Поделиться через

Рабочая тетрадь отчетов по конфиденциальным операциям

  • Статья

Книга отчета о конфиденциальных операциях предназначена для выявления подозрительных действий приложения и субъекта-службы, которые могут указывать на компромиссы в вашей среде.

В этой статье представлен обзор книги "Отчет о конфиденциальных операциях".

Предварительные условия

Чтобы использовать рабочие книги Azure для Microsoft Entra ID, вам потребуется:

  • Клиент Microsoft Entra с лицензией Premium P1
  • Рабочая область «Log Analytics» и доступ к этой рабочей области
  • Соответствующие роли для Azure Monitor и Microsoft Entra ID

Рабочая область Log Analytics

Прежде чем использовать рабочие книги Microsoft Entra, необходимо создать рабочую область Log Analytics. несколько факторов определяют доступ к рабочим областям Log Analytics. Нужные роли для рабочей области и ресурсов, отправляющих данные.

Дополнительные сведения см. в статье "Управление доступом к рабочим областям Log Analytics".

Роли Azure Monitor

Azure Monitor предоставляет две встроенные роли для просмотра данных мониторинга и редактирования параметров мониторинга. Управление доступом на основе ролей Azure (RBAC) также предоставляет две встроенные роли Log Analytics, предоставляющие аналогичный доступ.

  • Просмотр.

    • Monitoring Reader (Читатель данных мониторинга)
    • Читатель Log Analytics

  • Просмотр и изменение параметров:

    • Участник мониторинга
    • Содействующий в Log Analytics

Роли Microsoft Entra

Доступ только для чтения позволяет просматривать данные журнала идентификатора Microsoft Entra внутри книги, запрашивать данные из Log Analytics или читать журналы в Центре администрирования Microsoft Entra. Обновление доступа добавляет возможность создавать и изменять параметры диагностики для отправки данных Microsoft Entra в рабочую область Log Analytics.

  • Читай:

    • Просмотрщик отчетов
    • Обозреватель безопасности
    • Глобальный читатель

  • Обновление.

    • Администратор безопасности

Дополнительные сведения о встроенных ролях Microsoft Entra см. в статье о встроенных ролях Microsoft Entra.

Дополнительные сведения о ролях RBAC Log Analytics см. в статье О встроенных ролях Azure.

Описание

Категория рабочей тетради

Эта рабочая тетрадь идентифицирует последние конфиденциальные операции, выполненные в вашем арендаторе.

Если ваша организация не знакома с рабочими книгами Azure Monitor, необходимо интегрировать журналы входа и аудита Microsoft Entra с Azure Monitor перед доступом к рабочим книгам. Эта интеграция позволяет хранить, запрашивать и визуализировать журналы с помощью рабочих книг до двух лет. Только события входа и аудита, созданные после интеграции Azure Monitor, хранятся, поэтому книга не будет содержать аналитические сведения до этой даты. Дополнительные сведения см. в статье "Интеграция журналов Microsoft Entra с Azure Monitor".

Как получить доступ к книге

  1. Войдите в Центр администрирования Microsoft Entra с помощью соответствующего сочетания ролей.

  2. Перейдите к удостоверению>мониторинга и работоспособности>Книги.

  3. Выберите рабочую книгу "Отчет о конфиденциальных операциях" в разделе "Устранение неполадок".

Разделы

Эта книга разбита на четыре раздела:

Снимок экрана разделов рабочей тетради.

  • Изменение учетных данных приложения и методов аутентификации главного объекта-службы – этот отчет выделяет пользователей, которые недавно изменили множество учетных данных главного объекта-службы, и показывает, сколько из каждого типа учетных данных было изменено.

  • Новые разрешения, предоставленные субъектам-службам. В этой книге также описаны недавно предоставленные субъектам-службам разрешения OAuth 2.0.

  • Обновления ролей в каталоге и членства в группах для пользователей-службы

  • Измененные параметры федерации. В этом отчете указывается, когда пользователь или приложение изменяют параметры федерации в домене. Например, там указывается, когда новый объект TrustedRealm службы федерации Active Directory (ADFS), такой как сертификат подписи, добавляется в домен. Изменение параметров федерации домена должно выполняться редко.

Изменены учетные данные или методы аутентификации приложения и учетной записи службы

Одним из наиболее распространенных способов получения злоумышленниками доступа в среде является добавление новых учетных данных в существующие приложения и служебные принципы. Учетные данные позволяют злоумышленнику пройти проверку подлинности в качестве целевого приложения или субъекта-службы, предоставляя им доступ ко всем ресурсам, к которым у него есть разрешения.

Этот раздел содержит данные, которые помогут обнаружить следующее:

  • Все новые учетные данные, добавленные в приложения и учетные записи служб, включая тип учетных данных.

  • Основные субъекты и количество изменений учетных данных, которые они выполнили

  • временная шкала для всех изменений учетных данных.

Новые разрешения, предоставленные субъектам-службам

Злоумышленники часто пытаются добавить разрешения другому субъекту-службе или приложению, если они не могут найти субъект-службу или приложение с высоким набором разрешений, с помощью которых получить доступ.

В этом разделе представлена разбивка предоставлений разрешений AppOnly для существующих сервисных участников. Администраторы должны разобраться в любых случаях предоставления слишком высоких полномочий, включая, но не ограничиваясь, Exchange Online и Microsoft Graph.

Изменения роли каталога и членства в группах для субъектов-служб

Альтернативным подходом злоумышленника, добавляющего новые разрешения к существующим учетным записям служб и приложениям, является их добавление к существующим ролям в каталоге или группам.

В этом разделе описаны все изменения членства участников-служб, что следует проверять на предмет любых дополнений к ролям и группам с высокими привилегиями.

Измененные параметры федерации

Другой распространенный подход к долгосрочному закреплению в окружающей среде заключается в:

  • Измените доверительные отношения федеративных доменов арендатора.
  • Добавьте другой удостоверяющий центр SAML, которым управляет злоумышленник, в качестве надежного источника проверки подлинности.

В этом разделе содержатся следующие данные:

  • Изменения, внесённые в существующие отношения доверия федерации доменов.

  • добавление новых доменов и отношений доверия.

Фильтры

В этом абзаце перечислены поддерживаемые фильтры для каждого раздела.

Измененные учетные данные и методы проверки подлинности приложения и служебного субъекта

  • Диапазон времени
  • Наименование операции
  • Подтверждение компетенции
  • Субъект
  • Исключение субъекта

Новые разрешения, предоставленные служебным субъектам

  • Диапазон времени
  • Клиентское приложение
  • Ресурс

Изменения ролей в каталоге и членства в группах для служебных участников

  • Диапазон времени
  • Операция
  • Инициирование пользователя или приложения

Измененные параметры федерации

  • Диапазон времени
  • Операция
  • Инициирование пользователя или приложения

Лучшие практики

  • Используйте измененные учетные данные приложения и субъекта-службы для поиска учетных данных, добавляемых в субъекты-службы, которые не часто используются в вашей организации. Используйте фильтры, представленные в этом разделе, для дальнейшего расследования любых подозрительных субъектов или субъектов-служб, которые были изменены.

  • Используйте новые разрешения, предоставленные субъектам-службам , чтобы искать широкие или чрезмерные разрешения, добавляемые субъектами-службами, которые могут быть скомпрометированы.

  • Используйте раздел измененных параметров федерации, чтобы убедиться, что добавленный или измененный целевой домен или URL-адрес является допустимым поведением администратора. Действия, которые изменяют или добавляют доверительные отношения федерации доменов, редки. Они должны рассматриваться как достоверные и расследоваться как можно скорее.

Связанный контент