共用方式為

敏感操作報告活頁簿

  • 發行項

敏感性作業報告活頁簿旨在協助識別可能表示環境中遭入侵的可疑應用程式和服務主體活動。

本文提供 敏感操作報告 活頁簿的概述。

必要條件

若要使用適用於 Microsoft Entra ID 的 Azure 活頁簿,您需要:

  • 具有 Premium P1 授權的 Microsoft Entra 租戶
  • Log Analytics 工作區 以及 存取該工作區的權限
  • 適用於 Azure 監視器 Microsoft Entra ID 的合適角色

Log Analytics 工作區

您必須先建立 Log Analytics 工作區,才能 使用 Microsoft Entra 活頁簿。 有數個因素決定對 Log Analytics 工作區的存取。 您需要工作區的正確角色 ,以及 傳送資料的資源。

如需詳細資訊,請參閱管理 Log Analytics 工作區的存取權

Azure 監視器角色

Azure 監視器提供 兩個內建角色 檢視監視資料和編輯監視設定。 Azure 角色型存取控制 (RBAC) 也提供兩個授與類似存取權的 Log Analytics 內建角色。

  • 檢視

    • 監視讀取器
    • Log Analytics 讀者

  • 檢視和修改設定

    • 監視參與者
    • Log Analytics 參與者

Microsoft Entra 的角色

唯讀存取權可讓您檢視活頁簿內的 Microsoft Entra ID 記錄資料、從 Log Analytics 查詢資料,或在 Microsoft Entra 系統管理中心讀取記錄。 更新存取權可新增建立和編輯診斷設定,以便將Microsoft Entra 資料傳送至 Log Analytics 工作區。

  • 讀取

    • 報告閱讀器
    • 安全審閱員
    • 全球讀者

  • 更新:

    • 安全性系統管理員

如需 Microsoft Entra 內建角色的詳細資訊,請參閱 Microsoft Entra 內建角色

如需 Log Analytics RBAC 角色的詳細資訊,請參閱 Azure 內建角色

描述

活頁簿類別

此活頁簿會辨識您的租戶中最近執行的敏感作業。

如果您的組織第一次使用 Azure 監視器活頁簿,您必須在存取活頁簿之前,先整合 Microsoft Entra 登入和稽核記錄與 Azure 監視器。 這項整合可讓您使用活頁簿來儲存、查詢及可視化記錄,最多兩年。 只會儲存在 Azure 監視器整合之後建立的登入和稽核事件,因此活頁簿不會包含該日期之前的深入解析。 如需詳細資訊,請參閱 整合 Microsoft Entra 記錄與 Azure 監視器

如何存取活頁簿

  1. 使用適當的角色組合,登入 Microsoft Entra 系統管理中心

  2. 流覽至 Entra ID>監視與健康>活頁簿

  3. 疑難排解 區段中,選取 敏感作業報告 活頁簿。

區段

此活頁簿分割成四個區段:

活頁簿區段的螢幕快照。

  • 已修改的應用程式和服務主體認證/驗證方法 - 此報告會標示最近變更許多服務主體認證的使用者,以及每種類型的服務主體認證變更數量。

  • 授與服務主體的新權限 - 此活頁簿也強調最近授與服務主體的 OAuth 2.0 權限。

  • 服務主體的目錄角色和群組成員資格更新

  • 已修改的同盟設定 - 此報告強調使用者或應用程式何時修改網域上的同盟設定。 例如,它會報告何時將新的 Active Directory 同盟服務 (ADFS) TrustedRealm 物件 (如簽署憑證) 新增至網域。 對網域同盟設定的修改應該很罕見。

已修改的應用程式和服務主體認證/驗證方法

攻擊者在環境中取得存取權的最常見方式之一是將新的認證新增至現有的應用程式和服務主體。 認證可讓攻擊者作為目標應用程式或服務主體進行驗證,並授與他們對其具有權限的所有資源的存取權。

本節包含下列資料,可協助您進行偵測:

  • 新增至應用程式和服務主體的所有新認證,包括認證類型

  • 主要參與者和他們執行的憑證修改次數

  • 所有認證變更的時間表

授與服務主體的新權限

攻擊者通常會嘗試將許可權新增至另一個服務主體或應用程式,如果他們找不到具有高特權許可權集的服務主體或應用程式來取得存取權。

本節包含 AppOnly 權限授與現有服務主體的明細。 系統管理員應該調查授與過度權限的任何實例,包括但不限於 Exchange Online 和 Microsoft Graph。

服務主體的目錄角色和群組成員資格更新

遵循攻擊者向現有服務主體和應用程式新增新權限的邏輯,另一種方法是將它們新增到現有目錄角色或群組。

本節包含針對服務主體成員資格所做的所有變更概覽,應檢視是否有任何高權限角色和群組的新增。

已修改的同盟設定

在環境中獲得長期立足點的另一種常見方法是:

  • 修改租戶的聯邦網域信任。
  • 新增攻擊者控制的另一個 SAML IDP 作為受信任的驗證來源。

本節包括下列資料:

  • 現有網域信任聯盟所進行的變更

  • 新增全新的網域和信任

篩選

本段會列出每個區段支援的篩選條件。

已修改的應用程式和服務主體認證/驗證方法

  • 時間範圍
  • 作業名稱
  • 認證
  • 演員
  • 排除角色

授與服務主體的新權限

  • 時間範圍
  • 用戶端應用程式
  • 資源

服務主體的目錄角色和群組成員資格更新

  • 時間範圍
  • 作業
  • 正在啟動使用者或應用程式

已修改的同盟設定

  • 時間範圍
  • 作業
  • 正在啟動使用者或應用程式

最佳作法

  • 使用已修改的應用程式和服務主體認證 來監視添加到組織中不常使用的服務主體的認證。 使用本節中的篩選條件進一步調查任何遭到修改的可疑執行者或服務主體。

  • 使用授與給服務主體的新許可權,以監控可能已被入侵的行為者對服務主體新增的廣泛或過度的許可權。

  • 使用修改的同盟設定 區段來確認新增或修改的目標網域/URL 是合法的系統管理員行為。 修改或新增網域同盟信任的動作很罕見,應將其視為高精確度,以便盡快進行調查。

相關內容