler:
| İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Kerberos hataları | Orta | Çeşitli araçlar | Orta | Uygulama Ara Sunucusu sorunlarını ve hata iletilerini giderme sayfasındaki Kerberos hataları altında Kerberos kimlik doğrulaması hata kılavuzu. |
| DC güvenlik sorunları | Yüksek | DC Güvenlik Denetimi günlükleri | Olay Kimliği 4742(ler): Bir bilgisayar hesabı değiştirildi -ve- Bayrak – Temsilci Seçme için Güvenilir -veya- Bayrak – Temsilci Için Kimlik Doğrulaması Için Güvenilir |
Tüm bayrak değişikliklerini araştırın. |
| Saldırılar gibi bilet geçişi | Yüksek | Aşağıdaki yönergelere uyun: Güvenlik sorumlusu keşfi (LDAP) (dış kimlik 2038) Öğretici: Güvenliği aşılmış kimlik bilgisi uyarıları Kimlik için Microsoft Defender ile YanAl Hareket Yollarını anlama ve kullanma Varlık profillerini anlama |
Eski kimlik doğrulama ayarları
Çok faktörlü kimlik doğrulamasının (MFA) etkili olması için eski kimlik doğrulamasını da engellemeniz gerekir. Daha sonra ortamınızı izlemeniz ve eski kimlik doğrulamasının kullanımıyla ilgili uyarı vermeniz gerekir. POP, SMTP, IMAP ve MAPI gibi eski kimlik doğrulama protokolleri MFA'yı zorunlu kılamaz. Bu, bu protokolleri saldırganlar için tercih edilen giriş noktaları yapar. Eski kimlik doğrulamasını engellemek için kullanabileceğiniz araçlar hakkında daha fazla bilgi için bkz . Kuruluşunuzda eski kimlik doğrulamasını engellemek için yeni araçlar.
Eski kimlik doğrulaması, olayın ayrıntılarının bir parçası olarak Microsoft Entra oturum açma günlüğünde yakalanır. Eski kimlik doğrulama kullanımını tanımlamaya yardımcı olması için Azure İzleyici çalışma kitabını kullanabilirsiniz. Daha fazla bilgi için bkz. Microsoft Entra raporları için Azure İzleyici Çalışma Kitaplarını kullanma bölümünün bir parçası olan eski kimlik doğrulamasını kullanarak oturum açma işlemleri. Microsoft Sentinel için Güvenli Olmayan protokoller çalışma kitabını da kullanabilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel Güvenli Olmayan Protokoller Çalışma Kitabı Uygulama Kılavuzu. İzlenecek belirli etkinlikler şunlardır:
| İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Eski kimlik doğrulamaları | Yüksek | Microsoft Entra oturum açma günlüğü | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp : ActiveSync EXO'ya gidin Diğer İstemciler = SharePoint ve EWS |
Federasyon etki alanı ortamlarında başarısız kimlik doğrulamaları kaydedilmez ve günlükte görünmez. |
Microsoft Entra Connect
Microsoft Entra Connect, şirket içi ve bulut tabanlı Microsoft Entra ortamınız arasında hesap ve öznitelik eşitlemesini etkinleştiren merkezi bir konum sağlar. Microsoft Entra Connect, hibrit kimlik hedeflerinizi karşılamak ve gerçekleştirmek için tasarlanmış bir Microsoft aracıdır. Aşağıdaki özellikleri sağlar:
Parola karması eşitlemesi - Kullanıcının şirket içi AD parolasının karmasını Microsoft Entra Id ile eşitleyen bir oturum açma yöntemi.
Eşitleme - Kullanıcı, grup ve diğer nesneleri oluşturmakla sorumludur. Ayrıca, şirket içi kullanıcılarınız ve gruplarınız için kimlik bilgilerinin bulutla eşleştiğinden emin olun. Bu eşitleme parola karmalarını da içerir.
Sistem Durumu İzleyicisi ing - Microsoft Entra Connect Health güçlü izleme sağlayabilir ve bu etkinliği görüntülemek için Azure portalında merkezi bir konum sağlayabilir.
Şirket içi ortamınızla bulut ortamınız arasında kimliği eşitlemek, şirket içi ve bulut tabanlı ortamınız için yeni bir saldırı yüzeyi sağlar. Aşağıdakiler önerilir:
Microsoft Entra Connect birincil ve hazırlama sunucularınızı kontrol düzleminizde Katman 0 Sistemleri olarak ele alırsınız.
Ortamınızdaki her hesap türünü ve kullanımını yöneten standart bir ilke kümesini izlersiniz.
Microsoft Entra Connect ve Connect Health'i yüklersiniz. Bunlar öncelikle ortam için operasyonel veriler sağlar.
Microsoft Entra Connect işlemlerinin günlüğe kaydedilmesi farklı şekillerde gerçekleşir:
Microsoft Entra Connect sihirbazı verileri olarak günlüğe
\ProgramData\AADConnectkaydeder. Sihirbaz her çağrıldığında zaman damgasına sahip bir izleme günlük dosyası oluşturulur. İzleme günlüğü, analiz için Sentinel'e veya diğer 3rd tarafı güvenlik bilgilerine ve olay yönetimi (SIEM) araçlarına aktarılabilir.Bazı işlemler günlük bilgilerini yakalamak için bir PowerShell betiği başlatır. Bu verileri toplamak için betik bloğu oturum açma özelliğinin etkinleştirildiğinden emin olmanız gerekir.
Yapılandırma değişikliklerini izleme
Microsoft Entra Id, Microsoft Entra Connect yapılandırma bilgilerini depolamak için Microsoft SQL Server Veri Altyapısı veya SQL kullanır. Bu nedenle, yapılandırmayla ilişkili günlük dosyalarının izlenmesi ve denetlenmesi izleme ve denetim stratejinize dahil edilmelidir. Özellikle, izleme ve uyarı stratejisine aşağıdaki tabloları ekleyin.
| İzlenecekler | Nerede | Notlar |
|---|---|---|
| mms_management_agent | SQL hizmeti denetim kayıtları | Bkz. SQL Server Denetim Kayıtları |
| mms_partition | SQL hizmeti denetim kayıtları | Bkz. SQL Server Denetim Kayıtları |
| mms_run_profile | SQL hizmeti denetim kayıtları | Bkz. SQL Server Denetim Kayıtları |
| mms_server_configuration | SQL hizmeti denetim kayıtları | Bkz. SQL Server Denetim Kayıtları |
| mms_synchronization_rule | SQL hizmeti denetim kayıtları | Bkz. SQL Server Denetim Kayıtları |
Yapılandırma bilgilerinin ne ve nasıl izleneceği hakkında bilgi için bkz:
SQL Server için bkz . SQL Server Denetim Kayıtları.
Microsoft Sentinel için bkz . Güvenlik olaylarını toplamak için Windows sunucularına bağlanma.
Microsoft Entra Connect'i yapılandırma ve kullanma hakkında bilgi için bkz . Microsoft Entra Connect nedir?
Eşitlemeyi izleme ve sorun giderme
Microsoft Entra Connect'in bir işlevi, kullanıcının şirket içi parolası ile Microsoft Entra Kimliği arasında karma eşitlemeyi eşitlemektir. Parolalar beklendiği gibi eşitlenmiyorsa, eşitleme bir kullanıcı alt kümesini veya tüm kullanıcıları etkileyebilir. Doğru işlemi doğrulamaya veya sorunları gidermeye yardımcı olması için aşağıdakileri kullanın:
Karma eşitlemeyi denetleme ve sorunlarını giderme bilgileri için bkz . Microsoft Entra Connect Sync ile parola karması eşitleme sorunlarını giderme.
Bağlayıcı alanlarında yapılan değişiklikler için bkz . Microsoft Entra Connect nesneleri ve öznitelikleriyle ilgili sorunları giderme.
İzlemeyle ilgili önemli kaynaklar
| İzlenecekler | Kaynaklar |
|---|---|
| Karma eşitleme doğrulaması | Bkz. Microsoft Entra Connect Sync ile parola karması eşitleme sorunlarını giderme |
| Bağlayıcı alanlarında yapılan değişiklikler | Bkz . Microsoft Entra Connect nesneleri ve öznitelikleriyle ilgili sorunları giderme |
| Yapılandırdığınız kurallarda yapılan değişiklikler | Üzerinde yapılan değişiklikleri izleme: filtreleme, etki alanı ve OU, öznitelik ve grup tabanlı değişiklikler |
| SQL ve MSDE değişiklikleri | Günlük parametrelerinde yapılan değişiklikler ve özel işlevlerin eklenmesi |
Aşağıdakileri izleyin:
| İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Zamanlayıcı değişiklikleri | Yüksek | PowerShell | Set-ADSyncScheduler | Zamanlamak için değişiklik arayın |
| Zamanlanmış görevlerde yapılan değişiklikler | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik = 4699(S): Zamanlanmış bir görev silindi -veya- Etkinlik = 4701'ler: Zamanlanmış bir görev devre dışı bırakıldı -veya- Etkinlik = 4702'ler: Zamanlanmış bir görev güncelleştirildi |
Tümünü izle |
PowerShell betik işlemlerini günlüğe kaydetme hakkında daha fazla bilgi için bkz . PowerShell başvuru belgelerinin bir parçası olan Betik Bloğu Günlüğünü Etkinleştirme.
Splunk tarafından analiz için PowerShell günlüğünü yapılandırma hakkında daha fazla bilgi için bkz . Splunk Kullanıcı Davranışı Analizine Veri Alma.
Sorunsuz çoklu oturum açmayı izleme
Microsoft Entra sorunsuz çoklu oturum açma (Sorunsuz SSO), şirket ağınıza bağlı kurumsal masaüstlerinde bulunan kullanıcılarda otomatik olarak oturum açar. Sorunsuz SSO, kullanıcılarınıza diğer şirket içi bileşenler olmadan bulut tabanlı uygulamalarınıza kolay erişim sağlar. SSO, Microsoft Entra Connect tarafından sağlanan geçiş kimlik doğrulaması ve parola karması eşitleme özelliklerini kullanır.
Çoklu oturum açma ve Kerberos etkinliğini izlemek, genel kimlik bilgisi hırsızlığı saldırı düzenlerini algılamanıza yardımcı olabilir. Aşağıdaki bilgileri kullanarak izleyin:
| İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| SSO ve Kerberos doğrulama hatalarıyla ilişkili hatalar | Orta | Microsoft Entra oturum açma günlüğü | Çoklu oturum açma'da hata kodlarının çoklu oturum açma listesi. | |
| Sorun giderme hataları için sorgu | Orta | PowerShell | Aşağıdaki tablodaki sorguya bakın. SSO'nun etkinleştirildiği her ormanı iade edin. | SSO'nun etkinleştirildiği her ormanı iade edin. |
| Kerberos ile ilgili olaylar | Yüksek | Kimlik için Microsoft Defender izleme | Kimlik için Microsoft Defender YanAl Hareket Yolları'nda (LMP' ler) sağlanan kılavuzu gözden geçirin |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Parola koruma ilkeleri
Microsoft Entra Password Protection'ı dağıtırsanız izleme ve raporlama temel görevlerdir. Aşağıdaki bağlantılar, her hizmetin bilgileri nerede günlüğe kaydedeceği ve Microsoft Entra Parola Koruması'nın kullanımını nasıl raporlayacağınız da dahil olmak üzere çeşitli izleme tekniklerini anlamanıza yardımcı olacak ayrıntılar sağlar.
Etki alanı denetleyicisi (DC) aracısı ve proxy hizmetleri olay günlüğü iletilerini günlüğe kaydeder. Aşağıda açıklanan tüm PowerShell cmdlet'leri yalnızca proxy sunucusunda kullanılabilir (bkz. AzureADPasswordProtection PowerShell modülü). DC aracı yazılımı bir PowerShell modülü yüklemez.
Şirket içi parola korumasını planlama ve uygulama hakkında ayrıntılı bilgi için bkz . Şirket içi Microsoft Entra Password Protection'ı planlama ve dağıtma. İzleme ayrıntıları için bkz . Şirket içi Microsoft Entra Parola Korumasını izleme. Her etki alanı denetleyicisinde, DC aracı hizmeti yazılımı her bir parola doğrulama işleminin (ve diğer durumun) sonuçlarını aşağıdaki yerel olay günlüğüne yazar:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
DC aracısı Yönetim günlüğü, yazılımın nasıl davrandığını gösteren birincil bilgi kaynağıdır. Varsayılan olarak, İzleme günlüğü kapalıdır ve veriler günlüğe kaydedilmeden önce etkinleştirilmesi gerekir. Uygulama ara sunucusu sorunlarını ve hata iletilerini gidermek için Microsoft Entra uygulama ara sunucusu sorunlarını giderme bölümünde ayrıntılı bilgi bulabilirsiniz. Bu olaylarla ilgili bilgiler oturum açar:
Uygulama ve Hizmet Günlükleri\Microsoft\Microsoft Entra private network\Connector\Admin
Microsoft Entra denetim günlüğü, Kategori Uygulama Ara Sunucusu
Microsoft Entra denetim etkinliklerine yönelik eksiksiz başvuruya Microsoft Entra denetim etkinliği başvurusu adresinden ulaşabilirsiniz.
Koşullu Erişim
Microsoft Entra Id'de, Koşullu Erişim ilkelerini yapılandırarak kaynaklarınıza erişimi koruyabilirsiniz. BT yöneticisi olarak, kaynaklarınızın korunduğundan emin olmak için Koşullu Erişim ilkelerinizin beklendiği gibi çalıştığından emin olmak istiyorsunuz. Koşullu Erişim hizmetinde yapılan değişiklikleri izleme ve uyarı verme, kuruluşunuz tarafından verilere erişim için tanımlanan ilkelerin uygulanmasını sağlar. Microsoft Entra, Koşullu Erişim'de değişiklik yapıldığında günlüğe kaydeder ve ayrıca ilkelerinizin beklenen kapsamı sağladığından emin olmak için çalışma kitapları sağlar.
Çalışma Kitabı Bağlantıları
Aşağıdaki bilgileri kullanarak Koşullu Erişim ilkelerindeki değişiklikleri izleyin:
| İzlenecekler | Risk düzeyi | Nerede | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Onaylanmamış aktörler tarafından oluşturulan yeni Koşullu Erişim İlkesi | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Koşullu Erişim ilkesi ekleme Kategori: İlke Başlatan (aktör): Kullanıcı Asıl Adı |
Koşullu Erişim değişikliklerini izleyin ve uyarın. Başlatan (aktör): Koşullu Erişim'de değişiklik yapmak için onaylanır mı? Microsoft Sentinel şablonu Sigma kuralları |
| Koşullu Erişim İlkesi onaylanmamış aktörler tarafından kaldırıldı | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Koşullu Erişim ilkesini silme Kategori: İlke Başlatan (aktör): Kullanıcı Asıl Adı |
Koşullu Erişim değişikliklerini izleyin ve uyarın. Başlatan (aktör): Koşullu Erişim'de değişiklik yapmak için onaylanır mı? Microsoft Sentinel şablonu Sigma kuralları |
| Onaylanmamış aktörler tarafından güncelleştirilen Koşullu Erişim İlkesi | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Koşullu Erişim ilkesini güncelleştirme Kategori: İlke Başlatan (aktör): Kullanıcı Asıl Adı |
Koşullu Erişim değişikliklerini izleyin ve uyarın. Başlatan (aktör): Koşullu Erişim'de değişiklik yapmak için onaylanır mı? Değiştirilen Özellikler'i gözden geçirin ve "eski" ile "yeni" değeri karşılaştırın Microsoft Sentinel şablonu Sigma kuralları |
| Kritik Koşullu Erişim ilkelerini kapsamak için kullanılan bir gruptan kullanıcının kaldırılması | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Gruptan üye kaldırma Kategori: GroupManagement Hedef: Kullanıcı Asıl Adı |
Kritik Koşullu Erişim İlkelerini kapsamak için kullanılan gruplar için Montior ve Uyarı. "Hedef", kaldırılan kullanıcıdır. Sigma kuralları |
| Kritik Koşullu Erişim ilkelerini kapsamak için kullanılan bir gruba kullanıcı ekleme | Alçak | Microsoft Entra denetim günlükleri | Etkinlik: Gruba üye ekleme Kategori: GroupManagement Hedef: Kullanıcı Asıl Adı |
Kritik Koşullu Erişim İlkelerini kapsamak için kullanılan gruplar için Montior ve Uyarı. "Hedef", eklenen kullanıcıdır. Sigma kuralları |
Sonraki adımlar
Microsoft Entra güvenlik işlemlerine genel bakış
Kullanıcı hesapları için güvenlik işlemleri
Tüketici hesapları için güvenlik işlemleri
Ayrıcalıklı hesaplar için güvenlik işlemleri
Privileged Identity Management için güvenlik işlemleri