Rapportarbetsbok för känsliga åtgärder
Rapportarbetsboken för känsliga åtgärder är avsedd att hjälpa dig att identifiera misstänkt program- och tjänsthuvudnamnsaktivitet som kan tyda på kompromisser i din miljö.
I den här artikeln får du en översikt över rapportarbetsboken för känsliga åtgärder.
Förutsättningar
Om du vill använda Azure-arbetsböcker för Microsoft Entra-ID behöver du:
- En Microsoft Entra-klientorganisation med en Premium P1-licens
- En Log Analytics-arbetsyta och åtkomst till den arbetsytan
- Lämpliga roller för Azure Monitor och Microsoft Entra ID
Log Analytics-arbetsyta
Du måste skapa en Log Analytics-arbetsyta innan du kan använda Microsoft Entra-arbetsböcker. flera faktorer avgör åtkomsten till Log Analytics-arbetsytor. Du behöver rätt roller för arbetsytan och de resurser som skickar data.
Mer information finns i Hantera åtkomst till Log Analytics-arbetsytor.
Azure Monitor-roller
Azure Monitor innehåller två inbyggda roller för att visa övervakningsdata och redigera övervakningsinställningar. Rollbaserad åtkomstkontroll i Azure (RBAC) innehåller också två inbyggda Log Analytics-roller som ger liknande åtkomst.
Vy:
- Övervakningsläsare
- Log Analytics Reader
Visa och ändra inställningar:
- Övervakningsdeltagare
- Log Analytics Contributor
Microsoft Entra-roller
Med skrivskyddad åtkomst kan du visa Microsoft Entra ID-loggdata i en arbetsbok, fråga efter data från Log Analytics eller läsa loggar i administrationscentret för Microsoft Entra. Uppdateringsåtkomst ger möjlighet att skapa och redigera diagnostikinställningar för att skicka Microsoft Entra-data till en Log Analytics-arbetsyta.
Read (läs):
- Rapportläsare
- Säkerhetsläsare
- Global läsare
Uppdatering:
- Säkerhetsadministratör
Mer information om inbyggda Microsoft Entra-roller finns i Inbyggda Microsoft Entra-roller.
Mer information om RBAC-rollerna för Log Analytics finns i Inbyggda Azure-roller.
beskrivning
Den här arbetsboken identifierar de senaste känsliga åtgärder som utförts i din klientorganisation.
Om din organisation är ny i Azure Monitor-arbetsböcker måste du integrera inloggnings- och granskningsloggarna för Microsoft Entra med Azure Monitor innan du kommer åt arbetsboken. Med den här integreringen kan du lagra, fråga och visualisera dina loggar med hjälp av arbetsböcker i upp till två år. Endast inloggnings- och granskningshändelser som skapats när Azure Monitor-integreringen har lagrats, så arbetsboken innehåller inte insikter före det datumet. Mer information finns i Integrera Microsoft Entra-loggar med Azure Monitor.
Så här kommer du åt arbetsboken
Logga in på administrationscentret för Microsoft Entra med lämplig kombination av roller.
Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>
Välj arbetsboken Rapport för känsliga åtgärder i avsnittet Felsök.
Avsnitt
Den här arbetsboken är uppdelad i fyra avsnitt:
Ändrade autentiseringsmetoder för program och tjänstens huvudnamn/autentiseringsmetoder – Den här rapporten flaggar aktörer som nyligen har ändrat många autentiseringsuppgifter för tjänstens huvudnamn och hur många av varje typ av autentiseringsuppgifter för tjänstens huvudnamn som har ändrats.
Nya behörigheter som beviljats tjänstens huvudnamn – Den här arbetsboken visar även nyligen beviljade OAuth 2.0-behörigheter till tjänstens huvudnamn.
Uppdateringar av katalogroll och gruppmedlemskap för tjänstens huvudnamn
Ändrade federationsinställningar – Den här rapporten markeras när en användare eller ett program ändrar federationsinställningar på en domän. Den rapporterar till exempel när ett nytt ADFS-objekt (Active Directory Federated Service), till exempel ett signeringscertifikat, läggs till i domänen. Det bör vara ovanligt att ändra inställningarna för domänfederation.
Ändrade autentiseringsmetoder för program och tjänstens huvudnamn/autentiseringsmetoder
Ett av de vanligaste sätten för angripare att få åtkomst i miljön är genom att lägga till nya autentiseringsuppgifter i befintliga program och tjänstens huvudnamn. Med autentiseringsuppgifterna kan angriparen autentiseras som målprogram eller tjänstens huvudnamn, vilket ger dem åtkomst till alla resurser som den har behörighet till.
Det här avsnittet innehåller följande data som hjälper dig att identifiera:
Alla nya autentiseringsuppgifter som har lagts till i appar och tjänstens huvudnamn, inklusive typ av autentiseringsuppgifter
De främsta aktörerna och antalet ändringar av autentiseringsuppgifter som de utförde
En tidslinje för alla ändringar av autentiseringsuppgifter
Nya behörigheter som beviljats tjänstens huvudnamn
Angripare försöker ofta lägga till behörigheter till ett annat huvudnamn eller program för tjänsten om de inte kan hitta ett huvudnamn för tjänsten eller ett program med en uppsättning behörigheter med hög behörighet för att få åtkomst.
Det här avsnittet innehåller en uppdelning av AppOnly-behörigheter som beviljar befintliga tjänsthuvudnamn. Administratörer bör undersöka alla instanser av alltför höga behörigheter som beviljas, inklusive, men inte begränsat till, Exchange Online och Microsoft Graph.
Uppdateringar av katalogroll och gruppmedlemskap för tjänstens huvudnamn
När angriparen lägger till nya behörigheter till befintliga tjänsthuvudnamn och program lägger en annan metod till dem i befintliga katalogroller eller grupper.
Det här avsnittet innehåller en översikt över alla ändringar som gjorts i tjänstens huvudnamnsmedlemskap och bör granskas för eventuella tillägg till roller och grupper med hög behörighet.
Ändrade federationsinställningar
En annan vanlig metod för att få ett långsiktigt fotfäste i miljön är att:
- Ändra klientorganisationens federerade domänförtroenden.
- Lägg till ytterligare en SAML-IDP som angriparen styr som en betrodd autentiseringskälla.
Det här avsnittet innehåller följande data:
Ändringar som utförs i befintliga domänfederationsförtroenden
Tillägg av nya domäner och förtroenden
Filter
I det här stycket visas de filter som stöds för varje avsnitt.
Ändrade autentiseringsuppgifter för program och tjänstens huvudnamn/autentiseringsmetoder
- Tidsintervall
- Operationsnamn
- Merit
- Skådespelare
- Exkludera aktör
Nya behörigheter som beviljats tjänstens huvudnamn
- Tidsintervall
- Klientapp
- Resurs
Uppdateringar av katalogroll och gruppmedlemskap för tjänstens huvudnamn
- Tidsintervall
- Åtgärd
- Initiera användare eller app
Ändrade federationsinställningar
- Tidsintervall
- Åtgärd
- Initiera användare eller app
Bästa praxis
Använd ändrade autentiseringsuppgifter för program och tjänstens huvudnamn för att hålla utkik efter autentiseringsuppgifter som läggs till i tjänstens huvudnamn som inte används ofta i din organisation. Använd filtren som finns i det här avsnittet för att undersöka någon av de misstänkta aktörerna eller tjänstens huvudnamn som har ändrats.
Använd nya behörigheter som beviljats tjänstens huvudnamn för att se efter breda eller överdrivna behörigheter som läggs till i tjänstens huvudnamn av aktörer som kan ha komprometterats.
Använd avsnittet med ändrade federationsinställningar för att bekräfta att den tillagda eller ändrade måldomänen/URL:en är ett legitimt administratörsbeteende. Åtgärder som ändrar eller lägger till domänfederationsförtroenden är sällsynta och bör behandlas som hög återgivning för att undersökas så snart som möjligt.