Freigeben über


Microsoft Entra-SecOps für Consumerkonten

Aktivitäten zum Schutz und zur Überwachung von Consumeridentitäten sind ein wichtiger Bereich für Ihre Organisation. Dieser Artikel gilt für Azure Active Directory B2C (Azure AD B2C)-Mandanten und enthält Anleitungen zum Überwachen von Aktivitäten auf Consumerkonten. Die Aktivitäten sind:

  • Consumerkonto
  • Privilegiertes Konto
  • Application
  • Infrastruktur

Voraussetzungen

Bevor Sie den Leitfaden in diesem Artikel anwenden, sollten den Leitfaden zu Microsoft Entra-SecOps lesen.

Definieren einer Baseline

Um anomales Verhalten zu entdecken, müssen Sie normales und erwartetes Verhalten definieren. Das Definieren des erwarteten Verhaltens für Ihre Organisation hilft Ihnen beim Entdecken des unerwarteten Verhaltens. Verwenden Sie die Definition, um False Positive-Ergebnisse während der Überwachung und Alarmierung zu reduzieren.

Nachdem das erwartete Verhalten definiert wurde, führen Sie eine Baselineüberwachung durch, um die Erwartungen zu überprüfen. Überwachen Sie dann Protokolle auf Ereignisse, die außerhalb der Toleranz liegen.

Verwenden Sie für Konten, die außerhalb normaler Prozesse erstellt wurden, die Microsoft Entra-Überwachungsprotokolle, Microsoft Entra-Anmeldeprotokolle und Verzeichnisattribute als Ihre Datenquellen. Die folgenden Vorschläge können Ihnen helfen, „normal“ zu definieren.

Erstellung von Consumerkonten

Werten Sie die folgende Liste aus:

  • Strategie und Prinzipien für Tools und Prozesse zum Erstellen und Verwalten von Consumerkonten
    • Beispiel: Standardattribute und Formate, die auf Attribute von Consumerkonten angewendet werden
  • Genehmigte Quellen für die Kontoerstellung.
    • Beispiel: Onboarding benutzerdefinierter Richtlinien, Kundenbereitstellung oder Migrationstool
  • Benachrichtigungsstrategie für Konten, die außerhalb genehmigter Quellen erstellt wurden.
    • Erstellen Sie eine kontrollierten Liste der Organisationen, mit denen Ihre Organisation zusammenarbeitet
  • Strategie und Benachrichtigungsparameter für Konten, die von einem Administrator für nicht genehmigte Consumerkonten erstellt, geändert oder deaktiviert wurden
  • Überwachungs- und Benachrichtigungsstrategie für Consumerkonten, die keine Standardattribute wie beispielsweise Kundennummer aufweisen, oder nicht der Benennungskonventionen der Organisation folgen
  • Strategie, Prinzipien und Prozess zum Löschen und Aufbewahren von Konten

Zu untersuchende Protokolle

Verwenden Sie Protokolldateien zur Untersuchung und Überwachung. Weitere Informationen finden Sie in den folgenden Artikeln:

Überwachungsprotokolle und Automatisierungstools

Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Verwenden Sie das Azure-Portal zur Integration von Microsoft Entra-Protokollen in andere Tools, um die Automatisierung von Überwachung und Benachrichtigungen zu ermöglichen:

Verwenden Sie den Rest des Artikels für Empfehlungen was Sie überwachen und benachrichtigen sollten. Weitere Informationen finden Sie in den Tabellen, die nach Bedrohungsart organisiert sind. Siehe Links zu vorgefertigten Lösungen oder Beispielen im Anschluss an die Tabelle. Erstellen von Benachrichtigungen mithilfe der vorgängig erwähnten Tools.

Consumerkonten

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Subfilter Notizen
Große Anzahl von Kontoerstellungen oder -löschungen Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzer hinzufügen
Status = Erfolg
Initiiert von (Akteur) = CPIM-Dienst
- und -
Aktivität: Benutzer löschen
Status = Erfolg
Initiiert von (Akteur) = CPIM-Dienst
Definieren Sie einen Basisschwellenwert und überwachen Sie ihn dann und passen ihn an die Verhaltensweisen Ihres Unternehmens an. Schränken Sie Fehlalarme ein.
Konten, die von nicht genehmigten Benutzern oder Prozessen erstellt und gelöscht wurden Medium Microsoft Entra-Überwachungsprotokolle Von (Akteur) initiiert: BENUTZERPRINZIPALNAME
- und -
Aktivität: Benutzer hinzufügen
Status = Erfolg
Initiiert von (Akteur) != CPIM-Dienst
und/oder
Aktivität: Benutzer löschen
Status = Erfolg
Initiiert von (Akteur) != CPIM-Dienst
Konfigurieren Sie das Senden einer Warnung, wenn es sich bei den Akteuren um nicht genehmigte Benutzer handelt.
Konten, die einer privilegierten Rolle zugewiesen sind Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzer hinzufügen
Status = Erfolg
Initiiert von (Akteur) == CPIM-Dienst
- und -
Aktivität: Mitglied zu Rolle hinzufügen
Status = Erfolg
Wenn das Konto einer Microsoft Entra-Rolle, einer Azure-Rolle oder einer privilegierten Gruppe zugewiesen ist, geben Sie eine Warnung aus, und priorisieren Sie die Untersuchung.
Fehlgeschlagene Anmeldeversuche Mittel, falls isolierter Vorfall
Hoch, wenn zahlreiche Konten das gleiche Muster aufweisen
Microsoft Entra-Anmeldeprotokoll Status = fehlgeschlagen
- und -
Anmeldefehlercode 50126: Fehler beim Überprüfen der Anmeldeinformationen aufgrund eines ungültigen Benutzernamens oder Kennworts.
- und -
Anwendung == „CPIM PowerShell Client“
- oder -
Anwendung == „ProxyIdentityExperienceFramework“
Legen Sie einen Basisschwellenwert fest, den Sie dann überwachen und entsprechend dem Verhalten Ihres Unternehmens anpassen können, um zu verhindern, dass Fehlwarnungen generiert werden.
Intelligente Aussperrereignisse Mittel, falls isolierter Vorfall
Hoch, wenn zahlreiche Konten das gleiche Muster oder eine VIP aufweisen
Microsoft Entra-Anmeldeprotokoll Status = fehlgeschlagen
- und -
Anmeldefehlercode = 50053: IdsLocked
- und -
Anwendung == „CPIM PowerShell Client“
- oder -
Anwendung == „ProxyIdentityExperienceFramework“
Legen Sie einen Basisschwellenwert fest, und dann überwachen Sie ihn und passen ihn an die Verhaltensweisen Ihres Unternehmens an, um Fehlalarme zu vermeiden.
Fehlgeschlagene Authentifizierungen aus Ländern oder Regionen, in denen Sie nicht arbeiten Medium Microsoft Entra-Anmeldeprotokoll Status = fehlgeschlagen
- und -
Standort = <Nicht genehmigter Standort>
- und -
Anwendung == „CPIM PowerShell Client“
- oder -
Anwendung == „ProxyIdentityExperienceFramework“
Überwachen Sie Einträge, die nicht den angegebenen Stadtnamen entsprechen.
Vermehrte fehlgeschlagene Authentifizierungen jeglicher Art Medium Microsoft Entra-Anmeldeprotokoll Status = fehlgeschlagen
- und -
Anwendung == „CPIM PowerShell Client“
- oder -
Anwendung == „ProxyIdentityExperienceFramework“
Wenn Sie keinen Schwellenwert festgelegt haben, überwachen und benachrichtigen Sie, wenn Fehler um 10 % oder mehr zunehmen.
Konto für Anmeldungen deaktiviert/blockiert Niedrig Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 50057, Das Benutzerkonto ist deaktiviert.
Dieses Szenario könnte darauf hinweisen, dass jemand versucht, sich Zugriff auf ein Konto zu verschaffen, nachdem er die Organisation verlassen hat. Das Konto ist blockiert, aber es ist es wichtig, diese Aktivität zu protokollieren und zu benachrichtigen.
Messbarer Anstieg erfolgreicher Anmeldungen Niedrig Microsoft Entra-Anmeldeprotokoll Status = Erfolg
- und -
Anwendung == „CPIM PowerShell Client“
- oder -
Anwendung == „ProxyIdentityExperienceFramework“
Wenn Sie keinen Schwellenwert festgelegt haben, überwachen und benachrichtigen Sie, wenn erfolgreiche Authentifizierungen um 10 % oder mehr zunehmen.

Privilegierte Konten

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Subfilter Notizen
Anmeldefehler, Schwellenwert für falsches Kennwort Hoch Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 50126
Definieren Sie einen Basisschwellenwert und überwachen und passen Sie ihn an die Verhaltensweisen Ihres Unternehmens an. Schränken Sie Fehlalarme ein.
Fehler aufgrund der Anforderung für bedingten Zugriff Hoch Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 53003
- und -
Fehlerursache = Durch bedingten Zugriff blockiert
Das Ereignis kann darauf hinweisen, dass ein Angreifer versucht, auf das Konto zuzugreifen.
Interrupt Hoch, mittel Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 53003
- und -
Fehlerursache = Durch bedingten Zugriff blockiert
Das Ereignis kann darauf hinweisen, dass ein Angreifer über das Kontokennwort verfügt, aber die MFA-Herausforderung nicht bestehen kann.
Kontosperrung Hoch Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Fehlercode = 50053
Definieren Sie einen Basisschwellenwert, dann überwachen Sie ihn und passen ihn an die Verhaltensweisen Ihres Unternehmens an. Schränken Sie Fehlalarme ein.
Konto für Anmeldungen deaktiviert/blockiert niedrig Microsoft Entra-Anmeldeprotokoll Status = Fehler
- und -
Ziel = Benutzer-UPN
- und -
Fehlercode = 50057
Dieses Ereignis könnte darauf hinweisen, dass jemand versucht, sich Zugriff auf ein Konto zu verschaffen, nachdem er die Organisation verlassen hat. Obwohl das Konto blockiert ist, müssen Sie diese Aktivität protokollieren und benachrichtigen.
MFA-Betrugswarnung/Blockierung Hoch Microsoft Entra-Anmeldeprotokoll/Azure Log Analytics Anmeldungen>Authentifizierungsdetails
Ergebnisdetails = MFA verweigert, betrügerischen Code eingegeben
„Privilegierte Benutzer“ deutet darauf hin, dass er die MFA-Eingabeaufforderung nicht veranlasst hat, was darauf hindeuten könnte, dass ein Angreifer über das Kontokennwort verfügt.
MFA-Betrugswarnung/Blockierung Hoch Microsoft Entra-Anmeldeprotokoll/Azure Log Analytics Aktivitätstyp = Betrug wurde gemeldet – Benutzer ist für MFA gesperrt oder Betrug wurde gemeldet – keine Aktion ausgeführt basierend auf den Einstellungen für Betrugsberichte auf Mandantenebene Beim privilegierten Benutzer war keine MFA-Eingabeaufforderung erkennbar. Das Szenario kann darauf hinweisen, dass ein Angreifer über das Kontokennwort verfügt.
Anmeldungen mit privilegierten Konten außerhalb der erwarteten Kontrollen. Hoch Microsoft Entra-Anmeldeprotokoll Status = Fehler
UserPricipalName = <Administratorkonto>
Standort = <Nicht genehmigter Standort>
IP-Adresse = <Nicht genehmigte IP-Adresse>
Geräteinformationen = <nicht genehmigter Browser, nicht genehmigtes Betriebssystem>
Überwachen und benachrichtigen Sie Einträge, die Sie als nicht genehmigt definiert haben.
Außerhalb der normalen Anmeldezeiten Hoch Microsoft Entra-Anmeldeprotokoll Status = Erfolg
- und -
Standort =
- und -
Zeit = außerhalb der Arbeitszeiten
Überwachen und benachrichtigen Sie, wenn Anmeldungen außerhalb der erwarteten Zeiten erfolgen. Ermitteln Sie das normale Arbeitsmuster für jedes privilegierte Konto, und benachrichtigen Sie, wenn ungeplante Änderungen außerhalb der normalen Arbeitszeiten vorgenommen werden. Anmeldungen außerhalb der normalen Arbeitszeiten können auf eine Kompromittierung oder ein mögliche Insiderbedrohung hinweisen.
Kennwortänderung Hoch Microsoft Entra-Überwachungsprotokolle Aktivitätsakteur = Administrator/Self-Service
- und -
Ziel = Benutzer
- und -
Status = Erfolg oder Fehler
Warnung, wenn sich ein Kennwort für ein Administratorkonto ändert. Schreiben Sie eine Abfrage für privilegierte Konten.
Änderungen an Authentifizierungsmethoden. Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Identitätsanbieter erstellen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Die Änderung könnte darauf hinweisen, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben.
Identitätsanbieter, der von nicht genehmigten Akteuren aktualisiert wurde Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Identitätsanbieter aktualisieren
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Die Änderung könnte darauf hinweisen, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben.
Identitätsanbieter, der von nicht genehmigten Akteuren gelöscht wurde Hoch Microsoft Entra-Zugriffsüberprüfungen Aktivität: Identitätsanbieter löschen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Die Änderung könnte darauf hinweisen, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben.

Anwendungen

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Subfilter Notizen
Anmeldeinformationen wurden Anwendungen hinzugefügt Hoch Microsoft Entra-Überwachungsprotokolle Dienst – Kernverzeichnis, Kategorie: ApplicationManagement
Aktivität: Anwendungszertifikate und Geheimnisverwaltung aktualisieren
- und -
Aktivität: Dienstprinzipal/Anwendung aktualisieren
Benachrichtigen Sie, wenn für Anmeldeinformationen Folgendes gilt: außerhalb der normalen Geschäftszeiten oder Workflows hinzugefügt, nicht in Ihrer Umgebung verwendeter Typ oder einem Nicht-SAML-Flow hinzugefügt, der den Dienstprinzipal unterstützt.
App, die einer Rolle der rollenbasierten Zugriffssteuerung in Azure (Role-based Access Control, RBAC) oder einer Microsoft Entra-Rolle zugewiesen ist Hoch bis mittel Microsoft Entra-Überwachungsprotokolle Typ: Dienstprinzipal
Aktivität: „Mitglied zu Rolle hinzufügen“
oder
„Berechtigtes Mitglied zu Rolle hinzufügen“
Oder
„Zugeordnetes Mitglied zu Rolle hinzufügen“
App mit besonders privilegierten Berechtigungen, z. B. Berechtigungen mit „.All“ (Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail.) Hoch Microsoft Entra-Überwachungsprotokolle Nicht zutreffend Apps mit umfassenden Berechtigungen wie „.All“ (Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail.)
Administrator, der Anwendungsberechtigungen (App-Rollen) oder hoch privilegierte delegierte Berechtigungen erteilt Hoch Microsoft 365-Portal „App-Rollenzuweisung zu Dienstprinzipal hinzufügen“
Dabei gilt:
Das Ziel identifiziert eine API mit sensiblen Daten (z. B. Microsoft Graph) „Erteilung delegierter Berechtigungen hinzufügen“
Dabei gilt:
Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph)
- und -
DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen.
Benachrichtigen Sie, wenn ein globaler, Anwendungs- oder Cloudanwendungsadministrator seine Einwilligung für eine Anwendung erteilt. Achten Sie insbesondere auf Einwilligungen außerhalb normaler Aktivitäts- und Änderungsverfahren.
Der Anwendung werden Berechtigungen für Microsoft Graph, Exchange, SharePoint oder Microsoft Entra ID erteilt. Hoch Microsoft Entra-Überwachungsprotokolle „Erteilung delegierter Berechtigungen hinzufügen“
Oder
„App-Rollenzuweisung zu Dienstprinzipal hinzufügen“
Dabei gilt:
Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph, Exchange Online usw.)
Verwenden Sie die Benachrichtigung in der vorherigen Zeile.
Hoch privilegierte delegierte Berechtigungen werden im Namen aller Benutzer erteilt Hoch Microsoft Entra-Überwachungsprotokolle „Erteilung delegierter Berechtigungen hinzufügen“
where
Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph)
DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen
- und -
DelegatedPermissionGrant.ConsentType ist „AllPrincipals“.
Verwenden Sie die Benachrichtigung in der vorherigen Zeile.
Anwendungen, die den ROPC-Authentifizierungsflow verwenden Medium Microsoft Entra-Anmeldeprotokoll Status=Erfolg
Authentifizierungsprotokoll – ROPC
Dieser Anwendung wird ein hohes Maß an Vertrauen entgegengebracht, da die Anmeldedaten zwischengespeichert oder gespeichert werden können. Wenn möglich wechseln Sie zu einem sichereren Authentifizierungsflow. Verwenden Sie den Prozess nur in automatisierten Anwendungstests, wenn überhaupt.
Verwaister URI Hoch Microsoft Entra-Protokolle und Anwendungsregistrierung Dienst: Kernverzeichnis
Kategorie: ApplicationManagement
Aktivität: Anwendung aktualisieren
Erfolg: Eigenschaftenname, AppAddress
Achten Sie zum Beispiel auf verwaiste URIs, die auf einen Domänenamen verweisen, der verschwunden ist oder den Sie nicht besitzen.
Änderungen an der Konfiguration des Umleitungs-URI Hoch Microsoft Entra-Protokolle Dienst: Kernverzeichnis
Kategorie: ApplicationManagement
Aktivität: Anwendung aktualisieren
Erfolg: Eigenschaftenname, AppAddress
Achten Sie auf URIs ohne HTTPS*, URIs mit Platzhaltern am Ende oder der Domäne der URL, URIs, die für die Anwendung nicht eindeutig sind, und URIs, die auf eine Domäne verweisen, die Sie nicht kontrollieren.
Änderungen am AppID-URI Hoch Microsoft Entra-Protokolle Dienst: Kernverzeichnis
Kategorie: ApplicationManagement
Aktivität: Anwendung aktualisieren
Aktivität: Dienstprinzipal aktualisieren
Suchen Sie nach AppID-URI-Änderungen, z. B. Hinzufügen, Ändern oder Entfernen des URI.
Änderungen am Anwendungsbesitz Medium Microsoft Entra-Protokolle Dienst: Kernverzeichnis
Kategorie: ApplicationManagement
Aktivität: Besitzer der Anwendung hinzufügen
Suchen Sie nach Instanzen von Benutzern, die als Anwendungsbesitzer außerhalb der normalen Änderungsverwaltungsaktivitäten hinzugefügt wurden.
Änderungen an der Abmelde-URL Niedrig Microsoft Entra-Protokolle Dienst: Kernverzeichnis
Kategorie: ApplicationManagement
Aktivität: Anwendung aktualisieren
- und -
Aktivität: Dienstprinzipal aktualisieren
Suchen Sie nach Änderungen an einer Abmelde-URL. Leere Einträge oder Einträge zu nicht existierenden Speicherorten würden einen Benutzer am Beenden einer Sitzung hindern.

Infrastruktur

Zu überwachende Elemente Risikostufe Hierbei gilt: Filter/Subfilter Hinweise
Neue Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren erstellt wird Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Richtlinie für bedingten Zugriff hinzufügen
Kategorie: Richtlinie
Initiiert von (Akteur): Benutzerprinzipalname
Überwachen auf und Benachrichtigen von Änderungen am bedingten Zugriff. Initiiert von (Akteur): hat er die Genehmigung, Änderungen am bedingten Zugriff vorzunehmen?
Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren entfernt wird Medium Microsoft Entra-Überwachungsprotokolle Aktivität: Richtlinie für bedingten Zugriff löschen
Kategorie: Richtlinie
Initiiert von (Akteur): Benutzerprinzipalname
Überwachen auf und Benachrichtigen von Änderungen am bedingten Zugriff. Initiiert von (Akteur): hat er die Genehmigung, Änderungen am bedingten Zugriff vorzunehmen?
Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren aktualisiert wird Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Richtlinie für bedingten Zugriff aktualisieren
Kategorie: Richtlinie
Initiiert von (Akteur): Benutzerprinzipalname
Überwachen auf und Benachrichtigen von Änderungen am bedingten Zugriff. Initiiert von (Akteur): hat er die Genehmigung, Änderungen am bedingten Zugriff vorzunehmen?
Überprüfen von geänderten Eigenschaften und Vergleichen des alten mit dem neuen Wert
Benutzerdefinierte B2C-Richtlinie, die von nicht genehmigten Akteuren erstellt wurde Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzerdefinierte Richtlinie erstellen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen auf und Benachrichtigen bei Änderungen benutzerdefinierter Richtlinien. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an benutzerdefinierten Richtlinien vorzunehmen?
Benutzerdefinierte B2C-Richtlinie, die von nicht genehmigten Akteuren aktualisiert wurde Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzerdefinierte Richtlinien abrufen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen auf und Benachrichtigen bei Änderungen benutzerdefinierter Richtlinien. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an benutzerdefinierten Richtlinien vorzunehmen?
Benutzerdefinierte B2C-Richtlinie, die von nicht genehmigten Akteuren gelöscht wurde Medium Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzerdefinierte Richtlinie löschen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen auf und Benachrichtigen bei Änderungen benutzerdefinierter Richtlinien. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an benutzerdefinierten Richtlinien vorzunehmen?
Benutzerflow, der von nicht genehmigten Akteuren erstellt wurde Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzerflow erstellen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen auf und Benachrichtigen bei Änderungen an Benutzerflows. Initiiert von (Akteur): Hat er die Genehmigung, Änderungen an Benutzerflows vorzunehmen?
Benutzerflow, der von nicht genehmigten Akteuren aktualisiert wurde Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzerflow aktualisieren
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen auf und Benachrichtigen bei Änderungen an Benutzerflows. Initiiert von (Akteur): Hat er die Genehmigung, Änderungen an Benutzerflows vorzunehmen?
Benutzerflow, der von nicht genehmigten Akteuren gelöscht wurde Medium Microsoft Entra-Überwachungsprotokolle Aktivität: Benutzerflow löschen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen auf und Benachrichtigen bei Änderungen an Benutzerflows. Initiiert von (Akteur): Hat er die Genehmigung, Änderungen an Benutzerflows vorzunehmen?
API-Connectors, die von nicht genehmigten Akteuren erstellt wurden Medium Microsoft Entra-Überwachungsprotokolle Aktivität: API-Connector erstellen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen auf und Benachrichtigen bei Änderungen an API-Connectors. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an API-Connectors vorzunehmen?
API-Connectors, die von nicht genehmigten Akteuren aktualisiert wurden Medium Microsoft Entra-Überwachungsprotokolle Aktivität: API-Connector aktualisieren
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname: ResourceManagement
Überwachen auf und Benachrichtigen bei Änderungen an API-Connectors. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an API-Connectors vorzunehmen?
API-Connectors, die von nicht genehmigten Akteuren gelöscht wurden Medium Microsoft Entra-Überwachungsprotokolle Aktivität: API-Connector aktualisieren
Kategorie: ResourceManagment
Ziel: Benutzerprinzipalname: ResourceManagement
Überwachen auf und Benachrichtigen bei Änderungen an API-Connectors. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an API-Connectors vorzunehmen?
Identitätsanbieter (IdP), der von nicht genehmigten Akteuren erstellt wurde Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Identitätsanbieter erstellen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen von und Benachrichtigen bei IdP-Änderungen. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an einer IdP-Konfiguration vorzunehmen?
Identitätsanbieter der von nicht genehmigten Akteuren aktualisiert wurde Hoch Microsoft Entra-Überwachungsprotokolle Aktivität: Identitätsanbieter aktualisieren
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen von und Benachrichtigen bei IdP-Änderungen. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an einer IdP-Konfiguration vorzunehmen?
Identitätsanbieter, der von nicht genehmigten Akteuren gelöscht wurde Medium Microsoft Entra-Überwachungsprotokolle Aktivität: Identitätsanbieter löschen
Kategorie: ResourceManagement
Ziel: Benutzerprinzipalname
Überwachen von und Benachrichtigen bei IdP-Änderungen. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an einer IdP-Konfiguration vorzunehmen?

Nächste Schritte

Um mehr zu erfahren, lesen Sie die folgenden SecOps-Artikel: