Beveiliging en DNS-controles inschakelen voor Microsoft Entra Domain Services
Microsoft Entra Domain Services-beveiliging en DNS-controles laten Azure gebeurtenissen streamen naar doelbronnen. Deze resources omvatten Azure Storage, Azure Log Analytics-werkruimten of Azure Event Hub. Nadat u beveiligingscontrolegebeurtenissen hebt ingeschakeld, verzendt Domain Services alle gecontroleerde gebeurtenissen voor de geselecteerde categorie naar de doelresource.
U kunt gebeurtenissen archiveren in Azure Storage en gebeurtenissen streamen naar SIEM-software (Security Information and Event Management) (of gelijkwaardig) met behulp van Azure Event Hubs, of uw eigen analyse uitvoeren en Azure Log Analytics-werkruimten gebruiken vanuit het Microsoft Entra-beheercentrum.
Doelen voor beveiligingscontrole
U kunt Azure Storage-, Azure Event Hubs- of Azure Log Analytics-werkruimten gebruiken als doelresource voor Domain Services-beveiligingscontroles. Deze bestemmingen kunnen worden gecombineerd. U kunt bijvoorbeeld Azure Storage gebruiken voor het archiveren van beveiligingscontrolegebeurtenissen, maar een Azure Log Analytics-werkruimte om de informatie op korte termijn te analyseren en te rapporteren.
De volgende tabel bevat scenario's voor elk doelresourcetype.
Belangrijk
U moet de doelresource maken voordat u Domain Services-beveiligingscontroles inschakelt. U kunt deze resources maken met behulp van het Microsoft Entra-beheercentrum, Azure PowerShell of de Azure CLI.
| Doelresource | Scenario |
|---|---|
| Azure Storage | Dit doel moet worden gebruikt wanneer uw primaire behoefte is om beveiligingscontrolegebeurtenissen op te slaan voor archiveringsdoeleinden. Andere doelen kunnen worden gebruikt voor archiveringsdoeleinden, maar deze doelen bieden mogelijkheden die verder gaan dan de primaire behoefte aan archivering. Voordat u beveiligingscontrolegebeurtenissen voor Domain Services inschakelt, moet u eerst een Azure Storage-account maken. |
| Azure Event Hubs | Dit doel moet worden gebruikt wanneer uw primaire behoefte is om beveiligingscontrolegebeurtenissen te delen met aanvullende software, zoals software voor gegevensanalyse of SIEM-software (Security Information & Event Management). Voordat u Domain Services-beveiligingscontrolegebeurtenissen inschakelt, maakt u een Event Hub met behulp van het Microsoft Entra-beheercentrum |
| Azure Log Analytics-werkruimte | Dit doel moet worden gebruikt wanneer uw primaire behoefte is om beveiligde controles rechtstreeks vanuit het Microsoft Entra-beheercentrum te analyseren en te controleren. Voordat u beveiligingscontrolegebeurtenissen voor Domain Services inschakelt, maakt u een Log Analytics-werkruimte in het Microsoft Entra-beheercentrum. |
Beveiligingscontrolegebeurtenissen inschakelen met het Microsoft Entra-beheercentrum
Voer de volgende stappen uit om beveiligingscontrolegebeurtenissen van Domain Services in te schakelen met behulp van het Microsoft Entra-beheercentrum.
Belangrijk
Domain Services-beveiligingscontroles zijn niet met terugwerkende kracht. U kunt gebeurtenissen uit het verleden niet ophalen of opnieuw afspelen. Domain Services kan alleen gebeurtenissen verzenden die plaatsvinden nadat beveiligingscontroles zijn ingeschakeld.
Meld u als globale Beheer istrator aan bij het Microsoft Entra-beheercentrum.
Zoek en selecteer Microsoft Entra Domain Services. Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.
Selecteer diagnostische instellingen aan de linkerkant in het venster Domain Services.
Er zijn standaard geen diagnostische gegevens geconfigureerd. Selecteer Diagnostische instelling toevoegen om aan de slag te gaan.
Voer een naam in voor de diagnostische configuratie, zoals aadds-auditing.
Schakel het selectievakje in voor de gewenste beveiligings- of DNS-controlebestemming. U kunt kiezen uit een Log Analytics-werkruimte, een Azure Storage-account, een Azure Event Hub of een partneroplossing. Deze doelresources moeten al bestaan in uw Azure-abonnement. U kunt de doelresources in deze wizard niet maken.
- Azure Log Analytics-werkruimten
- Selecteer Verzenden naar Log Analytics en kies vervolgens het abonnement en de Log Analytics-werkruimte die u wilt gebruiken om controlegebeurtenissen op te slaan.
- Azure Storage
- Selecteer Archiveren in een opslagaccount en kies Vervolgens Configureren.
- Selecteer het abonnement en het opslagaccount dat u wilt gebruiken om controlegebeurtenissen te archiveren.
- Wanneer u klaar bent, kiest u OK.
- Azure Event Hubs
- Selecteer Stream naar een Event Hub en kies Vervolgens Configureren.
- Selecteer het abonnement en de Event Hub-naamruimte. Kies indien nodig ook een Event Hub-naam en vervolgens de naam van het Event Hub-beleid.
- Wanneer u klaar bent, kiest u OK.
- Partneroplossing
- Selecteer Verzenden naar partneroplossing en kies vervolgens het abonnement en doel dat u wilt gebruiken om controlegebeurtenissen op te slaan.
- Azure Log Analytics-werkruimten
Selecteer de logboekcategorieën die u wilt opnemen voor de specifieke doelresource. Als u de controlegebeurtenissen naar een Azure Storage-account verzendt, kunt u ook een bewaarbeleid configureren waarmee het aantal dagen voor het bewaren van gegevens wordt gedefinieerd. Met een standaardinstelling van 0 blijven alle gegevens behouden en worden gebeurtenissen na een bepaalde periode niet geroteerd.
U kunt verschillende logboekcategorieën selecteren voor elke doelresource binnen één configuratie. Met deze mogelijkheid kunt u kiezen welke logboekcategorieën u wilt bewaren voor Log Analytics en welke logboekcategorieën u wilt archiveren, bijvoorbeeld.
Wanneer u klaar bent, selecteert u Opslaan om uw wijzigingen door te voeren. De doelbronnen ontvangen binnenkort auditgebeurtenissen van Domain Services nadat de configuratie is opgeslagen.
Beveiligings- en DNS-controlegebeurtenissen inschakelen met Behulp van Azure PowerShell
Voer de volgende stappen uit om Domain Services-beveiligings- en DNS-controlegebeurtenissen in te schakelen met behulp van Azure PowerShell. Installeer zo nodig eerst de Azure PowerShell-module en maak verbinding met uw Azure-abonnement.
Belangrijk
Domain Services-controles zijn niet met terugwerkende kracht. U kunt gebeurtenissen uit het verleden niet ophalen of opnieuw afspelen. Domain Services kan alleen gebeurtenissen verzenden die plaatsvinden nadat controles zijn ingeschakeld.
Verifieer bij uw Azure-abonnement met behulp van de cmdlet Verbinding maken-AzAccount. Voer uw accountreferenties in wanneer u hierom wordt gevraagd.
Connect-AzAccountMaak de doelresource voor de controlegebeurtenissen.
Azure Log Analytics-werkruimten - maken een Log Analytics-werkruimte met Azure PowerShell.
Azure Storage - Een opslagaccount maken met behulp van Azure PowerShell
Azure Event Hubs - Een Event Hub maken met behulp van Azure PowerShell. Mogelijk moet u ook de cmdlet New-AzEventHubAuthorizationRule gebruiken om een autorisatieregel te maken waarmee Domain Services-machtigingen worden verleend aan de Event Hub-naamruimte. De autorisatieregel moet de rechten Beheren, Luisteren en Verzenden bevatten.
Belangrijk
Zorg ervoor dat u de autorisatieregel instelt op de Event Hub-naamruimte en niet op de Event Hub zelf.
Haal de resource-id voor het beheerde domein van Domain Services op met behulp van de cmdlet Get-AzResource . Maak een variabele met de naam $aadds. ResourceId voor het opslaan van de waarde:
$aadds = Get-AzResource -name aaddsDomainNameConfigureer de diagnostische instellingen van Azure met behulp van de cmdlet Set-AzDiagnosticSetting om de doelresource te gebruiken voor auditgebeurtenissen van Microsoft Entra Domain Services. In de volgende voorbeelden $aadds de variabele . ResourceId wordt gebruikt uit de vorige stap.
Azure Storage : vervang storageAccountId door de naam van uw opslagaccount:
Set-AzDiagnosticSetting ` -ResourceId $aadds.ResourceId ` -StorageAccountId storageAccountId ` -Enabled $trueAzure Event Hubs - EventHubName vervangen door de naam van uw Event Hub en eventHubRuleId door uw autorisatieregel-id:
Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId ` -EventHubName eventHubName ` -EventHubAuthorizationRuleId eventHubRuleId ` -Enabled $trueAzure Log Analytics-werkruimten : vervang workspaceId door de id van de Log Analytics-werkruimte:
Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId ` -WorkspaceID workspaceId ` -Enabled $true
Beveiligings- en DNS-controlegebeurtenissen opvragen en weergeven met behulp van Azure Monitor
Met Log Analytics-werkruimten kunt u de beveiligings- en DNS-controlegebeurtenissen bekijken en analyseren met behulp van Azure Monitor en de Kusto-querytaal. Deze querytaal is ontworpen voor alleen-lezengebruik met krachtige analysemogelijkheden met een gebruiksvriendelijke syntaxis. Zie de volgende artikelen voor meer informatie om aan de slag te gaan met Kusto-querytalen:
- Azure Monitor-documentatie
- Aan de slag met Log Analytics in Azure Monitor
- Aan de slag met logboekquery’s in Azure Monitor
- Dashboards van Log Analytics-gegevens maken en delen
De volgende voorbeeldquery's kunnen worden gebruikt om controlegebeurtenissen van Domain Services te analyseren.
Voorbeeldquery 1
Bekijk alle accountvergrendelingsevenementen voor de afgelopen zeven dagen:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Voorbeeldquery 2
Bekijk alle vergrendelingsgebeurtenissen van het account (4740) tussen 3 juni 2020 om 9 uur en 10 juni 2020 middernacht, oplopend gesorteerd op de datum en tijd:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc
Voorbeeldquery 3
Bekijk aanmeldingsgebeurtenissen van het account zeven dagen geleden (vanaf nu) voor het account met de naam gebruiker:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Voorbeeldquery 4
Bekijk aanmeldingsgebeurtenissen van het account zeven dagen geleden voor het account met de naam gebruiker dat zich probeerde aan te melden met een ongeldig wachtwoord (0xC0000006a):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Voorbeeldquery 5
Bekijk aanmeldingsgebeurtenissen van het account zeven dagen geleden voor het account met de naam gebruiker dat zich probeerde aan te melden terwijl het account was vergrendeld (0xC0000234):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Voorbeeldquery 6
Bekijk het aantal aanmeldingsgebeurtenissen van het account zeven dagen geleden voor alle aanmeldingspogingen die zijn opgetreden voor alle vergrendelde gebruikers:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()
Beveiligings- en DNS-gebeurteniscategorieën controleren
Domain Services-beveiliging en DNS-controles zijn afgestemd op traditionele controles voor traditionele AD DS-domeincontrollers. In hybride omgevingen kunt u bestaande controlepatronen opnieuw gebruiken, zodat dezelfde logica kan worden gebruikt bij het analyseren van de gebeurtenissen. Afhankelijk van het scenario dat u moet oplossen of analyseren, moeten de verschillende categorieën controlegebeurtenissen worden gericht.
De volgende controlegebeurteniscategorieën zijn beschikbaar:
| Naam van auditcategorie | Beschrijving |
|---|---|
| Accountaanmelding | Controles proberen accountgegevens te verifiëren op een domeincontroller of op een lokale Security Accounts Manager (SAM). -Aanmeldings- en afmeldingsbeleidsinstellingen en -gebeurtenissen volgen pogingen om toegang te krijgen tot een bepaalde computer. Instellingen en gebeurtenissen in deze categorie richten zich op de accountdatabase die wordt gebruikt. Deze categorie bevat de volgende subcategorieën: -Referentievalidatie controleren -Kerberos Authentication Service controleren -Kerberos-serviceticketbewerkingen controleren -Andere aanmeldings-/afmeldingsgebeurtenissen controleren |
| Accountbeheer | Controleert wijzigingen in gebruikers- en computeraccounts en -groepen. Deze categorie bevat de volgende subcategorieën: -Beheer van toepassingsgroepen controleren -Computeraccountbeheer controleren -Beheer van distributiegroepen controleren -Andere accountbeheer controleren -Beveiligingsgroepsbeheer controleren -Gebruikersaccountbeheer controleren |
| DNS Server | Controleert wijzigingen in DNS-omgevingen. Deze categorie bevat de volgende subcategorieën: - DNSServerAuditsDynamicUpdates (preview) - DNSServerAuditsGeneral (preview) |
| Details bijhouden | Controleert activiteiten van afzonderlijke toepassingen en gebruikers op die computer en om te begrijpen hoe een computer wordt gebruikt. Deze categorie bevat de volgende subcategorieën: -DPAPI-activiteit controleren -PNP-activiteit controleren -Proces maken controleren -Beëindiging van controleproces -RPC-gebeurtenissen controleren |
| Toegang tot Directory Services | Controles proberen objecten in Active Directory-domein Services (AD DS) te openen en te wijzigen. Deze controlegebeurtenissen worden alleen geregistreerd op domeincontrollers. Deze categorie bevat de volgende subcategorieën: -Gedetailleerde replicatie van adreslijstservice controleren -Toegang tot directoryservice controleren -Wijzigingen in directoryservice controleren -Replicatie van directoryservice controleren |
| Aanmelden-afmelden | Controles proberen zich interactief of via een netwerk aan te melden bij een computer. Deze gebeurtenissen zijn handig voor het bijhouden van gebruikersactiviteiten en het identificeren van mogelijke aanvallen op netwerkresources. Deze categorie bevat de volgende subcategorieën: -Accountvergrendeling controleren -Gebruikers-/apparaatclaims controleren -Uitgebreide IPsec-modus controleren -Groepslidmaatschap controleren -IPsec-hoofdmodus controleren -IPsec-snelle modus controleren -Afmelden controleren -Aanmelding controleren -Network Policy Server controleren -Andere aanmeldings-/afmeldingsgebeurtenissen controleren -Speciale aanmelding controleren |
| Objecttoegang | Controles proberen toegang te krijgen tot specifieke objecten of typen objecten op een netwerk of computer. Deze categorie bevat de volgende subcategorieën: -Gegenereerde toepassing controleren -Certificeringsservices controleren -Gedetailleerde bestandsshare controleren -Bestandsshare controleren -Bestandssysteem controleren -Controlefilterplatform Verbinding maken ion -Controleplatformpakket verwijderen -Manipulatie van controlegreep -Kernelobject controleren -Andere objecttoegangsgebeurtenissen controleren -Register controleren -Verwisselbare opslag controleren -SAM controleren -Fasering van centraal toegangsbeleid controleren |
| Beleidswijziging | Controleert wijzigingen in belangrijk beveiligingsbeleid op een lokaal systeem of netwerk. Beleidsregels worden doorgaans ingesteld door beheerders om netwerkbronnen te beveiligen. Het bewaken van wijzigingen of pogingen om dit beleid te wijzigen, kan een belangrijk aspect van beveiligingsbeheer voor een netwerk zijn. Deze categorie bevat de volgende subcategorieën: -Wijziging van controlebeleid controleren -Wijziging van verificatiebeleid controleren -Wijziging van autorisatiebeleid controleren -Wijziging van filterplatformbeleid controleren -Beleidswijziging op MPSSVC-regelniveau controleren -Andere beleidswijziging controleren |
| Gebruik van bevoegdheden | Controleert het gebruik van bepaalde machtigingen op een of meer systemen. Deze categorie bevat de volgende subcategorieën: -Gebruik van niet-gevoelige bevoegdheden controleren -Gebruik van gevoelige bevoegdheden controleren -Gebeurtenissen voor het gebruik van andere bevoegdheden controleren |
| System | Controleert wijzigingen op systeemniveau in een computer die niet zijn opgenomen in andere categorieën en die mogelijke gevolgen hebben voor de beveiliging. Deze categorie bevat de volgende subcategorieën: -IPsec-stuurprogramma controleren -Andere systeemgebeurtenissen controleren -Wijziging van beveiligingsstatus controleren -Beveiligingssysteemextensie controleren -Systeemintegriteit controleren |
Gebeurtenis-id's per categorie
Domain Services-beveiliging en DNS-controles registreren de volgende gebeurtenis-id's wanneer de specifieke actie een controleerbare gebeurtenis activeert:
| Naam gebeurteniscategorie | Gebeurtenis-id's |
|---|---|
| Aanmeldingsbeveiliging voor accounts | 4767, 4774, 4775, 4776, 4777 |
| Accountbeheerbeveiliging | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Details traceringsbeveiliging | Geen |
| DNS Server | 513-523, 525-531, 533-537, 540-582 |
| DS-toegangsbeveiliging | 5136, 5137, 5138, 5139, 5141 |
| Aanmeldingsbeveiliging | 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964 |
| Beveiliging van objecttoegang | Geen |
| Beveiliging van beleidswijziging | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Beveiliging voor privilegegebruik | 4985 |
| Systeembeveiliging | 4612, 4621 |
Volgende stappen
Zie de volgende artikelen voor specifieke informatie over Kusto:
- Overzicht van de Kusto-querytaal.
- Kusto-zelfstudie om vertrouwd te raken met de basisbeginselen van query's.
- Voorbeeldquery's waarmee u nieuwe manieren kunt leren om uw gegevens te bekijken.
- Aanbevolen procedures voor Kusto om uw query's te optimaliseren voor succes.