Microsoft Entra-SecOps für Consumerkonten

Aktivitäten zum Schutz und zur Überwachung von Consumeridentitäten sind ein wichtiger Bereich für Ihre Organisation. Dieser Artikel gilt für Azure Active Directory B2C (Azure AD B2C)-Mandanten und enthält Anleitungen zum Überwachen von Aktivitäten auf Consumerkonten. Die Aktivitäten sind:

• Consumerkonto
• Privilegiertes Konto
• Application
• Infrastruktur

Voraussetzungen

Bevor Sie den Leitfaden in diesem Artikel anwenden, sollten den Leitfaden zu Microsoft Entra-SecOps lesen.

Definieren einer Baseline

Um anomales Verhalten zu entdecken, müssen Sie normales und erwartetes Verhalten definieren. Das Definieren des erwarteten Verhaltens für Ihre Organisation hilft Ihnen beim Entdecken des unerwarteten Verhaltens. Verwenden Sie die Definition, um False Positive-Ergebnisse während der Überwachung und Alarmierung zu reduzieren.

Nachdem das erwartete Verhalten definiert wurde, führen Sie eine Baselineüberwachung durch, um die Erwartungen zu überprüfen. Überwachen Sie dann Protokolle auf Ereignisse, die außerhalb der Toleranz liegen.

Verwenden Sie für Konten, die außerhalb normaler Prozesse erstellt wurden, die Microsoft Entra-Überwachungsprotokolle, Microsoft Entra-Anmeldeprotokolle und Verzeichnisattribute als Ihre Datenquellen. Die folgenden Vorschläge können Ihnen helfen, „normal“ zu definieren.

Erstellung von Consumerkonten

Werten Sie die folgende Liste aus:

• Strategie und Prinzipien für Tools und Prozesse zum Erstellen und Verwalten von Consumerkonten
  • Beispiel: Standardattribute und Formate, die auf Attribute von Consumerkonten angewendet werden
• Genehmigte Quellen für die Kontoerstellung.
  • Beispiel: Onboarding benutzerdefinierter Richtlinien, Kundenbereitstellung oder Migrationstool
• Benachrichtigungsstrategie für Konten, die außerhalb genehmigter Quellen erstellt wurden.
  • Erstellen Sie eine kontrollierten Liste der Organisationen, mit denen Ihre Organisation zusammenarbeitet
• Strategie und Benachrichtigungsparameter für Konten, die von einem Administrator für nicht genehmigte Consumerkonten erstellt, geändert oder deaktiviert wurden
• Überwachungs- und Benachrichtigungsstrategie für Consumerkonten, die keine Standardattribute wie beispielsweise Kundennummer aufweisen, oder nicht der Benennungskonventionen der Organisation folgen
• Strategie, Prinzipien und Prozess zum Löschen und Aufbewahren von Konten

Zu untersuchende Protokolle

Verwenden Sie Protokolldateien zur Untersuchung und Überwachung. Weitere Informationen finden Sie in den folgenden Artikeln:

• Überwachungsprotokolle in Microsoft Entra ID
• Anmeldeprotokolle in Microsoft Entra ID (Vorschau)
• Anleitung: Untersuchen eines Risikos

Überwachungsprotokolle und Automatisierungstools

Im Azure-Portal können Sie die Microsoft Entra-Überwachungsprotokolle anzeigen und als CSV-Datei (Comma Separated Value) oder JSON-Datei (JavaScript Object Notation) herunterladen. Verwenden Sie das Azure-Portal zur Integration von Microsoft Entra-Protokollen in andere Tools, um die Automatisierung von Überwachung und Benachrichtigungen zu ermöglichen:

• Microsoft Sentinel – Sicherheitsanalysen mit SIEM (Security Information & Event Management)-Funktionen
  • Was ist Microsoft Sentinel?
• Sigma-Regeln – ein offener Standard zum Schreiben von Regeln und Vorlagen, die von automatisierten Verwaltungstools zum Parsen von Protokolldateien verwendet werden können. Wenn Sigma-Vorlagen für unsere empfohlenen Suchkriterien vorhanden sind, haben wir einen Link zum Sigma-Repository hinzugefügt. Microsoft schreibt, testet oder verwaltet keine Sigma-Vorlagen. Das Repository und die Vorlagen werden von der IT-Sicherheitscommunity erstellt und gesammelt.
  • SigmaHR/sigma
• Azure Monitor: Automatisierte Überwachung verschiedener Bedingungen und entsprechende Warnungen. Erstellen oder Verwenden von Arbeitsmappen zum Kombinieren von Daten aus verschiedenen Quellen.
  • Azure Monitor – Übersicht
• Azure Event Hubs integriert mit einem SIEM-System: Integrieren von Microsoft Entra-Protokollen mit SIEM-Systemen wie beispielsweise Splunk, ArcSight, QRadar und Sumo Logic mit Azure Event Hubs
  • Azure Event Hubs – eine Big Data-Streamingplattform und ein Ereigniserfassungsdienst
  • Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure Event Hub
• Microsoft Defender for Cloud-Apps – entdecken und verwalten von Apps, app- und ressourcenübergreifende Steuerung und Konformität mit Vorschriften für Cloud-Apps
  • Übersicht über Microsoft Defender for Cloud Apps
• Identitätsschutz – erkennen von Risiken für Workloadidentitäten über das Anmeldeverhalten und Offlineindikatoren für eine Kompromittierung
  • Schützen von Workloadidentitäten mit Identity Protection

Verwenden Sie den Rest des Artikels für Empfehlungen was Sie überwachen und benachrichtigen sollten. Weitere Informationen finden Sie in den Tabellen, die nach Bedrohungsart organisiert sind. Siehe Links zu vorgefertigten Lösungen oder Beispielen im Anschluss an die Tabelle. Erstellen von Benachrichtigungen mithilfe der vorgängig erwähnten Tools.

Consumerkonten

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Subfilter	Notizen
Große Anzahl von Kontoerstellungen oder -löschungen	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Benutzer hinzufügen Status = Erfolg Initiiert von (Akteur) = CPIM-Dienst - und - Aktivität: Benutzer löschen Status = Erfolg Initiiert von (Akteur) = CPIM-Dienst	Definieren Sie einen Basisschwellenwert, und dann überwachen Sie ihn und passen ihn an die Verhaltensweisen Ihres Unternehmens an. Schränken Sie Fehlalarme ein.
Konten, die von nicht genehmigten Benutzern oder Prozessen erstellt und gelöscht wurden	Medium	Microsoft Entra-Überwachungsprotokolle	Von (Akteur) initiiert: BENUTZERPRINZIPALNAME - und - Aktivität: Benutzer hinzufügen Status = Erfolg Initiiert von (Akteur) != CPIM-Dienst und/oder Aktivität: Benutzer löschen Status = Erfolg Initiiert von (Akteur) != CPIM-Dienst	Konfigurieren Sie das Senden einer Warnung, wenn es sich bei den Akteuren um nicht genehmigte Benutzer handelt.
Konten, die einer privilegierten Rolle zugewiesen sind	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Benutzer hinzufügen Status = Erfolg Initiiert von (Akteur) == CPIM-Dienst - und - Aktivität: Mitglied zu Rolle hinzufügen Status = Erfolg	Wenn das Konto einer Microsoft Entra-Rolle, einer Azure-Rolle oder einer privilegierten Gruppe zugewiesen ist, geben Sie eine Warnung aus, und priorisieren Sie die Untersuchung.
Fehlgeschlagene Anmeldeversuche	Mittel, falls isolierter Vorfall Hoch, wenn zahlreiche Konten das gleiche Muster aufweisen	Microsoft Entra-Anmeldeprotokoll	Status = fehlgeschlagen - und - Anmeldefehlercode 50126: Fehler beim Überprüfen der Anmeldeinformationen aufgrund eines ungültigen Benutzernamens oder Kennworts. - und - Anwendung == „CPIM PowerShell Client“ - oder - Anwendung == „ProxyIdentityExperienceFramework“	Legen Sie einen Basisschwellenwert fest, den Sie dann überwachen und entsprechend dem Verhalten Ihres Unternehmens anpassen können, um zu verhindern, dass Fehlwarnungen generiert werden.
Intelligente Aussperrereignisse	Mittel, falls isolierter Vorfall Hoch, wenn zahlreiche Konten das gleiche Muster oder eine VIP aufweisen	Microsoft Entra-Anmeldeprotokoll	Status = fehlgeschlagen - und - Anmeldefehlercode = 50053: IdsLocked - und - Anwendung == „CPIM PowerShell Client“ - oder - Anwendung == „ProxyIdentityExperienceFramework“	Legen Sie einen Basisschwellenwert fest, und dann überwachen Sie ihn und passen ihn an die Verhaltensweisen Ihres Unternehmens an, um Fehlalarme zu vermeiden.
Fehlgeschlagene Authentifizierungen aus Ländern oder Regionen, in denen Sie nicht arbeiten	Medium	Microsoft Entra-Anmeldeprotokoll	Status = fehlgeschlagen - und - Standort = <Nicht genehmigter Standort> - und - Anwendung == „CPIM PowerShell Client“ - oder - Anwendung == „ProxyIdentityExperienceFramework“	Überwachen Sie Einträge, die nicht den angegebenen Stadtnamen entsprechen.
Vermehrte fehlgeschlagene Authentifizierungen jeglicher Art	Medium	Microsoft Entra-Anmeldeprotokoll	Status = fehlgeschlagen - und - Anwendung == „CPIM PowerShell Client“ - oder - Anwendung == „ProxyIdentityExperienceFramework“	Wenn Sie keinen Schwellenwert festgelegt haben, überwachen und benachrichtigen Sie, wenn Fehler um 10 % oder mehr zunehmen.
Konto für Anmeldungen deaktiviert/blockiert	Niedrig	Microsoft Entra-Anmeldeprotokoll	Status = Fehler - und - Fehlercode = 50057, Das Benutzerkonto ist deaktiviert.	Dieses Szenario könnte darauf hinweisen, dass jemand versucht, sich Zugriff auf ein Konto zu verschaffen, nachdem er die Organisation verlassen hat. Das Konto ist blockiert, aber es ist es wichtig, diese Aktivität zu protokollieren und zu benachrichtigen.
Messbarer Anstieg erfolgreicher Anmeldungen	Niedrig	Microsoft Entra-Anmeldeprotokoll	Status = Erfolg - und - Anwendung == „CPIM PowerShell Client“ - oder - Anwendung == „ProxyIdentityExperienceFramework“	Wenn Sie keinen Schwellenwert festgelegt haben, überwachen und benachrichtigen Sie, wenn erfolgreiche Authentifizierungen um 10 % oder mehr zunehmen.

Privilegierte Konten

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Subfilter	Notizen
Anmeldefehler, Schwellenwert für falsches Kennwort	Hoch	Microsoft Entra-Anmeldeprotokoll	Status = Fehler - und - Fehlercode = 50126	Definieren Sie einen Basisschwellenwert und überwachen und passen Sie ihn an die Verhaltensweisen Ihres Unternehmens an. Schränken Sie Fehlalarme ein.
Fehler aufgrund der Anforderung für bedingten Zugriff	Hoch	Microsoft Entra-Anmeldeprotokoll	Status = Fehler - und - Fehlercode = 53003 - und - Fehlerursache = Durch bedingten Zugriff blockiert	Das Ereignis kann darauf hinweisen, dass ein Angreifer versucht, auf das Konto zuzugreifen.
Interrupt	Hoch, mittel	Microsoft Entra-Anmeldeprotokoll	Status = Fehler - und - Fehlercode = 53003 - und - Fehlerursache = Durch bedingten Zugriff blockiert	Das Ereignis kann darauf hinweisen, dass ein Angreifer über das Kontokennwort verfügt, aber die MFA-Herausforderung nicht bestehen kann.
Kontosperrung	Hoch	Microsoft Entra-Anmeldeprotokoll	Status = Fehler - und - Fehlercode = 50053	Definieren Sie einen Basisschwellenwert, dann überwachen Sie ihn und passen ihn an die Verhaltensweisen Ihres Unternehmens an. Schränken Sie Fehlalarme ein.
Konto für Anmeldungen deaktiviert/blockiert	niedrig	Microsoft Entra-Anmeldeprotokoll	Status = Fehler - und - Ziel = Benutzer-UPN - und - Fehlercode = 50057	Dieses Ereignis könnte darauf hinweisen, dass jemand versucht, sich Zugriff auf ein Konto zu verschaffen, nachdem er die Organisation verlassen hat. Obwohl das Konto blockiert ist, müssen Sie diese Aktivität protokollieren und benachrichtigen.
MFA-Betrugswarnung/Blockierung	Hoch	Microsoft Entra-Anmeldeprotokoll/Azure Log Analytics	Anmeldungen>Authentifizierungsdetails Ergebnisdetails = MFA verweigert, betrügerischen Code eingegeben	„Privilegierte Benutzer“ deutet darauf hin, dass er die MFA-Eingabeaufforderung nicht veranlasst hat, was darauf hindeuten könnte, dass ein Angreifer über das Kontokennwort verfügt.
MFA-Betrugswarnung/Blockierung	Hoch	Microsoft Entra-Anmeldeprotokoll/Azure Log Analytics	Aktivitätstyp = Betrug wurde gemeldet – Benutzer ist für MFA gesperrt oder Betrug wurde gemeldet – keine Aktion ausgeführt basierend auf den Einstellungen für Betrugsberichte auf Mandantenebene	Beim privilegierten Benutzer war keine MFA-Eingabeaufforderung erkennbar. Das Szenario kann darauf hinweisen, dass ein Angreifer über das Kontokennwort verfügt.
Anmeldungen mit privilegierten Konten außerhalb der erwarteten Kontrollen.	Hoch	Microsoft Entra-Anmeldeprotokoll	Status = Fehler UserPricipalName = <Administratorkonto> Standort = <Nicht genehmigter Standort> IP-Adresse = <Nicht genehmigte IP-Adresse> Geräteinformationen = <nicht genehmigter Browser, nicht genehmigtes Betriebssystem>	Überwachen und benachrichtigen Sie Einträge, die Sie als nicht genehmigt definiert haben.
Außerhalb der normalen Anmeldezeiten	Hoch	Microsoft Entra-Anmeldeprotokoll	Status = Erfolg - und - Standort = - und - Zeit = außerhalb der Arbeitszeiten	Überwachen und benachrichtigen Sie, wenn Anmeldungen außerhalb der erwarteten Zeiten erfolgen. Ermitteln Sie das normale Arbeitsmuster für jedes privilegierte Konto, und benachrichtigen Sie, wenn ungeplante Änderungen außerhalb der normalen Arbeitszeiten vorgenommen werden. Anmeldungen außerhalb der normalen Arbeitszeiten können auf eine Kompromittierung oder ein mögliche Insiderbedrohung hinweisen.
Kennwortänderung	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivitätsakteur = Administrator/Self-Service - und - Ziel = Benutzer - und - Status = Erfolg oder Fehler	Warnung, wenn sich ein Kennwort für ein Administratorkonto ändert. Schreiben Sie eine Abfrage für privilegierte Konten.
Änderungen an Authentifizierungsmethoden.	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Identitätsanbieter erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Die Änderung könnte darauf hinweisen, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben.
Identitätsanbieter, der von nicht genehmigten Akteuren aktualisiert wurde	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Identitätsanbieter aktualisieren Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Die Änderung könnte darauf hinweisen, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben.
Identitätsanbieter, der von nicht genehmigten Akteuren gelöscht wurde	Hoch	Microsoft Entra-Zugriffsüberprüfungen	Aktivität: Identitätsanbieter löschen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Die Änderung könnte darauf hinweisen, dass ein Angreifer dem Konto eine Authentifizierungsmethode hinzugefügt hat, um weiterhin Zugriff zu haben.

Anwendungen

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Subfilter	Notizen
Anmeldeinformationen wurden Anwendungen hinzugefügt	Hoch	Microsoft Entra-Überwachungsprotokolle	Dienst – Kernverzeichnis, Kategorie: ApplicationManagement Aktivität: Anwendungszertifikate und Geheimnisverwaltung aktualisieren - und - Aktivität: Dienstprinzipal/Anwendung aktualisieren	Benachrichtigen Sie, wenn für Anmeldeinformationen Folgendes gilt: außerhalb der normalen Geschäftszeiten oder Workflows hinzugefügt, nicht in Ihrer Umgebung verwendeter Typ oder einem Nicht-SAML-Flow hinzugefügt, der den Dienstprinzipal unterstützt.
App, die einer Rolle der rollenbasierten Zugriffssteuerung in Azure (Role-based Access Control, RBAC) oder einer Microsoft Entra-Rolle zugewiesen ist	Hoch bis mittel	Microsoft Entra-Überwachungsprotokolle	Typ: Dienstprinzipal Aktivität: „Mitglied zu Rolle hinzufügen“ oder „Berechtigtes Mitglied zu Rolle hinzufügen“ Oder „Zugeordnetes Mitglied zu Rolle hinzufügen“	–
App mit besonders privilegierten Berechtigungen, z. B. Berechtigungen mit „.All“ (Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail.)	Hoch	Microsoft Entra-Überwachungsprotokolle	Nicht zutreffend	Apps mit umfassenden Berechtigungen wie „.All“ (Directory.ReadWrite.All) oder weitreichenden Berechtigungen (Mail.)
Administrator, der Anwendungsberechtigungen (App-Rollen) oder hoch privilegierte delegierte Berechtigungen erteilt	Hoch	Microsoft 365-Portal	„App-Rollenzuweisung zu Dienstprinzipal hinzufügen“ Dabei gilt: Das Ziel identifiziert eine API mit sensiblen Daten (z. B. Microsoft Graph) „Erteilung delegierter Berechtigungen hinzufügen“ Dabei gilt: Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph) - und - DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen.	Benachrichtigen Sie, wenn ein globaler, Anwendungs- oder Cloudanwendungsadministrator seine Einwilligung für eine Anwendung erteilt. Achten Sie insbesondere auf Einwilligungen außerhalb normaler Aktivitäts- und Änderungsverfahren.
Der Anwendung werden Berechtigungen für Microsoft Graph, Exchange, SharePoint oder Microsoft Entra ID erteilt.	Hoch	Microsoft Entra-Überwachungsprotokolle	„Erteilung delegierter Berechtigungen hinzufügen“ Oder „App-Rollenzuweisung zu Dienstprinzipal hinzufügen“ Dabei gilt: Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph, Exchange Online usw.)	Verwenden Sie die Benachrichtigung in der vorherigen Zeile.
Hoch privilegierte delegierte Berechtigungen werden im Namen aller Benutzer erteilt	Hoch	Microsoft Entra-Überwachungsprotokolle	„Erteilung delegierter Berechtigungen hinzufügen“ where Ziele identifizieren eine API mit sensiblen Daten (z. B. Microsoft Graph) DelegatedPermissionGrant.Scope enthält besonders privilegierte Berechtigungen - und - DelegatedPermissionGrant.ConsentType ist „AllPrincipals“.	Verwenden Sie die Benachrichtigung in der vorherigen Zeile.
Anwendungen, die den ROPC-Authentifizierungsflow verwenden	Medium	Microsoft Entra-Anmeldeprotokoll	Status=Erfolg Authentifizierungsprotokoll – ROPC	Dieser Anwendung wird ein hohes Maß an Vertrauen entgegengebracht, da die Anmeldedaten zwischengespeichert oder gespeichert werden können. Wenn möglich wechseln Sie zu einem sichereren Authentifizierungsflow. Verwenden Sie den Prozess nur in automatisierten Anwendungstests, wenn überhaupt.
Verwaister URI	Hoch	Microsoft Entra-Protokolle und Anwendungsregistrierung	Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren Erfolg: Eigenschaftenname, AppAddress	Achten Sie zum Beispiel auf verwaiste URIs, die auf einen Domänenamen verweisen, der verschwunden ist oder den Sie nicht besitzen.
Änderungen an der Konfiguration des Umleitungs-URI	Hoch	Microsoft Entra-Protokolle	Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren Erfolg: Eigenschaftenname, AppAddress	Achten Sie auf URIs ohne HTTPS*, URIs mit Platzhaltern am Ende oder der Domäne der URL, URIs, die für die Anwendung nicht eindeutig sind, und URIs, die auf eine Domäne verweisen, die Sie nicht kontrollieren.
Änderungen am AppID-URI	Hoch	Microsoft Entra-Protokolle	Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren Aktivität: Dienstprinzipal aktualisieren	Suchen Sie nach AppID-URI-Änderungen, z. B. Hinzufügen, Ändern oder Entfernen des URI.
Änderungen am Anwendungsbesitz	Medium	Microsoft Entra-Protokolle	Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Besitzer der Anwendung hinzufügen	Suchen Sie nach Instanzen von Benutzern, die als Anwendungsbesitzer außerhalb der normalen Änderungsverwaltungsaktivitäten hinzugefügt wurden.
Änderungen an der Abmelde-URL	Niedrig	Microsoft Entra-Protokolle	Dienst: Kernverzeichnis Kategorie: ApplicationManagement Aktivität: Anwendung aktualisieren - und - Aktivität: Dienstprinzipal aktualisieren	Suchen Sie nach Änderungen an einer Abmelde-URL. Leere Einträge oder Einträge zu nicht existierenden Speicherorten würden einen Benutzer am Beenden einer Sitzung hindern.

Infrastruktur

Zu überwachende Elemente	Risikostufe	Hierbei gilt:	Filter/Subfilter	Hinweise
Neue Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren erstellt wird	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Richtlinie für bedingten Zugriff hinzufügen Kategorie: Richtlinie Initiiert von (Akteur): Benutzerprinzipalname	Überwachen auf und Benachrichtigen von Änderungen am bedingten Zugriff. Initiiert von (Akteur): hat er die Genehmigung, Änderungen am bedingten Zugriff vorzunehmen?
Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren entfernt wird	Medium	Microsoft Entra-Überwachungsprotokolle	Aktivität: Richtlinie für bedingten Zugriff löschen Kategorie: Richtlinie Initiiert von (Akteur): Benutzerprinzipalname	Überwachen auf und Benachrichtigen von Änderungen am bedingten Zugriff. Initiiert von (Akteur): hat er die Genehmigung, Änderungen am bedingten Zugriff vorzunehmen?
Richtlinie für bedingten Zugriff, die von nicht genehmigten Akteuren aktualisiert wird	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Richtlinie für bedingten Zugriff aktualisieren Kategorie: Richtlinie Initiiert von (Akteur): Benutzerprinzipalname	Überwachen auf und Benachrichtigen von Änderungen am bedingten Zugriff. Initiiert von (Akteur): hat er die Genehmigung, Änderungen am bedingten Zugriff vorzunehmen? Überprüfen von geänderten Eigenschaften und Vergleichen des alten mit dem neuen Wert
Benutzerdefinierte B2C-Richtlinie, die von nicht genehmigten Akteuren erstellt wurde	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Benutzerdefinierte Richtlinie erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen auf und Benachrichtigen bei Änderungen benutzerdefinierter Richtlinien. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an benutzerdefinierten Richtlinien vorzunehmen?
Benutzerdefinierte B2C-Richtlinie, die von nicht genehmigten Akteuren aktualisiert wurde	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Benutzerdefinierte Richtlinien abrufen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen auf und Benachrichtigen bei Änderungen benutzerdefinierter Richtlinien. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an benutzerdefinierten Richtlinien vorzunehmen?
Benutzerdefinierte B2C-Richtlinie, die von nicht genehmigten Akteuren gelöscht wurde	Medium	Microsoft Entra-Überwachungsprotokolle	Aktivität: Benutzerdefinierte Richtlinie löschen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen auf und Benachrichtigen bei Änderungen benutzerdefinierter Richtlinien. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an benutzerdefinierten Richtlinien vorzunehmen?
Benutzerflow, der von nicht genehmigten Akteuren erstellt wurde	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Benutzerflow erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen auf und Benachrichtigen bei Änderungen an Benutzerflows. Initiiert von (Akteur): Hat er die Genehmigung, Änderungen an Benutzerflows vorzunehmen?
Benutzerflow, der von nicht genehmigten Akteuren aktualisiert wurde	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Benutzerflow aktualisieren Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen auf und Benachrichtigen bei Änderungen an Benutzerflows. Initiiert von (Akteur): Hat er die Genehmigung, Änderungen an Benutzerflows vorzunehmen?
Benutzerflow, der von nicht genehmigten Akteuren gelöscht wurde	Medium	Microsoft Entra-Überwachungsprotokolle	Aktivität: Benutzerflow löschen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen auf und Benachrichtigen bei Änderungen an Benutzerflows. Initiiert von (Akteur): Hat er die Genehmigung, Änderungen an Benutzerflows vorzunehmen?
API-Connectors, die von nicht genehmigten Akteuren erstellt wurden	Medium	Microsoft Entra-Überwachungsprotokolle	Aktivität: API-Connector erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen auf und Benachrichtigen bei Änderungen an API-Connectors. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an API-Connectors vorzunehmen?
API-Connectors, die von nicht genehmigten Akteuren aktualisiert wurden	Medium	Microsoft Entra-Überwachungsprotokolle	Aktivität: API-Connector aktualisieren Kategorie: ResourceManagement Ziel: Benutzerprinzipalname: ResourceManagement	Überwachen auf und Benachrichtigen bei Änderungen an API-Connectors. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an API-Connectors vorzunehmen?
API-Connectors, die von nicht genehmigten Akteuren gelöscht wurden	Medium	Microsoft Entra-Überwachungsprotokolle	Aktivität: API-Connector aktualisieren Kategorie: ResourceManagment Ziel: Benutzerprinzipalname: ResourceManagement	Überwachen auf und Benachrichtigen bei Änderungen an API-Connectors. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an API-Connectors vorzunehmen?
Identitätsanbieter (IdP), der von nicht genehmigten Akteuren erstellt wurde	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Identitätsanbieter erstellen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen von und Benachrichtigen bei IdP-Änderungen. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an einer IdP-Konfiguration vorzunehmen?
Identitätsanbieter der von nicht genehmigten Akteuren aktualisiert wurde	Hoch	Microsoft Entra-Überwachungsprotokolle	Aktivität: Identitätsanbieter aktualisieren Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen von und Benachrichtigen bei IdP-Änderungen. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an einer IdP-Konfiguration vorzunehmen?
Identitätsanbieter, der von nicht genehmigten Akteuren gelöscht wurde	Medium	Microsoft Entra-Überwachungsprotokolle	Aktivität: Identitätsanbieter löschen Kategorie: ResourceManagement Ziel: Benutzerprinzipalname	Überwachen von und Benachrichtigen bei IdP-Änderungen. Initiiert von (Akteur): hat er die Genehmigung, Änderungen an einer IdP-Konfiguration vorzunehmen?

Nächste Schritte

Um mehr zu erfahren, lesen Sie die folgenden SecOps-Artikel:

• Leitfaden für Microsoft Entra-SecOps
• Microsoft Entra-SecOps für Consumerkonten
• SecOps für privilegierte Konten in Microsoft Entra ID
• Microsoft Entra-SecOps für Privileged Identity Management
• Leitfaden für Microsoft Entra-SecOps für Anwendungen
• Microsoft Entra-SecOps für Geräte
• Sicherheitsvorgänge für die Infrastruktur