Hassas işlemler raporu çalışma kitabı

Hassas işlemler raporu çalışma kitabı, ortamınızdaki risklere işaret eden şüpheli uygulama ve hizmet sorumlusu etkinliğini tanımlamaya yardımcı olmak için tasarlanmıştır.

Bu makalede, Hassas İşlemler Raporu çalışma kitabına genel bir bakış sağlanır.

Önkoşullar

Microsoft Entra Id için Azure Çalışma Kitapları'nı kullanmak için şunları yapmanız gerekir:

  • Premium P1 lisansına sahip bir Microsoft Entra kiracısı
  • Log Analytics çalışma alanı ve bu çalışma alanına erişim
  • Azure İzleyici ve Microsoft Entra Id için uygun roller

Log Analytics çalışma alanı

Microsoft Entra Workbooks'u kullanabilmek için bir Log Analytics çalışma alanı oluşturmanız gerekir. Log Analytics çalışma alanlarına erişimi birkaç faktör belirler. Çalışma alanı ve verileri gönderen kaynaklar için doğru rollere ihtiyacınız vardır.

Daha fazla bilgi için bkz . Log Analytics çalışma alanlarına erişimi yönetme.

Azure İzleyici rolleri

Azure İzleyici, izleme verilerini görüntülemek ve izleme ayarlarını düzenlemek için iki yerleşik rol sağlar. Azure rol tabanlı erişim denetimi (RBAC), benzer erişim sağlayan iki Log Analytics yerleşik rolü de sağlar.

  • Görünüm:

    • İzleme Okuyucusu
    • Log Analytics Okuyucusu
  • Ayarları görüntüleme ve değiştirme:

    • İzleme Katkıda Bulunanı
    • Log Analytics Katkıda Bulunan

Microsoft Entra rolleri

Salt okunur erişim, Microsoft Entra Id günlük verilerini bir çalışma kitabı içinde görüntülemenize, Log Analytics'ten veri sorgulamanıza veya Microsoft Entra yönetim merkezinde günlükleri okumanıza olanak tanır. Güncelleştirme erişimi, Microsoft Entra verilerini Log Analytics çalışma alanına göndermek için tanılama ayarları oluşturma ve düzenleme özelliği ekler.

  • Okuma:

    • Rapor Okuyucusu
    • Güvenlik Okuyucusu
    • Genel Okuyucu
  • Güncelleştirme:

    • Güvenlik Yöneticisi

Microsoft Entra yerleşik rolleri hakkında daha fazla bilgi için bkz . Microsoft Entra yerleşik rolleri.

Log Analytics RBAC rolleri hakkında daha fazla bilgi için bkz . Azure yerleşik rolleri.

Açıklama

Çalışma kitabı kategorisi

Bu çalışma kitabı, kiracınızda gerçekleştirilen son hassas işlemleri tanımlar.

Kuruluşunuz Azure İzleyici çalışma kitaplarında yeniyse, çalışma kitabına erişmeden önce Microsoft Entra oturum açma ve denetim günlüklerinizi Azure İzleyici ile tümleştirmeniz gerekir. Bu tümleştirme, çalışma kitaplarını kullanarak günlüklerinizi iki yıla kadar depolamanıza, sorgulamanıza ve görselleştirmenize olanak tanır. Yalnızca Azure İzleyici tümleştirmesi sonrasında oluşturulan oturum açma ve denetim olayları depolanır, bu nedenle çalışma kitabı bu tarihten önce içgörüler içermez. Daha fazla bilgi için bkz . Microsoft Entra günlüklerini Azure İzleyici ile tümleştirme.

Çalışma kitabına erişme

  1. Uygun rol bileşimini kullanarak Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik>İzleme ve sistem durumu>Çalışma Kitapları'na göz atın.

  3. Sorun Giderme bölümünden Hassas İşlemler Raporu çalışma kitabını seçin.

Bölümler

Bu çalışma kitabı dört bölüme ayrılmıştır:

Çalışma kitabı bölümlerinin ekran görüntüsü.

  • Değiştirilen uygulama ve hizmet sorumlusu kimlik bilgileri/kimlik doğrulama yöntemleri - Bu rapor, son zamanlarda birçok hizmet sorumlusu kimlik bilgilerini değiştiren aktörleri ve her hizmet sorumlusu kimlik bilgisi türünün kaçını değiştirdiğini işaret eder.

  • Hizmet sorumlularına verilen yeni izinler - Bu çalışma kitabı, hizmet sorumluları için kısa süre önce verilen OAuth 2.0 izinlerini de vurgular.

  • Hizmet sorumluları için dizin rolü ve grup üyeliği güncelleştirmeleri

  • Değiştirilen federasyon ayarları - Bu rapor, bir kullanıcı veya uygulama bir etki alanındaki federasyon ayarlarını değiştirdiğinde vurgulanır. Örneğin, etki alanına imzalama sertifikası gibi yeni bir Active Directory Federasyon Hizmeti (ADFS) TrustedRealm nesnesi eklendiğinde bildirir. Etki alanı federasyon ayarlarında değişiklik nadir olmalıdır.

Değiştirilen uygulama ve hizmet sorumlusu kimlik bilgileri/kimlik doğrulama yöntemleri

Saldırganların ortamda erişim elde etmelerinin en yaygın yollarından biri, mevcut uygulamalara ve hizmet sorumlularına yeni kimlik bilgileri eklemektir. Kimlik bilgileri, saldırganın hedef uygulama veya hizmet sorumlusu olarak kimlik doğrulaması yaparak izinlere sahip olduğu tüm kaynaklara erişim izni vermesine olanak tanır.

Bu bölüm, algılamanıza yardımcı olmak için aşağıdaki verileri içerir:

  • Kimlik bilgisi türü dahil olmak üzere uygulamalara ve hizmet sorumlularına eklenen tüm yeni kimlik bilgileri

  • En önemli aktörler ve gerçekleştirdikleri kimlik bilgileri değişikliği sayısı

  • Tüm kimlik bilgisi değişiklikleri için zaman çizelgesi

Hizmet sorumlularına verilen yeni izinler

Saldırganlar genellikle erişim kazanmak için yüksek ayrıcalık kümesine sahip bir hizmet sorumlusu veya uygulama bulamazsa başka bir hizmet sorumlusuna veya uygulamaya izin eklemeye çalışır.

Bu bölüm, mevcut hizmet sorumlularına AppOnly izinlerinin bir dökümünü içerir. Yöneticiler, Exchange Online ve Microsoft Graph dahil ancak bunlarla sınırlı olmamak üzere verilen aşırı yüksek izin örneklerini araştırmalıdır.

Hizmet sorumluları için dizin rolü ve grup üyeliği güncelleştirmeleri

Saldırganın mevcut hizmet sorumlularına ve uygulamalarına yeni izinler ekleme mantığını takip eden başka bir yaklaşım da bunları mevcut dizin rollerine veya gruplarına eklemektir.

Bu bölüm, hizmet sorumlusu üyeliklerinde yapılan tüm değişikliklere genel bir bakış içerir ve yüksek ayrıcalıklı rollere ve gruplara yapılan eklemeler için gözden geçirilmelidir.

Değiştirilen federasyon ayarları

Ortamda uzun vadeli bir dayanak elde etmek için bir diğer yaygın yaklaşım:

  • Kiracının federasyon etki alanı güvenlerini değiştirin.
  • Saldırganın denetlediği başka bir SAML IDP'sini güvenilen kimlik doğrulama kaynağı olarak ekleyin.

Bu bölüm aşağıdaki verileri içerir:

  • Mevcut etki alanı federasyon güvenlerinde gerçekleştirilen değişiklikler

  • Yeni etki alanlarının ve güvenlerin eklenmesi

Filtreler

Bu paragraf, her bölüm için desteklenen filtreleri listeler.

Değiştirilen Uygulama ve Hizmet Sorumlusu Kimlik Bilgileri/Kimlik Doğrulama Yöntemleri

  • Zaman aralığı
  • Operasyon adı
  • Referans
  • Actor (Oyuncu)
  • Aktörü dışla

Hizmet sorumlularına verilen yeni izinler

  • Zaman aralığı
  • İstemci uygulaması
  • Kaynak

Hizmet sorumlularına dizin rolü ve grup üyeliği güncelleştirmeleri

  • Zaman aralığı
  • İşlem
  • Kullanıcı veya uygulama başlatma

Değiştirilen federasyon ayarları

  • Zaman aralığı
  • İşlem
  • Kullanıcı veya uygulama başlatma

En iyi yöntemler

  • Kuruluşunuzda sık kullanılmayan hizmet sorumlularına eklenen kimlik bilgilerine dikkat etmek için değiştirilmiş uygulama ve hizmet sorumlusu kimlik bilgilerini kullanın. Değiştirilen şüpheli aktörleri veya hizmet sorumlularını daha fazla araştırmak için bu bölümde bulunan filtreleri kullanın.

  • Risk altında olabilecek aktörler tarafından hizmet sorumlularına eklenen geniş veya aşırı izinlere dikkat etmek için hizmet sorumlularına verilen yeni izinleri kullanın.

  • Eklenen veya değiştirilen hedef etki alanının/URL'nin meşru bir yönetici davranışı olduğunu onaylamak için değiştirilen federasyon ayarları bölümünü kullanın. Etki alanı federasyon güvenlerini değiştiren veya ekleyen eylemler nadirdir ve en kısa zamanda araştırılması için yüksek uygunluk olarak kabul edilmelidir.