Поделиться через

Руководство. Настройка аналитики безопасности для данных Azure Active Directory B2C с помощью Microsoft Sentinel

  • Статья

Повысьте безопасность среды Azure Active Directory B2C (Azure AD B2C), перенаправляя журналы и данные аудита в Microsoft Sentinel. Масштабируемый Microsoft Sentinel — это облачное решение для управления информационной безопасностью и событиями безопасности (SIEM), а также для оркестрации, автоматизации и реагирования (SOAR). Используйте решение для обнаружения оповещений, видимости угроз, упреждающего поиска и реагирования на угрозы для Azure AD B2C.

Дополнительные сведения:

Ниже приведены дополнительные варианты использования Microsoft Sentinel с Azure AD B2C:

  • Обнаружение ранее не обнаруженных угроз и минимизация ложноположительных результатов с помощью функций аналитики и аналитики угроз
  • Исследование угроз с помощью искусственного интеллекта (ИИ)
    • Поиск подозрительных действий в большом масштабе и использование опыта многолетней работы в области кибербезопасности в Корпорации Майкрософт
  • Быстрое реагирование на инциденты с помощью оркестрации и автоматизации общих задач
  • Соблюдение требований к безопасности и соответствию требованиям вашей организации

Из этого руководства вы узнаете, как выполнять следующие задачи:

  • Перенос журналов Azure AD B2C в рабочую область Log Analytics
  • Включение Microsoft Sentinel в рабочей области Log Analytics
  • Создание примера правила в Microsoft Sentinel для активации инцидента
  • Настройка автоматического ответа

Настройка Azure AD B2C с использованием Azure Monitor Log Analytics

Чтобы определить, куда отправляются журналы и метрики для ресурса,

  1. Включите параметры диагностики в идентификаторе Microsoft Entra в клиенте B2C Azure AD.
  2. Настройте Azure AD B2C для отправки журналов в Azure Monitor.

Дополнительные сведения см. в статье Мониторинг Azure AD B2C с помощью Azure Monitor.

Развертывание экземпляра Microsoft Sentinel

После настройки экземпляра Azure AD B2C для отправки журналов в Azure Monitor включите экземпляр Microsoft Sentinel.

Важно!

Чтобы включить Microsoft Sentinel, получите разрешения участника для подписки, в которой находится рабочая область Microsoft Sentinel. Чтобы использовать Microsoft Sentinel, используйте разрешения участника или читателя для группы ресурсов, к которой принадлежит рабочая область.

  1. Войдите на портал Azure.

  2. Выберите подписку, в которой создана рабочая область Log Analytics.

  3. Найдите и выберите элемент Microsoft Sentinel.

    Снимок экрана: Azure Sentinel, введенный в поле поиска, и появившемся параметре Azure Sentinel.

  4. Выберите Добавить.

  5. В поле Поиск рабочих областей выберите новую рабочую область.

    Снимок экрана: поле

  6. Выберите Добавить Microsoft Sentinel.

    Примечание

    Microsoft Sentinel можно запустить в нескольких рабочих областях, однако данные изолированы в одной рабочей области.
    См. краткое руководство. Подключение Microsoft Sentinel

Создание правила Microsoft Sentinel

После включения Microsoft Sentinel получайте уведомления о подозрительных событиях в клиенте Azure AD B2C.

Вы можете создать настраиваемые правила аналитики для обнаружения угроз и аномального поведения в вашем окружении. Эти правила выполняют поиск определенных событий или наборов событий и оповещают вас при достижении пороговых значений или условий событий. Затем создаются инциденты для исследования.

См. статью Создание настраиваемых правил аналитики для обнаружения угроз.

Примечание

В Microsoft Sentinel есть шаблоны для создания правил обнаружения угроз, выполняющих поиск подозрительных действий в данных. Для работы с этим руководством вы создадите правило.

Правило уведомлений для неудачного принудительного доступа

Выполните следующие действия, чтобы получить уведомление о двух или более неудачных попытках принудительного доступа к вашей среде. Например, атака методом подбора.

  1. В Microsoft Sentinel в меню слева выберите Аналитика.

  2. На верхней панели выберите + Создать>правило запланированного запроса.

    Снимок экрана: параметр

  3. В мастере правил аналитики перейдите в раздел Общие.

  4. В поле Имя введите имя для неудачных попыток входа.

  5. В поле Описание укажите, что правило уведомляет о двух или более неудачных входах в течение 60 секунд.

  6. В поле Тактика выберите категорию. Например, выберите PreAttack.

  7. В поле Серьезность выберите уровень серьезности.

  8. Состояниевключено по умолчанию. Чтобы изменить правило, перейдите на вкладку Активные правила .

    Снимок экрана: создание правила с параметрами и параметрами.

  9. Перейдите на вкладку Задать логику правила.

  10. Введите запрос в поле Запрос правила . Пример запроса упорядочивает входы по .UserPrincipalName

    Снимок экрана: текст запроса в поле Запрос правила в разделе Задать логику правила.

  11. Перейдите в раздел Планирование запросов.

  12. В поле Выполнить запрос каждый введите 5 и Минуты.

  13. В поле Подстановка данных из последнего введите 5 и Минуты.

  14. Для параметра Создать оповещение при количестве результатов запроса выберите Больше и 0.

  15. Для параметра Группирование событий выберите Сгруппировать все события в одно оповещение.

  16. Для параметра Остановить выполнение запроса после создания оповещения выберите Выкл.

  17. Выберите Далее: Параметры инцидента (предварительная версия).

Снимок экрана: выбор и параметры планирования запроса.

  1. Перейдите на вкладку Проверка и создание , чтобы просмотреть параметры правила.

  2. Когда появится баннер Проверка пройдена , выберите Создать.

    Снимок экрана: выбранные параметры, баннер

Просмотрите правило и инциденты, которые оно создает. Найдите созданное настраиваемое правило типа Scheduled в таблице на вкладке Активные правила на main

  1. Перейдите на экран Аналитика .
  2. Перейдите на вкладку Активные правила .
  3. В таблице в разделе Запланировано найдите правило.

Правило можно изменять, включать, отключать или удалять.

Снимок экрана: активные правила с параметрами

Рассмотрение, исследование и устранение инцидентов

Инцидент может включать несколько оповещений и является агрегированием соответствующих доказательств для расследования. На уровне инцидента можно задать такие свойства, как Серьезность и Состояние.

Дополнительные сведения см. в разделе Исследование инцидентов с помощью Microsoft Sentinel.

  1. Перейдите на страницу Инциденты .

  2. Выберите инцидент.

  3. Справа отображаются подробные сведения об инциденте, включая серьезность, сущности, события и идентификатор инцидента.

    Снимок экрана: сведения об инциденте.

  4. На панели Инциденты выберите Просмотреть полные сведения.

  5. Просмотрите вкладки, которые обобщают инцидент.

    Снимок экрана: список инцидентов.

  6. Выберите Свидетельство>События>Ссылка на Log Analytics.

  7. В результатах вы увидите значение удостоверения UserPrincipalName при попытке входа.

    Снимок экрана с подробными сведениями об инциденте.

Автоматический ответ

Microsoft Sentinel имеет функции оркестрации безопасности, автоматизации и реагирования (SOAR). Присоединяйте автоматизированные действия или сборник схем к правилам аналитики.

См. раздел Что такое SOAR?

Email уведомление об инциденте

Для этой задачи используйте сборник схем из репозитория Microsoft Sentinel на GitHub.

  1. Перейдите к настроенной схеме.
  2. Измените правило.
  3. На вкладке Автоматический ответ выберите сборник схем.

Дополнительные сведения: Уведомление об инциденте Email

Снимок экрана: параметры автоматического ответа для правила.

Ресурсы

Дополнительные сведения о Microsoft Sentinel и Azure AD B2C см. в следующих статьях:

Следующий шаг

Обработка ложноположительных результатов в Microsoft Sentinel