Dela via


Rapportarbetsbok för känsliga åtgärder

Rapportarbetsboken för känsliga åtgärder är avsedd att hjälpa dig att identifiera misstänkt program- och tjänsthuvudnamnsaktivitet som kan tyda på kompromisser i din miljö.

I den här artikeln får du en översikt över rapportarbetsboken för känsliga åtgärder.

Förutsättningar

Om du vill använda Azure-arbetsböcker för Microsoft Entra-ID behöver du:

  • En Microsoft Entra-klientorganisation med en Premium P1-licens
  • En Log Analytics-arbetsyta och åtkomst till den arbetsytan
  • Lämpliga roller för Azure Monitor och Microsoft Entra ID

Log Analytics-arbetsyta

Du måste skapa en Log Analytics-arbetsyta innan du kan använda Microsoft Entra-arbetsböcker. flera faktorer avgör åtkomsten till Log Analytics-arbetsytor. Du behöver rätt roller för arbetsytan och de resurser som skickar data.

Mer information finns i Hantera åtkomst till Log Analytics-arbetsytor.

Azure Monitor-roller

Azure Monitor innehåller två inbyggda roller för att visa övervakningsdata och redigera övervakningsinställningar. Rollbaserad åtkomstkontroll i Azure (RBAC) innehåller också två inbyggda Log Analytics-roller som ger liknande åtkomst.

  • Vy:

    • Övervakningsläsare
    • Log Analytics Reader
  • Visa och ändra inställningar:

    • Övervakningsdeltagare
    • Log Analytics Contributor

Microsoft Entra-roller

Med skrivskyddad åtkomst kan du visa Microsoft Entra ID-loggdata i en arbetsbok, fråga efter data från Log Analytics eller läsa loggar i administrationscentret för Microsoft Entra. Uppdateringsåtkomst ger möjlighet att skapa och redigera diagnostikinställningar för att skicka Microsoft Entra-data till en Log Analytics-arbetsyta.

  • Read (läs):

    • Rapportläsare
    • Säkerhetsläsare
    • Global läsare
  • Uppdatering:

    • Säkerhetsadministratör

Mer information om inbyggda Microsoft Entra-roller finns i Inbyggda Microsoft Entra-roller.

Mer information om RBAC-rollerna för Log Analytics finns i Inbyggda Azure-roller.

beskrivning

Arbetsbokskategori

Den här arbetsboken identifierar de senaste känsliga åtgärder som utförts i din klientorganisation.

Om din organisation är ny i Azure Monitor-arbetsböcker måste du integrera inloggnings- och granskningsloggarna för Microsoft Entra med Azure Monitor innan du kommer åt arbetsboken. Med den här integreringen kan du lagra, fråga och visualisera dina loggar med hjälp av arbetsböcker i upp till två år. Endast inloggnings- och granskningshändelser som skapats när Azure Monitor-integreringen har lagrats, så arbetsboken innehåller inte insikter före det datumet. Mer information finns i Integrera Microsoft Entra-loggar med Azure Monitor.

Så här kommer du åt arbetsboken

  1. Logga in på administrationscentret för Microsoft Entra med lämplig kombination av roller.

  2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>

  3. Välj arbetsboken Rapport för känsliga åtgärder i avsnittet Felsök.

Avsnitt

Den här arbetsboken är uppdelad i fyra avsnitt:

Skärmbild av arbetsboksavsnitten.

  • Ändrade autentiseringsmetoder för program och tjänstens huvudnamn/autentiseringsmetoder – Den här rapporten flaggar aktörer som nyligen har ändrat många autentiseringsuppgifter för tjänstens huvudnamn och hur många av varje typ av autentiseringsuppgifter för tjänstens huvudnamn som har ändrats.

  • Nya behörigheter som beviljats tjänstens huvudnamn – Den här arbetsboken visar även nyligen beviljade OAuth 2.0-behörigheter till tjänstens huvudnamn.

  • Uppdateringar av katalogroll och gruppmedlemskap för tjänstens huvudnamn

  • Ändrade federationsinställningar – Den här rapporten markeras när en användare eller ett program ändrar federationsinställningar på en domän. Den rapporterar till exempel när ett nytt ADFS-objekt (Active Directory Federated Service), till exempel ett signeringscertifikat, läggs till i domänen. Det bör vara ovanligt att ändra inställningarna för domänfederation.

Ändrade autentiseringsmetoder för program och tjänstens huvudnamn/autentiseringsmetoder

Ett av de vanligaste sätten för angripare att få åtkomst i miljön är genom att lägga till nya autentiseringsuppgifter i befintliga program och tjänstens huvudnamn. Med autentiseringsuppgifterna kan angriparen autentiseras som målprogram eller tjänstens huvudnamn, vilket ger dem åtkomst till alla resurser som den har behörighet till.

Det här avsnittet innehåller följande data som hjälper dig att identifiera:

  • Alla nya autentiseringsuppgifter som har lagts till i appar och tjänstens huvudnamn, inklusive typ av autentiseringsuppgifter

  • De främsta aktörerna och antalet ändringar av autentiseringsuppgifter som de utförde

  • En tidslinje för alla ändringar av autentiseringsuppgifter

Nya behörigheter som beviljats tjänstens huvudnamn

Angripare försöker ofta lägga till behörigheter till ett annat huvudnamn eller program för tjänsten om de inte kan hitta ett huvudnamn för tjänsten eller ett program med en uppsättning behörigheter med hög behörighet för att få åtkomst.

Det här avsnittet innehåller en uppdelning av AppOnly-behörigheter som beviljar befintliga tjänsthuvudnamn. Administratörer bör undersöka alla instanser av alltför höga behörigheter som beviljas, inklusive, men inte begränsat till, Exchange Online och Microsoft Graph.

Uppdateringar av katalogroll och gruppmedlemskap för tjänstens huvudnamn

När angriparen lägger till nya behörigheter till befintliga tjänsthuvudnamn och program lägger en annan metod till dem i befintliga katalogroller eller grupper.

Det här avsnittet innehåller en översikt över alla ändringar som gjorts i tjänstens huvudnamnsmedlemskap och bör granskas för eventuella tillägg till roller och grupper med hög behörighet.

Ändrade federationsinställningar

En annan vanlig metod för att få ett långsiktigt fotfäste i miljön är att:

  • Ändra klientorganisationens federerade domänförtroenden.
  • Lägg till ytterligare en SAML-IDP som angriparen styr som en betrodd autentiseringskälla.

Det här avsnittet innehåller följande data:

  • Ändringar som utförs i befintliga domänfederationsförtroenden

  • Tillägg av nya domäner och förtroenden

Filter

I det här stycket visas de filter som stöds för varje avsnitt.

Ändrade autentiseringsuppgifter för program och tjänstens huvudnamn/autentiseringsmetoder

  • Tidsintervall
  • Operationsnamn
  • Merit
  • Skådespelare
  • Exkludera aktör

Nya behörigheter som beviljats tjänstens huvudnamn

  • Tidsintervall
  • Klientapp
  • Resurs

Uppdateringar av katalogroll och gruppmedlemskap för tjänstens huvudnamn

  • Tidsintervall
  • Åtgärd
  • Initiera användare eller app

Ändrade federationsinställningar

  • Tidsintervall
  • Åtgärd
  • Initiera användare eller app

Bästa praxis

  • Använd ändrade autentiseringsuppgifter för program och tjänstens huvudnamn för att hålla utkik efter autentiseringsuppgifter som läggs till i tjänstens huvudnamn som inte används ofta i din organisation. Använd filtren som finns i det här avsnittet för att undersöka någon av de misstänkta aktörerna eller tjänstens huvudnamn som har ändrats.

  • Använd nya behörigheter som beviljats tjänstens huvudnamn för att se efter breda eller överdrivna behörigheter som läggs till i tjänstens huvudnamn av aktörer som kan ha komprometterats.

  • Använd avsnittet med ändrade federationsinställningar för att bekräfta att den tillagda eller ändrade måldomänen/URL:en är ett legitimt administratörsbeteende. Åtgärder som ändrar eller lägger till domänfederationsförtroenden är sällsynta och bör behandlas som hög återgivning för att undersökas så snart som möjligt.