Rekomendacje dotyczące monitorowania i wykrywania zagrożeń

Dotyczy tego Power Platform zalecenia dotyczącego dobrze zaprojektowanej listy kontrolnej zabezpieczeń:

SE:08	Zaimplementuj całościową strategię monitorowania zagrożeń, która zależy od nowoczesnych mechanizmów wykrywania zagrożeń, które można zintegrować z platformą. Mechanizmy powinny niezawodnie ostrzegać przed klasyfikacją i wysyłać sygnały do istniejących procesów SecOps.

W tym przewodniku opisano zalecenia dotyczące monitorowania i wykrywania zagrożeń. Monitorowanie jest podstawowym procesem uzyskiwania informacji o zdarzeniach, które już wystąpiły. Monitorowanie zabezpieczeń to sposób przechwytywania informacji przy różnych ustawieniach obciążenia (tożsamość, przepływy, aplikacja, operacje) w celu zwiększenia świadomości podejrzanych działań. Celem jest przewidywanie incydentów i wyciąganie wniosków z wcześniejszych zdarzeń. Monitorowanie danych stanowi podstawę analizy po zdarzeniu w związku z tym, co wystąpiło w celu pomocy w odpowiedzi na zdarzenie i śledztwa.

Monitorowanie to podejście doskonałości operacyjnej, które jest stosowane we wszystkich Power Platform filarach Well-Architected. Niniejszy przewodnik zawiera rekomendacje tylko z punktu widzenia zabezpieczeń. Ogólne pojęcia monitorowania zostały uwzględnione w rekomendacjach dotyczących projektowania i tworzenia systemu monitorowania.

Definicje

Termin	Definicja
Dzienniki inspekcji	Rekord działań w systemie.
Zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM)	Podejście oparte na wbudowanym wykrywaniu zagrożeń i funkcji analizy na podstawie danych zagregowanych z wielu źródeł.
Wykrywanie zagrożeń	Strategia wykrywania osób, które pochodzi z oczekiwanych akcji, przy użyciu zebranych, przeanalizowanych i skorelowanych danych.
Analiza zagrożeń	Strategia interpretowania danych wykrywania zagrożeń w celu wykrycia działań lub zagrożeń przez badanie wzorców.
Zapobieganie zagrożeniom	Kontrole zabezpieczeń, które są umieszczane w obciążeniach na różnych poziomach i mają zapewnić ochronę jej zasobów.

Kluczowe strategie projektowania

Głównym celem monitorowania zabezpieczeń jest wykrywanie zagrożeń. Głównym celem jest zapobieganie potencjalnym bezpieczeństwom i zachowanie bezpiecznego środowiska. Należy jednak pamiętać, że nie wszystkie zagrożeń można wstępnie blokować. W takich przypadkach monitorowanie jest także mechanizmem służącym do określenia przyczyny zdarzenia zabezpieczeń, które wystąpiło mimo starań o zapobieganie.

Do monitorowania można podchodzić z różnych perspektyw:

• Monitoruj na różnych poziomach. Praca na różnych poziomach jest procesem uzyskiwania informacji o przepływach użytkowników, dostępie do danych, tożsamości, sieciach, a nawet o systemie operacyjnym. Każdy z tych obszarów oferuje unikatowe prognozy wiedzy, które pomagają zidentyfikować osoby o oczekiwanych zachowaniach, ustalone w stosunku do planu bazowego zabezpieczeń. I odwrotnie, stałe monitorowanie systemu i aplikacji w czasie może pomóc w ustalaniu stanu planu bazowego. Na przykład co godzinę w systemie tożsamości może być widać około 1000 prób logowania. Jeśli monitorowanie wykryje w krótkim okresie 50 000 prób logowania, atakujący może próbować uzyskać dostęp do systemu.

• Monitoruj różne zakresy wpływu. Najważniejsze jest, aby obserwować aplikację i platformę. Przyjmijmy, że użytkownik aplikacji przypadkowo otrzyma eskalowane uprawnienia lub wystąpi naruszenie zabezpieczeń. Jeśli użytkownik wykonuje akcje wykraczające poza swój zakres, można określić jego wpływ na akcje, które mogą wykonywać inni użytkownicy.

  Jeśli jednak encja wewnętrzna naruszony bazę danych, zakres potencjalnej szkody będzie niepewny.

  Zakres wpływu może być znacząco inny, w zależności od tego, co z tych scenariuszy wystąpi.

• Skorzystaj ze specjalistycznego narzędzia do monitorowania. Kluczowe znaczenie ma to, aby korzystać ze specjalistycznych narzędzi, które ciągle zaskakują w poszukiwaniu nietypowych zachowań, które mogą wskazywać na atak. Większość tych narzędzi posiada funkcje analizy zagrożeń, które pozwalają na wykonywanie analiz na podstawie dużej ilości danych i znanych zagrożeń. Większość narzędzi nie ma stanu i nie obejmuje głębszej analizy telemetrycznej w kontekście zabezpieczeń.

  Narzędzia muszą być zintegrowane na platformie lub co najmniej na poziomie platformy, aby można było otrzymać głębokie sygnały z platformy i przewidywania z dużą dokładnością. Muszą oni być w stanie w odpowiednim czasie tworzyć alerty, tak aby miały na tyle dużo informacji, aby można było przeprowadzić odpowiednią klasyfikację. Używanie zbyt wielu narzędzi do monitorowania może powodować złożoność.

• Monitorowanie może być wykorzystane do odpowiedzi na zdarzenie. Zagregowane dane, przekształcone w praktyczną analizę, umożliwia szybkie i skuteczne reakcje na zdarzenia. Monitorowanie pomaga w zakresie działań po zdarzeniu. Celem jest zebranie wystarczającej ilości danych, aby analizować i zrozumieć, jakie zdarzenia mają być przechowane. Proces monitorowania zawiera informacje o przeszłych zdarzeniach, co ma poprawić możliwości reaktywne i potencjalnie poprawić przyszłe zdarzenia.

W poniższych sekcjach przedstawiono zalecane metody postępowania, które zawierają powyższe perspektywy monitorowania.

Przechwytywanie danych w celu rejestrowania działań

Celem jest utrzymywanie kompleksowego dziennika inspekcji zdarzeń istotnych z punktu widzenia zabezpieczeń. Rejestrowanie to najczęstszy sposób przechwytywania wzorców dostępu. Dla aplikacji i platformy musi zostać wykonane rejestrowanie.

W przypadku dziennika inspekcji trzeba określić, co, kiedy i kto jest skojarzony z działaniami. Należy określić konkretne czasy wykonywania akcji. Należy dokonać tej oceny w modelu zagrożeń. Aby przeciwdziałać zagrożeniu wypierania się, należy ustanowić silne systemy rejestrowania i inspekcji, które powodować rejestrowanie działań i transakcji.

W poniższych sekcjach opisano sprawy najczęściej występujących w obciążeniach.

Przepływy użytkownika obciążenia

Obciążenia należy tak zaprojektować, aby zapewnić widoczność danych w czasie wykonywania po wystąpieniach zdarzeń. Zidentyfikuj punkty krytyczne w obciążeniach i ustal rejestrowanie tych punktów. Ważne jest, aby potwierdzić każdą eskalację uprawnień użytkownika, czynności wykonywane przez użytkownika oraz czy użytkownik uzyskiwał dostęp do informacji poufnych w bezpiecznym magazynie danych. Śledź działania użytkownika i sesji użytkownika.

Aby ułatwić to śledzenie, kod powinien być instrumentowany za pośrednictwem rejestrowania ustrukturyzowanego. Pozwala to na łatwe i ujednolicone wykonywanie zapytań i filtrowanie dzienników.

Ważne

W celu zachowania poufności i integralności systemu należy wymuszać odpowiedzialne rejestrowanie. Tajne i poufne dane nie mogą być wyświetlane w dziennikach. Należy pamiętać o przetwarzaniu danych osobowych i innych wymaganiach dotyczących zgodności podczas przechwytywania tych danych dziennika.

Monitorowanie tożsamości i dostępu

Utrzymuj dokładny rekord wzorców dostępu w aplikacji i modyfikacji zasobów platformy. Należy mieć niezawodne dzienniki działań i mechanizmy wykrywania zagrożeń, szczególnie dla działań związanych z tożsamością, ponieważ osoby te często próbują modyfikować tożsamości, aby uzyskać nieautoryzowany dostęp.

Zaimplementuj kompleksowe rejestrowanie, używając wszystkich dostępnych punktów danych. Należy na przykład uwzględnić adres IP klienta w celu rozróżnienia regularnego działania użytkownika i potencjalnych zagrożeń z nieoczekiwanych lokalizacji. Wszystkie zdarzenia rejestrowania powinny być oznaczane sygnaturą czasową przez serwer.

Rejestruj wszystkie działania związane z dostępem do zasobów, rejestrując, kto co robi i kiedy to robi. Wystąpienia eskalacji uprawnień to znaczący punkt danych, która powinien zostać zarejestrowany. Rejestrowane muszą być również akcje związane z tworzeniem lub usuwaniem kont przez aplikację. Ta rekomendacja rozszerza się na wpisy tajne aplikacji. Monitoruj, kto uzyskuje dostęp do wpisów tajnych i kiedy są one obracane.

Chociaż rejestrowanie pomyślnych akcji ma istotne znaczenie, rejestrowanie awarii jest konieczne z punktu widzenia zabezpieczeń. Należy dokumentować wszelkie naruszenia, takie jak użytkownik próbujący wykonać akcję, ale napotykający niepowodzenie autoryzacji, próby dostępu do nieistniejących zasobów i inne podejrzane akcje.

Monitorowanie sieci

Projekt segmentacji powinien włączać punkty obserwacji na granicach, aby monitorować to, co je przekracza, i rejestrować te dane. Na przykład można monitorować podsieci z sieciowymi grupami zabezpieczeń generującymi dzienniki przepływu. Należy także monitorować dzienniki zapory tak, aby były wyświetlane przepływy, które były dozwolone lub miały odmowę dostępu.

Istnieją dzienniki dostępu dla przychodzących żądań połączenia. W tych dziennikach są rejestrowane źródłowe adresy IP inicjujące żądania, typ żądania (GET, POST) oraz wszystkie inne informacje zawarte w żądaniach.

Rejestrowanie przepływów DNS jest znaczącym wymaganiem dla wielu organizacji. Na przykład dzienniki DNS mogą pomóc w zidentyfikowaniu użytkownika lub urządzenia, które zainicjowało konkretne zapytanie DNS. Korelując działanie DNS z dziennikami uwierzytelniania użytkowników/urządzeń, można śledzić działania poszczególnych klientów. Odpowiedzialność ta często obejmuje zespół obsługi obciążenia, szczególnie jeśli wdrażają wszystkie zadania, które w ramach operacji mogą być żądaniami DNS. Analiza ruchu DNS jest kluczowym aspektem skalowalności w zakresie zabezpieczeń platformy.

Ważne jest, aby monitorować nieoczekiwane żądania DNS lub żądania DNS, które są skierowane do znanych punktów końcowych poleceń i kontroli.

Kompromis: Rejestrowanie wszystkich działań sieciowych może skutkować dużą ilością danych. Niestety, nie jest możliwe uchwycenie tylko zdarzeń niepożądanych, ponieważ można je zidentyfikować dopiero po ich wystąpieniu. Podejmuj strategiczne decyzje dotyczące typu i długości zdarzeń, które mają być w nich przechowywane. Jeśli nie starasz się zachować ostrożności, zarządzanie danymi może być przytłaczające. Istnieje też kompromis związany z kosztem przechowywania tych danych.

Przechwytywanie zmian systemu

W celu zapewnienia integralności systemu należy uzyskać dokładne i aktualne rejestry stanu systemu. Jeśli zajdą zmiany, można użyć tego rekordu w celu szybkiego rozwiązania wszystkich pojawiających się problemów.

Procesy tworzenia powinny także być telemetryczne. Zrozumienie kontekstu zabezpieczeń zdarzeń ma kluczowe znaczenie. Wiedza na temat tego, co spowodowało wyzwolenie procesu tworzenia, kto go wyzwolił i kiedy został wyzwalany, może dostarczyć cennych informacji.

Śledź, kiedy zasoby są tworzone i wycofywane. Te informacje należy wyodrębnić z platformy. Te informacje zawierają przydatne informacje na temat zarządzania zasobami i odpowiedzialności.

Monitoruj dryf w konfiguracji zasobów. Dokumentuj wszystkie zmiany istniejącego zasobu. Śledź również zmiany, które nie są ukończone w ramach wycofywania do zasobów. W dziennikach muszą zostać zarejestrowane informacje dotyczące zmiany i dokładnego czasu jej wystąpienia.

Stwórz kompleksowy widok, z punktu widzenia poprawiania, czy system jest aktualny i bezpieczny. Monitoruj rutynowe procesy aktualizacji, aby sprawdzić, czy kończą się zgodnie z planem. Nieukończony proces poprawiania zabezpieczeń powinien być uważany za lukę w zabezpieczeniach. Należy także zachować magazyn rekordów dla poziomów poprawek i innych wymaganych szczegółów.

Wykrywanie zmian dotyczy również systemu operacyjnego. To obejmuje śledzenie, czy usługi są dodawane, czy wyłączane. Program obejmuje także monitorowanie dodatku nowych użytkowników do systemu. Istnieją narzędzia przeznaczone do obsługi systemu operacyjnego. Ułatwiają monitorowanie bez kontekstu w tym znaczeniu, że nie są ukierunkowane na funkcje obciążenia. Na przykład monitorowanie integralności plików jest krytycznym narzędziem umożliwiającym śledzenie zmian w plikach systemowych.

Alerty dotyczące tych zmian należy skonfigurować, szczególnie jeśli nie mają one pojawiać się zbyt często.

Ważne

Podczas wycofywania do konfiguracji produkcyjnej należy upewnić się, że alerty są skonfigurowane do przyciągania anomalnych działań wykrytych w zasobach aplikacji i procesu tworzenia.

W planach testowych należy uwzględnić sprawdzanie poprawności rejestrowania i alertów jako priorytetowych spraw testowych.

Przechowywanie, zagregowanie i analizowanie danych

Dane zebrane z tych działań monitorowania muszą być przechowywane w magazynach danych, gdzie można je dokładnie sprawdzić, normalizować i korelować. Dane zabezpieczeń należy utrwalać poza magazynami danych w systemie. Monitorowanie źródeł danych, niezależnie od tego, czy są zlokalizowane, czy centralne, musi trwać dłużej niż w przypadku źródeł danych. Magazyny nie mogą być efemeryczne, ponieważ są źródłem systemów wykrywania nieautoryzowanego dostępu.

Dzienniki sieciowe mogą być pełne i mogą zająć miejsce na dysku. Poznaj różne poziomy w systemach pamięci masowej. W dziennikach może na przestrzeni czasu nastąpić przejście do chłodniejszego magazynu. Jest to metoda zależności, ponieważ starsze dzienniki przepływu nie są zwykle używane aktywnie i są potrzebne tylko na żądanie. Ta metoda zapewnia efektywne zarządzanie magazynem, a jednocześnie zapewnia dostęp do danych historycznych w razie potrzeby.

Przepływy obciążenia są zwykle złożone z wielu źródeł rejestrowania. Monitorowanie danych musi być analizowane w sposób inteligentny we wszystkich tych źródłach. Na przykład zapora będzie blokować tylko ruch, który do niej trafi. Jeśli w sieci istnieje grupa zabezpieczeń, która już zablokowała określony ruch, ruch nie jest widoczny dla zapory. Aby odtworzyć sekwencję zdarzeń, należy agregować dane ze wszystkich składników przepływu, a następnie agregować dane ze wszystkich przepływów. Te dane są szczególnie przydatne w scenariuszu odpowiedzi po zdarzeniu, gdy użytkownik próbuje zrozumieć, co trzeba będzie zrobić. Dokładne informacje o kontroli czasu są niezbędne. Ze względów bezpieczeństwa wszystkie systemy muszą używać sieciowego źródła czasu, aby zawsze były zsynchronizowane.

Scentralizowane wykrywanie zagrożeń ze skorelowanymi dziennikami

Do skonsolidowania danych zabezpieczeń w centralnej lokalizacji, gdzie można je korelować w różnych usługach, można użyć systemu, takiego jak zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM). Te systemy mają wbudowane mechanizmy wykrywania zagrożeń. Mogą oni podłączyć się do źródeł zewnętrznych w celu uzyskania danych inteligentnego wykrywania zagrożeń. Na przykład Microsoft publikuje dane z analizy zagrożeń, których możesz używać. Można również kupić źródła danych z analizy zagrożeń od innych dostawców, takich jak Anomali i FireEye. Źródła te mogą dostarczyć cennych informacji i zwiększyć bezpieczeństwo użytkownika. Aby uzyskać szczegółowe informacje na temat zagrożeń od Microsoft, zobacz witrynę Security Insider.

System SIEM może generować alerty na podstawie korelowanych i normalizowanych danych. Te alerty są ważnym zasobem podczas procesu odpowiedzi na zdarzenie.

Kompromis: Systemy SIEM mogą być drogie, złożone i wymagać specjalistycznych umiejętności. Jeśli jednak użytkownik nie ma tej przeglądarki, może samodzielnie korelować dane. Może to być proces czasochłonny i złożony.

Systemami SIEM zarządza zwykle zespół centralny organizacji. Jeśli w organizacji nie ma takiego zespołu, warto rozważyć jego promowanie. Może to zmniejszyć obciążenie związane z ręczną analizą dzienników i korelacją, aby umożliwić efektywniejsze i skuteczne zarządzanie zabezpieczeniami.

Microsoft oferuje pewne niedrogie opcje. Wiele produktów Microsoft Defender zapewnia funkcję alertów w systemie SIEM, ale bez funkcji agregowania danych.

Łącząc kilka mniejszych narzędzi, można emulować niektóre funkcje systemu SIEM. Należy jednak wiedzieć, że te rozwiązania mogą nie być w stanie przeprowadzać analizy korelacji. Te alternatywy mogą być przydatne, ale mogą nie w pełni zastąpić funkcji dedykowanego systemu SIEM.

Wykrywanie nadużycia

Bądź proaktywny w wykrywaniu zagrożeń i bądź czujny na oznaki nadużyć, takie jak ataki brute force tożsamości na komponent SSH lub punkt końcowy RDP. Mimo że zagrożenia zewnętrzne mogą generować problemy, zwłaszcza jeśli aplikacja jest dostępna w Internecie, zagrożenia wewnętrzne są często większym zmartwieniem. Na przykład nieoczekiwany na przykład atak siłowy z zaufanego źródła sieciowego lub nieprawidłowa konfiguracja powinny zostać natychmiast zbadane.

Dodaj do swoich praktyk wiele innych rozwiązań. Monitorowanie nie stanowi zamiennika dla proaktywnego wzmacniania środowiska. Większy obszar jest bardziej prosty do atakowania. Uściślaj kontrolę tak samo jak w przypadku praktyk. Należy wykrywać i wyłączać nieużywane konta, używać zapory IP i blokować punkty końcowe, które nie są wymagane w przypadku zasad zapobiegania utracie danych, na przykład.

Wykrywanie oparte na sygnaturach może szczegółowo sprawdzić system. Dotyczy to szukania znaków lub korelacji między działaniami, które mogą wskazywać na potencjalny atak. Mechanizm wykrywania może określać charakterystyki, które są specyficzne dla określonego typu ataków. Bezpośrednie wykrywanie mechanizmu polecenia i kontroli dla ataku może nie zawsze być możliwe. Często jednak istnieją podpowiedzi lub wzorce związane z danym procesem poleceń i formantów. Na przykład atak może być wskazywany przez pewien przepływ z punktu widzenia żądania lub może często mieć dostęp do domen o określonych zakończeniach.

Wykrywaj nietypowe wzorce dostępu użytkowników, dzięki czemu można zidentyfikować i zbadać błędy z oczekiwanych wzorców. To obejmuje porównanie bieżącego zachowania użytkownika z zachowaniem z przeszłości w celu dostrzeżenia anomalii. Chociaż jego ręczne wykonywanie może nie być konieczne, można w tym celu użyć narzędzi z analizy zagrożeń. Zainwestuj w zestaw narzędzi do analizy zachowań użytkowników i encji (UEBA),, które pozwalają zbierać zachowanie użytkownika z monitorowania danych i analizowania ich. Narzędzia te mogą często wykonywać analizę porównawczą, która mapuje zachowania o potencjalnych typach ataków.

Wykrywaj zagrożenia na etapach przed wdrożeniem i po wdrożeniu. Na etapie przed wdrożeniem należy włączyć skanowanie luk w zabezpieczeniach usterek do potoków i podjąć niezbędne działania w oparciu o wyniki. Po wdrożeniu kontynuuj wykrywanie luk w zabezpieczeniach. Możesz użyć narzędzi, takich jak Microsoft Defender dla kontenerów, które skanuje obrazy kontenerów. Uwzględnij wyniki w zbieranych danych. Aby uzyskać informacje na temat rozwiązań dotyczących bezpiecznego developmentu, zobacz Rekomendacje dotyczące praktyk bezpiecznego wdrażania.

Ułatwienia Power Platform

W poniższych sekcjach przedstawiono mechanizmy, których można używać do monitorowania i wykrywania zagrożeń w programie Power Platform.

Microsoft Sentinel

Rozwiązanie Microsoft Sentinel dla Microsoft Power Platform umożliwia klientom wykrywanie różnych działań, w tym:

• Wykonanie Power Apps z nieautoryzowanych lokalizacji geograficznych
• Zniszczenie podejrzanych danych przez Power Apps
• Zbiorcze usuwanie w Power Apps
• Ataki wyłudzania informacji dokonywane za pośrednictwem Power Apps
• Działania przepływów Power Automate wykonywane przez odchodzących pracowników
• Łączniki Microsoft Power Platform dodawane do środowiska
• Aktualizacja lub usunięcie zasad ochrony przed utratą danych Microsoft Power Platform

Aby uzyskać więcej informacji, zobacz Rozwiązanie Microsoft Sentinel dla Microsoft Power Platform.

Rejestrowanie działań Microsoft Purview

Rejestrowanie działań administracyjnych Power Apps, Power Automate, łączników, zapobiegania utracie danych i platformy Power Platform jest śledzone i przeglądane z portalu zgodności rozwiązania Microsoft Purview.

Aby uzyskać więcej informacji, zobacz:

• Power Apps Rejestrowanie aktywności
• Power Automate Rejestrowanie aktywności
• Copilot Studio Rejestrowanie aktywności
• Power Pages Rejestrowanie aktywności
• Power Platform Rejestrowanie aktywności łącznika
• Rejestrowanie działań związanych z ochroną przed utratą danych
• Power Platform Rejestrowanie działań administracyjnych
• Microsoft Dataverse i rejestrowanie aktywności aplikacji opartych na modelu

Inspekcja Dataverse

Inspekcja bazy danych rejestruje zmiany wprowadzone w rekordach klienta w środowisku z bazą danych Dataverse. Audyt Dataverse rejestruje również dostęp użytkownika za pośrednictwem aplikacji lub zestawu SDK w środowisku. Ta inspekcja jest włączona na poziomie środowiska i w przypadku poszczególnych tabel i kolumn jest wymagana dodatkowa konfiguracja. Aby uzyskać więcej informacji, zobacz: Zarządzanie inspekcją Dataverse.

Analizowanie telemetrii za pomocą usługi Application Insights

Application Insights, funkcja Azure Monitor, jest używana w orientacji poziomej przedsiębiorstwa do monitorowania i diagnostyki. Dane, które zostały już zebrane od określonego dzierżawcy lub środowiska, są wypychane do Twojego środowiska Application Insights. Dane są przechowywane w dziennikach Azure Monitor przez Application Insights i wizualizowane w panelach Wydajność oraz Niepowodzenia w obszarze Analizuj w lewym okienku. Dane są eksportowane do środowiska Application Insights w schemacie standardowym zdefiniowanym przez Application Insights. Pomoc techniczna, deweloper i administratorzy mogą używać tej funkcji do oceny kondycji i rozwiązywania problemów.

Możesz także:

• Skonfiguruj środowisko Application Insights tak, aby odbierało dane telemetryczne z diagnostyki i wydajności zarejestrowane przez platformę Dataverse.
• Subskrybuj, aby otrzymywać dane telemetryczne dotyczące operacji wykonywanych przez aplikacje w bazie danych Dataverse i w aplikacjach opartych na modelu. Ta telemetria zawiera informacje, których można użyć do diagnozowania i rozwiązywania problemów związanych z błędami i wydajnością.
• Konfiguruje przepływy w chmurze Power Automate w celu integracji z Application Insights.
• Zapisuj zdarzenia i działania z aplikacji kanwy Power Apps do Application Insights.

Aby uzyskać więcej informacji, zobacz Omówienie integracji z Application Insights.

Tożsamość

Należy monitorować zdarzenia o podwyższonym ryzyku w odniesieniu do tożsamości, które mogą mieć naruszone zabezpieczenia tożsamości, i minimalizować to ryzyko. Zgłoszone zdarzenia o podwyższonym ryzyku należy przeglądać na następujące sposoby:

• Używaj raportowania Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Co to jest ochrona tożsamości? i Ochrona tożsamości.

• Korzystanie z interfejsu API wykrywania ryzyka związanego z ochroną tożsamości w celu uzyskania za pośrednictwem programu dostępu do wykrywania zabezpieczeń za pośrednictwem programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz riskDetection i riskyUser.

Microsoft Entra ID używa adaptacyjnych algorytmów uczenia maszynowego, heurystyki i znanych naruszonych poświadczeń (par nazw użytkowników i haseł) do wykrywania podejrzanych akcji zabezpieczeń powiązanych z kontami użytkowników. Te pary nazw użytkowników i haseł są dostępne dzięki monitorowaniu sieci publicznej i ukrytej dzięki współpracy z osobami zajmującymi się zabezpieczeniami, organami ochrony porządku publicznego, zespołami zabezpieczeń w Microsoft i innymi osobami.

Azure Pipelines

Dzięki ciągłej integracji i ciągłemu wdrażaniu dostawy (CI/CD) metodyka DevOps zmienia zarządzanie obciążeniami. Pamiętaj, aby dodać sprawdzanie poprawności zabezpieczeń w potokach. Postępuj zgodnie z wskazówkami opisanymi w temacie Zabezpieczanie usługi Azure Pipelines.

Informacje pokrewne

• Czym jest Microsoft Sentinel?
• Integracja analizy zagrożeń w usłudze Microsoft Sentinel
• Identyfikowanie zaawansowanych zagrożeń za pomocą analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel

Lista kontrolna zabezpieczeń

Zapoznaj się z kompletną zestawem zaleceń.

Lista kontrolna zabezpieczeń