Beveiligingscontroles inschakelen voor Azure Active Directory Domain Services
Azure Active Directory Met beveiligingscontroles van Domain Services (Azure AD DS) kan Azure beveiligingsgebeurtenissen streamen naar doelresources. Deze resources omvatten Azure Storage, Azure Log Analytics-werkruimten of Azure Event Hub. Nadat u beveiligingscontrolegebeurtenissen hebt ingeschakeld, Azure AD DS alle gecontroleerde gebeurtenissen voor de geselecteerde categorie naar de doelresource.
U kunt gebeurtenissen archiveren in Azure Storage en gebeurtenissen streamen naar SIEM-software (Security Information and Event Management) (of gelijkwaardig) met behulp van Azure Event Hubs, of uw eigen analyse uitvoeren en Azure Log Analytics-werkruimten van de Azure Portal.
Belangrijk
Azure AD DS zijn alleen beschikbaar voor Azure Resource Manager beheerde domeinen. Zie Migrate Azure AD DS from the Classic virtual network model to Resource Manager (Migratie van het klassieke virtuele netwerkmodel naar Resource Manager) voor meer informatie over Resource Manager.
Bestemmingen voor beveiligingscontrole
U kunt Azure Storage, Azure Event Hubs of Azure Log Analytics-werkruimten gebruiken als doelresource voor Azure AD DS beveiligingscontroles. Deze bestemmingen kunnen worden gecombineerd. U kunt bijvoorbeeld Azure Storage voor het archiveren van beveiligingscontrolegebeurtenissen, maar een Azure Log Analytics-werkruimte om de informatie op korte termijn te analyseren en te rapporteren.
De volgende tabel bevat een overzicht van scenario's voor elk doelresourcetype.
Belangrijk
U moet de doelresource maken voordat u beveiligingscontroles Azure AD DS inschakelen. U kunt deze resources maken met behulp van de Azure Portal, Azure PowerShell of de Azure CLI.
| Doelresource | Scenario |
|---|---|
| Azure Storage | Dit doel moet worden gebruikt wanneer het uw primaire behoefte is om beveiligingscontrolegebeurtenissen op te slaan voor archiveringsdoeleinden. Andere doelen kunnen worden gebruikt voor archiveringsdoeleinden, maar deze doelen bieden mogelijkheden die verder gaan dan de primaire noodzaak van archivering. Voordat u beveiligingscontrolegebeurtenissen Azure AD DS inschakelen, moet u eerst een Azure Storage maken. |
| Azure Event Hubs | Dit doel moet worden gebruikt wanneer het uw primaire behoefte is om beveiligingscontrolegebeurtenissen te delen met aanvullende software, zoals software voor gegevensanalyse of beveiligingsgegevens & SIEM-software (Event Management). Voordat u beveiligingscontrolegebeurtenissen Azure AD DS inschakelen, maakt u een Event Hub met behulp van Azure Portal |
| Azure Log Analytics-werkruimte | Dit doel moet worden gebruikt wanneer het uw primaire behoefte is om beveiligde controles van de Azure Portal controleren. Voordat u beveiligingscontrolegebeurtenissen Azure AD DS inschakelen, maakt u een Log Analytics-werkruimte in de Azure Portal. |
Beveiligingscontrolegebeurtenissen inschakelen met behulp van Azure Portal
Als u Azure AD DS beveiligingscontrolegebeurtenissen wilt inschakelen met behulp van Azure Portal, moet u de volgende stappen uitvoeren.
Belangrijk
Azure AD DS beveiligingscontroles zijn niet met terugwerkende kracht. U kunt gebeurtenissen uit het verleden niet ophalen of opnieuw afspelen. Azure AD DS kunnen alleen gebeurtenissen verzenden die plaatsvinden nadat beveiligingscontroles zijn ingeschakeld.
Meld u aan bij Azure Portal op https://portal.azure.com.
Zoek en selecteer bovenaan Azure Portal de Azure AD Domain Services. Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.
Selecteer in Azure AD DS het venster Diagnostische instellingen aan de linkerkant.
Er zijn standaard geen diagnostische gegevens geconfigureerd. Selecteer Diagnostische instelling toevoegen om aan de slag te gaan.
Voer een naam in voor de diagnostische configuratie, zoals aadds-auditing.
Vink het selectievakje aan voor de verantwoordelijke bestemming voor de beveiligingscontrole. U kunt kiezen uit een Azure Storage account, een Azure Event Hub of een Log Analytics-werkruimte. Deze doelbronnen moeten al bestaan in uw Azure-abonnement. U kunt de doelbronnen niet maken in deze wizard.
- Azure Storage
- Selecteer Archiveren naar een opslagaccount en kies vervolgens Configureren.
- Selecteer het abonnement en het Storage account dat u wilt gebruiken om beveiligingscontrolegebeurtenissen te archiveren.
- Wanneer u klaar bent, kiest u OK.
- Azure Event Hubs
- Selecteer Streamen naar een Event Hub en kies vervolgens Configureren.
- Selecteer het Abonnement en de Event Hub-naamruimte. Kies indien nodig ook een Event Hub-naam en vervolgens Event Hub-beleidsnaam.
- Wanneer u klaar bent, kiest u OK.
- Azure Log Analytic-werkruimten
- Selecteer Verzenden naar Log Analytics en kies vervolgens het abonnement en de Log Analytics-werkruimte die u wilt gebruiken voor het opslaan van beveiligingscontrolegebeurtenissen.
- Azure Storage
Selecteer de logboekcategorieën die u wilt gebruiken voor de specifieke doelresource. Als u de controlegebeurtenissen naar een Azure Storage account verzendt, kunt u ook een bewaarbeleid configureren dat het aantal dagen definieert dat gegevens moeten worden bewaard. De standaardinstelling 0 behoudt alle gegevens en roteert gebeurtenissen niet na een bepaalde periode.
U kunt binnen één configuratie verschillende logboekcategorieën selecteren voor elke doelresource. Met deze mogelijkheid kunt u bijvoorbeeld kiezen welke logboekcategorieën u wilt bewaren voor Log Analytics en welke logboekcategorieën u wilt archiveren.
Wanneer u klaar bent, selecteert u Opslaan om uw wijzigingen door te voeren. De doelbronnen ontvangen Azure AD DS beveiligingscontrolegebeurtenissen kort nadat de configuratie is opgeslagen.
Beveiligingscontrolegebeurtenissen inschakelen met Azure PowerShell
Als u Azure AD DS beveiligingscontrolegebeurtenissen wilt inschakelen met behulp Azure PowerShell, moet u de volgende stappen uitvoeren. Installeer zo nodig eerst de module Azure PowerShell en maak verbinding met uw Azure-abonnement.
Belangrijk
Azure AD DS beveiligingscontroles zijn niet met terugwerkende kracht. U kunt gebeurtenissen uit het verleden niet ophalen of opnieuw afspelen. Azure AD DS kunnen alleen gebeurtenissen verzenden die plaatsvinden nadat beveiligingscontroles zijn ingeschakeld.
Verifieert u bij uw Azure-abonnement met Verbinding maken-AzAccount-cmdlet. Voer des gevraagd uw accountreferenties in.
Connect-AzAccountMaak de doelresource voor de beveiligingscontrolegebeurtenissen.
Azure Storage - Een opslagaccount maken met Azure PowerShell
Azure Event Hubs - Maak een Event Hub met behulp van Azure PowerShell. Mogelijk moet u ook de cmdlet New-AzEventHubAuthorizationRule gebruiken om een autorisatieregel te maken die Azure AD DS machtigingen verleent aan de event hub-naamruimte. De autorisatieregel moet de rechten Beheren, Luisteren en Verzenden bevatten.
Belangrijk
Zorg ervoor dat u de autorisatieregel in de Event Hub-naamruimte in stelt en niet de Event Hub zelf.
Azure Log Analytic-werkruimten - Maak een Log Analytics-werkruimte met Azure PowerShell.
Haal de resource-id voor uw Azure AD DS beheerd domein op met behulp van de cmdlet Get-AzResource. Maak een variabele met de naam $aadds. ResourceId voor het gebruik van de waarde:
$aadds = Get-AzResource -name aaddsDomainNameConfigureer de diagnostische Azure-instellingen met behulp van de cmdlet Set-AzDiagnosticSetting om de doelresource te gebruiken Azure AD Domain Services beveiligingscontrolegebeurtenissen. In de volgende voorbeelden wordt de variabele $aadds. ResourceId wordt gebruikt uit de vorige stap.
Azure Storage: vervang storageAccountId door de naam van uw opslagaccount:
Set-AzDiagnosticSetting ` -ResourceId $aadds.ResourceId ` -StorageAccountId storageAccountId ` -Enabled $trueAzure Event Hubs: vervang eventHubName door de naam van uw Event Hub en eventHubRuleId door uw autorisatieregel-id:
Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId ` -EventHubName eventHubName ` -EventHubAuthorizationRuleId eventHubRuleId ` -Enabled $trueAzure Log Analytics-werkruimten: vervang workspaceId door de id van de Log Analytics-werkruimte:
Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId ` -WorkspaceID workspaceId ` -Enabled $true
Beveiligingscontrolegebeurtenissen opvragen en weergeven met behulp van Azure Monitor
Met Log Analytic-werkruimten kunt u de beveiligingscontrolegebeurtenissen bekijken en analyseren met behulp van Azure Monitor en de Kusto-querytaal. Deze querytaal is ontworpen voor alleen-lezengebruik en biedt mogelijkheden voor energie-analyse met een gemakkelijk te lezen syntaxis. Zie de volgende artikelen voor meer informatie om aan de slag te gaan met Kusto-querytalen:
- Azure Monitor-documentatie
- Aan de slag met Log Analytics in Azure Monitor
- Aan de slag met logboekquery’s in Azure Monitor
- Dashboards van Log Analytics-gegevens maken en delen
De volgende voorbeeldquery's kunnen worden gebruikt om te beginnen met het analyseren van beveiligingscontrolegebeurtenissen van Azure AD DS.
Voorbeeldquery 1
Alles weergeven de gebeurtenissen voor accountvergrendeling voor de afgelopen zeven dagen:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Voorbeeldquery 2
Alles weergeven de gebeurtenissen voor accountvergrendeling (4740) tussen 3 juni 2020 om 9.00 uur en 10 juni 2020 middernacht, oplopend gesorteerd op datum en tijd:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc
Voorbeeldquery 3
Bekijk de aanmeldingsgebeurtenissen van het account zeven dagen geleden (vanaf nu) voor het account met de naam gebruiker:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Voorbeeldquery 4
Bekijk aanmeldingsgebeurtenissen voor account zeven dagen geleden voor het account met de naam gebruiker die zich heeft geprobeerd aan te melden met een slecht wachtwoord (0xC0000006a):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Voorbeeldquery 5
Bekijk aanmeldingsgebeurtenissen voor het account van zeven dagen geleden voor het account met de naam gebruiker die zich probeerde aan te melden terwijl het account was vergrendeld (0xC0000234):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Voorbeeldquery 6
Bekijk het aantal aanmeldingsgebeurtenissen voor het account dat zeven dagen geleden is opgetreden voor alle aanmeldingspogingen voor alle vergrendelde gebruikers:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()
Gebeurteniscategorieën controleren
Azure AD DS beveiligingscontroles zijn afgestemd op traditionele controle voor traditionele AD DS domeincontrollers. In hybride omgevingen kunt u bestaande controlepatronen opnieuw gebruiken, zodat dezelfde logica kan worden gebruikt bij het analyseren van de gebeurtenissen. Afhankelijk van het scenario dat u moet oplossen of analyseren, moeten de verschillende categorieën voor controlegebeurtenissen worden gericht.
De volgende controlegebeurteniscategorieën zijn beschikbaar:
| Categorienaam controleren | Beschrijving |
|---|---|
| Aanmelding bij account | Controles proberen accountgegevens te verifiëren op een domeincontroller of op een lokale Security Accounts Manager (SAM).Instellingen voor aanmeldings- en aanmeldingsbeleid en gebeurtenissen houden pogingen tot toegang tot een bepaalde computer bij. Instellingen gebeurtenissen in deze categorie zijn gericht op de accountdatabase die wordt gebruikt. Deze categorie bevat de volgende subcategorieën: |
| Accountbeheer | Controleert wijzigingen in gebruikers- en computeraccounts en -groepen. Deze categorie bevat de volgende subcategorieën: |
| Details bijhouden | Controleert activiteiten van afzonderlijke toepassingen en gebruikers op die computer en om te begrijpen hoe een computer wordt gebruikt. Deze categorie bevat de volgende subcategorieën: |
| Toegang tot Directory Services | Controles proberen objecten in de Active Directory Domain Services (AD DS) te openen en te AD DS. Deze controlegebeurtenissen worden alleen geregistreerd op domeincontrollers. Deze categorie bevat de volgende subcategorieën: |
| Logon-Logoff | Controles proberen zich interactief of via een netwerk aan te melden bij een computer. Deze gebeurtenissen zijn handig voor het bijhouden van gebruikersactiviteiten en het identificeren van mogelijke aanvallen op netwerkresources. Deze categorie bevat de volgende subcategorieën:
|
| Objecttoegang | Controleert pogingen om toegang te krijgen tot specifieke objecten of typen objecten op een netwerk of computer. Deze categorie bevat de volgende subcategorieën:
|
| Beleidswijziging | Controleert wijzigingen in belangrijke beveiligingsbeleidsregels op een lokaal systeem of netwerk. Beleidsregels worden doorgaans ingesteld door beheerders om netwerkbronnen te beveiligen. Het bewaken van wijzigingen of pogingen om dit beleid te wijzigen, kan een belangrijk aspect zijn van beveiligingsbeheer voor een netwerk. Deze categorie bevat de volgende subcategorieën: |
| Gebruik van bevoegdheden | Controleert het gebruik van bepaalde machtigingen op een of meer systemen. Deze categorie bevat de volgende subcategorieën: |
| Systeem | Controleert wijzigingen op systeemniveau op een computer die niet zijn opgenomen in andere categorieën en die mogelijke gevolgen voor de beveiliging hebben. Deze categorie bevat de volgende subcategorieën: |
Gebeurtenis-ID's per categorie
Azure AD DS beveiligingscontroles registreren de volgende gebeurtenis-ID's wanneer de specifieke actie een controleerbare gebeurtenis activeert:
| Naam gebeurteniscategorie | Gebeurtenis-ID's |
|---|---|
| Aanmeldingsbeveiliging voor account | 4767, 4774, 4775, 4776, 4777 |
| Accountbeheerbeveiliging | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Beveiliging voor het bijhouden van details | Geen |
| DS Access-beveiliging | 5136, 5137, 5138, 5139, 5141 |
| Logon-Logoff beveiliging | 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964 |
| Beveiliging van objecttoegang | Geen |
| Beveiliging van beleidswijziging | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Beveiliging voor het gebruik van bevoegdheden | 4985 |
| Systeembeveiliging | 4612, 4621 |
Volgende stappen
Zie de volgende artikelen voor specifieke informatie over Kusto:
- Overzicht van de Kusto-querytaal.
- Kusto-zelfstudie om vertrouwd te raken met de basisbeginselen van query's.
- Voorbeeldquery's die u helpen nieuwe manieren te leren om uw gegevens te bekijken.
- Kusto-best practices om uw query's te optimaliseren voor succes.