Share via

Włączanie inspekcji zabezpieczeń i dns dla usług Microsoft Entra Domain Services

  • Artykuł

Inspekcje zabezpieczeń i dns usług Microsoft Entra Domain Services umożliwiają usłudze Azure przesyłanie strumieniowe zdarzeń do zasobów docelowych. Te zasoby obejmują usługi Azure Storage, obszary robocze usługi Azure Log Analytics lub centrum zdarzeń platformy Azure. Po włączeniu zdarzeń inspekcji zabezpieczeń usługi Domain Services wysyła wszystkie zdarzenia inspekcji dla wybranej kategorii do docelowego zasobu.

Zdarzenia można archiwizować w usłudze Azure Storage i przesyłać strumieniowo do oprogramowania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) (lub równoważnego) przy użyciu usługi Azure Event Hubs, albo przeprowadzić własną analizę i użyć obszarów roboczych usługi Azure Log Analytics z centrum administracyjnego firmy Microsoft Entra.

Miejsca docelowe inspekcji zabezpieczeń

Obszary robocze usługi Azure Storage, Azure Event Hubs lub Azure Log Analytics można używać jako zasobu docelowego na potrzeby inspekcji zabezpieczeń usług Domain Services. Te miejsca docelowe można łączyć. Na przykład możesz użyć usługi Azure Storage do archiwizowania zdarzeń inspekcji zabezpieczeń, ale obszar roboczy usługi Azure Log Analytics umożliwia analizowanie i raportowanie informacji w krótkim okresie.

W poniższej tabeli przedstawiono scenariusze dla każdego typu zasobu docelowego.

Ważne

Przed włączeniem inspekcji zabezpieczeń usług Domain Services należy utworzyć zasób docelowy. Te zasoby można utworzyć przy użyciu centrum administracyjnego firmy Microsoft, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Zasób docelowy Scenariusz
Azure Storage Ten element docelowy powinien być używany, gdy podstawową potrzebą jest przechowywanie zdarzeń inspekcji zabezpieczeń w celach archiwalnych. Inne cele mogą być używane do celów archiwalnych, jednak te cele zapewniają możliwości wykraczające poza podstawową potrzebę archiwizacji.

Przed włączeniem zdarzeń inspekcji zabezpieczeń usług Domain Services najpierw utwórz konto usługi Azure Storage.
Azure Event Hubs Ten element docelowy powinien być używany, gdy podstawową potrzebą jest udostępnianie zdarzeń inspekcji zabezpieczeń za pomocą dodatkowego oprogramowania, takiego jak oprogramowanie do analizy danych lub oprogramowanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

Przed włączeniem zdarzeń inspekcji zabezpieczeń usług Domain Services utwórz centrum zdarzeń przy użyciu centrum administracyjnego firmy Microsoft Entra
Obszar roboczy usługi Azure Log Analytics Ten cel powinien być używany, gdy podstawową potrzebą jest analizowanie i przeglądanie bezpiecznych inspekcji bezpośrednio z centrum administracyjnego firmy Microsoft Entra.

Przed włączeniem zdarzeń inspekcji zabezpieczeń usług Domain Services utwórz obszar roboczy usługi Log Analytics w centrum administracyjnym firmy Microsoft Entra.

Włączanie zdarzeń inspekcji zabezpieczeń przy użyciu centrum administracyjnego firmy Microsoft Entra

Aby włączyć zdarzenia inspekcji zabezpieczeń usług Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra, wykonaj następujące kroki.

Ważne

Inspekcje zabezpieczeń usług Domain Services nie są wsteczne. Nie można pobrać ani odtworzyć zdarzeń z przeszłości. Usługi Domain Services mogą wysyłać zdarzenia występujące tylko po włączeniu inspekcji zabezpieczeń.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny Administracja istrator.

  2. Wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.

  3. W oknie Usługi domenowe wybierz pozycję Ustawienia diagnostyczne po lewej stronie.

  4. Domyślnie nie skonfigurowano żadnej diagnostyki. Aby rozpocząć, wybierz pozycję Dodaj ustawienie diagnostyczne.

    Add a diagnostic setting for Microsoft Entra Domain Services

  5. Wprowadź nazwę konfiguracji diagnostycznej, taką jak aadds-auditing.

    Zaznacz pole wyboru dla żądanego miejsca docelowego inspekcji zabezpieczeń lub dns. Możesz wybrać obszar roboczy usługi Log Analytics, konto usługi Azure Storage, centrum zdarzeń platformy Azure lub rozwiązanie partnerskie. Te zasoby docelowe muszą już istnieć w ramach subskrypcji platformy Azure. Nie można utworzyć zasobów docelowych w tym kreatorze.

    • Obszary robocze usługi Azure Log Analytics
      • Wybierz pozycję Wyślij do usługi Log Analytics, a następnie wybierz obszar roboczy Subskrypcji i usługi Log Analytics, którego chcesz użyć do przechowywania zdarzeń inspekcji.
    • Magazyn platformy Azure
      • Wybierz pozycję Archiwum na koncie magazynu, a następnie wybierz pozycję Konfiguruj.
      • Wybierz subskrypcję i konto magazynu, którego chcesz użyć do archiwizowania zdarzeń inspekcji.
      • Gdy wszystko będzie gotowe, wybierz przycisk OK.
    • Centra zdarzeń platformy Azure
      • Wybierz pozycję Stream do centrum zdarzeń, a następnie wybierz pozycję Konfiguruj.
      • Wybierz pozycję Subskrypcja i przestrzeń nazw centrum zdarzeń. W razie potrzeby wybierz również nazwę centrum zdarzeń, a następnie nazwę zasad centrum zdarzeń.
      • Gdy wszystko będzie gotowe, wybierz przycisk OK.
    • Rozwiązanie partnerskie
      • Wybierz pozycję Wyślij do rozwiązania partnerskiego, a następnie wybierz subskrypcję i lokalizację docelową, której chcesz użyć do przechowywania zdarzeń inspekcji.

  6. Wybierz kategorie dzienników, które mają zostać uwzględnione dla określonego zasobu docelowego. Jeśli wysyłasz zdarzenia inspekcji do konta usługi Azure Storage, możesz również skonfigurować zasady przechowywania, które definiują liczbę dni przechowywania do przechowywania danych. Ustawienie domyślne 0 zachowuje wszystkie dane i nie obraca zdarzeń po upływie czasu.

    W ramach jednej konfiguracji można wybrać różne kategorie dzienników dla każdego docelowego zasobu. Ta możliwość umożliwia wybranie kategorii dzienników, które mają być zachowywane dla usługi Log Analytics, oraz kategorii dzienników, które mają zostać zarchiwizowane, na przykład.

  7. Po zakończeniu wybierz pozycję Zapisz , aby zatwierdzić zmiany. Zasoby docelowe zaczynają odbierać zdarzenia inspekcji usług Domain Services wkrótce po zapisaniu konfiguracji.

Włączanie zdarzeń inspekcji zabezpieczeń i dns przy użyciu programu Azure PowerShell

Aby włączyć zdarzenia inspekcji usług Domain Services i DNS przy użyciu programu Azure PowerShell, wykonaj następujące kroki. W razie potrzeby najpierw zainstaluj moduł Azure PowerShell i połącz się z subskrypcją platformy Azure.

Ważne

Inspekcje usług Domenowych nie są wsteczne. Nie można pobrać ani odtworzyć zdarzeń z przeszłości. Usługi domenowe mogą wysyłać zdarzenia występujące tylko po włączeniu inspekcji.

  1. Uwierzytelnij się w subskrypcji platformy Azure przy użyciu polecenia cmdlet Połączenie-AzAccount. Po wyświetleniu monitu wprowadź poświadczenia konta.

    Connect-AzAccount

  2. Utwórz zasób docelowy dla zdarzeń inspekcji.

  3. Pobierz identyfikator zasobu dla domeny zarządzanej usług Domain Services przy użyciu polecenia cmdlet Get-AzResource . Utwórz zmienną o nazwie $aadds. ResourceId do przechowywania wartości:

    $aadds = Get-AzResource -name aaddsDomainName

  4. Skonfiguruj ustawienia diagnostyczne platformy Azure przy użyciu polecenia cmdlet Set-AzDiagnosticSetting , aby użyć zasobu docelowego dla zdarzeń inspekcji usług Microsoft Entra Domain Services. W poniższych przykładach zmienna $aadds. Identyfikator ResourceId jest używany w poprzednim kroku.

    • Azure Storage — zastąp wartość storageAccountId nazwą konta magazynu:

      Set-AzDiagnosticSetting `
    -ResourceId $aadds.ResourceId `
    -StorageAccountId storageAccountId `
    -Enabled $true

    • Azure event hubs — zastąp element eventHubName nazwą centrum zdarzeń i eventHubRuleId identyfikatorem reguły autoryzacji:

      Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId `
    -EventHubName eventHubName `
    -EventHubAuthorizationRuleId eventHubRuleId `
    -Enabled $true

    • Obszary robocze usługi Azure Log Analytics — zastąp identyfikator workspaceId identyfikatorem obszaru roboczego usługi Log Analytics:

      Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId `
    -WorkspaceID workspaceId `
    -Enabled $true

Wykonywanie zapytań i wyświetlanie zdarzeń inspekcji usługi DNS i zabezpieczeń przy użyciu usługi Azure Monitor

Obszary robocze analizy dzienników umożliwiają wyświetlanie i analizowanie zdarzeń inspekcji zabezpieczeń i dns przy użyciu usługi Azure Monitor i języka zapytań Kusto. Ten język zapytań jest przeznaczony do użytku tylko do odczytu, który oferuje możliwości analityczne z łatwą do odczytania składnią. Aby uzyskać więcej informacji na temat rozpoczynania pracy z językami zapytań Kusto, zobacz następujące artykuły:

Poniższe przykładowe zapytania mogą służyć do rozpoczęcia analizowania zdarzeń inspekcji z usług Domain Services.

Przykładowe zapytanie 1

Wyświetl wszystkie zdarzenia blokady konta z ostatnich siedmiu dni:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Przykładowe zapytanie 2

Wyświetl wszystkie zdarzenia blokady konta (4740) między 3 czerwca 2020 r. o godzinie 9:00 i 10 czerwca 2020 r., posortowane rosnąco według daty i godziny:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc

Przykładowe zapytanie 3

Wyświetl zdarzenia logowania konta siedem dni temu (od teraz) dla konta o nazwie użytkownik:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Przykładowe zapytanie 4

Wyświetl zdarzenia logowania do konta siedem dni temu dla konta o nazwie użytkownik, które próbowało zalogować się przy użyciu nieprawidłowego hasła (0xC0000006a):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Przykładowe zapytanie 5

Wyświetl zdarzenia logowania konta siedem dni temu dla konta o nazwie użytkownik, które próbowało się zalogować, gdy konto zostało zablokowane (0xC0000234):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Przykładowe zapytanie 6

Wyświetl liczbę zdarzeń logowania konta siedem dni temu dla wszystkich prób logowania, które wystąpiły dla wszystkich zablokowanych użytkowników:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()

Inspekcja kategorii zabezpieczeń i zdarzeń DNS

Inspekcje zabezpieczeń usług Domenowych i DNS są zgodne z tradycyjnymi inspekcjami dla tradycyjnych kontrolerów domeny usług AD DS. W środowiskach hybrydowych można ponownie użyć istniejących wzorców inspekcji, aby ta sama logika mogła być używana podczas analizowania zdarzeń. W zależności od scenariusza, który należy rozwiązać lub przeanalizować, należy zastosować różne kategorie zdarzeń inspekcji.

Dostępne są następujące kategorie zdarzeń inspekcji:

Nazwa kategorii inspekcji opis
Konto logowania Inspekcja próbuje uwierzytelnić dane konta na kontrolerze domeny lub w lokalnym Menedżerze kont zabezpieczeń (SAM).
-Ustawienia zasad logowania i wylogowywanie oraz zdarzenia śledzą próby uzyskania dostępu do określonego komputera. Ustawienia i zdarzenia w tej kategorii koncentrują się na używanej bazie danych kont. Ta kategoria obejmuje następujące podkategorie:
-Sprawdzanie poprawności poświadczeń inspekcji
-Inspekcja usługi uwierzytelniania Kerberos
-Inspekcja operacji biletu usługi Kerberos
-Inspekcja innych zdarzeń logowania/wylogowania
Zarządzanie kontem Przeprowadza inspekcję zmian w kontach i grupach użytkowników i komputerów. Ta kategoria obejmuje następujące podkategorie:
-Inspekcja zarządzania grupami aplikacji
-Inspekcja zarządzania kontami komputerów
-Inspekcja zarządzania grupami dystrybucyjni
-Inspekcja zarządzania innymi kontami
-Inspekcja zarządzania grupami zabezpieczeń
-Inspekcja zarządzania kontami użytkowników
Serwer DNS Przeprowadza inspekcję zmian w środowiskach DNS. Ta kategoria obejmuje następujące podkategorie:
- DNSServerAuditsDynamic Aktualizacje (wersja zapoznawcza)
- DNSServerAuditsGeneral (wersja zapoznawcza)
Śledzenie szczegółów Przeprowadza inspekcję działań poszczególnych aplikacji i użytkowników na tym komputerze oraz zrozumienie sposobu użycia komputera. Ta kategoria obejmuje następujące podkategorie:
-Inspekcja działania interfejsu DPAPI
-Inspekcja działania pnp
-Inspekcja tworzenia procesu
-Zakończenie procesu inspekcji
-Inspekcja zdarzeń RPC
Dostęp do usług katalogowych Inspekcja prób uzyskania dostępu do obiektów i modyfikowania ich w usługach domena usługi Active Directory Services (AD DS). Te zdarzenia inspekcji są rejestrowane tylko na kontrolerach domeny. Ta kategoria obejmuje następujące podkategorie:
-Inspekcja szczegółowej replikacji usługi katalogowej
-Inspekcja dostępu do usługi katalogowej
-Inspekcja zmian usługi katalogowej
-Inspekcja replikacji usługi katalogowej
Wylogowywanie Inspekcja próbuje zalogować się do komputera interaktywnie lub za pośrednictwem sieci. Te zdarzenia są przydatne do śledzenia aktywności użytkownika i identyfikowania potencjalnych ataków na zasoby sieciowe. Ta kategoria obejmuje następujące podkategorie:
-Inspekcja blokady konta
-Inspekcja oświadczeń użytkowników/urządzeń
-Inspekcja trybu rozszerzonego protokołu IPsec
-Inspekcja członkostwa w grupie
-Inspekcja trybu głównego protokołu IPsec
-Inspekcja trybu szybkiego protokołu IPsec
-Inspekcja wylogowania
-Inspekcja logowania
-Inspekcja serwera zasad sieciowych
-Inspekcja innych zdarzeń logowania/wylogowania
-Inspekcja logowania specjalnego
Dostęp do obiektów Przeprowadza inspekcję prób uzyskania dostępu do określonych obiektów lub typów obiektów w sieci lub komputerze. Ta kategoria obejmuje następujące podkategorie:
-Wygenerowana aplikacja inspekcji
-Inspekcja usług certyfikacji
-Inspekcja szczegółowego udziału plików
-Inspekcja udziału plików
-Inspekcja systemu plików
-Inspekcja Połączenie platformy filtrowania
-Przeprowadź inspekcję porzucania pakietów platformy filtrowania
-Inspekcja manipulowania dojściem
-Inspekcja obiektu jądra
-Inspekcja innych zdarzeń dostępu do obiektów
-Rejestr inspekcji
-Inspekcja magazynu wymiennego
-Inspekcja protokołu SAM
-Inspekcja przemieszczania centralnych zasad dostępu
Zmiana zasad Przeprowadza inspekcję zmian w ważnych zasadach zabezpieczeń w systemie lokalnym lub sieci. Zasady są zwykle ustanawiane przez administratorów w celu zabezpieczenia zasobów sieciowych. Monitorowanie zmian lub prób zmiany tych zasad może być ważnym aspektem zarządzania zabezpieczeniami sieci. Ta kategoria obejmuje następujące podkategorie:
-Inspekcja zmian zasad inspekcji
-Inspekcja zmian zasad uwierzytelniania
-Zmiana zasad autoryzacji inspekcji
-Inspekcja zmiany zasad platformy filtrowania
-Inspekcja zmian zasad na poziomie reguł MPSSVC
-Inspekcja innych zmian zasad
Użycie uprawnień Przeprowadza inspekcję użycia określonych uprawnień w co najmniej jednym systemie. Ta kategoria obejmuje następujące podkategorie:
-Inspekcja niewrażliwego użycia uprawnień
-Inspekcja użycia poufnych uprawnień
-Inspekcja innych zdarzeń użycia uprawnień
Zadania systemowe Przeprowadza inspekcję zmian na poziomie systemu na komputerze, które nie są uwzględnione w innych kategoriach i które mają potencjalne konsekwencje dla bezpieczeństwa. Ta kategoria obejmuje następujące podkategorie:
-Inspekcja sterownika IPsec
-Inspekcja innych zdarzeń systemowych
-Inspekcja zmiany stanu zabezpieczeń
-Inspekcja rozszerzenia systemu zabezpieczeń
-Inspekcja integralności systemu

Identyfikatory zdarzeń na kategorię

Inspekcje zabezpieczeń usług Domain Services i DNS rejestrują następujące identyfikatory zdarzeń, gdy określona akcja wyzwala zdarzenie z możliwością inspekcji:

Nazwa kategorii zdarzeń Identyfikatory zdarzeń
Zabezpieczenia logowania do konta 4767, 4774, 4775, 4776, 4777
Zabezpieczenia zarządzania kontami 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Zabezpieczenia śledzenia szczegółów Brak
Serwer DNS 513-523, 525-531, 533-537, 540-582
Zabezpieczenia dostępu do usług DS 5136, 5137, 5138, 5139, 5141
Zabezpieczenia logowania i wylogowywanie 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Zabezpieczenia dostępu do obiektów Brak
Zmiana zabezpieczeń zasad 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Zabezpieczenia użycia uprawnień 4985
Zabezpieczenia systemu 4612, 4621

Następne kroki

Aby uzyskać szczegółowe informacje na temat usługi Kusto, zobacz następujące artykuły:

  • Omówienie języka zapytań Kusto.
  • Samouczek kusto, aby zapoznać się z podstawami zapytań.
  • Przykładowe zapytania , które ułatwiają poznanie nowych sposobów wyświetlenia danych.
  • Najlepsze rozwiązania kusto w celu zoptymalizowania zapytań pod kątem powodzenia.