啟用 Microsoft Entra Domain Services 的安全性和 DNS 稽核
Microsoft Entra Domain Services 安全性和 DNS 稽核可讓 Azure 將事件串流至目標資源。 此類資源包括 Azure 儲存體、Azure Log Analytics 工作區或 Azure 事件中樞。 啟用安全性稽核事件之後,Domain Services 會將所選類別的所有稽核事件傳送至指定資源。
您可以將事件封存到 Azure 儲存體中,並將事件使用 Azure 事件中樞串流至安全性資訊與事件管理 (SIEM) 軟體 (或對等軟體),或從 Microsoft Entra 系統管理中心使用 Azure Log Analytics 工作區自行執行分析。
安全性稽核之目的地
您可以使用 Azure 儲存體、Azure 事件中樞或 Azure Log Analytics 工作區作為 Domain Services 安全性稽核的目標資源。 此類目的地可予以合併。 例如,您可以使用 Azure 儲存體來封存安全性稽核事件,但 Azure Log Analytics 工作區可在短期內分析和報告該資訊。
下表概述每個目的地資源類型的情節。
重要事項
您必須先建立目標資源,才能啟用 Domain Services 安全性稽核。 您可以使用 Microsoft Entra 系統管理中心、Azure PowerShell 或 Azure CLI 來建立這些資源。
| 目標資源 | 案例 |
|---|---|
| Azure 儲存體 | 當您的主要需求為儲存安全性稽核事件以進行封存時,您應該使用此目標。 其他目標可用於封存用途,然而,這些目標提供的功能遠超過封存的主要需求。 啟用 Domain Services 安全性稽核事件之前,請先建立 Azure 儲存體帳戶。 |
| Azure 事件中樞 | 如您的主要需求是與其他軟體 (例如資料分析軟體或安全性資訊和事件管理 SIEM 軟體) 分享安全性稽核事件,您應該使用此目標。 啟用 Domain Services 安全性稽核事件之前,使用 Microsoft Entra 系統管理中心建立事件中樞 |
| Azure Log Analytics 工作區 | 如您的主要需求是直接從 Microsoft Entra 系統管理中心分析及檢閱安全稽核,應該使用此目標。 啟用 Domain Services 安全性稽核事件之前,在 Microsoft Entra 系統管理中心建立 Log Analytics 工作區。 |
使用 Microsoft Entra 系統管理中心啟用安全性稽核活動
若要使用 Microsoft Entra 系統管理中心啟用 Domain Services 安全性稽核事件,請完成下列步驟。
重要事項
Domain Services 安全性稽核不具有回溯功能。 您無法擷取或重新執行過去的事件。 Domain Services 只能傳送將安全性稽核啟用後發生的事件。
-
以全域管理員的身分登入 Microsoft Entra 系統管理中心。
搜尋並選取 [Microsoft Entra Domain Services]。 選擇您的受控網域,例如 aaddscontoso.com。
在 [Domain Services] 視窗中,選取左側的 [診斷設定]。
系統未預設為具有診斷設定。 若要開始使用,請選取 [新增診斷設定]。
輸入診斷設定的名稱,例如:aadds-auditing。
請選取您想要使用的安全性或 DNS 稽核目的地核取方塊。 您可以從 Log Analytics 工作區、Azure 儲存體帳戶、Azure 事件中樞或合作夥伴解決方案中選擇。 這些目的地資源必須已存在於您的 Azure 訂用帳戶中。 您無法在此精靈中建立該目的地資源。
- Azure Log Analytics 工作區
- 選取 [傳送至 Log Analytics],然後選擇您要用來儲存稽核事件的 [訂用帳戶]和 [Log Analytics 工作區]。
- Azure 儲存體
- 選取 [封存至儲存體帳戶],然後選擇 [設定]。
- 選取您要用來封存稽核事件的 [訂用帳戶]和 [儲存體帳戶]。
- 當您準備就緒時,請選擇 [確定]。
- Azure 事件中樞
- 選取 [串流至事件中樞],然後選擇 [設定]。
- 選取 [訂用帳戶]和 [事件中樞命名空間]。 如有需要,也請選擇 [事件中樞名稱],然後選擇 [事件中樞原則名稱]。
- 當您準備就緒時,請選擇 [確定]。
- 合作夥伴解決方案
- 選取 [傳送至合作夥伴解決方案],然後選擇您想要用來儲存稽核事件的訂用帳戶和目的地。
- Azure Log Analytics 工作區
選取您想要特定目標資源包含的記錄類別。 若您將稽核事件傳送至 Azure 儲存體帳戶,您也可以設定保留原則來定義保留資料的天數。 預設設定為 0 時,將會保留所有資料,且不會在一段時間後旋轉事件。
您可以在單一設定內為每個指定資源選取不同的記錄類別。 此功能可讓您為 Log Analytics 選擇要保留的記錄類別,以您想要封存的記錄類別為例。
完成後,請選取 [儲存] 來認可您的變更。 目標資源會在設定被儲存之後,立即開始接收來自 Domain Services 稽核事件。
使用 Azure PowerShell 來啟用安全性和 DNS 稽核事件
若要使用 Azure PowerShell 來啟用 Domain Services 和 DNS 安全性稽核事件,請完成下列步驟。 請依需要遵循指示,首先安裝 Azure PowerShell 模組並連線至您的 Azure 訂用帳戶。
重要事項
Domain Services 稽核不具有回溯功能。 您無法擷取或重新執行過去的事件。 Domain Services 只能傳送將稽核啟用後發生的事件。
使用 Connect-AzAccount Cmdlet 對您的 Azure 訂用帳戶進行驗證。 當提示出現時,請輸入您的帳戶認證。
Connect-AzAccount建立適用於稽核事件的目標資源。
Azure Log Analytic 工作區 - 使用 Azure PowerShell來建立 Log Analytics 工作區。
Azure 儲存體 - 會使用 Azure PowerShell 來建立儲存體帳戶
Azure 事件中樞 - 會使用 Azure PowerShell 來建立事件中樞。 您可能也需要使用 New-AzEventHubAuthorizationRule Cmdlet 來建立授權規則,其會將事件中樞命名空間的存取權限授與給 Domain Services。 授權規則必須包括進行管理、接聽傳送的許可權。
重要事項
請確定您在事件中樞命名空間上設定授權規則,而不是在事件中樞上進行設定。
使用 Get-AzResource Cmdlet 取得您 Domain Services 受控網域的資源識別碼。 請建立名為 $aadds.ResourceId 的變數來保存值:
$aadds = Get-AzResource -name aaddsDomainName使用 Set-AzDiagnosticSetting Cmdlet 來設定 Azure 診斷設定,以使用 Microsoft Entra Domain Services 稽核事件的目標資源。 在下列範例中,將會使用來自上一個步驟的 $aadds.ResourceId 變數。
Azure 儲存體 – 以您的儲存體帳戶名稱取代 storageAccountId:
Set-AzDiagnosticSetting ` -ResourceId $aadds.ResourceId ` -StorageAccountId storageAccountId ` -Enabled $trueAzure 事件中樞 – 以您事件中樞的名稱取代 eventHubName,並以您的授權規則識別碼取代 eventHubRuleId:
Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId ` -EventHubName eventHubName ` -EventHubAuthorizationRuleId eventHubRuleId ` -Enabled $trueAzure Log Analytic 工作區 – 以 Log Analytics 工作區的識別碼取代 workspaceId:
Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId ` -WorkspaceID workspaceId ` -Enabled $true
使用 Azure 監視器查詢及檢視安全性和 DNS 稽核事件
Log Analytic 工作區可讓您使用 Azure 監視器和 Kusto 查詢語言來檢視及分析安全性和 DNS 稽核事件。 此查詢語言專為唯讀用途而設計,其具有強大的分析能力以及容易閱讀的語法。 如需如何開始使用 Kusto 查詢語言的詳細資訊,請參閱下列文章:
下列範例查詢可用於開始分析來自 Domain Services 的稽核事件。
範例查詢 1
檢視過去七天內所有發生的帳戶鎖定事件:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
範例查詢 2
檢視 2020 年 6 月 3 日上午 9 點到 2020 年 6 月 10 日午夜之間的所有帳戶鎖定事件 (4740),依日期和時間升序排序:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc
範例查詢 3
檢視名為「使用者」帳戶七天前 (從今日開始計算) 的帳戶登入事件:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
範例查詢 4
檢視從今日開始計算七天前嘗試使用錯誤密碼 (0xC0000006a) 登入,名為「使用者」帳戶的帳戶登入事件:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
範例查詢 5
檢視從今日開始計算七天前,名為「使用者」帳戶在帳戶被鎖定時嘗試登入 (0xC0000234) 的帳戶登入事件:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
範例查詢 6
檢視從今日開始計算七天前,針對所有鎖定使用者嘗試登入帳戶事件的總數目:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()
稽核安全性和 DNS 事件類別
Domain Services 安全性和 DNS 稽核與傳統 AD DS 網域控制站的傳統稽核為一致。 使用混合式環境時,您可以重複使用現有的稽核模式,以便在分析事件時使用同樣的邏輯。 視您需要進行疑難排解或分析的案例而定,必須指定不同的稽核事件類別。
下列稽核事件類別可供使用:
| 稽核類別名稱 | 描述 |
|---|---|
| 帳戶登入 | 稽核會嘗試在網域控制站或本機安全性帳戶管理器 (SAM) 上驗證帳戶資料。 -登入和登出原則設定和事件會追蹤試圖存取特定電腦的嘗試事件。 此類別中的設定和事件著重於所使用的帳戶資料庫。 此類別包括以下子類別: -稽核認證驗證 -稽核 Kerberos 驗證服務 -稽核 Kerberos 服務票證作業 -稽核其他登入/登出事件 |
| 帳戶管理 | 稽核對於使用者、電腦帳戶及群組的變更。 此類別包括以下子類別: -稽核應用程式群組管理 -稽核電腦帳戶管理 -稽核通訊群組管理 -稽核其他帳戶管理 -稽核安全性群組管理 -稽核使用者帳戶管理 |
| DNS 伺服器 | 稽核 DNS 環境的變更。 此類別包括以下子類別: - DNSServerAuditsDynamicUpdates (預覽版) - DNSServerAuditsGeneral (預覽版) |
| 詳細事件追蹤 | 稽核該電腦上的個別應用程式以及使用者的活動,並了解電腦的使用方式。 此類別包括以下子類別: -稽核 DPAPI 活動 -稽核 PNP 活動 -稽核程序建立 -稽核程序終止 -稽核 RPC 事件 |
| 目錄服務存取 | 稽核嘗試在 Active Directory Domain Services (AD DS) 中存取和修改物件。 此類稽核事件只會記錄在網域控制站上。 此類別包括以下子類別: -稽核詳細目錄服務複寫 -稽核目錄服務存取 -稽核目錄服務變更 -稽核目錄服務複寫 |
| 登入/登出 | 稽核嘗試以互動方式或經由網路登入電腦。 這些事件適用於追蹤使用者活動,以及識別網路資源的潛在攻擊風險。 此類別包括以下子類別: -稽核帳戶鎖定 -稽核使用者/裝置宣告 -稽核 IPsec 擴充模式 -稽核群組成員資格 -稽核 IPsec 主要模式 -稽核 IPsec 快速模式 -稽核登出 -稽核登入 -稽核網路原則伺服器 -稽核其他登入/登出事件 -稽核特殊登入 |
| 物件存取 | 稽核嘗試存取網路或電腦上的特定物件或特定物件類型。 此類別包括以下子類別: -稽核應用程式所產生 -稽核認證服務 -稽核詳細檔案共用 -稽核檔案共享 -稽核檔案系統 -稽核篩選平台連線 -稽核篩選平台封包卸除 -稽核控制代碼操作 -稽核核心物件 -稽核其他物件存取事件 -稽核登錄 -稽核抽取式存放裝置 -稽核 SAM -稽核集中存取原則檢閱及測試 |
| 原則變更 | 稽核本機系統或網路上重要安全性原則的變更。 管理員通常負責建立原則來協助保護網路資源。 監視變更或嘗試變更這些原則的活動為網路安全性管理的重要層面。 此類別包括以下子類別: -稽核原則變更 -稽核驗證原則變更 -稽核授權原則變更 -稽核篩選平台原則變更 -稽核 MPSSVC 規則層級原則變更 -稽核其他原則變更 |
| 權限使用 | 稽核單一或多個系統上使用權限的使用。 此類別包括以下子類別: -稽核非敏感性權限使用 -稽核機密特殊權限使用 (英文) -稽核其他權限使用事件 |
| 系統 | 稽核對於電腦的系統層級變更,其未包含在其他類別中,且具有潛在安全隱患。 此類別包括以下子類別: -稽核 IPsec 驅動程式 -稽核其他系統事件 -稽核安全性狀態變更 -稽核安全性系統延伸項目 -稽核系統完整性 |
各個類別的事件識別碼
當特定動作觸發可稽核事件時,Domain Services 安全性和 DNS 稽核會記錄下列事件識別碼:
| 事件類別目錄名稱 | 事件識別碼 |
|---|---|
| 帳戶登入安全性 | 4767、4774、4775、4776、4777 |
| 帳戶管理安全性 | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| 詳細事件追蹤安全性 | 無 |
| DNS 伺服器 | 513-523, 525-531, 533-537, 540-582 |
| DS 存取安全性 | 5136、5137、5138、5139、5141 |
| 登入/登出安全性 | 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964 |
| 物件存取安全性 | 無 |
| 原則變更安全性 | 4670、4703、4704、4705、4706、4707、4713、4715、4716、4717、4718、4719、4739、4864、4865、4866、4867、4904、4906、4911、4912 |
| 權限使用安全性 | 4985 |
| 系統安全性 | 4612、4621 |
後續步驟
如需 Kusto 的詳細資訊,請參閱下列文章:
- Kusto 查詢語言概觀
- Kusto 教學課程,幫助您熟悉查詢基本概念。
- 可協助您了解以新方式檢視資料的範例查詢。
- Kusto 最佳做法,最佳化您的查詢以達成目標。