共用方式為

敏感性作業報告活頁簿

  • 發行項

敏感性作業報告活頁簿旨在協助識別可能表示環境中遭入侵的可疑應用程式和服務主體活動。

本文提供 敏感性作業報告 活頁簿的概觀。

必要條件

若要使用適用於 Microsoft Entra ID 的 Azure 活頁簿,您需要:

  • 具有 Premium P1 授權的 Microsoft Entra 租用戶
  • Log Analytics 工作區 對該工作區的存取權
  • 適用於 Azure 監視器 Microsoft Entra ID 的適當角色

Log Analytics 工作區

您必須「先」建立 Log Analytics 工作區,才能使用 Microsoft Entra 活頁簿。 有數個因素決定對 Log Analytics 工作區的存取。 您需要工作區的正確角色 ,以及 傳送資料的資源。

如需詳細資訊,請參閱管理 Log Analytics 工作區的存取權

Azure 監視器角色

Azure 監視器提供 兩個內建角色 檢視監視資料和編輯監視設定。 Azure 角色型存取控制 (RBAC) 也提供兩個授與類似存取權的 Log Analytics 內建角色。

  • 檢視

    • 監視讀取器
    • Log Analytics 讀者

  • 檢視和修改設定

    • 監視參與者
    • Log Analytics 參與者

Microsoft Entra 角色

唯讀存取權可讓您檢視活頁簿內的 Microsoft Entra ID 記錄資料、從 Log Analytics 查詢資料,或在 Microsoft Entra 系統管理中心讀取記錄。 更新存取權可新增建立和編輯診斷設定,以便將Microsoft Entra 資料傳送至 Log Analytics 工作區。

  • 讀取

    • 報告讀取者
    • 安全性讀取者
    • 全域讀取者

  • 更新:

    • 安全性系統管理員

如需 Microsoft Entra 內建角色的詳細資訊,請參閱 Microsoft Entra 內建角色

如需 Log Analytics RBAC 角色的詳細資訊,請參閱 Azure 內建角色

描述

活頁簿類別

此活頁簿會識別租使用者中最近執行的敏感性作業。

如果您的組織第一次使用 Azure 監視器活頁簿,您必須在存取活頁簿之前,先整合 Microsoft Entra 登入和稽核記錄與 Azure 監視器。 這項整合可讓您使用活頁簿來儲存、查詢及可視化記錄,最多兩年。 只會儲存在 Azure 監視器整合之後建立的登入和稽核事件,因此活頁簿不會包含該日期之前的深入解析。 如需詳細資訊,請參閱 整合 Microsoft Entra 記錄與 Azure 監視器

如何存取活頁簿

  1. 使用適當的角色組合,登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[監視和健康狀況]>[活頁簿]

  3. [疑難排解答] 區段中,選取 [敏感性作業報告] 活頁簿。

區段

此活頁簿分割成四個區段:

活頁簿區段的螢幕快照。

  • 已修改的應用程式和服務主體認證/驗證方法 - 此報告會標幟最近變更許多服務主體認證的動作專案,以及每個服務主體認證類型的變更數目。

  • 授與服務主體的新權限 - 此活頁簿也強調最近授與服務主體的 OAuth 2.0 權限。

  • 服務主體的目錄角色和群組成員資格更新

  • 已修改的同盟設定 - 此報告強調使用者或應用程式何時修改網域上的同盟設定。 例如,它會報告何時將新的 Active Directory 同盟服務 (ADFS) TrustedRealm 物件 (如簽署憑證) 新增至網域。 對網域同盟設定的修改應該很罕見。

已修改的應用程式和服務主體認證/驗證方法

攻擊者在環境中取得存取權的最常見方式之一是將新的認證新增至現有的應用程式和服務主體。 認證可讓攻擊者作為目標應用程式或服務主體進行驗證,並授與他們對其具有權限的所有資源的存取權。

本節包含下列資料,可協助您進行偵測:

  • 新增至應用程式和服務主體的所有新認證,包括認證類型

  • 最佳執行者和他們執行的認證修改數目

  • 所有認證變更的時間表

授與服務主體的新權限

攻擊者通常會嘗試將許可權新增至另一個服務主體或應用程式,如果他們找不到具有高許可權許可權集的服務主體或應用程式,即可取得存取權。

本節包含 AppOnly 權限授與現有服務主體的明細。 系統管理員應該調查授與過度權限的任何實例,包括但不限於 Exchange Online 和 Microsoft Graph。

服務主體的目錄角色和群組成員資格更新

遵循攻擊者向現有服務主體和應用程式新增新權限的邏輯,另一種方法是將它們新增到現有目錄角色或群組。

本節包含對服務主體成員資格所做之所有變更的概觀,並且應針對高特殊權限角色和群組的任何新增進行檢閱。

已修改的同盟設定

在環境中獲得長期立足點的另一種常見方法是:

  • 修改租用戶的同盟網域信任。
  • 新增攻擊者控制的另一個 SAML IDP 作為受信任的驗證來源。

本節包括下列資料:

  • 對現有網域同盟信任執行的變更

  • 全新網域和信任的新增

篩選

本段會列出每個區段支援的篩選條件。

已修改的應用程式和服務主體認證/驗證方法

  • 時間範圍
  • 作業名稱
  • 認證
  • 演員
  • 排除執行者

授與服務主體的新權限

  • 時間範圍
  • 用戶端應用程式
  • 資源

服務主體的目錄角色和群組成員資格更新

  • 時間範圍
  • 作業
  • 正在起始使用者或應用程式

已修改的同盟設定

  • 時間範圍
  • 作業
  • 正在起始使用者或應用程式

最佳作法

  • 使用已修改的應用程式和服務主體認證 來尋找要新增至組織中不常使用之服務主體的認證。 使用本節中的篩選條件進一步調查任何遭到修改的可疑執行者或服務主體。

  • 使用授與給服務主體 的新許可權,查看可能遭到入侵的動作專案將廣泛或過度新增至服務主體的許可權。

  • 使用修改的同盟設定 區段來確認新增或修改的目標網域/URL 是合法的系統管理員行為。 修改或新增網域同盟信任的動作很罕見,應將其視為高精確度,以便盡快進行調查。

相關內容