Share via

敏感性作業報表活頁簿

  • 發行項

身為IT系統管理員,您必須能夠識別環境中的危害,以確保您可以保持狀況良好的狀態。

敏感性作業報告活頁簿旨在協助識別可能表示環境中遭入侵的可疑應用程式和服務主體活動。

本文提供敏感性作業報表活頁簿的概觀。

必要條件

若要使用 Azure Workbooks for Microsoft Entra ID,您需要:

  • 具有 進階版 P1 授權的 Microsoft Entra 租使用者
  • Log Analytics 工作區 該工作區的存取權
  • 適用於 Azure 監視器 Microsoft Entra 識別碼的適當角色

Log Analytics 工作區

您必須先建立 Log Analytics工作區,才能 使用 Microsoft Entra Workbooks。 有數個因素決定對Log Analytics工作區的存取。 您需要工作區 的適當角色,以及 傳送數據的資源。

如需詳細資訊,請參閱 管理 Log Analytics 工作區的存取權。

Azure 監視器角色

Azure 監視器提供 兩個內建角色 來檢視監視數據和編輯監視設定。 Azure 角色型訪問控制 (RBAC) 也提供兩個授與類似存取權的Log Analytics內建角色。

  • 檢視

    • 監視讀取器
    • Log Analytics 讀者

  • 檢視和修改設定

    • 監視參與者
    • Log Analytics 參與者

Microsoft Entra 角色

只讀存取權可讓您檢視活頁簿內的 Microsoft Entra ID 記錄數據、從 Log Analytics 查詢數據,或讀取 Microsoft Entra 系統管理中心的記錄。 更新存取可新增建立和編輯診斷設定的功能,以將 Microsoft Entra 數據傳送至 Log Analytics 工作區。

  • 讀取

    • 報告讀取者
    • 安全性讀取者
    • 全域讀取者

  • 更新:

    • 安全性系統管理員

如需 Microsoft Entra 內建角色的詳細資訊,請參閱 Microsoft Entra 內建角色

如需Log Analytics RBAC角色的詳細資訊,請參閱 Azure 內建角色

描述

Workbook category

此活頁簿會識別已在租用戶中執行的最新敏感性作業,且可能會危害服務主體。

如果您的組織是 Azure 監視器活頁簿的新手,您必須先整合 Microsoft Entra 登入和稽核記錄與 Azure 監視器,才能存取活頁簿。 此整合可讓您儲存和查詢記錄,並使用活頁簿將記錄可視化長達兩年。 只會儲存在 Azure 監視器整合之後建立的登入和稽核事件,因此活頁簿不會包含該日期之前的深入解析。 深入瞭解適用於 Microsoft Entra ID 的 Azure 監視器活頁簿的必要條件。 如果您先前已將 Microsoft Entra 登入和稽核記錄與 Azure 監視器整合,您可以使用活頁簿來評估過去的資訊。

如何存取活頁簿

  1. 使用適當的角色組合登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別>監視與健康情況>活頁簿]。

  3. [疑難解答] 區段選取 [敏感性作業報表] 活頁簿。

區段

此活頁簿分成四個區段:

Workbook sections

  • 已修改的應用程式和服務主體認證/驗證方法 - 此報告會標幟最近變更過許多服務主體認證的動作專案,以及已變更每種類型的服務主體認證數目。

  • 授與服務主體 的新許可權 - 此活頁簿也會醒目提示最近授與服務主體的 OAuth 2.0 許可權。

  • 服務主體的目錄角色和群組成員資格更新

  • 已修改的同盟設定 - 此報告會在使用者或應用程式修改網域上的同盟設定時醒目提示。 例如,它會報告新的 Active Directory 同盟服務 (ADFS) TrustedRealm 物件,例如簽署憑證新增至網域時。 修改網域同盟設定應該很少見。

已修改的應用程式和服務主體認證/驗證方法

攻擊者在環境中取得持續性最常見的方式之一是將新的認證新增至現有的應用程式和服務主體。 認證可讓攻擊者以目標應用程式或服務主體的身分進行驗證,並授與他們對其具有許可權之所有資源的存取權。

本節包含下列數據,可協助您偵測:

  • 新增至應用程式和服務主體的所有新認證,包括認證類型

  • 最上層動作專案及其執行的認證修改數目

  • 所有認證變更的時程表

授與給服務主體的新許可權

如果攻擊者找不到具有高許可權許可權集來取得存取權的服務主體或應用程式,他們通常會嘗試將許可權新增至另一個服務主體或應用程式。

本節包含對現有服務主體授與 AppOnly 許可權的明細。 管理員 應該調查授與過多高許可權的任何實例,包括但不限於 Exchange Online 和 Microsoft Graph。

服務主體的目錄角色和群組成員資格更新

在攻擊者將新許可權新增至現有服務主體和應用程式的邏輯之後,另一種方法是將它們新增至現有的目錄角色或群組。

本節包含對服務主體成員資格所做的所有變更概觀,並應檢閱是否有高許可權角色和群組的任何新增專案。

已修改的同盟設定

在環境中取得長期立足點的另一個常見方法是:

  • 修改租使用者的同盟網域信任。
  • 新增另一個由攻擊者控制的 SAML IDP 作為受信任的驗證來源。

本節包含下列數據:

  • 對現有網域同盟信任執行的變更

  • 新增網域和信任

篩選

此段落列出每個區段支持的篩選。

修改的應用程式和服務主體認證/驗證方法

  • 時間範圍
  • 作業名稱
  • 認證
  • 演員
  • 排除動作專案

授與給服務主體的新許可權

  • 時間範圍
  • 用戶端應用程式
  • 資源

服務主體的目錄角色和群組成員資格更新

  • 時間範圍
  • 作業
  • 起始使用者或應用程式

已修改的同盟設定

  • 時間範圍
  • 作業
  • 起始使用者或應用程式

最佳作法

    • 使用已修改的應用程式和服務主體認證** 來尋找要新增至組織中未經常使用之服務主體的認證。 使用本節中存在的篩選器,進一步調查任何已修改的可疑動作專案或服務主體。

  • 使用授與給服務主體 的新許可權,查看可能遭到入侵的動作專案將廣泛或過度新增至服務主體的許可權。

  • 使用已修改的同盟設定 區段來確認新增或修改的目標網域/URL 是合法的系統管理員行為。 修改或新增網域同盟信任的動作很少見,因此應視為要儘快調查的高精確度。