Gyanús tevékenység észlelése naplókkal

  • 8 perc

Az adatvesztés elsősorban akkor fordul elő, ha a felhasználói fiókok biztonsága sérül, majd a hálózat bizalmas eszközeihez vagy erőforrásaihoz való hozzáférésre szolgál. Az Azure olyan naplózási és auditfunkciókat kínál, amelyek segítségével megállapítható, hogy a felhasználók legutóbbi viselkedése konzisztens-e a rájuk jellemző viselkedéssel. Ha a felhasználó viselkedése eltér a megszokottól, a rendszer megjelöli gyanúsként.

A biztonsági csapat tagjai aggódnak a legutóbbi incidens ismétlődése miatt. Tudni szeretnék, hogy milyen Azure-szolgáltatások és -szolgáltatások segíthetnek megelőzni az adatszivárgást. A csapat megnyugtatásához többet szeretne megtudni arról, hogy az Azure mit kínál a felhasználói tevékenységek naplózásához, és hogyan használhatja a naplózást a gyanús bejelentkezési viselkedés azonosítására.

Ebben a leckében két módszert láthat a felhasználói viselkedés monitorozására. Az első megközelítés a bejelentkezési adatokra összpontosít, amelyek a bejelentkezési naplófájlokban vannak tárolva. A második megközelítés a felhasználói tevékenységet vizsgálja bejelentkezéskor. Ezek a tevékenységek naplózási fájlokban vannak tárolva.

Microsoft Entra-naplók

A Microsoft Entra ID rögzíti a teljes Azure-bérlő naplóadatait. Az információkat elemzéshez és jelentéskészítéshez használhatja. A felhasználói viselkedés értékelésekor meg szeretné tekinteni a bérlőhöz gyűjtött tevékenységnaplókat és biztonsági naplókat.

A tevékenységnaplók a felhasználó összes viselkedését és interakcióját lefedik a hálózattal és annak eszközeivel. A naplófájlok két típusára szeretne különös figyelmet fordítani:

  • Bejelentkezési naplók: A bejelentkezési naplók az összes felhasználói tevékenységre és a bejelentkezéshez hitelesítést kérő alkalmazásokra vonatkozó adatokat tárolnak.
  • Naplózási naplók: A naplók azt mutatják, hogy egy felhasználó vagy csoport mit tett a hálózatba való bejelentkezéskor.

A biztonsági naplók megadják a tevékenységnaplókban talált kivételek listáját. Fontos, hogy két fontos biztonsági naplófájlra figyeljen:

  • Kockázatos bejelentkezések: A kockázatos bejelentkezési naplók olyan felhasználói fiókokra vonatkozó adatokat tárolnak, amelyek bejelentkezési viselkedése nem felel meg a korábbi bejelentkezési kísérleteknek.
  • Kockázatnak megjelölt felhasználók: A kockázatnak megjelölt felhasználók naplói az összes olyan felhasználót megjelenítik, akiket kockázatos felhasználóként megjelöltek.

Egyelőre azonban elég, ha a felhasználói bejelentkezések követésével és a tevékenységnaplókkal foglalkozunk.

A bejelentkezési naplófájlokban

A bejelentkezési naplófájlok az összes hálózati bejelentkezési kísérlet másolatát tárolják. A naplók csak a felhasználói hitelesítő adatokat használó hagyományos bejelentkezéseket követik nyomon. A bejelentkezési naplófájlok nem rögzítik a kiszolgálók közötti kapcsolatokban használt automatikus hitelesítéseket.

A bejelentkezési naplófájlok segítségével azonosíthatók az alábbiak:

  • A felhasználók bejelentkezési viselkedési mintázatai.
  • A felhasználók bejelentkezési tevékenységeinek időbeli alakulása.
  • A hálózathoz hozzáférő összes felhasználó általános állapota.

Bejelentkezési naplók előfeltételei

A bejelentkezési naplók által rögzített naplóadatok bizalmas jellege miatt a naplókhoz való hozzáférés fenntartott és korlátozott. A bejelentkezési naplófájlok használatához az alábbiakra van szükség:

  • Microsoft Entra ID P1 vagy P2 vagy Premium 2 előfizetés.
  • Legalább egy felhasználó, aki globális Rendszergazda istrator, jelentésolvasó, biztonsági olvasó vagy biztonsági Rendszergazda istrator szerepkörrel rendelkezik.

Bejelentkezési naplók nézet

Az Azure számos adatot rögzít a felhasználói tevékenységről, a hozzáférési időszakoktól a bejelentkezési kérelmet küldő alkalmazásig stb. A bejelentkezési naplófájlt a Microsoft Entra-példányban érheti el az Azure Portalon. A bejelentkezési naplózási szolgáltatás első engedélyezésekor előfordulhat, hogy legfeljebb egy óráig nem látja az adatokat.

A bérlő bejelentkezési naplóinak megtekintéséhez a Figyelés bal oldali menüjében válassza a Bejelentkezési naplók lehetőséget. Az alábbi példa a bejelentkezési tábla adatainak tipikus nézetét jeleníti meg:

Screenshot that shows default table columns in sign-in logs.

Az alapértelmezett táblaoszlopok olyan információkat jelenítenek meg, mint a bejelentkezési dátum, a felhasználónév, a bejelentkezési állapot és a hely.

Az Azure-beli jelentésekhez hasonlóan a jelentés struktúráját is testre szabhatja oszlopok hozzáadásával és eltávolításával. Az oszlopok módosításához a bejelentkezési naplók menüsávon válassza az Oszlopok lehetőséget. Az Oszlopok panelen igény szerint adhat hozzá vagy távolíthat el oszlopokat. Az alapértelmezett oszlopok mellett választhat oszlopokat is, hogy további információkat jelenítsen meg.

Screenshot that shows how to select columns to display for sign-in logs.

Naplóadatok szűrése

Még miután kiválasztotta az összes megtekinteni kívánt bejelentkezési oszlopot, továbbra is nagy mennyiségű adat áll rendelkezésére. Az adatkötetek kezeléséhez és a szükséges adatok eléréséhez szűrőket alkalmazhat. Előfordulhat például, hogy csak azokat a bejelentkezési rekordokat szeretné látni, amelyekben a felhasználókat kockázatként jelölték meg, vagy olyan rekordokat, amelyekben a többtényezős hitelesítés sikertelen volt. Szűrők használatával különböző módokon tekintheti meg a nyers adatokat a trendek és minták azonosításához.

Szűrők használatához a bejelentkezési naplók menüsávon válassza a Szűrők hozzáadása lehetőséget, majd válassza ki a használni kívánt szűrőket.

Screenshot of the Add filters button and the list of filters.

Az alábbiakban felsorolunk néhány fontosabb szűrőt, és hogy mire használhatók:

  • Felhasználó: Adott felhasználók keresésére használható név vagy egyszerű felhasználónév alapján.
  • Alkalmazás: Adott alkalmazások bejelentkezési kérelmeinek megkeresésére használható.
  • Állapot: Az eredmények szűkítése azokra a felhasználókra, akik sikeresen bejelentkeztek, vagy azokra a felhasználókra, akiknél a bejelentkezés sikertelen volt.
  • Feltételes hozzáférés: Annak vizsgálatára használható, hogy alkalmazták-e a feltételes hozzáférési szabályzatokat.
  • Dátum: A megtekintett adatok időkeretének módosítására használható egy hónapról egy napra.

Bejelentkezési naplók letöltése

Meghatározta, hogy mely oszlopok rendelkeznek a kívánt információkkal, és a szűrőkkel szűkítette az adatokat egy adott, kezelhető adathalmazra. Most már feldolgozhatja az adatokat. Bár az Azure nagyszerű eszközöket kínál az adatvizualizációhoz és a további elemzéshez, bizonyos alkalmazásokat már használhat az adatok feldolgozásához. Az Azure lehetővé teszi a bejelentkezési adatok letöltését az aktuális szűrőknek megfelelően.

A bejelentkezési naplók letöltésekor a legutóbbi 250 000 rekordra korlátozódik az alkalmazott szűrőfeltételek alapján.

Ha le szeretné tölteni az adatokat a nézetben, a bejelentkezési naplók menüsávon válassza a Letöltés lehetőséget. Kiválasztja az adatokhoz, CSV-hez vagy JSON-hoz használandó formátumot, majd megadhatja a letöltési fájl nevét.

Screenshot that shows Download dialog details.

Bejelentkezési hibakódok

A sikertelen bejelentkezések elemzése kulcsfontosságú módja a biztonságos és kifogástalan Azure-környezet fenntartásának. A bejelentkezési naplófájlok áttekintésekor szűrhet az állapotra, hogy csak a sikertelen bejelentkezések jelenjenek meg:

Screenshot that shows how to use the Sign-in status control, with Failure selected.

Amikor kiválaszt egy bejelentkezési rekordot az eredmények listájában, megjelenik a rekord pillanatképe, beleértve a bejelentkezési állapotot, a bejelentkezési hibakódot és a hiba okát.

Screenshot of a sign-in failure details pane with the error code and failure reason highlighted.

A modul összefoglaló leckéjében megtalálja a hibakódok teljes listájára mutató hivatkozást. Az alábbi tábla néhány hibakódot és azok hivatalos leírását ismerteti:

Hiba Leírás
50002 A bejelentkezés sikertelen volt a bérlő korlátozott proxy-hozzáférése miatt. Saját bérlői szabályzat esetén módosíthatja a korlátozott bérlői beállításokat a probléma megoldásához.
50005 A felhasználók olyan platformról próbáltak bejelentkezni egy eszközre, amely jelenleg nem támogatott feltételes hozzáférési szabályzattal.
50020 A felhasználó az alábbi okok valamelyike miatt nem jogosult: a felhasználó egy MSA-fiókkal próbál bejelentkezni a v1-végponttal, vagy a felhasználó nem létezik a bérlőben. Lépjen kapcsolatba az alkalmazás tulajdonosával.
50055 Érvénytelen jelszó lett megadva vagy a jelszó lejárt.
50057 A felhasználói fiók le van tiltva. Egy rendszergazda letiltotta a fiókot.
50074 A felhasználó nem felelt meg a többtényezős hitelesítéssel (MFA) kapcsolatos feladatnak.
50126 Érvénytelen felhasználónév vagy jelszó, vagy érvénytelen helyi felhasználónév vagy jelszó.
50133 A munkamenet érvénytelen, mert a jelszó lejárt vagy a közelmúltban módosítva lett.
50173 Friss hitelesítési jogkivonat szükséges. Jelentkeztesse be újra a felhasználót friss hitelesítő adatokkal.
53003 A hozzáférés feltételes hozzáférési szabályzatok miatt le lett tiltva.
65004 A felhasználó visszautasította az alkalmazáshoz való hozzáférést. Jelentkeztesse be újra a felhasználót úgy, hogy jóváhagyja az alkalmazást.
70019 Az ellenőrzőkód lejárt. A felhasználó próbálja meg újra a bejelentkezést.
80007 A hitelesítési ügynök nem tudja ellenőrizni a felhasználó jelszavát.
81007 A bérlőben nem engedélyezett a közvetlen egyszeri bejelentkezés.

Auditnapló-fájlokban

A naplózási fájlok a Microsoft Entra-bérlő összes tevékenységének előzményeit adják meg. A naplózási naplók a megfelelőség érdekében vannak fenntartva, és minden rendszertevékenységről nyilvántartást vezetnek. Előfordulhat, hogy a legutóbbi tevékenységek a előfordulásuk után legfeljebb egy óráig nem szerepelnek az eredményekben.

Naplók előfeltételei

A naplófájlok eléréséhez a bérlő legalább egy felhasználójának globális Rendszergazda istrator, jelentésolvasó, biztonsági olvasó vagy biztonsági Rendszergazda istrator szerepkörrel kell rendelkeznie.

Naplózási naplók nézet

Az auditnaplók elérése a Microsoft Entra-példányon keresztül az Azure Portalon. A Figyelés menü bal oldali menüjében válassza az Auditnaplók lehetőséget.

A bejelentkezési naplókhoz hasonlóan a naplózási naplókat is módosíthatja az igényeinek megfelelően. Az auditnaplók alapértelmezett nézetében a következő oszlopok jelennek meg:

  • Dátum
  • Szerviz
  • Kategória
  • Tevékenység
  • Állapot
  • Állapot oka
  • Cél (ok)
  • Kezdeményezője (színész)

A Felhasználói ügynök oszlopot is hozzáadhatja.

Screenshot that shows audit log columns and options.

Naplózási napló eredményeinek szűrése

A naplók több százezer bejegyzést tartalmazhatnak a teljes Azure-környezetből. Az adatkötet kezeléséhez szűrőket alkalmazhat az eredményekre a szükséges adatok megjelenítéséhez. Az adatokat csak a következő mezőkben lehet szűrni:

  • Dátum: Adjon meg egy dátumtartományt, amely egy hónaptól egy napig vagy egyéni intervallumtól függően változhat.
  • Dátumok megjelenítése a következőként: Válassza a Helyi vagy az UTC lehetőséget.
  • Szolgáltatás: Szűkítse le az eredményekben szereplő szolgáltatásokat.
  • Kategória: Adja meg a naplózás kívánt kategóriáját. Választhatja például a felügyeleti egységet vagy a felhasználókezelést.
  • Tevékenység: A beállítások a kiválasztott szolgáltatás típusától és kategóriájától függenek.
  • Állapot: Szűrés a tevékenység sikeressége vagy hibája alapján.

Válassza a Szűrők hozzáadása lehetőséget az alábbi szűrők egyikének kiválasztásához:

  • Cél: Szűrés célnévre vagy felhasználónévre.
  • Kezdeményezője (színész):: Adjon meg egy felhasználónevet vagy egy univerzális egyszerű nevet, amelyen szűrni szeretne. Mindkét név megkülönbözteti a kis- és nagybetűket.
  • Felhasználói ügynök: Szűrés felhasználónév alapján.

Naplók letöltése

Amikor a szűrőket alkalmazva egy kezelhető és meghatározott részhalmazra szűkíti az adatokat, letöltheti az adatokat. Az auditnapló-rekordok letöltésekor legfeljebb a legutóbbi 250 000 olyan rekordot kaphatja meg, amelyek megfelelnek az alkalmazott szűrési feltételeknek.

A bejelentkezési naplókhoz hasonlóan válasszon ki egy formátumot az adatokhoz, a CSV-hez vagy a JSON-hoz, majd adja meg a letöltés fájlnevét.

Naplók elérése felhasználókon, csoportokon és vállalati alkalmazásokon keresztül

A Microsoft Entra-példányhoz gyűjtött bejelentkezési naplókat és naplókat felhasználókon, csoportokon és vállalati alkalmazásokon keresztül érheti el. Az adatok előre szűrve vannak a használt hozzáférési pontnak megfelelően. Ha a felhasználók menüjén keresztül fér hozzá a naplókhoz, csak a felhasználókhoz kapcsolódó naplóadatokat látja. Ugyanez igaz a csoportokra és a vállalati alkalmazásokra is.

Ha a Microsoft Entra-példányból szeretné elérni a felhasználói bejelentkezési naplókat vagy a felhasználói naplózási naplókat, a Bal oldali menüBen válassza a Felhasználók lehetőséget. Ezután a Tevékenység csoportban válassza ki a megtekinteni kívánt naplótípust.

Screenshot of the logs you can select through the Users menu.

Ha egy csoport naplóit a Microsoft Entra-példányból szeretné elérni, válassza a Csoportok lehetőséget a bal oldali menüben.

Tesztelje tudását

1.

Melyik naplóban talál információt a használt többtényezős hitelesítési módszerről?

2.

Melyik naplóban találhatók az Identity Protection szolgáltatással kapcsolatos információk?