Включение аудита безопасности и DNS для доменных служб Microsoft Entra

Безопасность доменных служб Microsoft Entra и аудиты DNS позволяют потоковой передаче событий Azure в целевые ресурсы. К этим ресурсам относятся служба хранилища Azure, рабочие области Azure Log Analytics или Концентратор событий Azure. После включения событий аудита безопасности доменные службы отправляют все проверенные события выбранной категории в целевой ресурс.

Вы можете архивировать события в хранилище Azure и передавать события в программное обеспечение безопасности и управления событиями (SIEM) с помощью Центры событий Azure или выполнять собственный анализ и использовать рабочие области Azure Log Analytics из Центра администрирования Microsoft Entra.

Назначения аудита безопасности

Вы можете использовать рабочие области служба хранилища Azure, Центры событий Azure или Azure Log Analytics в качестве целевого ресурса для аудита безопасности доменных служб. Эти назначения можно объединить. Например, можно использовать служба хранилища Azure для архивации событий аудита безопасности, но рабочую область Azure Log Analytics для анализа и отчета о информации в краткосрочной перспективе.

В следующей таблице описаны сценарии для каждого типа целевого ресурса.

Важный

Перед включением аудита безопасности доменных служб необходимо создать целевой ресурс. Эти ресурсы можно создать с помощью Центра администрирования Microsoft Entra, Azure PowerShell или Azure CLI.

Целевой ресурс Сценарий
служба хранилища Azure Этот целевой объект следует использовать, если основной задачей является хранение событий аудита безопасности в целях архивации. Другие целевые объекты можно использовать для архивации, однако эти целевые объекты обеспечивают возможности, не имеющие основного значения для архивации.

Прежде чем включить события аудита безопасности доменных служб, сначала создайте учетную запись служба хранилища Azure.
Центры событий Azure Этот целевой объект следует использовать, если основной задачей является предоставление общего доступа к событиям аудита безопасности с дополнительным программным обеспечением, таким как программное обеспечение для анализа данных или программное обеспечение для управления событиями и событиями (SIEM).

Прежде чем включить события аудита безопасности доменных служб, создайте концентратор событий с помощью Центра администрирования Microsoft Entra
Рабочая область Azure Log Analytics Этот целевой объект следует использовать, если основной задачей является анализ и проверка безопасных аудита из Центра администрирования Microsoft Entra напрямую.

Перед включением событий аудита безопасности доменных служб создайте рабочую область Log Analytics в Центре администрирования Microsoft Entra.

Включение событий аудита безопасности с помощью Центра администрирования Microsoft Entra

Чтобы включить события аудита безопасности доменных служб с помощью Центра администрирования Microsoft Entra, выполните следующие действия.

Важный

Аудит безопасности доменных служб не является ретроактивным. Вы не можете получить или воспроизвести события из прошлого. Доменные службы могут отправлять только события, возникающие после включения аудита безопасности.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Найдите и выберите доменные службы Microsoft Entra. Выберите управляемый домен, например aaddscontoso.com.

  3. В окне доменных служб выберите параметры диагностики слева.

  4. По умолчанию диагностика не настроено. Чтобы приступить к работе, выберите " Добавить параметр диагностики".

    Добавление параметра диагностики для доменных служб Microsoft Entra

  5. Введите имя конфигурации диагностики, например аудит aadds.

    Установите флажок для назначения аудита безопасности или DNS. Вы можете выбрать рабочую область Log Analytics, учетную запись служба хранилища Azure, концентратор событий Azure или партнерское решение. Эти целевые ресурсы уже должны существовать в подписке Azure. Вы не можете создать целевые ресурсы в этом мастере.

    • Рабочие области Azure Log Analytic
      • Выберите "Отправить в Log Analytics", а затем выберите подписку и рабочую область Log Analytics, которую вы хотите использовать для хранения событий аудита.
    • Хранилище Azure
      • Выберите "Архив" в учетную запись хранения, а затем нажмите кнопку "Настроить".
      • Выберите подписку и учетную запись хранения, которую вы хотите использовать для архивации событий аудита.
      • Когда все готово, нажмите кнопку "ОК".
    • Центры событий Azure
      • Выберите Stream в концентратор событий, а затем нажмите кнопку "Настроить".
      • Выберите подписку и пространство имен концентратора событий. При необходимости также выберите имя концентратора событий и имя политики концентратора событий.
      • Когда все готово, нажмите кнопку "ОК".
    • Партнерское решение
      • Выберите "Отправить в партнерское решение", а затем выберите подписку и назначение , которые вы хотите использовать для хранения событий аудита.
  6. Выберите категории журналов, которые необходимо включить для конкретного целевого ресурса. Если вы отправляете события аудита в учетную запись служба хранилища Azure, можно также настроить политику хранения, которая определяет количество дней для хранения данных. Параметр по умолчанию 0 сохраняет все данные и не поворачивает события через период времени.

    Вы можете выбрать разные категории журналов для каждого целевого ресурса в пределах одной конфигурации. Эта возможность позволяет выбрать категории журналов, которые вы хотите сохранить для Log Analytics и какие категории журналов необходимо архивировать, например.

  7. По завершении нажмите кнопку "Сохранить ", чтобы зафиксировать изменения. Целевые ресурсы начинают получать события аудита доменных служб вскоре после сохранения конфигурации.

Включение событий аудита безопасности и DNS с помощью Azure PowerShell

Чтобы включить события безопасности доменных служб и аудита DNS с помощью Azure PowerShell, выполните следующие действия. При необходимости сначала установите модуль Azure PowerShell и подключитесь к подписке Azure.

Важный

Аудиты доменных служб не являются ретроактивными. Вы не можете получить или воспроизвести события из прошлого. Доменные службы могут отправлять только события, возникающие после включения аудита.

  1. Проверка подлинности в подписке Azure с помощью командлета Connect-AzAccount . При появлении запроса введите учетные данные учетной записи.

    Connect-AzAccount
    
  2. Создайте целевой ресурс для событий аудита.

  3. Получите идентификатор ресурса для управляемого домена доменных служб с помощью командлета Get-AzResource . Создайте переменную с именем $aadds. ResourceId для хранения значения:

    $aadds = Get-AzResource -name aaddsDomainName
    
  4. Настройте параметры диагностики Azure с помощью командлета Set-AzDiagnosticSetting , чтобы использовать целевой ресурс для событий аудита доменных служб Microsoft Entra. В следующих примерах переменная $aadds. ResourceId используется на предыдущем шаге.

    • Хранилище Azure. Замените storageAccountId именем учетной записи хранения:

      Set-AzDiagnosticSetting `
          -ResourceId $aadds.ResourceId `
          -StorageAccountId storageAccountId `
          -Enabled $true
      
    • Центры событий Azure. Замените eventHubName именем концентратора событий и eventHubRuleId идентификатором правила авторизации:

      Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId `
          -EventHubName eventHubName `
          -EventHubAuthorizationRuleId eventHubRuleId `
          -Enabled $true
      
    • Рабочие области Azure Log Analytic. Замените workspaceId идентификатором рабочей области Log Analytics:

      Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId `
          -WorkspaceID workspaceId `
          -Enabled $true
      

Запрос и просмотр событий безопасности и аудита DNS с помощью Azure Monitor

Рабочие области Log Analytic позволяют просматривать и анализировать события аудита безопасности и DNS с помощью Azure Monitor и языка запросов Kusto. Этот язык запросов предназначен для использования только для чтения, который может похвастаться возможностями power analytics с простым синтаксисом для чтения. Дополнительные сведения о начале работы с языками запросов Kusto см. в следующих статьях:

Следующие примеры запросов можно использовать для начала анализа событий аудита из доменных служб.

Пример запроса 1

Просмотрите все события блокировки учетной записи за последние семь дней:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Пример запроса 2

Просмотрите все события блокировки учетной записи (4740) между 3 июня 2020 г. в 9:00 и 10 июня 2020 г., отсортированные по дате и времени:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc

Пример запроса 3

Просмотрите события входа в учетную запись семь дней назад (начиная с этого момента) для учетной записи с именем пользователя:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Пример запроса 4

Просмотр событий входа в учетную запись семь дней назад для учетной записи с именем пользователя, пытающегося войти с использованием неправильного пароля (0xC0000006a):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Пример запроса 5

Просмотр событий входа в учетную запись семь дней назад для учетной записи с именем пользователя, пытающегося войти, пока учетная запись была заблокирована (0xC0000234):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Пример запроса 6

Просмотрите количество событий входа в учетную запись семь дней назад для всех попыток входа, которые произошли для всех заблокированных пользователей:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()

Аудит категорий событий безопасности и DNS

Безопасность доменных служб и аудит DNS соответствуют традиционному аудиту для традиционных контроллеров домена AD DS. В гибридных средах можно повторно использовать существующие шаблоны аудита, чтобы при анализе событий можно использовать ту же логику. В зависимости от сценария, необходимого для устранения неполадок или анализа, необходимо использовать различные категории событий аудита.

Доступны следующие категории событий аудита:

Имя категории аудита Описание
Вход в учетную запись Аудит пытается проверить подлинность данных учетной записи на контроллере домена или локальном диспетчере учетных записей безопасности (SAM).
—Параметры политики входа и выхода в систему и события отслеживают попытки доступа к конкретному компьютеру. Параметры и события в этой категории сосредоточены на используемой базе данных учетной записи. Эта категория включает следующие подкатегории:
-Аудит проверки учетных данных
-Аудит службы проверки подлинности Kerberos
-Аудит операций по запросу на обслуживание Kerberos
-Аудит других событий входа и выхода
Управление учетными записями Аудит изменений учетных записей и групп пользователей и компьютеров. Эта категория включает следующие подкатегории:
-Аудит управления группами приложений
-Аудит управления учетными записями компьютера
-Аудит управления группами рассылки
-Аудит другого управления учетными записями
-Аудит управления группами безопасности
-Аудит управления учетными записями пользователей
DNS-сервер Выполняет аудит изменений в средах DNS. Эта категория включает следующие подкатегории:
- DNSServerAuditsDynamicUpdates (предварительная версия)
- DNSServerAuditsGeneral (предварительная версия)
Отслеживание сведений Проверяет действия отдельных приложений и пользователей на этом компьютере, а также позволяет понять, как используется компьютер. Эта категория включает следующие подкатегории:
-Аудит действия DPAPI
-Аудит действия PNP
-Создание процесса аудита
-Завершение процесса аудита
-Аудит событий RPC
Доступ к службам каталогов Аудит пытается получить доступ к объектам и изменить их в службах домен Active Directory (AD DS). Эти события аудита регистрируются только на контроллерах домена. Эта категория включает следующие подкатегории:
-Аудит подробной репликации службы каталогов
-Аудит доступа к службе каталогов
-Изменения службы каталогов аудита
-Аудит репликации службы каталогов
Вход в систему Аудит пытается войти на компьютер в интерактивном режиме или по сети. Эти события полезны для отслеживания действий пользователей и выявления потенциальных атак на сетевые ресурсы. Эта категория включает следующие подкатегории:
-Аудит блокировки учетной записи
-Аудит утверждений пользователя или устройства
-Аудит расширенного режима IPsec
-Членство в группе аудита
-Аудит основного режима IPsec
-Быстрый режим аудита IPsec
-Аудит выхода
-Аудит входа
-Аудит сервера политики сети
-Аудит других событий входа и выхода
-Аудит специального входа
Доступ к объектам Аудит пытается получить доступ к определенным объектам или типам объектов на сети или компьютере. Эта категория включает следующие подкатегории:
-Аудит созданного приложения
-Аудит служб сертификации
-Аудит подробного файлового ресурса
-Аудит общей папки
-Аудит файловой системы
-Аудит подключения к платформе фильтрации
-Аудит удаления пакетов платформы фильтрации
-Обработка дескриптора аудита
-Аудит объекта ядра
-Аудит событий доступа к другим объектам
-Аудит реестра
-Аудит съемных носителей
-Аудит SAM
-Аудит промежуточной политики центрального доступа
Изменение политики Проверяет изменения важных политик безопасности в локальной системе или сети. Политики обычно устанавливаются администраторами для защиты сетевых ресурсов. Мониторинг изменений или попыток изменения этих политик может быть важным аспектом управления безопасностью для сети. Эта категория включает следующие подкатегории:
-Изменение политики аудита
-Изменение политики проверки подлинности аудита
-Изменение политики авторизации аудита
-Изменение политики платформы фильтрации аудита
-Аудит изменений политики на уровне правил MPSSVC
-Аудит других изменений политики
Использование привилегий Проверяет использование определенных разрешений в одной или нескольких системах. Эта категория включает следующие подкатегории:
-Аудит использования привилегий, не относящихся к конфиденциальности
-Аудит использования конфиденциальных привилегий
-Аудит других событий использования привилегий
Система Аудит изменений на уровне системы компьютера, не включенных в другие категории, и которые имеют потенциальные последствия для безопасности. Эта категория включает следующие подкатегории:
-Аудит драйвера IPsec
-Аудит других системных событий
-Изменение состояния безопасности аудита
-Расширение системы безопасности аудита
-Аудит целостности системы

Идентификаторы событий для каждой категории

Безопасность доменных служб и аудит DNS записывают следующие идентификаторы событий, когда конкретное действие активирует событие аудита:

Имя категории событий Идентификаторы событий
Безопасность входа в учетную запись 4767, 4774, 4775, 4776, 4777
Безопасность управления учетными записями 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Безопасность отслеживания сведений Никакой
DNS-сервер 513-523, 525-531, 533-537, 540-582
Безопасность доступа к DS 5136, 5137, 5138, 5139, 5141
Безопасность входа в систему 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Безопасность доступа к объектам Никакой
Безопасность изменений политики 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Безопасность использования привилегий 4985
Безопасность системы 4612, 4621

Дальнейшие действия

Дополнительные сведения о Kusto см. в следующих статьях:

  • Обзор языка запросов Kusto.
  • Руководство по Kusto для ознакомления с основами запросов.
  • Примеры запросов , которые помогут вам узнать новые способы просмотра данных.
  • Рекомендации Kusto по оптимизации запросов для успешного выполнения.