Seurannan ja uhkien tunnistamista koskevat suositukset

Koskee tätä Power Platform hyvin suunniteltua tietoturvan tarkistuslistasuositusta:

SE:08	Sellaisen kokonaisvaltaisen seurantastrategian toteuttaminen, joka perustuu moderneihin, ympäristöön integroitavissa oleviin uhkientunnistusmekanismeihin. Mekanismien pitäisi hälyttää luotettavasti luokittelua varten ja lähettää signaaleja olemassa oleviin SecOps-prosesseihin.

Tässä oppaassa kerrotaan seurannan ja uhkien tunnistamiseen liittyvistä suosituksista. Seuranta on pohjimmiltaan prosessi, jossa haetaan tietoja tapahtumista, jotka ovat jo tapahtuneet. Suojauksen seuranta on käytäntö, jossa siepataan tietoja työmäärän eri kohdissa (käyttäjätiedot, työnkulut, sovellus, toiminnot), jotta saadaan tietoja epäilyttävistä aktiviteeteista. Tavoite on ennustaa tapaukset ja oppia menneistä tapahtumista. Tietojen seuranta on tapausten jälkeisen analyysin perusta. Se auttaa tapausten käsittelyssä ja rikosteknisissä tutkimuksissa.

Seuranta on Operational Excellence -lähestymistapa, jota sovelletaan kaikissa Power Platform hyvin suunnitelluissa pilareissa. Tässä oppaassa on suosituksia vain suojauksen näkökulmasta. Seurannan yleiset käsitteet esitellään kohdassa Seurantajärjestelmän suunnittelua ja luomista koskevat suositukset.

Määritelmät

Termi	Määritelmä
Seurantalokit	Järjestelmän aktiviteettien tietue.
Suojaustietojen ja tapahtumien hallinta (SIEM)	Menetelmä, joka käyttää valmista uhkien tunnistusta ja älykkäitä ominaisuuksia useista lähteistä koottujen tietojen perusteella.
Uhkien tunnistus	Strategia odotettujen toimintojen tunnistetuista eroista kerättyjen, analysoitujen ja korreloitujen tietojen avulla.
Uhkatiedot	Strategia uhkien tunnistustietojen tulkitsemiseksi, kun tunnistetaan epäilyttävä aktiviteetti tai uhkia mallien tutkimisen avulla.
Uhkien estäminen	Suojauksen ohjausobjektit, jotka on sijoitettu työmäärään eri kohtiin resurssien suojaamiseksi.

Tärkeimmät suunnittelustrategiat

Suojauksen seurannan päätarkoitus on uhkien tunnistus. Ensisijainen tavoite on estää mahdolliset tietoturvarikkomukset ja ylläpitää ympäristö suojattuna. Yhtä tärkeää on kuitenkin huomata, että kaikkia uhkia ei voi estää etukäteen. Näissä tapauksissa seuranta toimii myös mekanismina, joka tunnistaa estotoimista huolimatta tapahtuneen suojaustapauksen syyn.

Seurantaa voi käsitellä esimerkiksi seuraavista näkökulmista:

• Seuranta eri vaiheissa. Eri vaiheissa tapahtuva havainnointi on prosessi, jonka avulla saadaan tietoja käyttäjän työnkuluista, tietojen käytöstä, käyttäjätiedoista, verkkopalveluista ja jopa käyttöjärjestelmästä. Kaikilta näiltä alueilta saadaan yksilöllisiä merkityksellisiä tietoja, joiden avulla voidaan tunnistaa eroja odotetussa toiminnassa suojauksen perustasolla. Järjestelmän ja sovellusten seuraaminen jatkuvasti ajan kuluessa auttaa tämän perustason muodostamisessa. Esimerkiksi käyttäjätietojen järjestelmässä saattaa usein olla noin 1 000 sisäänkirjausyritystä tunneittain. Jos seurannassa havaitaan 50 000 sisäänkirjausyrityksen piikki lyhyen ajan kuluessa, hyökkääjä saattaa olla yrittämässä järjestelmän käyttöoikeuden hankkimista.

• Seuranta häiriön eri vaiheissa. On erittäin tärkeää tarkkailla sovellusta ja ympäristöä. Oletetaan, että sovelluksen käyttäjä saa vahingossa eskaloidut oikeudet tai tapahtuu tietoturvarikkomus. Jos käyttäjä suorittaa toimintoja hänelle määritetyn alueen ulkopuolella, vaikutus saattaa rajoittua toimintoihin, joita muut käyttäjät voivat suorittaa.

  Jos kuitenkin sisäinen entiteetti vaarantaa tietokannan, mahdollisen vahingon laajuutta ei tiedetä.

  Vaikutusalue voi olla merkittävästi erilainen riippuen siitä, mikä skenaario tapahtuu.

• Käytä erityisiä seurantatyökaluja. On tärkeää panostaa erityisiin työkaluihin, jotka jatkuvasti etsivät poikkeavaa toimintaa, joka voi kertoa hyökkäyksestä. Suurimmalla osalla näistä työkaluista on uhkatieto-ominaisuudet, jotka voivat suorittaa ennakoivia analyysejä suurten tietomäärien ja tunnettujen uhkien perusteella. Useimmat työkalut eivät ole tilattomia, ja ne sisältävät syvällistä tietoa telemetriasta suojauskontekstissa.

  Työkalujen on oltava ympäristöön integroituja tai vähintään ympäristön huomioon ottavia, jotta ne saavat ympäristöstä tarkkoja signaaleja erittäin täsmällisten ennusteiden tekemistä varten. Niiden on pystyttävä luomaan riittävän määrän tietoja sisältäviä hälytyksiä ajoissa, jotta luokittelu onnistuu. Liian monipuolisten työkalujen käyttäminen voi aiheuttaa monimutkaisuutta.

• Käytä seurantaa tapausten käsittelyssä. Koostetut tiedot, jotka muunnetaan toiminnalliseksi tiedoksi, mahdollistavat nopean ja tehokkaan reagoinnin tapauksiin. Seuranta auttaa tapauksen jälkeisissä aktiviteeteissa. Tavoite on kerätä riittävästi tietoja analysoitavaksi. Tämä auttaa selvittämään, mitä on tapahtunut. Seurantaprosessi tallentaa tietoja menneistä tapahtumista. Tämä tehostaa reaktiivisia ominaisuuksia ja voi ennustaa tulevia tapauksia.

Seuraavissa osissa on suositeltuja käytäntöjä, jotka sisältävät edeltävät seurantanäkymät.

Tietojen tallentaminen aktiviteettien seuraamista varten

Tavoite on ylläpitää kattavaa seurantaketjua tapahtumista, jotka ovat tärkeitä suojauksen näkökulmasta. Lokiin kirjaaminen on yleisin tapa tallentaa käyttömalleja. Lokiin kirjaaminen on tehtävä sovelluksessa ja ympäristössä.

Seurantaketjua varten on määritettävä toimintoihin liittyen mitä, milloin ja kuka. Myös tietyt aikavälit on määritettävä toimintojen suorittamista varten. Tee tämä arvio uhkien mallinnuksessa. Jos haluat ehkäistä kiistettävissä olevat uhat, luo vahvat lokiinkirjaus- ja tarkistusjärjestelmät, jotka tallentavat aktiviteetit ja tapahtumat.

Seuraavissa osissa kerrotaan käyttötapauksista joillekin yleisille työmäärän vaiheille.

Työmäärän käyttäjän työnkulut

Työmäärä on suunniteltava tarjoamaan suorituspalvelun näkyvyys tapahtuman ilmetessä. Määritä työmäärän kriittiset pisteet ja muodosta lokiinkirjaus näissä pisteissä. On tärkeää hyväksyä kaikki eskaloinnit käyttäjän oikeuksissa, käyttäjän suorittamissa toiminnoissa ja käyttäjän mahdollisesti käyttämissä suojatun tietosäilön luottamuksellisissa tiedoissa. Seuraa käyttäjän aktiviteetteja ja käyttäjän istuntoa.

Seurannan helpottamiseksi koodi tulisi instrumentoida rakenteellisen lokiinkirjauksen kautta. Tämä helpottaa ja yhdenmukaistaa lokeista tehtäviä kyselyjä ja lokien suodatusta.

Tärkeää

Pakota vastuullinen lokiinkirjaus järjestelmän luottamuksellisuuden ja eheyden ylläpitämiseksi. Salaiset avaimet ja luottamukselliset tiedot eivät saa näkyä lokeissa. Varo paljastamasta henkilökohtaisia tietoja ja muita yhdenmukaisuuden vaatimuksia tämän lokin tietojen tallentamisen yhteydessä.

Käyttäjätietojen ja käyttöoikeuksien seuranta

Ylläpidä kattavaa sovelluksen ja muokkausten käyttömallien tietuetta ympäristön resursseille. Luotettavat aktiviteettilokit ja uhkientunnistusmekanismit erityisesti käyttäjätietoihin liittyvissä aktiviteeteissä ovat tärkeitä, sillä hyökkääjät yrittävät usein manipuloida käyttäjätietoja yrittäessään kirjautua sisään luvattomasti.

Toteuta kattava lokiinkirjaus käyttämällä kaikkia käytettävissä olevia arvopisteitä. Voit esimerkiksi sisällyttää asiakkaan IP-osoitteen erottaaksesi tavallisen käyttäjäaktiviteetin ja mahdolliset odottamattomista sijainneista saapuvat uhat. Palvelimen tulee aikaleimata kaikki lokiinkirjaustapahtumat.

Tallenna kaikki resurssien käyttötoiminnot ja sieppaa, kuka tekee mitä ja milloin. Oikeuden eskaloinnin esiintymät ovat merkittäviä arvopisteitä, jotka tulee kirjata lokiin. Myös sovelluksen tekemät tilin luontiin tai poistoon liittyvät toiminnot on tallennettava. Tämä suositus koskee myös sovelluksen salaisia avaimia. Seuraa, kuka käyttää salaisia avaimia ja milloin niitä kierrätetään.

Vaikka onnistuneiden toimintojen lokiinkirjaus on tärkeää, myös epäonnistumisten tallentaminen on välttämätöntä suojauksen näkökulmasta. Dokumentoi mahdolliset rikkomukset, kuten käyttäjän yritys suorittaa valtuutusvirheeseen päättyvä toiminto, sellaisten resurssien käyttöyritykset, joita ei ole olemassa, ja muut epäilyttävältä näyttävät toiminnot.

Verkon valvonta

Segmentoinnin rakenteen tulee mahdollistaa havainnointipisteet rajoilla, jotta voidaan valvoa rajan ylittävät toiminnot ja kirjata nämä tiedot lokiin. Valvo esimerkiksi aliverkkoja, joilla on työnkulkulokeja luovia verkon suojausryhmiä. Valvo myös palomuurilokeja, jotka näyttävät sallitut ja kielletyt työnkulut.

Saapuville yhteyspyynnöille on olemassa käyttölokeja. Nämä lokit kirjaavat pyyntöjä aloittavat IP-lähdeosoitteet, pyynnön tyypin (GET, POST) ja kaikki muut pyyntöä koskevat tiedot.

DNS-työnkulkujen sieppaaminen on tärkeä vaatimus useissa organisaatioissa. Esimerkiksi DNS-lokit voivat auttaa tunnistamaan käyttäjän tai laitteen, joka käynnisti tietyn DNS-kyselyn. Korreloimalla DNS-aktiviteetin käyttäjien ja laitteiden todennuslokien avulla voit seurata yksittäisten asiakkaiden aktiviteetteja. Vastuuta laajennetaan usein työmääräryhmälle erityisesti silloin, jos he ottavat käyttöön toiminnon osana jonkin DNS-pyyntöjä tekevän aktiviteetin. DNS-liikenneanalyysi on ympäristön suojauksen näkyvyyden tärkeä osa.

On tärkeää valvoa odottamattomia DNS-pyyntöjä ja DNS-pyyntöjä, jotka on suunnattu tunnettuihin komentojen ja ohjausobjektien päätepisteisiin.

Kompromissi: Kaikkien verkkotoimintojen kirjaaminen voi johtaa suureen tietomäärään. Valitettavasti ei ole mahdollista tallentaa vain haittatapahtumia, koska ne voidaan tunnistaa vasta niiden tapahtumisen jälkeen. Tee siepattavien tapahtumien tyyppiä ja tapahtumien tallennusaikaa koskevia strategisia päätöksiä. Jos et ole varovainen, tietojen hallinta voi tuntua ylivoimaiselta. Kaiken tiedon tallentaminen on myös kallista.

Järjestelmämuutosten sieppaaminen

Jos haluat ylläpitää järjestelmän eheyttä, järjestelmän tilasta on oltava tarkka ja ajan tasalla oleva tallenne. Jos muutoksia on tehty, tämän tallenteen avulla voit nopeasti käsitellä mahdollisia ongelmia.

Luontiprosessien tulee myös lähettää telemetria. Tapahtumien suojauskontekstin tunteminen on tärkeää. Kun tiedetään, mikä käynnisti luontiprosessin, kuka oli käynnistyksen takana ja milloin se käynnistettiin, saadaan käyttöön arvokkaita tietoja.

Seuraa resurssien luonti- ja käytöstäpoistoajankohtaa. Nämä tiedot saadaan ympäristöstä. Näin saat arvokkaita tietoja resurssien hallinnasta ja vastuuvelvollisuudesta.

Valvo muuttuvan resurssin määritystä. Dokumentoi aiemmin luotuun resurssiin mahdollisesti tehdyt muutokset. Seuraa myös muutoksia, jotka eivät ole valmistuneet resurssijoukon käyttöönoton osana. Lokien on siepattava muutoksen tarkat tiedot ja tarkka tapahtuma-aika.

Saat kattavan kuvan korjausnäkökulman avulla siitä, onko järjestelmä ajan tasalla ja suojattu. Valvo rutiininomaisia päivitysprosesseja varmistaaksesi, että ne valmistuvat suunnitellusti. Suojauksen ohjelmankorjausprosessia, jota ei tehdä valmiiksi, pidetään haavoittuvuutena. Ylläpidä myös varastoa, joka kirjaa ohjelmakorjauksen tasot ja muut tarvittavat tiedot.

Muutosten tunnistus koskee myös käyttöjärjestelmää. Tämä sisältää palveluiden lisäyksen ja käytöstäpoiston seuranta. Myös uusien käyttäjien järjestelmään lisäyksen seuranta sisältyy toimintaan. Jotkin työkalut on suunniteltu käyttöjärjestelmää varten. Niiden avulla voi seurata ilman kontekstia, koska niitä ei ole tehty työmäärän toimintoja varten. Esimerkiksi tiedostojen eheyden valvonta on kriittinen työkalu, jonka avulla voi seurata muutoksia järjestelmätiedostoissa.

Näistä muutoksista on määritettävä hälytykset erityisesti silloin, jos niitä ei odoteta tapahtuvan usein.

Tärkeää

Kun tuotanto otetaan käyttöön, varmista, että hälytykset on määritetty. Näin voidaan saada kiinni poikkeava aktiviteetti, joka havaitaan sovelluksen resursseissa ja luontiprosesseissa.

Testaa suunnitelmat sisällyttämällä lokiinkirjauksen ja hälytysten tarkistus priorisoituina testitapauksina.

Tietojen tallentaminen, koostaminen ja analysoiminen

Näistä valvonta-aktiviteeteista kerättävät tiedot on tallennettava tietonieluihin, joissa ne voidaan tutkia, normalisoida ja korreloida täysin. Suojaustiedot on säilyttävä järjestelmän omien tietosäilöjen ulkopuolella. Paikallisten ja keskitettyjen nielujen valvomista tulee tehdä vielä tietolähteiden käyttämisen jälkeenkin. Nielut eivät voi olla väliaikaisia, koska nielut ovat tunkeutumisen havaitsemisessa käytettävien järjestelmien lähde.

Verkkopalveluiden lokit voivat olla yksityiskohtaisia, ja ne voivat viedä paljon tallennustilaa. Tutustu tallennusjärjestelmien eri tasoihin. Lokit voivat ajan kuluessa siirtyä luonnollisesti tallennustilaan, jota ei käytetä paljon. Tämä menetelmä on hyödyllinen, koska vanhoja työnkulkulokeja ei yleensä käytetä aktiivisesti, vaan ainoastaan tarvittaessa. Tämä menetelmä varmistaa tehokkaan tallennustilan hallinnan ja varmistaa samalla, että voit tarvittaessa käyttää historiatietoja.

Työmäärän työnkulut ovat yleensä useiden lokiinkirjauksen lähteiden yhdistelmiä. Valvonnan tiedot on analysoitava älykkäästi kaikissa näissä lähteissä. Esimerkiksi palomuuri estää vain liikennettä, joka yrittää kulkea sen kautta. Jos verkon suojausryhmä on jo estänyt tietyn liikenteen, tämä liikenne ei näy palomuurissa. Jos haluat luoda uudelleen tapahtumasarjan, kaikista työnkulun osista on koottava tiedot. Tämän jälkeen kootaan tiedot kaikista työnkuluista. Nämä tiedot ovat erityisen hyödyllisiä tapauksen käsittelyn jälkeisessä skenaariossa, kun yritetään ymmärtää tapahtunutta. Täsmällinen aikataulutus on tärkeää. Tietoturvasyistä kaikkien järjestelmien on käytettävä verkon aikalähdettä, jotta ne ovat aina synkronoituja.

Keskitetty uhkien tunnistus ja korreloidut lokit

Voit käyttää esimerkiksi suojaustietojen ja tapahtumien hallinnan (SIEM) järjestelmää suojaustietojen konsolidoinnissa keskitettyyn sijaintiin, jossa niitä voidaan korreloida eri palveluihin. Näissä järjestelmissä on valmiit uhkientunnistusmekanismit. He voivat muodostaa yhteyden ulkoisiin syötteisiin ja saada käyttöön uhkia koskevia analytiikkatietoja. Microsoft, esimerkiksi julkaisee uhkatietoja, joita voit käyttää. Voit myös ostaa uhkia koskevia analytiikkasyötteitä muilta palveluntarjoajilta, esimerkiksi Anomalilta ja FireEyeltä. Nämä syötteet antavat arvokkaita tietoja ja parantavat suojausta. Lisätietoja uhkista Microsoft on Security Insiderissa.

SIEM-järjestelmä voi luoda hälytyksiä korreloitujen ja normalisoitujen tietojen perusteella. Nämä hälytykset ovat merkittävä resurssi tapauksen käsittelyprosessin aikana.

Kompromissi: SIEM-järjestelmät voivat olla kalliita, monimutkaisia ja vaatia erikoistuneita osaamisalueet. Jos järjestelmä ei ole käytössä, tiedot on kuitenkin ehkä korreloitava itse. Tämä voi olla aikaavievä ja monimutkainen prosessi.

Organisaation keskusryhmät hallitsevat yleensä SIEM-järjestelmiä. Jos organisaatiolla ei ole tällaista ryhmää, sellainen ehkä kannattaa hankkia. Se voi helpottaa lokianalyysin ja korreloinnin parissa tehtävää manuaalista työtä, jolloin suojauksen hallinta on aiempaa tehokkaampaa.

Joitakin kustannustehokkaita vaihtoehtoja tarjoavat Microsoft. Monet Microsoft Defender-tuotteet sisältävät SIEM-järjestelmän hälytystoiminnon, mutta ilman tietojen yhdistämisominaisuutta.

Yhdistämällä useita pieniä työkaluja voit emuloida SIEM-järjestelmän joitakin toimintoja. Ota kuitenkin huomioon, että nämä tilapäisratkaisut eivät ehkä tee korrelointianalyysia. Nämä vaihtoehdot voivat olla hyödyllisiä, mutta ne eivät ehkä täysin korvaa erillisen SIEM-järjestelmän toimintoja.

Väärinkäytöksen tunnistus

Ole ennakoiva uhkien havaitsemisessa ja ole valppaana väärinkäytön merkkien varalta, kuten SSH-komponenttiin tai RDP-päätepiste kohdistuvat hyökkäykset. Vaikka ulkoiset uhat voivat aiheuttaa paljon turhia tietoja erityisesti silloin, kun sovellus on yhdistetty Internetiin, sisäiset uhat ovat usein tätä suurempi huolenaihe. Esimerkiksi odottamaton väsytyshyökkäys luotetusta verkkolähteestä tai tahattomasta väärästä määrityksestä tulee tutkia välittömästi.

Pysy ajan tasalla rajoituskäytännöistä. Valvonta ei korvaa ympäristön ennakoivaa rajoitusta. Suuri alue on pientä alttiimpi hyökkäyksille. Tiukenna valvontaa sekä käytäntöjä. Voit esimerkiksi tunnistaa ja poistaa käytöstä käyttämättömiä tilejä, käyttää IP-palomuuria ja estää päätepisteitä, joita ei tarvita tietojen menetyksen estämiskäytännöissä.

Allekirjoitukseen perustuva tunnistus voi tarkastaa järjestelmän yksityiskohtaisesti. Siinä etsitään mahdolliseen hyökkäykseen viittaavia merkkejä tai korrelaatioita aktiviteettien välillä. Tunnistusmenetelmä voi tunnistaa tiettyjä ominaisuuksia, jotka ovat tyypillisiä tietyssä hyökkäystyypissä. Hyökkäyksen johda ja hallitse -mekanismia ei ehkä aina ole mahdollista tunnistaa suoraan. Tiettyihin johda ja hallitse -prosesseihin kuitenkin usein liittyy vihjeitä ja malleja. Esimerkiksi pyynnöissä tietty työnkulkumäärä tai tietyt päätteet omaavien toimialueiden säännöllinen käyttö voi osoittaa hyökkäyksen.

Käyttäjien poikkeavien käyttömallien tunnistaminen mahdollistaa odotetuista malleista poikkeavan toiminnan tunnistamisen ja tutkimisen. Tähän sisältyy nykyisen käyttäjän toiminnan vertaaminen aiempaan toimintaan poikkeavuuksien havaitsemiseksi. Tämän tehtävän suorittaminen manuaalisesti ei ehkä ole mahdollista, mutta sen voi tehdä uhkatietotyökalujen avulla. Investoi käyttäjien ja entiteettien käyttäytymisen analytiikan (User and Entity Behavior Analytics, UEBA) työkaluja, jotka keräävät käyttäjän toimintaa seuraamalla tietoja ja analysoimalla niitä. Nämä työkalut voivat usein suorittaa ennakoivan analyysin, joka yhdistää epäilyttävän toiminnan mahdollisiin hyökkäystyyppeihin.

Tunnista uhat käyttöönottoa edeltävässä ja sen jälkeisessä vaiheessa. Käyttöönottoa edeltävän vaiheen aikana haavoittuvuusskannaus otetaan käyttöön putkissa. Tulosten avulla voidaan tehdä tarvittavat toiminnot. Käyttöönoton jälkeen jatketaan haavoittuvuusskannausta. Voit käyttää työkaluja, kuten Microsoft Defender for Containers, joka skannaa säilön kuvia. Sisällytä tulokset kerättyihin tietoihin. Lisätietoja suojatun käyttöönoton käytännöistä on kohdassa Turvallisen käyttöönoton käytäntöjä koskevat suositukset.

Power Platform – avustaminen

Seuraavissa osissa kerrotaan menetelmistä, joiden avulla uhkia voi seurata ja tunnistaa Power Platformissa.

Microsoft Vahti

Microsoft Sentinel-ratkaisun Microsoft Power Platform avulla asiakkaat voivat havaita erilaisia epäilyttäviä toimintoja, kuten:

• Power Appsin toteuttaminen valtuuttamattomilla maantieteellisillä alueilla
• Power Appsin tekemä epäilyttävien tietojen tuhoaminen
• Tietojen joukkopoisto Power Appsissa
• Tietojenkalasteluhyökkäykset Power Appsin kautta
• Power Automate -työnkulkuaktiviteetti poistamalla käyttäjiä
• Ympäristöön lisätyt Microsoft Power Platform -yhdistimet
• Microsoft Power Platformin tietojen menetyksen estämiskäytäntöjen päivittäminen tai poistaminen

Lisätietoja on yleiskatsauksessa Microsoft Microsoft Power Platform kohdassaSentinel-ratkaisu.

Microsoft Purview-toimintojen kirjaaminen

Power Apps, Power Automate, yhdistimiä, tietojen menetyksen estämistä ja Power Platform hallinnollisten toimintojen kirjaamista seurataan ja tarkastellaan Purview-yhteensopivuusportaalissa Microsoft .

Lisätietoja:

• Power Apps Toimintojen kirjaaminen lokiin
• Power Automate Toimintojen kirjaaminen lokiin
• Copilot Studio Toimintojen kirjaaminen lokiin
• Power Pages Toimintojen kirjaaminen lokiin
• Power Platform Yhdistimen toimintojen kirjaaminen lokiin
• Tietojen menetyksen estämisen toimintojen kirjaaminen
• Power Platform Hallinnollisten toimien toimintojen kirjaaminen
• Microsoft Dataverse ja mallipohjaisten sovellusten toimintojen kirjaaminen

Dataverse-seuranta

Database-seuranta kirjaa muutokset, jotka tehdään asiakastietueisiin ympäristössä, jossa on Dataverse-tietokanta. Dataverse-seuranta kirjaa käyttäjän käyttöoikeudet myös sovelluksen tai SDK:n kautta ympäristöön. Tämä tarkistus on otettu käyttöön ympäristön tasolla. Lisämääritys vaaditaan yksittäisille taulukoille ja sarakkeille. Lisätietoja on kohdassa Dataverse-seurannan hallinta.

Telemetrian analysointi Application Insightsin avulla

Azure Monitorin Application Insights -toimintoa käytetään laajasti yritysympäristössä seurantaan ja diagnostiikkaan. Tietystä vuokraajasta tai ympäristöstä jo kerätyt tiedot lähetetään omaan Application Insights -ympäristöön. Application Insights tallentaa tiedot Azure Monitorin lokeihin, ja nämä tiedot visualisoidaan vasemmanpuoleisen ruudun Suorituskyky- ja Virheet-paneelien Tutki-kohtaan. Tiedot tuodaan Application Insights -ympäristöön, ja niissä on käytössä Application Insightsin määrittämä vakiorakenne. Tuen, kehittäjän ja järjestelmänvalvojan henkilötyypit voivat käyttää tätä toimintoa ongelmien arviointiin ja ratkaisemiseen.

Voit tehdä myös seuraavaa:

• Määritä Application Insights -ympäristö vastaanottamaan Dataverse-ympäristön sieppaamia diagnostiikan ja suorituskyvyn telemetriatietoja.
• Tilaa sovellusten Dataverse-tietokannassa ja mallipohjaisissa sovelluksissa suorittamien toimintojen telemetria. Telemetriassa on tietoja, joiden avulla voi diagnosoida virheisiin ja suorituksiin liittyviä ongelmia sekä tehdä niissä vianmäärityksiä.
• Määritä Power Automate -pilvityönkulut, jotka integroidaan Application Insightsin kanssa.
• Kirjoita tapahtumia ja aktiviteetti Power Appsin pohjaan perustuvasta sovelluksesta Application Insightsiin.

Lisätietoja on kohdassa Application Insightsin integroinnin yleiskatsaus.

Tunnistetiedot

Seurata käyttäjätietoihin liittyviä riskitapahtumia mahdollisesti vaarantuneissa käyttäjätiedoissa ja korjaa nämä riskit. Tarkastele raportoituja riskitapahtumia seuraavilla tavoilla:

• Käytä Microsoft Entra ID -raportointia. Lisätietoja on kohdissa Mitä on käyttäjätietojen suojaus? and Käyttäjätietojen suojaus.

• Käytä Identity Protection Risk Detection API -jäseniä saadaksesi ohjelmallisen pääsyn tietoturvatunnistuksiin Graphin kautta Microsoft . Lisätietoja on kohdissa riskDetection ja riskyUser.

Microsoft Entra ID käyttää mukautuvan koneoppimisen algoritmeja, heuristiikkaa ja tunnettuja vaarantuneita tunnistetietoja (käyttäjätunnus- ja salasanaparit) käyttäjätileihin liittyvien epäilyttävien toimintojen tunnistuksessa. Nämä käyttäjänimi- ja salasanaparit tulevat esiin seuraamalla julkista ja pimeää verkkoa ja työskentelemällä tietoturvatutkijoiden, lainvalvontaviranomaisten, tietoturvatiimien Microsoft ja muiden kanssa.

Azure-putket

DevOps kannustaa työmäärien muutostenhallinnan tekemistä jatkuvan integroinnin ja jatkuvan toimituksen (CI/CD) kautta. Varmista, että lisäät putkien suojauksen tarkistuksen. Noudata Azure-putkien suojaaminen -kohdan ohjeita.

Liittyvät tiedot

• Mikä on Microsoft Sentinel?
• Uhkatiedustelun integrointi Sentinelissä Microsoft
• Tunnista kehittyneet uhat Sentinelin käyttäjien ja entiteettien käyttäytymisen analytiikan (UEBA) Microsoft avulla

Suojauksen tarkistusluettelo

Katso lisätietoja suositusten kokoelmasta.

Tietoturvan tarkistuslista