Microsoft Entra security operations for consumer accounts (Operacje zabezpieczeń firmy Microsoft dla kont konsumentów)
Działania związane z tożsamościami konsumentów są ważnym obszarem ochrony i monitorowania organizacji. Ten artykuł dotyczy dzierżaw usługi Azure Active Directory B2C (Azure AD B2C) i zawiera wskazówki dotyczące monitorowania działań związanych z kontem klienta. Działania są następujące:
- Konto konsumenta
- Konto uprzywilejowane
- Aplikacja
- Infrastruktura
Zanim rozpoczniesz
Przed skorzystaniem ze wskazówek w tym artykule zalecamy przeczytanie przewodnika po operacjach zabezpieczeń firmy Microsoft Entra.
Definiowanie punktu odniesienia
Aby odnaleźć nietypowe zachowanie, zdefiniuj normalne i oczekiwane zachowanie. Definiowanie oczekiwanego zachowania w organizacji pomaga wykryć nieoczekiwane zachowanie. Użyj definicji, aby zmniejszyć liczbę wyników fałszywie dodatnich podczas monitorowania i zgłaszania alertów.
W przypadku zdefiniowanego oczekiwanego zachowania wykonaj monitorowanie linii bazowej, aby zweryfikować oczekiwania. Następnie monitoruj dzienniki pod kątem tolerancji zewnętrznej.
W przypadku kont utworzonych poza normalnymi procesami użyj dzienników inspekcji firmy Microsoft Entra, dzienników logowania firmy Microsoft i atrybutów katalogu jako źródeł danych. Poniższe sugestie mogą pomóc w zdefiniowaniu normalnego.
Tworzenie konta konsumenta
Oceń następującą listę:
- Strategia i zasady dotyczące narzędzi i procesów tworzenia kont konsumentów i zarządzania nimi
- Na przykład atrybuty standardowe i formaty stosowane do atrybutów konta użytkownika
- Zatwierdzone źródła do tworzenia konta.
- Na przykład dołączanie niestandardowych zasad, aprowizowanie klientów lub narzędzie do migracji
- Strategia alertów dla kont utworzonych poza zatwierdzonymi źródłami.
- Tworzenie kontrolowanej listy organizacji, z którymi współpracuje Organizacja
- Parametry strategii i alertu dla kont utworzonych, zmodyfikowanych lub wyłączonych przez niezatwierdzonego administratora konta konsumenta
- Monitorowanie i strategia alertów dla kont konsumentów nie ma standardowych atrybutów, takich jak numer klienta, lub nie jest przestrzegana konwencji nazewnictwa organizacji
- Strategia, zasady i proces usuwania i przechowywania kont
Gdzie szukać
Użyj plików dziennika do zbadania i monitorowania. Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft
- Dzienniki logowania w usłudze Microsoft Entra ID (wersja zapoznawcza)
- Instrukcje: Badanie ryzyka
Dzienniki inspekcji i narzędzia automatyzacji
W witrynie Azure Portal można wyświetlać dzienniki inspekcji firmy Microsoft Entra i pobierać je jako pliki wartości rozdzielone przecinkami (CSV) lub JavaScript Object Notation (JSON). Użyj witryny Azure Portal, aby zintegrować dzienniki firmy Microsoft Entra z innymi narzędziami, aby zautomatyzować monitorowanie i alerty:
- Microsoft Sentinel — analiza zabezpieczeń z funkcjami zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)
- Reguły Sigma — otwarty standard do pisania reguł i szablonów, których narzędzia do automatycznego zarządzania mogą używać do analizowania plików dziennika. Jeśli istnieją szablony Sigma dla naszych zalecanych kryteriów wyszukiwania, dodaliśmy link do repozytorium Sigma. Firma Microsoft nie pisze, testuje ani nie zarządza szablonami Sigma. Repozytorium i szablony są tworzone i zbierane przez społeczność ds. zabezpieczeń IT.
- Azure Monitor — automatyczne monitorowanie i zgłaszanie alertów o różnych warunkach. Tworzenie skoroszytów lub używanie ich do łączenia danych z różnych źródeł.
- Usługa Azure Event Hubs zintegrowana z rozwiązaniem SIEM — integrowanie dzienników firmy Microsoft z rozwiązaniami SIEM, takimi jak Splunk, ArcSight, QRadar i Sumo Logic z usługą Azure Event Hubs
- Microsoft Defender dla Chmury Apps — odnajdywanie aplikacji i zarządzanie nimi, zarządzanie aplikacjami i zasobami oraz zgodność ze zgodnością aplikacji w chmurze
- Ochrona tożsamości Microsoft Entra — wykrywanie ryzyka związanego z tożsamościami obciążeń w przypadku zachowania logowania i wskaźników naruszenia bezpieczeństwa w trybie offline
Skorzystaj z pozostałej części artykułu, aby uzyskać zalecenia dotyczące monitorowania i zgłaszania alertów. Zapoznaj się z tabelami zorganizowanymi według typu zagrożenia. Zobacz linki do wstępnie utworzonych rozwiązań lub przykładów poniżej tabeli. Twórz alerty przy użyciu wcześniej wymienionych narzędzi.
Konta konsumentów
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Duża liczba operacji tworzenia lub usuwania kont | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie użytkownika Stan = powodzenie Zainicjowane przez (aktor) = USŁUGA CPIM — i — Działanie: Usuwanie użytkownika Stan = powodzenie Zainicjowane przez (aktor) = USŁUGA CPIM |
Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasuj je do swoich zachowań organizacji. Ogranicz fałszywe alerty. |
| Konta utworzone i usunięte przez niezatwierdzonych użytkowników lub procesów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Zainicjowane przez (aktor) — GŁÓWNA NAZWA UŻYTKOWNIKA — i — Działanie: Dodawanie użytkownika Stan = powodzenie Zainicjowane przez (aktor) != CPIM Service i-or Działanie: Usuwanie użytkownika Stan = powodzenie Zainicjowane przez (aktor) != CPIM Service |
Jeśli aktorzy nie są użytkownikami niezatwierdzonym, skonfiguruj opcję wysyłania alertu. |
| Konta przypisane do roli uprzywilejowanej | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie użytkownika Stan = powodzenie Zainicjowane przez (aktor) == CPIM Service — i — Działanie: Dodawanie członka do roli Stan = powodzenie |
Jeśli konto jest przypisane do roli Microsoft Entra, roli platformy Azure lub uprzywilejowanego członkostwa w grupach, alertuj i nadaj im priorytety badania. |
| Nieudane próby logowania | Średni — jeśli zdarzenie izolowane Wysoki — jeśli wiele kont ma ten sam wzorzec |
Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — Kod błędu logowania 50126 — błąd podczas sprawdzania poprawności poświadczeń z powodu nieprawidłowej nazwy użytkownika lub hasła. — i — Application == "CPIM PowerShell Client" — lub — Application == "ProxyIdentityExperienceFramework" |
Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasuj je do swoich zachowań organizacyjnych oraz ograniczaj generowanie fałszywych alertów. |
| Zdarzenia blokady inteligentnej | Średni — jeśli zdarzenie izolowane Wysoki — jeśli wiele kont ma ten sam wzorzec lub adres VIP |
Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — Kod błędu logowania = 50053 — IdsLocked — i — Application == "CPIM PowerShell Client" — lub — Application =="ProxyIdentityExperienceFramework" |
Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasuj je do swoich zachowań organizacyjnych i ogranicz fałszywe alerty. |
| Nieudane uwierzytelnianie z krajów lub regionów, z których nie działasz | Śred. | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — Lokalizacja = <niezatwierdzona lokalizacja> — i — Application == "CPIM PowerShell Client" — lub — Application == "ProxyIdentityExperienceFramework" |
Monitoruj wpisy, które nie są równe podanym nazwom miast. |
| Zwiększone nieudane uwierzytelnianie dowolnego typu | Śred. | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — Application == "CPIM PowerShell Client" — lub — Application == "ProxyIdentityExperienceFramework" |
Jeśli nie masz progu, monitoruj i ostrzegaj, jeśli błędy wzrosną o 10%, lub więcej. |
| Konto wyłączone/zablokowane na potrzeby logowania | Niski | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — kod błędu = 50057, Konto użytkownika jest wyłączone. |
Ten scenariusz może wskazywać, że ktoś próbuje uzyskać dostęp do konta po opuszczeniu organizacji. Konto jest zablokowane, ale ważne jest, aby rejestrować i powiadamiać o tym działaniu. |
| Wymierny wzrost pomyślnego logowania | Niski | Dziennik logowania firmy Microsoft Entra | Stan = powodzenie — i — Application == "CPIM PowerShell Client" — lub — Application == "ProxyIdentityExperienceFramework" |
Jeśli nie masz progu, monitoruj i ostrzegaj, jeśli pomyślne uwierzytelnianie zwiększy się o 10% lub więcej. |
Uprzywilejowane konta
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Niepowodzenie logowania, nieprawidłowy próg hasła | Wys. | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — kod błędu = 50126 |
Zdefiniuj próg punktu odniesienia i monitoruj i dopasuj je do swoich zachowań organizacyjnych. Ogranicz fałszywe alerty. |
| Niepowodzenie z powodu wymagania dostępu warunkowego | Wys. | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — kod błędu = 53003 — i — Przyczyna błędu = Zablokowana przez dostęp warunkowy |
Zdarzenie może wskazywać, że osoba atakująca próbuje uzyskać dostęp do konta. |
| Przerwanie | Wysoki, średni | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — kod błędu = 53003 — i — Przyczyna błędu = Zablokowana przez dostęp warunkowy |
Zdarzenie może wskazywać, że osoba atakująca ma hasło do konta, ale nie może przekazać wyzwania uwierzytelniania wieloskładnikowego. |
| Blokada konta | Wys. | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — kod błędu = 50053 |
Zdefiniuj próg punktu odniesienia, a następnie monitoruj i dopasowuj je do swoich zachowań organizacji. Ogranicz fałszywe alerty. |
| Konto jest wyłączone lub zablokowane na potrzeby logowania | Niski | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie — i — Target = nazwa UPN użytkownika — i — kod błędu = 50057 |
Zdarzenie może wskazywać, że ktoś próbuje uzyskać dostęp do konta po opuszczeniu organizacji. Mimo że konto jest zablokowane, rejestruj i ostrzegaj to działanie. |
| Alert o oszustwie lub blokuj uwierzytelnianie wieloskładnikowe | Wys. | Dziennik logowania firmy Microsoft/Azure Log Analytics | Szczegóły uwierzytelniania logowania> Szczegóły wyniku = odmowa uwierzytelniania wieloskładnikowego, wprowadzony kod oszustwa |
Użytkownik uprzywilejowany wskazuje, że nie podżegał do monitu uwierzytelniania wieloskładnikowego, co może wskazywać, że osoba atakująca ma hasło do konta. |
| Alert o oszustwie lub blokuj uwierzytelnianie wieloskładnikowe | Wys. | Dziennik logowania firmy Microsoft/Azure Log Analytics | Typ działania = Zgłoszone oszustwa — użytkownik jest blokowany w przypadku uwierzytelniania wieloskładnikowego lub zgłoszonego oszustwa — nie podjęto żadnych działań na podstawie ustawień na poziomie dzierżawy raportu o oszustwie | Użytkownik uprzywilejowany nie wskazał żadnego instigation monitu uwierzytelniania wieloskładnikowego. Scenariusz może wskazywać, że osoba atakująca ma hasło do konta. |
| Logowania konta uprzywilejowanego poza oczekiwanymi kontrolkami | Wys. | Dziennik logowania firmy Microsoft Entra | Stan = niepowodzenie UserPricipalName = <konto administratora> Lokalizacja = <niezatwierdzona lokalizacja> Adres IP = <niezatwierdzony adres IP> Informacje o urządzeniu = <niezatwierdzona przeglądarka, system operacyjny> |
Monitoruj wpisy alertów zdefiniowane jako niezatwierdzone. |
| Poza normalnymi godzinami logowania | Wys. | Dziennik logowania firmy Microsoft Entra | Stan = powodzenie — i — Lokalizacja = — i — Czas = poza godzinami pracy |
Monitoruj i alert, jeśli logowania występują poza oczekiwanymi godzinami. Znajdź normalny wzorzec pracy dla każdego uprzywilejowanego konta i alert, jeśli nieplanowane zmiany poza normalnymi godzinami pracy. Logowania poza normalnymi godzinami pracy mogą wskazywać na naruszenie zabezpieczeń lub możliwe zagrożenie wewnętrzne. |
| Zmiana hasła | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Aktor działania = administrator/samoobsługa — i — Target = Użytkownik — i — Stan = powodzenie lub niepowodzenie |
Alert po zmianie hasła konta administratora. Napisz zapytanie dotyczące kont uprzywilejowanych. |
| Zmiany metod uwierzytelniania | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Tworzenie dostawcy tożsamości Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Zmiana może wskazywać, że osoba atakująca dodała metodę uwierzytelniania do konta, aby mieć stały dostęp. |
| Dostawca tożsamości zaktualizowany przez niezatwierdzonych aktorów | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Aktualizowanie dostawcy tożsamości Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Zmiana może wskazywać, że osoba atakująca dodała metodę uwierzytelniania do konta, aby mieć stały dostęp. |
| Dostawca tożsamości usunięty przez niezatwierdzonych aktorów | Wys. | Przeglądy dostępu firmy Microsoft Entra | Działanie: Usuwanie dostawcy tożsamości Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Zmiana może wskazywać, że osoba atakująca dodała metodę uwierzytelniania do konta, aby mieć stały dostęp. |
Aplikacje
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Dodano poświadczenia do aplikacji | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Katalog Service-Core, Category-ApplicationManagement Działanie: Aktualizowanie zarządzania certyfikatami aplikacji i wpisami tajnymi — i — Działanie: Aktualizowanie jednostki usługi/aktualizowanie aplikacji |
Alert, gdy poświadczenia są dodawane poza normalnymi godzinami pracy lub przepływami pracy, typami, które nie są używane w danym środowisku, lub dodawane do przepływu obsługującego usługę inną niż SAML. |
| Aplikacja przypisana do roli kontroli dostępu na podstawie ról (RBAC) platformy Azure lub roli Microsoft Entra | Wysoki do średni | Dzienniki inspekcji usługi Microsoft Entra | Typ: jednostka usługi Działanie: "Dodaj członka do roli" lub "Dodaj uprawnionego członka do roli" — lub — "Dodaj członka o określonym zakresie do roli". |
Nie dotyczy |
| Aplikacja przyznała wysoce uprzywilejowane uprawnienia, takie jak uprawnienia z ". Wszystkie" (Directory.ReadWrite.All) lub szerokie uprawnienia (Mail.) | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Nie dotyczy | Aplikacje przyznały szerokie uprawnienia, takie jak ". Wszystkie" (Directory.ReadWrite.All) lub szerokie uprawnienia (Mail.) |
| Administrator udzielając uprawnień aplikacji (role aplikacji) lub uprawnienia delegowane o wysokim poziomie uprawnień | Wys. | Portal platformy Microsoft 365 | "Dodawanie przypisania roli aplikacji do jednostki usługi" -gdzie- Obiekty docelowe identyfikują interfejs API z danymi poufnymi (takimi jak Program Microsoft Graph) "Dodawanie udzielania uprawnień delegowanych" -gdzie- Obiekty docelowe identyfikują interfejs API z danymi poufnymi (takimi jak Program Microsoft Graph) — i — DelegatedPermissionGrant.Scope obejmuje uprawnienia o wysokim poziomie uprawnień. |
Alert, gdy administrator aplikacji globalnej, aplikacji lub aplikacji w chmurze wyraża zgodę na aplikację. Szczególnie poszukaj zgody poza normalną aktywność i procedury zmiany. |
| Aplikacja ma przyznane uprawnienia dla programu Microsoft Graph, Programu Exchange, programu SharePoint lub identyfikatora entra firmy Microsoft. | Wys. | Dzienniki inspekcji usługi Microsoft Entra | "Dodawanie delegowanego udzielenia uprawnień" — lub — "Dodawanie przypisania roli aplikacji do jednostki usługi" -gdzie- Obiekty docelowe identyfikują interfejs API z danymi poufnymi (takimi jak Microsoft Graph, Exchange Online itd.) |
Użyj alertu w poprzednim wierszu. |
| Uprawnienia delegowane o wysokim poziomie uprawnień przyznanych w imieniu wszystkich użytkowników | Wys. | Dzienniki inspekcji usługi Microsoft Entra | "Dodawanie delegowanego udzielenia uprawnień" where Obiekty docelowe identyfikują interfejs API z danymi poufnymi (takimi jak Program Microsoft Graph) DelegatedPermissionGrant.Scope obejmuje uprawnienia o wysokim poziomie uprawnień — i — DelegatedPermissionGrant.ConsentType to "AllPrincipals". |
Użyj alertu w poprzednim wierszu. |
| Aplikacje korzystające z przepływu uwierzytelniania ROPC | Śred. | Dziennik logowania firmy Microsoft Entra | Status=Powodzenie Protokół uwierzytelniania ROPC |
Wysoki poziom zaufania jest umieszczany w tej aplikacji, ponieważ poświadczenia mogą być buforowane lub przechowywane. Jeśli to możliwe, przejdź do bezpieczniejszego przepływu uwierzytelniania. Użyj procesu tylko w zautomatyzowanym testowaniu aplikacji, jeśli kiedykolwiek. |
| Zwisanie identyfikatora URI | Wys. | Dzienniki firmy Microsoft i rejestracja aplikacji | Katalog usługi Service-Core Category-ApplicationManagement Działanie: Aktualizowanie aplikacji Success — nazwa właściwości AppAddress |
Na przykład poszukaj zwisających identyfikatorów URI wskazujących nazwę domeny, która nie istnieje lub której nie jesteś właścicielem. |
| Zmiany konfiguracji identyfikatora URI przekierowania | Wys. | Dzienniki usługi Microsoft Entra | Katalog usługi Service-Core Category-ApplicationManagement Działanie: Aktualizowanie aplikacji Success — nazwa właściwości AppAddress |
Poszukaj identyfikatorów URI, które nie używają protokołu HTTPS*, identyfikatorów URI z symbolami wieloznacznymi na końcu lub domeny adresu URL, identyfikatorów URI, które nie są unikatowe dla aplikacji, identyfikatory URI wskazujące domenę, której nie kontrolujesz. |
| Zmiany identyfikatora URI identyfikatora AppID | Wys. | Dzienniki usługi Microsoft Entra | Katalog usługi Service-Core Category-ApplicationManagement Działanie: Aktualizowanie aplikacji Działanie: Aktualizowanie jednostki usługi |
Wyszukaj modyfikacje identyfikatora URI identyfikatora AppID, takie jak dodawanie, modyfikowanie lub usuwanie identyfikatora URI. |
| Zmiany własności aplikacji | Śred. | Dzienniki usługi Microsoft Entra | Katalog usługi Service-Core Category-ApplicationManagement Działanie: Dodawanie właściciela do aplikacji |
Poszukaj wystąpień użytkowników dodanych jako właściciele aplikacji poza normalnymi działaniami zarządzania zmianami. |
| Zmiany w adresie URL wylogowywania | Niski | Dzienniki usługi Microsoft Entra | Katalog usługi Service-Core Category-ApplicationManagement Działanie: Aktualizowanie aplikacji — i — Działanie: Aktualizowanie jednostki usługi |
Wyszukaj modyfikacje adresu URL wylogowywania. Puste wpisy lub wpisy do nieistniejących lokalizacji uniemożliwiłyby użytkownikowi zakończenie sesji. |
Infrastruktura
| Co monitorować | Poziom ryzyka | Gdzie | Filtr/filtr podrzędny | Uwagi |
|---|---|---|---|---|
| Nowe zasady dostępu warunkowego utworzone przez niezatwierdzonych aktorów | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Dodawanie zasad dostępu warunkowego Kategoria: Zasady Zainicjowane przez (aktor): główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów zmian dostępu warunkowego. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w dostępie warunkowym? |
| Zasady dostępu warunkowego usunięte przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Usuwanie zasad dostępu warunkowego Kategoria: Zasady Zainicjowane przez (aktor): główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów zmian dostępu warunkowego. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w dostępie warunkowym? |
| Zasady dostępu warunkowego zaktualizowane przez niezatwierdzonych aktorów | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Aktualizowanie zasad dostępu warunkowego Kategoria: Zasady Zainicjowane przez (aktor): główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów zmian dostępu warunkowego. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w dostępie warunkowym? Przejrzyj zmodyfikowane właściwości i porównaj starą a nową wartość |
| Niestandardowe zasady B2C utworzone przez niezatwierdzonych aktorów | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Tworzenie zasad niestandardowych Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów zmian zasad niestandardowych. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w zasadach niestandardowych? |
| Niestandardowe zasady B2C aktualizowane przez niezatwierdzonych aktorów | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Pobieranie zasad niestandardowych Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów zmian zasad niestandardowych. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w zasadach niestandardowych? |
| Zasady niestandardowe B2C usunięte przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Usuwanie zasad niestandardowych Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów zmian zasad niestandardowych. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w zasadach niestandardowych? |
| Przepływ użytkownika utworzony przez niezatwierdzonych aktorów | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Tworzenie przepływu użytkownika Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów dotyczących zmian przepływu użytkownika. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w przepływach użytkowników? |
| Przepływ użytkownika aktualizowany przez niezatwierdzonych aktorów | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Aktualizowanie przepływu użytkownika Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów dotyczących zmian przepływu użytkownika. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w przepływach użytkowników? |
| Przepływ użytkownika usunięty przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Usuwanie przepływu użytkownika Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie i zgłaszanie alertów dotyczących zmian przepływu użytkownika. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w przepływach użytkowników? |
| Łączniki interfejsu API utworzone przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Tworzenie łącznika interfejsu API Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie zmian łącznika interfejsu API alertów i ich monitorowanie. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w łącznikach interfejsu API? |
| Łączniki interfejsu API aktualizowane przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Aktualizowanie łącznika interfejsu API Kategoria: ResourceManagement Cel: główna nazwa użytkownika: ResourceManagement |
Monitorowanie zmian łącznika interfejsu API alertów i ich monitorowanie. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w łącznikach interfejsu API? |
| Łączniki interfejsu API usunięte przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Aktualizowanie łącznika interfejsu API Kategoria: ResourceManagment Element docelowy: główna nazwa użytkownika: ResourceManagment |
Monitorowanie zmian łącznika interfejsu API alertów i ich monitorowanie. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w łącznikach interfejsu API? |
| Dostawca tożsamości utworzony przez niezatwierdzonych aktorów | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Tworzenie dostawcy tożsamości Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie zmian dostawcy tożsamości alertów i alertów. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w konfiguracji dostawcy tożsamości? |
| Dostawca tożsamości aktualizowany przez niezatwierdzonych aktorów | Wys. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Aktualizowanie dostawcy tożsamości Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie zmian dostawcy tożsamości alertów i alertów. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w konfiguracji dostawcy tożsamości? |
| Dostawca tożsamości usunięty przez niezatwierdzonych aktorów | Śred. | Dzienniki inspekcji usługi Microsoft Entra | Działanie: Usuwanie dostawcy tożsamości Kategoria: ResourceManagement Element docelowy: główna nazwa użytkownika |
Monitorowanie zmian dostawcy tożsamości alertów i alertów. Zainicjowane przez (aktor): zatwierdzone do wprowadzania zmian w konfiguracji dostawcy tożsamości? |
Następne kroki
Aby dowiedzieć się więcej, zobacz następujące artykuły dotyczące operacji zabezpieczeń:
- Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra
- Microsoft Entra security operations for user accounts (Operacje zabezpieczeń firmy Microsoft dla kont użytkowników)
- Operacje zabezpieczeń dla uprzywilejowanych kont w identyfikatorze Entra firmy Microsoft
- Microsoft Entra security operations for Privileged Identity Management
- Przewodnik po operacjach zabezpieczeń firmy Microsoft dla aplikacji
- Microsoft Entra security operations for devices (Operacje zabezpieczeń firmy Microsoft dla urządzeń)
- Operacje zabezpieczeń dla infrastruktury