Sešit sestavy citlivých operací

Sešit sestavy citlivých operací je určený k identifikaci podezřelých aktivit aplikace a instančního objektu, které můžou značit ohrožení ve vašem prostředí.

Tento článek obsahuje přehled sešitu sestavy citlivých operací.

Požadavky

Pokud chcete použít Azure Workbooks pro ID Microsoft Entra, potřebujete:

• Tenant Microsoft Entra s licencí Premium P1
• Pracovní prostor služby Log Analytics a přístup k housku
• Příslušné role pro Azure Monitor a Microsoft Entra ID

Pracovní prostor služby Log Analytics

Než budete moct používat sešity Microsoft Entra, musíte vytvořit pracovní prostor služby Log Analytics. přístup k pracovním prostorům služby Log Analytics určuje několik faktorů. Potřebujete správné role pro pracovní prostor a prostředky odesílající data.

Další informace najdete v tématu Správa přístupu k pracovním prostorům služby Log Analytics.

Role Azure Monitoru

Azure Monitor poskytuje dvě předdefinované role pro zobrazení dat monitorování a úpravu nastavení monitorování. Řízení přístupu na základě role v Azure (RBAC) také poskytuje dvě předdefinované role Log Analytics, které uděluje podobný přístup.

• Zobrazení:

  • Čtenář monitorování
  • Čtenář Log Analytics

• Zobrazení a úprava nastavení:

  • Přispěvatel monitorování
  • Přispěvatel Log Analytics

Role Microsoft Entra

Přístup jen pro čtení umožňuje zobrazit data protokolu Microsoft Entra ID v sešitu, dotazovat se na data z Log Analytics nebo číst protokoly v Centru pro správu Microsoft Entra. Aktualizace přístupu přidává možnost vytvářet a upravovat nastavení diagnostiky pro odesílání dat Microsoft Entra do pracovního prostoru služby Log Analytics.

• Čtení:

  • Čtenář sestav
  • Čtenář zabezpečení
  • Globální čtenář

• Aktualizace:

  • Správce zabezpečení

Další informace o předdefinovaných rolích Microsoft Entra naleznete v tématu Předdefinované role Microsoft Entra.

Další informace o rolích RBAC služby Log Analytics najdete v tématu Předdefinované role Azure.

Popis

Tento sešit identifikuje nedávné citlivé operace prováděné ve vašem tenantovi.

Pokud je vaše organizace pro sešity Azure Monitoru novinkou, musíte před přístupem k sešitu integrovat protokoly přihlášení a auditování Microsoft Entra se službou Azure Monitor. Tato integrace umožňuje ukládat, dotazovat a vizualizovat protokoly pomocí sešitů po dobu až dvou let. Uloží se jenom události přihlášení a auditu vytvořené po uložení integrace služby Azure Monitor, takže sešit nebude obsahovat přehledy před tímto datem. Další informace najdete v tématu Integrace protokolů Microsoft Entra se službou Azure Monitor.

Přístup k sešitu

1. Přihlaste se k Centru pro správu Microsoft Entra pomocí odpovídající kombinace rolí.

2. Přejděte do sešitů monitorování a stavu>identit>.

3. V části Řešení potíží vyberte sešit Sestava citlivých operací.

Oddíly

Tento sešit je rozdělený do čtyř částí:

• Upravené přihlašovací údaje aplikace a instančního objektu / metody ověřování – tato sestava označuje aktéry, kteří nedávno změnili mnoho přihlašovacích údajů instančního objektu a kolik z nich se změnilo.

• Nová oprávnění udělená instančním objektům – tento sešit také zvýrazňuje nedávno udělená oprávnění OAuth 2.0 instančním objektům.

• Aktualizace členství v adresáři a členství ve skupinách pro instanční objekty

• Upravená nastavení federace – Tato sestava se zvýrazní, když uživatel nebo aplikace upraví nastavení federace v doméně. Například hlásí, když se do domény přidá nový objekt TrustedRealm služby Active Directory (ADFS), například podpisový certifikát. Úpravy nastavení federace domény by měly být vzácné.

Upravené přihlašovací údaje aplikace a instančního objektu / metody ověřování

Jedním z nejběžnějších způsobů, jak útočníci získat přístup v prostředí, je přidání nových přihlašovacích údajů do existujících aplikací a instančních objektů. Přihlašovací údaje umožňují útočníkovi ověřit se jako cílová aplikace nebo instanční objekt a udělit mu přístup ke všem prostředkům, ke kterým má oprávnění.

Tato část obsahuje následující data, která vám pomůžou zjistit:

• Všechny nové přihlašovací údaje přidané do aplikací a instančních objektů, včetně typu přihlašovacích údajů

• Hlavní aktéři a počet úprav přihlašovacích údajů, které provedli

• Časová osa pro všechny změny přihlašovacích údajů

Nová oprávnění udělená instančním objektům

Útočníci se často pokoušejí přidat oprávnění k jinému instančnímu objektu nebo aplikaci, pokud nemůžou najít instanční objekt nebo aplikaci s vysokou sadou oprávnění, prostřednictvím kterých získá přístup.

Tato část obsahuje rozpis oprávnění AppOnly udělovaných stávajícím instančním objektům. Správci by měli prozkoumat všechny instance nadměrného vysokého počtu udělených oprávnění, včetně mimo jiné, Exchange Online a Microsoft Graphu.

Aktualizace členství v adresáři a členství ve skupinách pro instanční objekty

Podle logiky útočníka, který přidává nová oprávnění k existujícím instančním objektům a aplikacím, je dalším přístupem jejich přidání do existujících rolí adresáře nebo skupin.

Tato část obsahuje přehled všech změn provedených v členství instančního objektu a měli byste zkontrolovat všechny dodatky k rolím a skupinám s vysokými oprávněními.

Upravená nastavení federace

Dalším běžným přístupem k získání dlouhodobého zápatí v prostředí je:

• Upravte vztahy důvěryhodnosti federované domény tenanta.
• Přidejte další protokol IDP SAML, který útočník řídí jako důvěryhodný zdroj ověřování.

Tato část obsahuje následující data:

• Změny provedené u existujících vztahů důvěryhodnosti federace domén

• Přidání nových domén a vztahů důvěryhodnosti

Filtry

Tento odstavec obsahuje seznam podporovaných filtrů pro jednotlivé oddíly.

Upravené přihlašovací údaje aplikace a instančního objektu / metody ověřování

• Časový rozsah
• Název operace
• Reference
• Actor (Herec/herečka)
• Vyloučení objektu actor

Nová oprávnění udělená instančním objektům

• Časový rozsah
• Klientská aplikace
• Prostředek

Aktualizace členství v adresáři a členství ve skupinách instančních objektů

• Časový rozsah
• Operace
• Inicializování uživatele nebo aplikace

Upravená nastavení federace

• Časový rozsah
• Operace
• Inicializování uživatele nebo aplikace

Osvědčené postupy

• Použijte upravené přihlašovací údaje aplikace a instančního objektu k vyhledání přihlašovacích údajů přidaných do instančních objektů, které se ve vaší organizaci často nepoužívají. Pomocí filtrů, které jsou přítomné v této části, můžete dále prozkoumat všechny podezřelé aktéry nebo instanční objekty, které byly změněny.

• Pomocí nových oprávnění udělených instančním objektům můžete zjistit, jestli se do instančních objektů přidávají obecná nebo nadměrná oprávnění, která můžou být ohrožena.

• Pomocí oddílu upravená nastavení federace potvrďte, že přidaná nebo upravená cílová doména nebo adresa URL jsou legitimním chováním správce. Akce, které upravují nebo přidávají vztahy důvěryhodnosti federace domény, jsou vzácné a měly by být považovány za vysoce věrné, aby bylo možné co nejdříve prozkoumat.

Související obsah

• Jak používat sešity identit
• Protokoly přihlašování instančního objektu