Arbeitsmappe „Berichte zu sicherheitsrelevanten Vorgängen“
Mit der Arbeitsmappe „Bericht zu sicherheitsrelevanten Vorgängen“ lassen sich verdächtige Anwendungs- und Dienstprinzipalaktivitäten identifizieren, die auf eine Kompromittierung in Ihrer Umgebung hinweisen können.
Dieser Artikel enthält eine Übersicht über die Arbeitsmappe Berichte zu sicherheitsrelevanten Vorgängen.
Voraussetzungen
Um Azure Workbooks für Microsoft Entra ID zu verwenden, benötigen Sie Folgendes:
- Ein Microsoft Entra-Mandant mit einer Premium P1-Lizenz
- Log Analytics-Arbeitsbereich und Zugriff auf diesen Arbeitsbereich
- Die geeigneten Rollen für Azure Monitor und Microsoft Entra ID
Log Analytics-Arbeitsbereich
Sie müssen einen Log Analytics-Arbeitsbereich erstellen, bevor Sie Microsoft Entra-Arbeitsmappen verwenden können. Mehrere Faktoren bestimmen den Zugriff auf Log Analytics-Arbeitsbereiche. Sie benötigen die richtigen Rollen für den Arbeitsbereich und die Ressourcen, die die Daten senden.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche.
Azure Monitor-Rollen
Azure Monitor bietet zwei integrierte Rollen zum Anzeigen von Überwachungsdaten und zum Bearbeiten von Überwachungseinstellungen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure bietet außerdem zwei integrierte Log Analytics-Rollen, die ähnlichen Zugriff gewähren.
Anzeigen:
- Überwachungsleser
- Log Analytics-Leser
Anzeigen und Ändern von Einstellungen:
- Überwachungsmitwirkender
- Log Analytics-Mitwirkender
Microsoft Entra-Rollen
Mit dem schreibgeschützten Zugriff können Sie Microsoft Entra ID-Protokolldaten in einer Arbeitsmappe anzeigen, Daten aus Log Analytics abfragen oder Protokolle im Microsoft Entra Admin Center lesen. Der Updatezugriff bietet die Möglichkeit, Diagnoseeinstellungen zu erstellen und zu bearbeiten, um Microsoft Entra-Daten an einen Log Analytics-Arbeitsbereich zu senden.
Read (Lesen):
- Berichtleseberechtigter
- Sicherheitsleseberechtigter
- Globaler Leser
Update (Aktualisieren):
- Sicherheitsadministrator
Weitere Informationen zu in Microsoft Entra integrierten Rollen finden Sie unter integrierte Rollen in Microsoft Entra.
Weitere Informationen zu den RBAC-Rollen für Log Analytics finden Sie unter Integrierte Azure-Rollen.
Beschreibung
Diese Arbeitsmappe identifiziert die letzten vertraulichen Vorgänge, die in Ihrem Mandanten ausgeführt wurden.
Wenn Ihre Organisation noch nicht mit Azure Monitor-Arbeitsmappen gearbeitet hat, müssen Sie Ihre Microsoft Entra-Anmelde- und Überwachungsprotokolle in Azure Monitor integrieren, bevor Sie auf die Arbeitsmappe zugreifen. Dank dieser Integration können Sie Ihre Protokolle bis zu zwei Jahre in Arbeitsmappen speichern, abfragen und visualisieren. Es werden nur Anmelde- und Überwachungsereignisse gespeichert, die nach der Integration mit Azure Monitor erstellt wurden. Daher enthält die Arbeitsmappe keine Erkenntnisse zu Vorgängen vor diesem Zeitpunkt. Weitere Informationen finden Sie unter Integrieren von Microsoft Entra-Protokollen mit Azure Monitor.
So greifen Sie auf die Arbeitsmappe zu
Melden Sie sich mit einer geeigneten Kombination von Rollen beim Microsoft Entra Admin Center an.
Browsen Sie zu Identität>Überwachung und Integrität>Workbooks.
Wählen Sie im Abschnitt Problembehandlung die Arbeitsmappe Berichte zu sicherheitsrelevanten Vorgängen aus.
Abschnitte
Diese Arbeitsmappe ist in vier Abschnitte unterteilt:
Geänderte Anmeldeinformationen/Authentifizierungsmethoden für Anwendung und Dienstprinzipal: Dieser Bericht kennzeichnet Akteure, die kürzlich viele Anmeldeinformationen von Dienstprinzipalen geändert haben, und gibt an, wie viele der unterschiedlichen Anmeldeinformationstypen für Dienstprinzipale geändert wurden.
Neue Berechtigungen für Dienstprinzipale: Diese Arbeitsmappe hebt auch die kürzlich Dienstprinzipalen gewährten OAuth 2.0-Berechtigungen hervor.
Aktualisierungen der Verzeichnisrollen- und Gruppenmitgliedschaft für Dienstprinzipale
Geänderte Verbundeinstellungen: Dieser Bericht hebt hervor, wenn ein Benutzer oder eine Anwendung Verbundeinstellungen für eine Domäne ändert. Gemeldet wird beispielsweise, wenn der Domäne ein neues TrustedRealm-Objekt des Active Directory-Verbunddiensts (Active Directory Federated Service, ADFS) hinzugefügt wird (z. B. ein Signaturzertifikat). Änderungen an Domänenverbundeinstellungen sollten selten erfolgen.
Geänderte Anmeldeinformationen/Authentifizierungsmethoden für Anwendungen und Dienstprinzipale
Eine der häufigsten Methoden für Angreifer, Zugriff auf die Umgebung zu erhalten, ist das Hinzufügen neuer Anmeldeinformationen zu vorhandenen Anwendungen und Dienstprinzipalen. Mithilfe der Anmeldeinformationen kann der Angreifer sich als Zielanwendung oder Dienstprinzipal authentifizieren und Zugriff auf alle Ressourcen erhalten, für die die Anwendung oder der Dienstprinzipal Berechtigungen hat.
Dieser Abschnitt enthält die folgenden Daten, die Sie bei der Erkennung unterstützen:
Alle neuen Anmeldeinformationen, die Apps und Dienstprinzipalen hinzugefügt wurden, einschließlich des Anmeldeinformationstyps
Die wichtigsten Akteure und Anzahl der von ihnen vorgenommenen Änderungen an Anmeldeinformationen
Eine Zeitachse für alle Änderungen der Anmeldeinformationen
Neue Berechtigungen für Dienstprinzipale
Wenn die Angreifer keinen Dienstprinzipal oder keine Anwendung mit hohen Berechtigungen finden, mit denen sie Zugriff erhalten, suchen sie häufig nach Dienstprinzipalen oder Anwendungen mit erhöhten Rechten, über die sie Zugriff erhalten können.
Dieser Abschnitt enthält eine Aufschlüsselung der AppOnly-Berechtigungen, die vorhandenen Dienstprinzipalen gewährt werden. Administratoren sollten alle Vorkommen übermäßig hoher Berechtigungen untersuchen, die gewährt werden, einschließlich, aber nicht beschränkt auf Exchange Online und Microsoft Graph.
Aktualisierungen der Verzeichnisrollen- und Gruppenmitgliedschaft für Dienstprinzipale
Der Logik des Angreifers, vorhandenen Dienstprinzipalen und Anwendungen neue Berechtigungen hinzuzufügen, entspricht auch ein weiterer Ansatz, nämlich die Berechtigungen vorhandenen Verzeichnisrollen oder Gruppen hinzuzufügen.
Dieser Abschnitt enthält eine Übersicht über alle Änderungen, die an Mitgliedschaften des Dienstprinzipals vorgenommen wurden, und sollte auf mögliche Ergänzungen von Rollen und Gruppen mit hohen Rechten überprüft werden.
Geänderte Verbundeinstellungen
Auch folgender Ansatz wird häufig verwendet, um in der Umgebung langfristig Fuß zu fassen:
- Ändern der Domänenverbundvertrauensstellungen des Mandanten.
- Hinzufügen eines weiteren SAML-Identitätsanbieters, der von Angreifern als vertrauenswürdige Authentifizierungsquelle gesteuert wird
Dieser Abschnitt enthält die folgenden Daten:
An vorhandenen Domänenverbundvertrauensstellungen vorgenommene Änderungen
Hinzufügungen neuer Domänen und Vertrauensstellungen
Filter
In diesem Absatz werden die unterstützten Filter für jeden Abschnitt aufgeführt.
Geänderte Anmeldeinformationen/Authentifizierungsmethoden für Anwendungen und Dienstprinzipale
- Uhrzeitbereich
- Vorgangsname
- Anmeldeinformationen
- Akteur
- Akteur ausschließen
Neue Berechtigungen für Dienstprinzipale
- Uhrzeitbereich
- Client-App
- Resource
Aktualisierungen der Verzeichnisrollen- und Gruppenmitgliedschaft für Dienstprinzipale
- Uhrzeitbereich
- Vorgang
- Initiieren eines Benutzers oder einer App
Geänderte Verbundeinstellungen
- Uhrzeitbereich
- Vorgang
- Initiieren eines Benutzers oder einer App
Bewährte Methoden
Verwenden Sie geänderte Anmeldeinformationen für Anwendungen und Dienstprinzipale, um nach Anmeldeinformationen zu suchen, die Dienstprinzipalen hinzugefügt werden, die in Ihrer Organisation nicht häufig verwendet werden. Verwenden Sie die in diesem Abschnitt enthaltenen Filter, um verdächtige Akteure oder Dienstprinzipale, die geändert wurden, genauer zu untersuchen.
Verwenden Sie neue Berechtigungen für Dienstprinzipale, um nach erweiterten oder übermäßigen Berechtigungen zu suchen, die Dienstprinzipalen von Akteuren hinzugefügt wurden, die möglicherweise kompromittiert sind.
Verwenden Sie im Abschnitt Geänderte Verbundeinstellungen können Sie bestätigen, dass die hinzugefügte oder geänderte Zieldomäne/URL einem legitimen Administratorverhalten entspricht. Aktionen, durch die Domänenverbundvertrauensstellungen geändert oder hinzugefügt werden, sind selten und sollten mit großer Sorgfalt und baldmöglichst untersucht werden.