Microsoft Entra biztonsági műveletek fogyasztói fiókokhoz
A fogyasztói identitással kapcsolatos tevékenységek fontos területet jelentenek a szervezet számára a védelem és a monitorozás szempontjából. Ez a cikk Az Azure Active Directory B2C (Azure AD B2C) bérlőinek szól, és útmutatást tartalmaz a fogyasztói fiókok tevékenységeinek figyeléséhez. A tevékenységek a következők:
- Fogyasztói fiók
- Emelt szintű fiók
- Alkalmazás
- Infrastruktúra
Mielőtt elkezdené
A cikk útmutatásának használata előtt javasoljuk, hogy olvassa el a Microsoft Entra biztonsági üzemeltetési útmutatóját.
Alapterv meghatározása
A rendellenes viselkedés felderítéséhez határozza meg a normális és a várt viselkedést. A szervezet várt viselkedésének meghatározása segít a váratlan viselkedés felderítésében. A definícióval csökkentheti a hamis pozitív értékeket a figyelés és a riasztás során.
A várt viselkedés meghatározásával végezze el az alapkonfiguráció monitorozását az elvárások érvényesítéséhez. Ezután figyelje a naplókat, hogy mi esik a tűréshatáron kívülre.
A normál folyamatokon kívül létrehozott fiókokhoz használja adatforrásként a Microsoft Entra naplózási naplóit, a Microsoft Entra bejelentkezési naplóit és a címtárattribútumokat. Az alábbi javaslatok segíthetnek a normál definiálásában.
Fogyasztói fiókok létrehozása
Értékelje ki a következő listát:
- A fogyasztói fiókok létrehozására és kezelésére szolgáló eszközök és folyamatok stratégiája és alapelvei
- Például a fogyasztói fiók attribútumaira alkalmazott szabványos attribútumok és formátumok
- Jóváhagyott források fióklétrehozáshoz.
- Például egyéni szabályzatok előkészítése, ügyfélkiépítési vagy migrálási eszköz
- Riasztási stratégia jóváhagyott forrásokon kívül létrehozott fiókokhoz.
- A szervezet által együttműködött szervezetek ellenőrzött listájának létrehozása
- Stratégia- és riasztásparaméterek egy nem jóváhagyott felhasználói fiók rendszergazdája által létrehozott, módosított vagy letiltott fiókokhoz
- A fogyasztói fiókok monitorozási és riasztási stratégiája nem rendelkezik szabványos attribútumokkal, például ügyfélszámmal, vagy nem követi a szervezeti elnevezési konvenciókat
- A fiókok törlésének és megőrzésének stratégiája, alapelvei és folyamata
Hol érdemes keresni?
Naplófájlok használatával vizsgálhatja és figyelheti a fájlokat. További információért tekintse meg az alábbi cikkeket:
- Naplók a Microsoft Entra-azonosítóban
- Bejelentkezési naplók a Microsoft Entra-azonosítóban (előzetes verzió)
- A kockázatok kivizsgálásának módja
Naplók és automatizálási eszközök naplózása
Az Azure Portalon megtekintheti a Microsoft Entra naplózási naplóit, és vesszővel tagolt értékként (CSV) vagy JavaScript Object Notation -fájlként (JSON) töltheti le. Az Azure Portal használatával integrálhatja a Microsoft Entra-naplókat más eszközökkel a figyelés és riasztás automatizálásához:
- Microsoft Sentinel – biztonsági elemzés biztonsági információkkal és eseménykezelési (SIEM) képességekkel
- Sigma-szabályok – nyílt szabvány olyan szabályok és sablonok írásához, amelyekkel az automatizált felügyeleti eszközök elemezhetik a naplófájlokat. Ha vannak Sigma-sablonok az ajánlott keresési feltételekhez, hozzáadtunk egy hivatkozást a Sigma adattárhoz. A Microsoft nem ír, tesztel vagy kezel Sigma-sablonokat. Az adattárat és a sablonokat az informatikai biztonsági közösség hozza létre és gyűjti össze.
- Azure Monitor – Különböző feltételek automatikus monitorozása és riasztása. Munkafüzetek létrehozása vagy használata különböző forrásokból származó adatok kombinálására.
- SIEM-sel integrált Azure Event Hubs – A Microsoft Entra-naplók integrálása olyan SIEM-ekkel, mint a Splunk, az ArcSight, a QRadar és a Sumo Logic az Azure Event Hubs használatával
- Felhőhöz készült Microsoft Defender Alkalmazások – alkalmazások felderítése és kezelése, alkalmazások és erőforrások szabályozása, valamint a felhőalkalmazások megfelelőségének megfelelősége
- Identity Protection – kockázat észlelése a számítási feladatok identitásaiban a bejelentkezési viselkedés és a biztonsági rés offline jelzései között
A cikk további részében javaslatokat talál a figyeléshez és a riasztáshoz. Tekintse meg a fenyegetések típusa szerint rendezett táblákat. A táblázatot követve megtekintheti az előre elkészített megoldásokra vagy mintákra mutató hivatkozásokat. Riasztások létrehozása a korábban említett eszközökkel.
Fogyasztói fiókok
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Nagyszámú fiók létrehozása vagy törlése | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó hozzáadása Status = success Kezdeményezője (aktor) = CPIM szolgáltatás -és- Tevékenység: Felhasználó törlése Status = success Kezdeményezője (aktor) = CPIM szolgáltatás |
Definiáljon egy alapkonfigurációs küszöbértéket, majd monitorozza és módosítsa a szervezeti viselkedést. Hamis riasztások korlátozása. |
Nem jóváhagyott felhasználók vagy folyamatok által létrehozott és törölt fiókok | Közepes | Microsoft Entra ellenőrzési naplók | Kezdeményezője (színész) – U Standard kiadás R PRINCIPAL NAME -és- Tevékenység: Felhasználó hozzáadása Status = success Kezdeményezője (színész) != CPIM szolgáltatás és-vagy Tevékenység: Felhasználó törlése Status = success Kezdeményezője (színész) != CPIM szolgáltatás |
Ha a szereplők nem támogatott felhasználók, konfigurálja a riasztás küldését. |
Kiemelt szerepkörhöz rendelt fiókok | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználó hozzáadása Status = success Kezdeményezője (aktor) == CPIM szolgáltatás -és- Tevékenység: Tag hozzáadása szerepkörhöz Status = success |
Ha a fiók Microsoft Entra-szerepkörhöz, Azure-szerepkörhöz vagy kiemelt csoporttagsághoz van rendelve, riasztást küld, és rangsorolja a vizsgálatot. |
Sikertelen bejelentkezési kísérletek | Közepes – ha izolált incidens Magas – ha sok fiók ugyanazt a mintát tapasztalja |
Microsoft Entra bejelentkezési napló | Status = failed -és- 50126-os bejelentkezési hibakód – Hiba a hitelesítő adatok érvénytelen felhasználónév vagy jelszó miatt történő ellenőrzése során. -és- Application == "CPIM PowerShell-ügyfél" -vagy- Application == "ProxyIdentityExperienceFramework" |
Definiáljon egy alapkonfigurációs küszöbértéket, majd monitorozza és módosítsa a szervezeti viselkedésnek megfelelőt, és korlátozza a hamis riasztások generálása során. |
Intelligens kizárási események | Közepes – ha izolált incidens Magas – ha sok fiók ugyanazt a mintát vagy VIP-t tapasztalja |
Microsoft Entra bejelentkezési napló | Status = failed -és- Bejelentkezési hibakód: = 50053 – IdsLocked -és- Application == "CPIM PowerShell-ügyfél" -vagy- Application =="ProxyIdentityExperienceFramework" |
Definiáljon egy alapkonfigurációs küszöbértéket, majd figyelje és módosítsa a szervezeti viselkedésnek megfelelőt, és korlátozza a hamis riasztásokat. |
Nem működő országokból vagy régiókból származó sikertelen hitelesítések | Közepes | Microsoft Entra bejelentkezési napló | Status = failed -és- Hely = <nem jóváhagyott hely> -és- Application == "CPIM PowerShell-ügyfél" -vagy- Application == "ProxyIdentityExperienceFramework" |
A megadott városnevekkel nem egyenlő bejegyzések figyelése. |
Bármilyen típusú sikertelen hitelesítés növelése | Közepes | Microsoft Entra bejelentkezési napló | Status = failed -és- Application == "CPIM PowerShell-ügyfél" -vagy- Application == "ProxyIdentityExperienceFramework" |
Ha nem rendelkezik küszöbértékekkel, figyelje és értesítse, ha a hibák száma 10%-kal vagy nagyobbra nő. |
A fiók le van tiltva/letiltva a bejelentkezésekhez | Alacsony | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- hibakód: = 50057, A felhasználói fiók le van tiltva. |
Ez a forgatókönyv azt jelezheti, hogy valaki megpróbál hozzáférni egy fiókhoz, miután elhagyta a szervezetet. A fiók le van tiltva, de fontos a tevékenység naplózása és riasztása. |
A sikeres bejelentkezések mérhető növekedése | Alacsony | Microsoft Entra bejelentkezési napló | Status = Success -és- Application == "CPIM PowerShell-ügyfél" -vagy- Application == "ProxyIdentityExperienceFramework" |
Ha nem rendelkezik küszöbértékekkel, figyelje és riasztsa, ha a sikeres hitelesítések 10%-kal vagy nagyobb mértékben növekednek. |
Kiemelt fiókok
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Bejelentkezési hiba, rossz jelszó küszöbértéke | Magas | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- hibakód = 50126 |
Definiáljon egy alapkonfigurációs küszöbértéket, és figyelje és módosítsa a szervezeti viselkedésének megfelelően. Hamis riasztások korlátozása. |
Hiba a feltételes hozzáférés követelménye miatt | Magas | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- hibakód = 53003 -és- Hiba oka = Feltételes hozzáférés letiltva |
Az esemény azt jelezheti, hogy egy támadó megpróbál bejutni a fiókba. |
Megszakítás | Magas, közepes | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- hibakód = 53003 -és- Hiba oka = Feltételes hozzáférés letiltva |
Az esemény jelezheti, hogy a támadó rendelkezik a fiók jelszavával, de nem tudja átadni az MFA-kihívást. |
Fiókzárolás | Magas | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- hibakód = 50053 |
Definiáljon egy alapkonfigurációs küszöbértéket, majd figyelje és módosítsa a szervezeti viselkedésnek megfelelően. Hamis riasztások korlátozása. |
Bejelentkezések esetén letiltott vagy letiltott fiók | alacsony | Microsoft Entra bejelentkezési napló | Állapot = Hiba -és- Target = User UPN -és- hibakód = 50057 |
Az esemény azt jelezheti, hogy valaki a szervezet elhagyása után próbál fiókhozzáférést szerezni. Bár a fiók le van tiltva, naplózza és értesítse ezt a tevékenységet. |
MFA-csalásra figyelmeztető riasztás vagy blokk | Magas | Microsoft Entra bejelentkezési napló/Azure Log Analytics | Bejelentkezési>hitelesítés részletei Eredmény részletei = MFA megtagadva, beírt csalási kód |
A kiemelt felhasználó azt jelzi, hogy nem kezdeményezték az MFA-kérést, ami azt jelezheti, hogy a támadó rendelkezik a fiók jelszavával. |
MFA-csalásra figyelmeztető riasztás vagy blokk | Magas | Microsoft Entra bejelentkezési napló/Azure Log Analytics | Tevékenység típusa = Jelentett csalás – A felhasználó blokkolva van az MFA-ra vagy a jelentett csalásra vonatkozóan – Nem történt művelet a csalási jelentés bérlői szintű beállításai alapján | A kiemelt felhasználó nem jelezte az MFA-kérés intigációját. A forgatókönyv azt jelezheti, hogy a támadó rendelkezik a fiók jelszavával. |
Emelt szintű fiókbejelentkések a várt vezérlőkön kívül | Magas | Microsoft Entra bejelentkezési napló | Állapot = Hiba UserPricipalName = <Rendszergazda fiók> Hely = <nem jóváhagyott hely> IP-cím = <nem jóváhagyott IP-cím> Eszközinformáció = <nem jóváhagyott böngésző, operációs rendszer> |
Nem jóváhagyottként definiált bejegyzések figyelése és riasztása. |
A normál bejelentkezési időponton kívül | Magas | Microsoft Entra bejelentkezési napló | Status = Success -és- Hely = -és- Idő = Munkaidőn kívül |
Figyelhet és riasztást küldhet, ha a bejelentkezések a várt időpontokon kívül történnek. Keresse meg a normál munkamintát minden kiemelt fiókhoz és riasztáshoz, ha a normál munkaidőn kívül nem tervezett változások történnek. A normál munkaidőn kívüli bejelentkezések biztonsági kockázatot vagy lehetséges belső fenyegetést jelezhetnek. |
Jelszó módosítása | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység-aktor = Rendszergazda/önkiszolgáló -és- Cél = Felhasználó -és- Állapot = Sikeres vagy sikertelen |
Riasztás, ha a rendszergazdai fiók jelszava megváltozik. Írjon lekérdezést a kiemelt fiókokhoz. |
Hitelesítési módszerek módosítása | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Identitásszolgáltató létrehozása Kategória: ResourceManagement Cél: Felhasználónév |
A módosítás azt jelezheti, hogy a támadó egy hitelesítési metódust ad hozzá a fiókhoz, hogy továbbra is hozzáférhessen. |
Az identitásszolgáltatót nem jóváhagyott szereplők frissítették | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Identitásszolgáltató frissítése Kategória: ResourceManagement Cél: Felhasználónév |
A módosítás azt jelezheti, hogy a támadó egy hitelesítési metódust ad hozzá a fiókhoz, hogy továbbra is hozzáférhessen. |
Az identitásszolgáltatót nem jóváhagyott szereplők törölték | Magas | A Microsoft Entra hozzáférési véleményei | Tevékenység: Identitásszolgáltató törlése Kategória: ResourceManagement Cél: Felhasználónév |
A módosítás azt jelezheti, hogy a támadó egy hitelesítési metódust ad hozzá a fiókhoz, hogy továbbra is hozzáférhessen. |
Alkalmazások
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Hitelesítő adatok hozzáadása az alkalmazásokhoz | Magas | Microsoft Entra ellenőrzési naplók | Service-Core Directory, Category-ApplicationManagement Tevékenység: Alkalmazástanúsítványok és titkos kódok kezelése -és- Tevékenység: Szolgáltatásnév frissítése/Alkalmazás frissítése |
Riasztás, ha a hitelesítő adatok a szokásos munkaidőn vagy munkafolyamatokon kívül vannak hozzáadva, a környezetben nem használt típusok, vagy hozzáadva egy nem SAML-folyamatot támogató szolgáltatásnévhez. |
Azure-szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörhöz vagy Microsoft Entra-szerepkörhöz rendelt alkalmazás | Magastól közepesig | Microsoft Entra ellenőrzési naplók | Típus: szolgáltatásnév Tevékenység: "Tag hozzáadása szerepkörhöz" vagy "Jogosult tag hozzáadása a szerepkörhöz" -vagy- "Hatókörrel tag hozzáadása a szerepkörhöz." |
n/a |
Az alkalmazás magas jogosultsági szintű engedélyeket kapott, például a ". All" (Directory.ReadWrite.All) vagy széles körű engedélyek (Mail.) | Magas | Microsoft Entra ellenőrzési naplók | n/a | Az alkalmazások széles körű engedélyeket kaptak, például ". All" (Directory.ReadWrite.All) vagy széles körű engedélyek (Mail.) |
Rendszergazda istrator alkalmazásengedélyeket (alkalmazásszerepköröket) vagy magas jogosultsági szintű delegált engedélyeket ad meg | Magas | Microsoft 365 portál | "Alkalmazásszerepkör-hozzárendelés hozzáadása a szolgáltatásnévhez" -Ahol- A target(ek) azonosítják a bizalmas adatokat tartalmazó API-k (például Microsoft Graph) "Delegált engedély megadása" -Ahol- A target(ek) bizalmas adatokkal (például Microsoft Graph) rendelkező API-t azonosítanak -és- A DelegatedPermissionGrant.Scope magas jogosultságú engedélyeket tartalmaz. |
Riasztás, ha egy globális, alkalmazás- vagy felhőalkalmazás-rendszergazda hozzájárul egy alkalmazáshoz. Különösen a normál tevékenységen kívüli hozzájárulást és a változási eljárásokat kell keresni. |
Az alkalmazás engedélyt kap a Microsoft Graph, az Exchange, a SharePoint vagy a Microsoft Entra ID azonosítóhoz. | Magas | Microsoft Entra ellenőrzési naplók | "Delegált engedély megadása" -vagy- "Alkalmazásszerepkör-hozzárendelés hozzáadása a szolgáltatásnévhez" -Ahol- A target(ek) bizalmas adatokkal (például Microsoft Graph, Exchange Online stb.) rendelkező API-t azonosítanak |
Használja a riasztást az előző sorban. |
Az összes felhasználó nevében megadott magas jogosultságú delegált engedélyek | Magas | Microsoft Entra ellenőrzési naplók | "Delegált engedély megadása" ebben: A target(ek) bizalmas adatokkal (például Microsoft Graph) rendelkező API-t azonosítanak A DelegatedPermissionGrant.Scope magas jogosultságú engedélyeket tartalmaz -és- A DelegatedPermissionGrant.ConsentType értéke "AllPrincipals". |
Használja a riasztást az előző sorban. |
A ROPC hitelesítési folyamatot használó alkalmazások | Közepes | Microsoft Entra bejelentkezési napló | Status=Success Authentication Protocol-ROPC |
A rendszer magas szintű megbízhatóságot helyez el ebben az alkalmazásban, mert a hitelesítő adatok gyorsítótárazhatók vagy tárolhatók. Ha lehetséges, lépjen egy biztonságosabb hitelesítési folyamatra. A folyamatot csak automatizált alkalmazástesztelésben használja, ha valaha is. |
Dangling URI | Magas | Microsoft Entra-naplók és alkalmazásregisztráció | Service-Core Directory Category-ApplicationManagement Tevékenység: Alkalmazás frissítése Siker – Tulajdonság neve AppAddress |
Keresse meg például a nem használt tartománynévre mutató, vagy nem a tulajdonában lévő URI-kat. |
Átirányítási URI-konfiguráció változásai | Magas | Microsoft Entra-naplók | Service-Core Directory Category-ApplicationManagement Tevékenység: Alkalmazás frissítése Siker – Tulajdonság neve AppAddress |
Keresse meg a NEM HTTPS*-t használó URI-kat, az URL-cím végén vagy tartományában található helyettesítő karaktereket tartalmazó URI-kat, az alkalmazásra nem egyedi URI-kat, az ön által nem szabályozható tartományra mutató URI-kat. |
Az AppID URI változásai | Magas | Microsoft Entra-naplók | Service-Core Directory Category-ApplicationManagement Tevékenység: Alkalmazás frissítése Tevékenység: Szolgáltatásnév frissítése |
Keresse meg az AppID URI módosításait, például az URI hozzáadását, módosítását vagy eltávolítását. |
Az alkalmazás tulajdonjogának módosítása | Közepes | Microsoft Entra-naplók | Service-Core Directory Category-ApplicationManagement Tevékenység: Tulajdonos hozzáadása az alkalmazáshoz |
Keresse meg a normál változáskezelési tevékenységeken kívüli alkalmazástulajdonosokként hozzáadott felhasználók példányait. |
A kijelentkezés URL-címének módosítása | Alacsony | Microsoft Entra-naplók | Service-Core Directory Category-ApplicationManagement Tevékenység: Alkalmazás frissítése -és- Tevékenység: Frissítési szolgáltatás elve |
Keresse meg a kijelentkezés URL-címének módosításait. A nem létező helyekre irányuló üres bejegyzések vagy bejegyzések megakadályozhatják, hogy a felhasználó megszakítson egy munkamenetet. |
Infrastruktúra
Monitorozási teendők | Kockázati szint | Where | Szűrő/alszűrő | Jegyzetek |
---|---|---|---|---|
Nem alkalmazott szereplők által létrehozott új feltételes hozzáférési szabályzat | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Feltételes hozzáférési szabályzat hozzáadása Kategória: Szabályzat Kezdeményezője (színész): Felhasználónév |
Feltételes hozzáférés változásainak figyelése és riasztása. A (színész) kezdeményezte: jóváhagyva a feltételes hozzáférés módosításához? |
A feltételes hozzáférési szabályzatot nem alkalmazott szereplők eltávolították | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Feltételes hozzáférési szabályzat törlése Kategória: Szabályzat Kezdeményezője (színész): Felhasználónév |
Feltételes hozzáférés változásainak figyelése és riasztása. A (színész) kezdeményezte: jóváhagyva a feltételes hozzáférés módosításához? |
A feltételes hozzáférési szabályzatot nem alkalmazott szereplők frissítették | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Feltételes hozzáférési szabályzat frissítése Kategória: Szabályzat Kezdeményezője (színész): Felhasználónév |
Feltételes hozzáférés változásainak figyelése és riasztása. A (színész) kezdeményezte: jóváhagyva a feltételes hozzáférés módosításához? A módosított tulajdonságok áttekintése és a régi és az új érték összehasonlítása |
Nem jóváhagyott szereplők által létrehozott egyéni B2C-szabályzat | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Egyéni szabályzat létrehozása Kategória: ResourceManagement Cél: Felhasználónév |
Egyéni szabályzatmódosítások figyelése és riasztása. Az (aktor) kezdeményezte: jóváhagyva az egyéni szabályzatok módosításához? |
Nem jóváhagyott szereplők által frissített egyéni B2C-szabályzat | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Egyéni szabályzatok lekérése Kategória: ResourceManagement Cél: Felhasználónév |
Egyéni szabályzatmódosítások figyelése és riasztása. Az (aktor) kezdeményezte: jóváhagyva az egyéni szabályzatok módosításához? |
Nem jóváhagyott szereplők által törölt egyéni B2C-szabályzat | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Egyéni szabályzat törlése Kategória: ResourceManagement Cél: Felhasználónév |
Egyéni szabályzatmódosítások figyelése és riasztása. Az (aktor) kezdeményezte: jóváhagyva az egyéni szabályzatok módosításához? |
Nem jóváhagyott szereplők által létrehozott felhasználói folyamat | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználói folyamat létrehozása Kategória: ResourceManagement Cél: Felhasználónév |
A felhasználói folyamatok változásainak figyelése és riasztása. Kezdeményezője (aktor): jóváhagyva a felhasználói folyamatok módosításához? |
Nem jóváhagyott szereplők által frissített felhasználói folyamat | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználói folyamat frissítése Kategória: ResourceManagement Cél: Felhasználónév |
A felhasználói folyamatok változásainak figyelése és riasztása. Kezdeményezője (aktor): jóváhagyva a felhasználói folyamatok módosításához? |
Nem jóváhagyott szereplők által törölt felhasználói folyamat | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Felhasználói folyamat törlése Kategória: ResourceManagement Cél: Felhasználónév |
A felhasználói folyamatok változásainak figyelése és riasztása. Kezdeményezője (aktor): jóváhagyva a felhasználói folyamatok módosításához? |
Nem jóváhagyott szereplők által létrehozott API-összekötők | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: API-összekötő létrehozása Kategória: ResourceManagement Cél: Felhasználónév |
Az API-összekötő változásainak figyelése és riasztása. Az (aktor) kezdeményezte: jóváhagyva az API-összekötők módosításához? |
Nem jóváhagyott szereplők által frissített API-összekötők | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: API-összekötő frissítése Kategória: ResourceManagement Cél: Felhasználónév: ResourceManagement |
Az API-összekötő változásainak figyelése és riasztása. Az (aktor) kezdeményezte: jóváhagyva az API-összekötők módosításához? |
Nem jóváhagyott szereplők által törölt API-összekötők | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: API-összekötő frissítése Kategória: ResourceManagment Cél: Felhasználónév: ResourceManagment |
Az API-összekötő változásainak figyelése és riasztása. Az (aktor) kezdeményezte: jóváhagyva az API-összekötők módosításához? |
Nem jóváhagyott szereplők által létrehozott identitásszolgáltató (IDP) | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Identitásszolgáltató létrehozása Kategória: ResourceManagement Cél: Felhasználónév |
IdP-változások figyelése és riasztása. Kezdeményezője (aktor): jóváhagyva az idP-konfiguráció módosításához? |
Nem jóváhagyott szereplők által frissített identitásszolgáltató | Magas | Microsoft Entra ellenőrzési naplók | Tevékenység: Identitásszolgáltató frissítése Kategória: ResourceManagement Cél: Felhasználónév |
IdP-változások figyelése és riasztása. Kezdeményezője (aktor): jóváhagyva az idP-konfiguráció módosításához? |
A nem jóváhagyott szereplők által törölt identitásszolgáltató | Közepes | Microsoft Entra ellenőrzési naplók | Tevékenység: Identitásszolgáltató törlése Kategória: ResourceManagement Cél: Felhasználónév |
IdP-változások figyelése és riasztása. Kezdeményezője (aktor): jóváhagyva az idP-konfiguráció módosításához? |
Következő lépések
További információkért tekintse meg a következő biztonsági műveletekről szóló cikkeket:
- A Microsoft Entra biztonsági üzemeltetési útmutatója
- Microsoft Entra biztonsági műveletek felhasználói fiókokhoz
- Kiemelt fiókok biztonsági műveletei a Microsoft Entra-azonosítóban
- Microsoft Entra biztonsági műveletek a Privileged Identity Managementhez
- Microsoft Entra biztonsági üzemeltetési útmutató alkalmazásokhoz
- Microsoft Entra biztonsági műveletek eszközökhöz
- Infrastruktúra biztonsági műveletei