敏感性作業報告活頁簿

  • 發行項

作為 IT 管理員,您需要能夠識別環境中存在的問題,以確保您可以將其維持在健全狀態。

敏感性作業報告活頁簿旨在協助識別可能表示您環境遭到入侵的可疑應用程式與服務主體活動。

本文提供 敏感性作業報告 活頁簿的概觀。

必要條件

若要使用適用於 Microsoft Entra ID 的 Azure 活頁簿,您需要:

  • 具有 Premium P1 授權的 Microsoft Entra 租用戶
  • Log Analytics 工作區 對該工作區的存取權
  • 適用於 Azure 監視器 Microsoft Entra ID 的適當角色

Log Analytics 工作區

您必須先建立Log Analytics工作區,才能使用 Microsoft Entra Workbooks。 有數個因素決定對 Log Analytics 工作區的存取。 您需要工作區的正確角色 ,以及 傳送資料的資源。

如需詳細資訊,請參閱管理 Log Analytics 工作區的存取權

Azure 監視器角色

Azure 監視器提供 兩個內建角色 檢視監視資料和編輯監視設定。 Azure 角色型存取控制 (RBAC) 也提供兩個授與類似存取權的 Log Analytics 內建角色。

  • 檢視

    • 監視讀取器
    • Log Analytics 讀者

  • 檢視和修改設定

    • 監視參與者
    • Log Analytics 參與者

Microsoft Entra 角色

唯讀存取權可讓您檢視活頁簿內的 Microsoft Entra ID 記錄資料、從 Log Analytics 查詢資料,或在 Microsoft Entra 系統管理中心讀取記錄。 更新存取權可新增建立和編輯診斷設定,以便將Microsoft Entra 資料傳送至 Log Analytics 工作區。

  • 讀取

    • 報告讀取者
    • 安全性讀取者
    • 全域讀取者

  • 更新:

    • 安全性系統管理員

如需 Microsoft Entra 內建角色的詳細資訊,請參閱 Microsoft Entra 內建角色

如需 Log Analytics RBAC 角色的詳細資訊,請參閱 Azure 內建角色

描述

活頁簿類別

此活頁簿會識別最近在租用戶中執行的敏感性作業,其可能會對服務主體造成損害。

如果您的組織第一次使用 Azure 監視器活頁簿,您必須在存取活頁簿之前,先整合 Microsoft Entra 登入和稽核記錄與 Azure 監視器。 此整合可讓您可以使用活頁簿儲存、查詢和視覺化記錄長達兩年。 只有在 Azure 監視器整合之後建立的登入和稽核事件會被儲存,因此活頁簿不會包含該日期之前的深入解析。 深入瞭解適用於 Microsoft Entra ID 的 Azure 監視器活頁簿的必要條件。 如果您先前已將 Microsoft Entra 登入和稽核記錄與 Azure 監視器整合,您可以使用活頁簿來評估過去的資訊。

如何存取活頁簿

  1. 使用適當的角色組合,登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[監視和健康狀況]>[活頁簿]

  3. [疑難排解答] 區段中,選取 [敏感性作業報告] 活頁簿。

區段

此活頁簿分割成四個區段:

活頁簿區段

  • 已修改的應用程式和服務主體認證/驗證方法 - 此報告標記最近已變更許多服務主體認證的執行者,以及每種類型的服務主體認證中已變更的數目。

  • 授與服務主體的新權限 - 此活頁簿也強調最近授與服務主體的 OAuth 2.0 權限。

  • 服務主體的目錄角色和群組成員資格更新

  • 已修改的同盟設定 - 此報告強調使用者或應用程式何時修改網域上的同盟設定。 例如,它會報告何時將新的 Active Directory 同盟服務 (ADFS) TrustedRealm 物件 (如簽署憑證) 新增至網域。 對網域同盟設定的修改應該很罕見。

已修改的應用程式和服務主體認證/驗證方法

攻擊者在環境中取得持續性最常見的方式之一是向現有應用程式和服務主體新增新認證。 認證可讓攻擊者作為目標應用程式或服務主體進行驗證,並授與他們對其具有權限的所有資源的存取權。

本節包含下列資料,可協助您進行偵測:

  • 新增至應用程式和服務主體的所有新認證,包括認證類型

  • 最佳執行者和他們執行的認證修改數目

  • 所有認證變更的時間表

授與服務主體的新權限

如果攻擊者無法找到具有高特殊權限集的服務主體或應用程式來獲得存取權,他們通常會嘗試將權限新增到另一個服務主體或應用程式。

本節包含 AppOnly 權限授與現有服務主體的明細。 系統管理員應該調查授與過度權限的任何實例,包括但不限於 Exchange Online 和 Microsoft Graph。

服務主體的目錄角色和群組成員資格更新

遵循攻擊者向現有服務主體和應用程式新增新權限的邏輯,另一種方法是將它們新增到現有目錄角色或群組。

本節包含對服務主體成員資格所做之所有變更的概觀,並且應針對高特殊權限角色和群組的任何新增進行檢閱。

已修改的同盟設定

在環境中獲得長期立足點的另一種常見方法是:

  • 修改租用戶的同盟網域信任。
  • 新增由攻擊者控制的其他 SAML IDP 作為受信任的驗證來源。

本節包括下列資料:

  • 對現有網域同盟信任執行的變更

  • 全新網域和信任的新增

篩選

本段會列出每個區段支援的篩選條件。

已修改的應用程式和服務主體認證/驗證方法

  • 時間範圍
  • 作業名稱
  • 認證
  • 演員
  • 排除執行者

授與服務主體的新權限

  • 時間範圍
  • 用戶端應用程式
  • 資源

服務主體的目錄角色和群組成員資格更新

  • 時間範圍
  • 作業
  • 正在起始使用者或應用程式

已修改的同盟設定

  • 時間範圍
  • 作業
  • 正在起始使用者或應用程式

最佳作法

    • 使用修改過的應用程式和服務主體登入資訊** 來尋找要新增至組織中不常使用之服務主體的登入資訊。 使用本節中的篩選條件進一步調查任何遭到修改的可疑執行者或服務主體。

  • 使用授與服務主體的新權限 尋找可能遭到入侵的動作者新增至服務主體的廣泛或過度權限。

  • 使用修改的同盟設定 區段來確認新增或修改的目標網域/URL 是合法的系統管理員行為。 修改或新增網域同盟信任的動作很罕見,應將其視為高精確度,以便盡快進行調查。