Empfehlungen zur Überwachung und Bedrohungserkennung
Hierfür gilt die Empfehlung der Power Platform Well-Architected Security-Checkliste:
| SE:08 | Implementieren Sie eine ganzheitliche Überwachungsstrategie, die auf modernen Bedrohungserkennungsmechanismen basiert, die in die Plattform integriert werden können. Mechanismen sollten zuverlässig vor einer Triage warnen und Signale an bestehende SecOps-Prozesse senden. |
|---|
In dieser Anleitung werden die Empfehlungen zur Überwachung und Bedrohungserkennung beschrieben. Beim Monitoring handelt es sich grundsätzlich um einen Prozess zum Abrufen von Informationen über bereits eingetretene Ereignisse. Bei der Sicherheitsüberwachung werden Informationen auf verschiedenen Ebenen der Workload (Identität, Flows, Anwendung, Vorgänge) erfasst, um verdächtige Aktivitäten zu erkennen. Ziel ist es, Vorfälle vorherzusagen und aus vergangenen Ereignissen zu lernen. Überwachungsdaten bilden die Grundlage für die Analyse nach einem Vorfall und unterstützen die Reaktion auf Vorfälle und forensische Untersuchungen.
Monitoring ist ein Ansatz zur operativen Exzellenz, der auf alle Power Platform Säulen von Well-Architected angewendet wird. Diese Anleitung enthält Empfehlungen nur aus der Sicherheitsperspektive. Allgemeine Konzepte der Überwachung werden in Empfehlungen für die Konzeption und Erstellung eines Überwachungssystems behandelt.
Definitionen
| Begriff | Definition |
|---|---|
| Überwachungsprotokolle | Eine Aufzeichnung der Aktivitäten in einem System. |
| Security Information & Event Management (SIEM) | Ein Ansatz, der integrierte Funktionen zur Bedrohungserkennung und Threat Intelligence nutzt, die auf aus mehreren Quellen aggregierten Daten basieren. |
| Bedrohungserkennung | Eine Strategie zum Erkennen von Abweichungen von erwarteten Aktionen mithilfe erfasster, analysierter und korrelierter Daten. |
| Threat Intelligence | Eine Strategie zur Interpretation von Bedrohungserkennungsdaten, um verdächtige Aktivitäten oder Bedrohungen durch die Untersuchung von Mustern zu erkennen. |
| Bedrohungsprävention | Sicherheitskontrollmaßnahmen, die auf verschiedenen Ebenen in einer Workload platziert werden, um deren Ressourcen zu schützen. |
Wichtige Designstrategien
Der Hauptzweck der Sicherheitsüberwachung ist die Bedrohungserkennung. Das Hauptziel besteht darin, potenzielle Sicherheitsverletzungen zu verhindern und dafür zu sorgen, dass die Umgebung sicher bleibt. Es ist jedoch ebenso wichtig zu erkennen, dass nicht alle Bedrohungen präventiv abgewehrt werden können. In solchen Fällen dient die Überwachung auch als Mechanismus zur Ermittlung der Ursache eines Sicherheitsvorfalls, der trotz der Präventionsmaßnahmen aufgetreten ist.
Die Überwachung kann aus verschiedenen Perspektiven angegangen werden:
Überwachung auf verschiedenen Ebenen. Bei der Beobachtung von verschiedenen Ebenen aus werden Informationen über Benutzerflows, Datenzugriff, Identität, Vernetzung und sogar das Betriebssystem erfasst. Jeder dieser Bereiche bietet einzigartige Erkenntnisse, die Ihnen dabei helfen können, Abweichungen vom erwarteten Verhalten zu erkennen, das anhand der Sicherheitsbasislinie festgelegt wurde. Umgekehrt kann die kontinuierliche Überwachung eines Systems und von Anwendungen über einen längeren Zeitraum helfen, diese Basislinie festzulegen. Angenommen, in Ihrem Identitätssystem treten typischerweise etwa 1.000 Anmeldeversuche pro Stunde auf. Wenn Ihre Überwachung innerhalb eines kurzen Zeitraums einen Anstieg von 50.000 Anmeldeversuchen erkennt, versucht möglicherweise ein Angreifer, Zugriff auf Ihr System zu erhalten.
Überwachen Sie verschiedene Angriffsbereiche. Es ist unerlässlich, die Anwendung und die Plattform zu beobachten. Angenommen, die Berechtigungen eines Anwendungsbenutzenden werden versehentlich erhöht oder es kommt zu einer Sicherheitsverletzung. Wenn der Benutzende Aktionen ausführt, die über seinen zugewiesenen Bereich hinausgehen, sind die Auswirkungen vielleicht auf Aktionen beschränkt, die andere Benutzende ausführen können.
Wenn jedoch eine interne Entität eine Datenbank kompromittiert, ist das Ausmaß des potenziellen Schadens ungewiss.
Je nachdem, welches dieser Szenarien eintritt, können sich Radius und Umfang des entstandenen Schadens erheblich unterscheiden.
Verwenden Sie spezielle Überwachungstools. Es ist wichtig, in spezielle Tools zu investieren, die kontinuierlich nach anormalem Verhalten suchen, das auf einen Angriff hinweisen könnte. Die meisten dieser Tools verfügen über Threat-Intelligence-Funktionen, die auf der Grundlage großer Datenmengen und bekannter Bedrohungen vorausschauende Analysen durchführen können. Die meisten Tools sind nicht zustandslos und verfügen über umfassende Kenntnisse zur Telemetrie im Sicherheitskontext.
Die Tools müssen plattformintegriert oder zumindest plattformfähig sein, um von der Plattform detaillierte Signale erhalten und hochpräzise Vorhersagen treffen zu können. Sie müssen rechtzeitig Warnmeldungen mit genügend Informationen generieren können, um eine angemessene Triage durchführen zu können. Werden zu viele unterschiedliche Tools verwendet, steigt womöglich die Komplexität deutlich.
Nutzen Sie die Überwachung zur Reaktion auf Vorfälle. Aggregierte Daten, die in verwertbare Informationen umgewandelt werden, ermöglichen eine schnelle und wirksame Reaktion auf Vorfälle. Die Überwachung unterstützt das Vorgehen nach einem Vorfall. Das Ziel besteht darin, genügend Daten zu sammeln, um zu analysieren und zu verstehen, was passiert ist. Der Überwachungsprozess erfasst Informationen zu vergangenen Ereignissen, um die Reaktionsfähigkeit zu verbessern und womöglich zukünftige Vorfälle vorherzusagen.
Die folgenden Abschnitte enthalten empfohlene Vorgehensweisen, welche die vorhergehenden Überwachungsperspektiven berücksichtigen.
Daten erfassen, um Ihre Aktivitäten zu protokollieren
Das Ziel besteht darin, einen umfassenden Überwachungspfad aller aus Sicht der Sicherheit bedeutsamen Ereignisse zu pflegen. Die Protokollierung ist die gängigste Methode zum Erfassen von Zugriffsmustern. Sowohl für die Anwendung als auch die Plattform muss eine Protokollierung durchgeführt werden.
Für einen Überwachungspfad müssen Sie festlegen was, wann und wer im Zusammenhang mit Aktionen überwacht werden soll. Sie müssen die spezifischen Zeitrahmen festlegen, in denen Aktionen ausgeführt werden. Nehmen Sie diese Beurteilung im Rahmen Ihrer Bedrohungsmodellierung vor. Um einem Zurückweisungsangriff entgegenzuwirken, sollten Sie strenge Protokollierungs- und Prüfsysteme einrichten, mithilfe derer die Aktivitäten und Transaktionen aufgezeichnet werden.
In den folgenden Abschnitten werden Anwendungsfälle für einige gängige Ebenen einer Workload beschrieben.
Workload-Benutzerflows
Ihre Workload sollte so konzipiert sein, dass bei auftretenden Ereignissen Laufzeittransparenz gewährleistet ist. Identifizieren Sie kritische Punkte innerhalb Ihrer Workload und richten Sie eine Protokollierung für diese Punkte ein. Es ist wichtig, jede Ausweitung der Benutzerrechte, die von Benutzenden ausgeführten Aktionen und den Zugriff des Benutzenden auf vertrauliche Informationen in einem sicheren Datenspeicher zu erkennen. Behalten Sie die Aktivitäten von Benutzenden und Benutzersitzungen im Auge.
Um diese Nachverfolgung zu erleichtern, sollte der Code über eine strukturierte Protokollierung instrumentiert werden. Dies ermöglicht eine einfache und einheitliche Abfrage und Filterung der Protokolle.
Wichtig
Sie müssen eine verantwortungsvolle Protokollierung erzwingen, um die Vertraulichkeit und Integrität Ihres Systems zu wahren. Geheimnisse und sensible Daten dürfen nicht in Protokollen auftauchen. Achten Sie beim Erfassen dieser Protokolldaten auf die Weitergabe personenbezogener Daten und andere Compliance-Anforderungen.
Identitäts- und Zugriffsüberwachung
Pflegen Sie umfassende Aufzeichnungen der Zugriffsmuster für die Anwendung und der Änderungen an Plattformressourcen. Sie brauchen robuste Aktivitätsprotokolle und Mechanismen zur Bedrohungserkennungen, insbesondere für identitätsbezogene Aktivitäten, da Angreifer häufig versuchen, Identitäten zu manipulieren, um sich unbefugt Zugriff zu verschaffen.
Implementieren Sie eine umfassende Protokollierung, indem Sie alle verfügbaren Datenpunkte nutzen. Geben Sie beispielsweise die Client-IP-Adresse an, um zwischen normaler Benutzeraktivität und potenziellen Bedrohungen von unerwarteten Standorten aus zu unterscheiden. Der Server sollte alle Protokollierungsereignisse mit einem Zeitstempel versehen.
Zeichnen Sie sämtliche Ressourcenzugriffsaktivitäten auf und erfassen Sie, wer was wann tut. Rechteausweitungen sind ein bedeutender Datenpunkt, der protokolliert werden sollte. Auch Aktionen im Zusammenhang mit der Kontoerstellung oder -löschung durch die Anwendung müssen protokolliert werden. Diese Empfehlung gilt auch für Anwendungsgeheimnisse. Überwachen Sie, wer auf Geheimnisse zugreift und wann diese rotiert werden.
Obwohl es wichtig ist, erfolgreiche Aktionen zu protokollieren, ist es aus Sicherheitsperspektive auch wichtig, Fehler aufzuzeichnen. Dokumentieren Sie sämtliche Verstöße, z. B. wenn Benutzende eine Aktion ausführen, bei der die Autorisierung jedoch fehlschlägt, wenn sie versuchen, auf nicht vorhandene Ressourcen zuzugreifen, oder wenn andere Aktionen verdächtig erscheinen.
Netzwerküberwachung
Ihr Segmentierungsdesign sollte Beobachtungspunkte an den Grenzen ermöglichen, um zu überwachen, was diese Grenzen überschreitet, und diese Daten dann zu protokollieren. Überwachen Sie beispielsweise Subnetze, die über Netzwerksicherheitsgruppen verfügen, die Datenflussprotokolle generieren. Überwachen Sie auch die Firewall-Protokolle, welche die zugelassenen oder verweigerten Datenflüsse anzeigen.
Es gibt Zugriffsprotokolle für eingehende Verbindungsanforderungen. Diese Protokolle zeichnen die Quell-IP-Adressen auf, welche die Anforderungen initiieren, den Anforderungstyp (GET, POST) und alle anderen Informationen, die zu den Anforderungen gehören.
Das Erfassen von DNS-Datenflüssen ist für viele Organisationen eine wichtige Anforderung. Beispielsweise können DNS-Protokolle dabei helfen, zu ermitteln, welcher Benutzende bzw. welches Gerät eine bestimmte DNS-Abfrage initiiert hat. Durch den Abgleich der DNS-Aktivität mit Benutzer-/Geräteauthentifizierungsprotokollen können Sie die Aktivitäten einzelner Clients nachverfolgen. Diese Verantwortung erstreckt sich häufig auf das Workload-Team, insbesondere wenn es etwas bereitstellt, bei dem DNS-Anforderungen zum normalen Ablauf gehören. Die Analyse des DNS-Datenverkehrs ist ein wichtiger Aspekt des Einblicks in die Plattformsicherheit.
Es ist wichtig, unerwartete DNS-Anforderungen oder DNS-Anforderungen, die an bekannte Befehls- und Kontrollendpunkte gerichtet sind, zu überwachen.
Kompromiss: Das Protokollieren sämtlicher Netzwerkaktivitäten kann zu einer großen Datenmenge führen. Leider ist es nicht möglich, nur unerwünschte Ereignisse zu erfassen, da diese erst identifiziert werden können, wenn sie auftreten. Treffen Sie strategische Entscheidungen darüber, welche Arten von Ereignissen erfasst und wie lange sie gespeichert werden sollen. Wenn Sie nicht aufpassen, kann die Verwaltung der Daten Sie überwältigen. Auch hinsichtlich der Kosten für die Speicherung dieser Daten gibt es einen Kompromiss.
Systemänderungen erfassen
Um die Integrität Ihres Systems aufrechtzuerhalten, sollten Sie genaue und aktuelle Aufzeichnungen des Systemstatus führen. Bei Änderungen können Sie auf Basis dieser Aufzeichnungen zeitnah auf auftretende Probleme reagieren.
Biuld-Prozesse sollten auch Telemetriedaten ausgeben. Der Schlüssel liegt darin, den Sicherheitskontext von Ereignissen zu verstehen. Zu wissen, was den Build-Prozess ausgelöst hat, wer ihn ausgelöst hat und wann er ausgelöst wurde, kann wertvolle Erkenntnisse liefern.
Verfolgen Sie nach, wann Ressourcen erstellt und wann sie außer Betrieb genommen werden. Diese Informationen müssen aus der Plattform extrahiert werden. Diese Informationen liefern wertvolle Erkenntnisse für die Ressourcenverwaltung und die Rechenschaftspflicht.
Überwachen Sie Abweichung in der Ressourcenkonfiguration. Dokumentieren Sie alle Änderungen an einer vorhandenen Ressource. Behalten Sie auch Änderungen im Auge, die im Rahmen der Einführung einer Reihe an Ressourcen nicht abgeschlossen werden. In den Protokollen müssen die Einzelheiten der Änderung und der genaue Zeitpunkt ihres Auftretens festgehalten werden.
Verschaffen Sie sich aus der Patching-Perspektive einen umfassenden Überblick darüber, ob das System auf dem neuesten Stand und sicher ist. Überwachen Sie routinemäßige Aktualisierungsprozesse , um sicherzustellen, dass sie wie geplant abgeschlossen werden. Ein Sicherheitspatch-Prozess, der nicht abgeschlossen wird, sollte als Sicherheitsrisiko betrachtet werden. Sie sollten außerdem ein Verzeichnis führen, in dem die Patchebenen und alle anderen erforderlichen Details aufgezeichnet werden.
Die Änderungserkennung gilt auch für das Betriebssystem. Dabei wird nachverfolgt, ob Dienste hinzugefügt oder deaktiviert werden. Darüber hinaus wird überwacht, ob dem System Benutzende hinzugefügt werden. Es gibt Tools, die speziell auf ein Betriebssystem ausgerichtet sind. Dadurch, dass sie nicht auf die Funktionalität der Workload abzielen, helfen sie bei der kontextlosen Überwachung. Die Dateiintegritätsüberwachung ist zum Beispiel ein wichtiges Tool, mit dem Sie Änderungen in Systemdateien nachverfolgen können.
Sie sollten Warnmeldungen für diese Änderungen einrichten, insbesondere wenn solche Änderungen nicht häufig auftreten sollten.
Wichtig
Achten Sie bei der Einführung in die Produktion darauf, dass diese Warnungen so konfiguriert sind, dass sie anomale Aktivitäten erfassen, die in den Anwendungsressourcen und im Build-Prozess erkannt werden.
Nehmen Sie die Prüfung der Protokollierung und Alarmierung als priorisierte Testfälle in Ihre Testpläne mit auf.
Daten speichern, aggregieren und analysieren
Die bei diesen Überwachungsaktivitäten gesammelten Daten müssen in Datensenken gespeichert werden, wo sie gründlich untersucht, normalisiert und korreliert. Sicherheitsdaten sollten außerhalb der systemeigenen Datenspeicher gespeichert werden. Überwachungssenken, egal ob lokal oder zentral, müssen die Lebensdauer der Datenquellen überdauern. Die Senken dürfen nicht kurzlebig sein, da es sich bei Senken um die Quelle für Intrusion-Detection-Systeme handelt.
Netzwerkprotokolle können sehr umfangreich sein und Speicherplatz beanspruchen. Entdecken Sie verschiedene Ebenen in Speichersystemen. Protokolle können mit der Zeit auf natürliche Weise in das Cold Storage überführt werden. Dieser Ansatz ist vorteilhaft, da ältere Datenflussprotokolle normalerweise nicht aktiv verwendet und nur bei Bedarf benötigt werden. Diese Methode sorgt für eine effiziente Speicherverwaltung und stellt gleichzeitig sicher, dass Sie bei Bedarf auf historische Daten zugreifen können.
Die Datenflüsse Ihrer Workload sind normalerweise eine Zusammenstellung mehrerer Protokollierungsquellen. Überwachungsdaten müssen über alle diese Quellen hinweg intelligent analysiert werden. Zum Beispiel blockiert Ihre Firewall nur den Datenverkehr, der sie erreicht. Wenn Sie über eine Netzwerksicherheitsgruppe verfügen, die bereits bestimmten Datenverkehr blockiert hat, wird dieser von der Firewall nicht wahrgenommen. Um die Ereignisabfolge zu rekonstruieren, müssen Sie die Daten aus allen Komponenten des Datenflusses und dann die Daten aus allen Datenflüssen aggregieren. Diese Daten sind insbesondere nach einem Vorfall nützlich, wenn Sie versuchen zu verstehen, was passiert ist. Eine genaue Zeiterfassung ist unerlässlich. Aus Sicherheitsgründen müssen alle Systeme eine Zeitquelle des Netzwerks verwenden, damit sie immer synchron sind.
Zentralisierte Bedrohungserkennung mit korrelierten Protokollen
Sie können ein System wie das Security Information & Event Management (SIEM) verwenden, um Sicherheitsdaten an einem zentralen Ort zu konsolidieren, wo sie über verschiedene Dienste hinweg korreliert werden können. Diese Systeme verfügen über integrierte Mechanismen zur Bedrohungserkennung. Sie können eine Verbindung zu externen Feeds herstellen, um Daten zur Threat Intelligence abzurufen. Microsoft veröffentlicht zum Beispiel Daten zur Threat Intelligence, die Sie verwenden können. Sie können Threat-Intelligence-Feeds auch von anderen Anbietern wie Anomali und FireEye kaufen. Diese Feeds können wertvolle Erkenntnisse liefern und Ihren Sicherheitsstatus verbessern. Erkenntnisse zu Bedrohungen von Microsoft finden Sie unter Security Insider.
Ein SIEM-System kann Warnmeldungen korrelieren, die auf korrelierten und normalisierten Daten beruhen. Diese Warnmeldungen sind während der Reaktion auf einen Vorfall eine wichtige Ressource.
SIEM-Systeme werden normalerweise von den zentralen Teams einer Organisation verwaltet. Wenn Ihre Organisation über kein solches Team verfügt, sollten Sie sich dafür einsetzen, das sich dies ändert. Dies könnte den Aufwand für die manuelle Protokollanalyse und -korrelation verringern und so die Verwaltung der Sicherheit effizienter und effektiver machen.
Microsoft bietet einige kostengünstige Optionen an. Viele Microsoft Defender-Produkte bieten die Warnfunktion eines SIEM-Systems, jedoch ohne Datenaggregationsfunktion.
Durch die Kombination mehrerer kleinerer Tools können Sie einige Funktionen eines SIEM-Systems emulieren. Sie müssen sich jedoch darüber im Klaren sein, dass solche Behelfslösungen vielleicht keine Korrelationsanalyse durchführen können. Diese Alternativen sind unter Umständen nützlich, können aber die Funktionalität eines dedizierten SIEM-Systems möglicherweise nicht ganz ersetzen.
Missbrauch erkennen
Gehen Sie bei der Bedrohungserkennung proaktiv vor und achten Sie auf Anzeichen von Missbrauch, wie etwa Brute-Force-Angriffe zur Identitätsermittlung auf eine SSH-Komponente oder ein RDP Endpunkt. Obwohl externe Bedrohungen viel Aufsehen erregen können, insbesondere wenn die Anwendung über das Internet verfügbar ist, sind interne Bedrohungen häufig ein noch größeres Problem. Ein unerwarteter Brute-Force-Angriff von einer vertrauenswürdigen Netzwerkquelle oder eine versehentliche Fehlkonfiguration sollten beispielsweise sofort untersucht werden.
Fahren Sie mit der Härtung Ihres Systems fort. Die Überwachung ist kein Ersatz für die proaktive Härtung Ihrer Umgebung. Eine größere Oberfläche wird häufig auch öfter angegriffen. Verschärfen Sie die Kontrollen so weit wie möglich. Erkennen und deaktivieren Sie nicht genutzt Konten, verwenden Sie eine IP-Firewall und blockieren Sie Endpunkte, die zum Beispiel mit Richtlinien zur Datenverlustprävention nicht benötigt werden.
Durch signaturbasierte Erkennung kann ein System detailliert untersucht werden. Dabei wird nach Anzeichen oder Zusammenhängen zwischen Aktivitäten gesucht, die auf einen möglichen Angriff hinweisen könnten. Ein Erkennungsmechanismus könnte zum Beispiel bestimmte Merkmale identifizieren, die auf eine bestimmte Art von Angriff hinweisen. Es ist vielleicht nicht immer möglich, den Command-and-Control-Mechanismus eines Angriffs direkt zu erkennen. Es gibt jedoch häufig Hinweise oder Muster, die mit einem bestimmten Command-and-Control-Prozess in Verbindung stehen. Beispielsweise könnte sich ein Angriff durch eine bestimmte Datenflussrate aus Anfrageperspektive verraten oder er könnte häufig auf Domänen mit bestimmten Endungen zugreifen.
Erkennen Sie anomale Benutzerzugriffsmuster, damit Sie Abweichungen von erwarteten Mustern identifizieren und untersuchen können. Dabei wird das aktuelle Benutzerverhalten mit dem früheren verglichen, um Anomalien zu erkennen. Obwohl diese Aufgabe in der Praxis eventuell nicht manuell durchgeführt werden kann, können Sie hierfür Threat-Intelligence-Tools verwenden. Investieren Sie in Tools für die User and Entity Behavior Analytics (UEBA), die das Benutzerverhalten aus Überwachungsdaten erfassen und analysieren. Diese Tools können häufig prädiktive Analysen durchführen, die verdächtiges Verhalten potenziellen Angriffsarten zuordnen.
Erkennen Sie Bedrohungen in der Phase vor und nach der Bereitstellung. Integrieren Sie in der Phase vor der Bereitstellung Sicherheitsrisikoscans in die Pipelines und ergreifen Sie je nach den Ergebnissen die erforderlichen Maßnahmen. Führen Sie nach der Bereitstellung weiterhin Sicherheitsrisikoscans durch. Sie können für Container Tools wie Microsoft Defender verwenden, da er Containerimages scannt. Integrieren Sie die Ergebnisse in die gesammelten Daten. Informationen zur sicheren Entwicklung finden Sie unter Empfehlungen für sichere Bereitstellungspraktiken.
Umsetzung in Power Platform
Die folgenden Abschnitten beschreiben die Mechanismen, mit denen Sie in Power Platform Bedrohungen überwachen und erkennen können.
Microsoft Sentinel
Mit der Microsoft Sentinel-Lösung Microsoft Power Platform können Kunden verschiedene verdächtige Aktivitäten erkennen, darunter:
- Power Apps-Ausführung von nicht autorisierten geografischen Regionen
- Verdächtige Datenvernichtung durch Power Apps
- Massenlöschung von Power Apps
- Phishing-Angriffe durch Power Apps
- Power Automate-Flows-Aktivität durch ausscheidende Mitarbeiter
- Einer Umgebung hinzugefügte Microsoft Power Platform-Konnektoren
- Aktualisierung oder Entfernung von Microsoft Power Platform-Richtlinien zur Verhinderung von Datenverlust
Weitere Informationen finden Sie unter Übersicht über die Microsoft Sentinel-Lösung für Microsoft Power Platform.
Microsoft Purview-Aktivitätsprotokollierung
Power Apps, Power Automate, Konnektoren, Verhinderung von Datenverlust und administrative Power Platform-Aktivitätsprotokollierung werden über das Microsoft Purview-Compliance-Portal verfolgt und angezeigt.
Weitere Informationen finden Sie unter
- Power Apps Aktivitätsprotokollierung
- Power Automate Aktivitätsprotokollierung
- Copilot Studio Aktivitätsprotokollierung
- Power Pages Aktivitätsprotokollierung
- Power Platform Connector-Aktivitätsprotokollierung
- Daten Schadensverhütung Aktivitätsprotokollierung
- Power Platform Protokollierung der Aktivitäten von Verwaltungsaktionen
- Microsoft Dataverse und modellgesteuerte App-Aktivitätsprotokollierung
Dataverse-Überwachung
Die Datenbanküberwachung protokolliert Änderungen, die an Kundendatensätzen in einer Umgebungs mit einer Dataverse-Datenbank vorgenommen werden. Die Dataverse Überwachung protokolliert auch den Benutzerzugriff über eine App oder über das SDK in einer Umgebung. Diese Überwachung wird auf Umgebungsebene aktiviert, und für einzelne Tabellen und Spalten ist eine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie unter Dataverse-Überwachung verwalten.
Telemetrie mit Application Insights analysieren
Application Insights ist eine Funktion von Azure Monitor, die in der Unternehmenslandschaft häufig für die Überwachung und Diagnose verwendet wird. Daten, die bereits von einem bestimmten Mandanten oder einer bestimmten Umgebung gesammelt wurden, werden an Ihre eigene Application Insights-Umgebung übertragen. Die Daten werden in von Application Insights in Azure Monitor-Protokollen gespeichert und in den Bereichen „Leistung“ und „Fehler“ im linken Bereich unter „Untersuchen“ visualisiert. Die Daten werden im Standardschem in Ihre Application Insights-Umgebung exportiert, die von Application Insights definiert ist. Die Support-, Entwickler- und Admin-Personas können diese Funktion verwenden, um Probleme zu untersuchen und zu beheben.
Sie können auch:
- Eine Application Insights-Umgebung zum Empfangen von Telemetriedaten zu Diagnose und Leistung einrichten, die von der Dataverse-Plattform erfasst werden.
- Ein Abonnement abschließen, um Telemetriedaten zu Vorgängen zu erhalten, die Anwendungen in Ihrer Dataverse-Datenbank und in modellgesteuerten Apps ausführen. Diese Telemetrie stellt Informationen bereit, mit denen Sie Probleme im Zusammenhang mit Fehlern und Leistung diagnostizieren und beheben können.
- Power Automate-Cloud-Flows für die Integration mit Application Insights einrichten.
- Schreiben Sie Ereignisse und Aktivitäten aus Power Apps-Canvas-Apps in Application Insights.
Weitere Informationen finden Sie unter Übersicht über die Integration mit Application Insights.
Identität
Überwachen Sie Risikoereignisse im Zusammenhang mit der Identität bei potenziell kompromittierten Identitäten und beheben Sie diese Risiken. Überprüfen Sie die gemeldeten Risikoereignisse auf folgende Weise:
Verwenden Sie Microsoft Entra-ID-Meldungen. Weitere Informationen finden Sie unter Was ist Identitätsschutz? und Identitätsschutz.
Verwenden Sie API-Mitglieder zur Risikoerkennung von Identity Protection, um über Microsoft Graph programmgesteuerten Zugriff auf Sicherheitserkennungen zu erhalten. Weitere Informationen finden Sie unter riskDetection und riskyUser.
Microsoft Entra ID verwendet adaptive Algorithmen des maschinellen Lernenes, Heuristiken und bekannte kompromittierte Anmeldeinformationen (Paare aus Benutzername und Kennwort), um verdächtige Aktionen zu erkennen, die mit Ihren Benutzerkonten in Zusammenhang stehen. Diese Paare aus Benutzernamen und Kennwort werden durch die Überwachung des öffentlichen und des Darknets sowie durch die Zusammenarbeit mit Sicherheitsforschern, Strafverfolgungsbehörden, Sicherheitsteams bei Microsoft und anderen ermittelt.
Azure Pipelines
DevOps befürwortet das Änderungsmanagement von Workloads über Continuous Integration und Continuous Delivery (CI/CD). Denken Sie unbedingt daran, in den Pipelines eine Sicherheitsüberprüfung hinzuzufügen. Eine Anleitung dazu finden Sie in Azure Pipelines schützen.
Verwandte Informationen
- Was ist Microsoft Sentinel?
- Integration von Bedrohungsinformationen in Microsoft Sentinel
- Identifizieren Sie erweiterte Bedrohungen mit User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel
Sicherheitscheckliste
Lesen Sie die vollständigen Empfehlungen.