povolit audity zabezpečení pro Azure Active Directory Domain Services

Azure Active Directory Audity zabezpečení služby Domain Services (Azure služba AD DS) umožňují na cílené prostředky události zabezpečení Azure Stream. mezi tyto prostředky patří Azure Storage, pracovní prostory azure Log Analytics nebo centrum událostí azure. Po povolení událostí auditu zabezpečení pošle Azure služba AD DS všechny auditované události pro vybranou kategorii do cílového prostředku.

Události můžete archivovat do služby Azure Storage a streamovat události do softwaru SIEM (Security Information and Event Management) (nebo ekvivalentní) pomocí Azure Event Hubs nebo vlastní analýzy a používat pracovní prostory Azure Log Analytics z Azure Portal.

Cíle auditu zabezpečení

jako cílový prostředek pro audity zabezpečení azure služba AD DS můžete použít Azure Storage, azure Event Hubs nebo azure Log Analytics pracovní prostory. Tyto cíle lze kombinovat. můžete například použít Azure Storage pro archivaci událostí auditu zabezpečení, ale pracovní prostor Azure Log Analytics k analýze a hlášení informací v krátkém období.

Následující tabulka obsahuje přehled scénářů pro každý typ cílového prostředku.

Povolit události auditu zabezpečení pomocí Azure Portal

Pokud chcete povolit události auditu zabezpečení Azure služba AD DS pomocí Azure Portal, proveďte následující kroky.

1. Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.

2. V horní části Azure Portal vyhledejte a vyberte Azure AD Domain Services. Vyberte spravovanou doménu, například aaddscontoso.com.

3. V okně Azure služba AD DS vyberte nastavení diagnostiky na levé straně.

4. Ve výchozím nastavení nejsou nakonfigurované žádné diagnostiky. Začněte tím, že vyberete Přidat nastavení diagnostiky.

   

5. Zadejte název konfigurace diagnostiky, jako je například aadds-audit.

   Zaškrtněte políčko pro cíl auditu zabezpečení, který chcete. můžete si vybrat z účtu Azure Storage, centra událostí Azure nebo pracovního prostoru Log Analytics. Tyto cílové prostředky už musí existovat ve vašem předplatném Azure. V tomto průvodci nemůžete vytvořit cílové prostředky.

   

   • Úložiště Azure
     • Vyberte možnost archivovat do účtu úložiště a pak zvolte Konfigurovat.
     • vyberte předplatné a účet Storage , který chcete použít k archivaci událostí auditu zabezpečení.
     • Až budete připraveni, klikněte na tlačítko OK.
   • Centra událostí Azure
     • Vyberte Stream do centra událostí a pak zvolte Konfigurovat.
     • Vyberte předplatné a obor názvů centra událostí. V případě potřeby také zvolte název centra událostí a název zásady centra událostí.
     • Až budete připraveni, klikněte na tlačítko OK.
   • Analytické pracovní prostory pro Azure log
     • Vyberte odeslat Log Analytics a pak zvolte pracovní prostor odběr a Log Analytics , který chcete použít k ukládání událostí auditu zabezpečení.

6. Vyberte kategorie protokolů, které chcete zahrnout do konkrétního cílového prostředku. pokud odešlete události auditu na účet Azure Storage, můžete také nakonfigurovat zásady uchovávání informací, které definují počet dní uchovávání dat. Výchozí nastavení 0 zachovává všechna data a po uplynutí určité doby neotáčí události.

   V rámci jedné konfigurace můžete pro každý cílový prostředek vybrat různé kategorie protokolů. Díky této možnosti si můžete vybrat, které kategorie protokolů chcete zachovat Log Analytics a které protokoly mají být zachovány, například.

7. Až budete hotovi, vyberte Uložit a potvrďte provedené změny. Prostředky cíle začnou přijímat události auditu služby Azure služba AD DS Security brzy po uložení konfigurace.

Povolit události auditu zabezpečení pomocí Azure PowerShell

pokud chcete povolit události auditu zabezpečení Azure služba AD DS pomocí Azure PowerShell, proveďte následující kroky. v případě potřeby nejdřív nainstalujte modul Azure PowerShell a připojte se k předplatnému Azure.

1. k ověření předplatného Azure použijte rutinu Připojení-AzAccount . Po zobrazení výzvy zadejte své přihlašovací údaje k účtu.

   Connect-AzAccount
   

2. Vytvořte cílový prostředek pro události auditu zabezpečení.

   • Úložiště Azure - Vytvoření účtu úložiště pomocí Azure PowerShell

   • Centra - událostí Azure Vytvořte centrum událostí pomocí Azure PowerShell. K vytvoření autorizačního pravidla, které uděluje službě Azure služba AD DS oprávnění k oboru názvů centra událostí, možná budete muset použít rutinu New-AzEventHubAuthorizationRule . Autorizační pravidlo musí zahrnovat práva Spravovat, naslouchat a odesílat .

     Důležité

     Ujistěte se, že jste nastavili autorizační pravidlo v oboru názvů centra událostí a ne na samotném centru událostí.

   • Analytické pracovní prostory - pro Azure log Vytvoří Log Analytics pracovní prostor s Azure PowerShell.

3. Pomocí rutiny Get-AzResource Získejte ID prostředku pro spravovanou doménu Azure služba AD DS. Vytvořte proměnnou s názvem $aadds. ResourceId pro uchování hodnoty:

   $aadds = Get-AzResource -name aaddsDomainName
   

4. Nakonfigurujte nastavení diagnostiky Azure pomocí rutiny set-AzDiagnosticSetting pro použití cílového prostředku pro Azure AD Domain Services události auditu zabezpečení. V následujících příkladech proměnná $aadds. ResourceId se používá z předchozího kroku.

   • Azure Storage – nahraďte storageAccountId názvem vašeho účtu úložiště:

     Set-AzDiagnosticSetting `
         -ResourceId $aadds.ResourceId `
         -StorageAccountId storageAccountId `
         -Enabled $true
     

   • Centra událostí Azure – nahraďte eventHubName názvem vašeho centra událostí a eventHubRuleId s ID autorizačního pravidla:

     Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId `
         -EventHubName eventHubName `
         -EventHubAuthorizationRuleId eventHubRuleId `
         -Enabled $true
     

   • Analytické pracovní prostory Azure log – nahraďte ID pracovního prostoru číslem ID pracovního prostoru Log Analytics:

     Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId `
         -WorkspaceID workspaceId `
         -Enabled $true
     

Dotazování a zobrazení událostí auditu zabezpečení pomocí Azure Monitor

V protokolu analytické pracovní prostory můžete zobrazit a analyzovat události auditu zabezpečení pomocí Azure Monitor a jazyka dotazů Kusto. Tento dotazovací jazyk je navržený pro použití jen pro čtení, které Boasts možnosti analytického analytika se snadno čitelným syntaxí. Další informace o tom, jak začít používat jazyky dotazů Kusto, najdete v následujících článcích:

• Dokumentace k Azure Monitor
• Začínáme s Log Analytics v Azure Monitor
• Začínáme s dotazy protokolů v Azure Monitoru
• Vytváření a sdílení řídicích panelů s daty Log Analytics

Pomocí následujících ukázkových dotazů můžete začít s analýzou událostí auditu zabezpečení z Azure služba AD DS.

Vzorový dotaz 1

Zobrazit všechny události uzamčení účtu za posledních sedm dní:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Vzorový dotaz 2

Zobrazit všechny události uzamčení účtu (4740) od 3. června 2020 v 9:00 a od 10. června 2020, seřazené vzestupně podle data a času:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc

Vzorový dotaz 3

Zobrazit události přihlášení k účtu před 7 dny (od teď) pro účet s názvem uživatel:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Vzorový dotaz 4

Zobrazit události přihlášení k účtu před 7 dny pro účet s názvem uživatel, který se pokusil o přihlášení pomocí špatného hesla (0xC0000006a):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Vzorový dotaz 5

Zobrazit události přihlášení k účtu pro účet s názvem uživatel, který se pokusil o přihlášení v době, kdy byl účet uzamčen (0xC0000234):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Vzorový dotaz 6

Zobrazit počet událostí přihlášení k účtu před 7 dny od teď u všech pokusů o přihlášení, ke kterým došlo u všech zamčených uživatelů:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()

Kategorie událostí auditu

Audity zabezpečení Azure služba AD DS odpovídají tradičnímu auditu pro tradiční služba AD DS řadiče domény. V hybridních prostředích můžete znovu použít stávající vzorce auditu, aby se při analýze událostí mohla použít stejná logika. V závislosti na scénáři, který potřebujete k řešení potíží nebo k analýze, je třeba cílit na jiné kategorie událostí auditu.

K dispozici jsou následující kategorie událostí auditu:

ID událostí na kategorii

Audity zabezpečení Azure služba AD DS zaznamenávají následující ID událostí, když konkrétní akce aktivuje událost s možností auditu:

Další kroky

Konkrétní informace o Kusto najdete v následujících článcích:

• Přehled dotazovacího jazyka Kusto
• Kurz k Kusto , ve kterém se seznámíte se základy dotazů.
• Ukázkové dotazy , které vám pomůžou naučit nové možnosti zobrazení dat.
• Kusto osvědčené postupy k optimalizaci vašich dotazů pro úspěch.