Операции безопасности для инфраструктуры
В инфраструктуре есть множество компонентов, в которых при неправильной настройке могут возникнуть уязвимости. В рамках стратегии мониторинга и оповещения для инфраструктуры осуществляйте мониторинг и создавайте оповещения о событиях в следующих областях:
Аутентификация и авторизация
Компоненты гибридной проверки подлинности Серверы федерации
Политики
Подписки
Стратегия мониторинга и оповещения для компонентов инфраструктуры проверки подлинности является критически важной. Любая компрометация может привести к полной компрометации всей среды. Многие предприятия, использующие идентификатор Microsoft Entra, работают в гибридной среде проверки подлинности. Облачные и локальные компоненты необходимо включить в стратегию мониторинга и оповещения. При использовании среды гибридной проверки подлинности возникает еще один вектор атаки на вашу среду.
Мы рекомендуем считать все компоненты и учетные записи, используемые для управления ими, ресурсами уровня управления или уровня 0. Рекомендации по разработке и реализации среды см. в руководстве Обеспечение безопасности привилегированного доступа. Это руководство содержит рекомендации по каждому из компонентов гибридной проверки подлинности, которые потенциально могут использоваться для клиента Microsoft Entra.
Первым шагом, позволяющим обнаруживать непредвиденные события и возможные атаки, является создание базовых показателей. Для всех локальных компонентов, перечисленных в этой статье, см. статью Развертывание привилегированного доступа, которая входит в руководство по обеспечению безопасности привилегированного доступа.
Где искать
Для исследования и мониторинга используйте файлы журнала:
В портал Azure можно просмотреть журналы аудита Microsoft Entra и скачать как файлы с разделительными запятыми (CSV) или нотацией объектов JavaScript (JSON). В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:
Microsoft Sentinel – включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor — включает автоматический мониторинг и оповещение о разных условиях. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.
Центры событий Azure интеграции с SIEM — журналы Microsoft Entra можно интегрировать с другими SIEMs, такими как Splunk, ArcSight, QRadar и Sumo Logic с помощью интеграции Центры событий Azure.
Microsoft Defender for Cloud Apps – позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои приложения на соответствие требованиям.
Защита удостоверений рабочих нагрузок с помощью предварительной версии защиты идентификации — используется для обнаружения рисков для удостоверений рабочих нагрузок в режиме входа и автономных индикаторов компрометации.
В оставшейся части этой статьи описывается, для чего мы рекомендуем реализовать мониторинг и создание оповещений. Сведения упорядочены по типам угроз. Для предварительно созданных решений после таблицы предоставляются ссылки. В противном случае можно создавать оповещения с помощью предыдущих средств.
Инфраструктура проверки подлинности
В гибридных средах, которые содержат как локальные, так и облачные ресурсы и учетные записи, инфраструктура Active Directory является ключевой частью стека проверки подлинности. Стек также является целевым объектом для атак, поэтому его нужно настроить так, чтобы поддерживать безопасность среды, и осуществлять за ним надлежащий мониторинг. Примеры текущих типов атак, используемых в инфраструктуре проверки подлинности, включают методы распыления паролей и компрометацию Solorigate. Ниже приведены ссылки на статьи, с которыми мы советуем ознакомиться:
Общие сведения о защите привилегированного доступа. В этой статье приводятся общие сведения об актуальных методах, основанных на принципе "Никому не доверяй", используемых для создания и поддержки безопасного привилегированного доступа.
Отслеживаемые действия в Microsoft Defender для удостоверений. В этой статье представлен полный список действий по мониторингу и настройке оповещений.
Основные сведения об оповещениях безопасности Microsoft Defender для удостоверений. В этой статье приводятся рекомендации по созданию и реализации стратегии оповещений системы безопасности.
Ниже приведены ссылки на конкретные статьи, в которых основное внимание уделяется мониторингу инфраструктуры проверки подлинности и оповещениям.
Пути горизонтального движения в Microsoft Defender для удостоверений — методы обнаружения, которые позволяют определить, что учетные записи без статуса конфиденциальных используются для получения доступа к конфиденциальным учетным записям в сети.
Работа с оповещениями системы безопасности в Microsoft Defender для удостоверений — здесь описано, как просматривать оповещения и управлять ими после регистрации.
Ниже приведены конкретные аспекты, на которые следует обратить внимание:
| Что отслеживать | Уровень риска | Где | Примечания. |
|---|---|---|---|
| Тенденции блокировки экстрасети. | Высокая | Microsoft Entra Connect Health | См. сведения о мониторинге AD FS с помощью Microsoft Entra Подключение Health для средств и методов, помогающих обнаруживать тенденции блокировки экстрасети. |
| Неудавшиеся попытки входа в систему | Высокая | Подключение Connect Health | Экспортируйте или скачайте отчет о ненадежном IP-адресе и следуйте указаниям в статье Отчет о ненадежном IP-адресе (общедоступная предварительная версия). |
| Соответствие требованиям конфиденциальности. | Низкая | Microsoft Entra Connect Health | Настройте Microsoft Entra Подключение Health, чтобы отключить коллекции данных и мониторинг с помощью конфиденциальности пользователей и статьи Microsoft Entra Подключение Health. |
| Потенциальная атака методом подбора на LDAP | Средняя | Microsoft Defender для удостоверений | Используйте датчик, чтобы обнаружить потенциальные атаки методом подбора на LDAP. |
| Разведывательная разведка перечисления учетных записей | Средняя | Microsoft Defender для удостоверений | Используйте датчик для обнаружения рекогносцировки путем перечисления учетных записей. |
| Общая корреляция между идентификатором Microsoft Entra и Azure AD FS | Средняя | Microsoft Defender для удостоверений | Используйте возможности для сопоставления действий между идентификатором Microsoft Entra и средами Azure AD FS. |
Мониторинг сквозной проверки подлинности
Сквозная проверка подлинности Microsoft Entra выполняет вход пользователей, проверяя пароли непосредственно в локальная служба Active Directory.
Ниже приведены конкретные аспекты, на которые следует обратить внимание:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Приложение и служба Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 — не удалось подключиться к Active Directory | Убедитесь, что серверы с агентами являются членами того же леса, что и пользователи, чьи пароли должны быть проверены, и могут подключиться к Active Directory. |
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Приложение и служба Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 — истекло время ожидания подключения к Active Directory | Убедитесь, что служба Active Directory доступна и отвечает на запросы агентов. |
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Приложение и служба Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 — агенту передано недопустимое имя пользователя | Убедитесь, что пользователь пытается войти в систему с правильным именем пользователя. |
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Приложение и служба Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 — при проверке обнаружено непредсказуемое исключение WebException | Это временная проблема. Повторите запрос. Если проблема не исчезла, обратитесь в службу поддержки Майкрософт. |
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Приложение и служба Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 — произошла ошибка при обмене данными с Active Directory | Посмотрите дополнительные сведения в журналах агентов и убедитесь, что Active Directory работает должным образом. |
| Ошибки сквозной проверки подлинности Microsoft Entra | Высокая | API функции Win32 LogonUserA | События входа 4624(s) — учетная запись успешно использована для входа в систему — сопоставляются с — 4625(F) — учетную запись не удалось использовать для входа в систему. |
Используйте с подозреваемыми именами пользователей на контроллере домена, который выполняет проверку подлинности запросов. См. Функция LogonUserA (winbase.h) |
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Скрипт PowerShell контроллера домена | Запрос приводится после этой таблицы. | Используйте сведения в microsoft Entra Подключение: устранение неполадок сквозной проверки подлинностидля получения рекомендаций. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Мониторинг создания новых клиентов Microsoft Entra
Организациям может потребоваться отслеживать и оповещать о создании новых клиентов Microsoft Entra, когда действие инициируется удостоверениями из своего клиента организации. Отслеживание этого сценария позволяет контролировать количество создаваемых арендаторов, которым могут получить доступ пользователи.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Создание нового клиента Microsoft Entra с помощью удостоверения из вашего клиента. | Средняя | Журналы аудита Microsoft Entra | Категория: управление каталогами. Действие: создание компании. |
В целевых объектах отображается созданный идентификатор TenantID. |
Соединитель частной сети
Идентификатор Microsoft Entra и прокси приложения Microsoft Entra предоставляют удаленным пользователям возможность единого входа. Пользователи безопасно подключаются к локальным приложениям без использования виртуальной частной сети (VPN), серверов с двумя адресами и правил брандмауэра. Если сервер соединителя частной сети Microsoft Entra скомпрометирован, злоумышленники могут изменить интерфейс единого входа или изменить доступ к опубликованным приложениям.
Сведения о настройке мониторинга для Application Proxy см. в статье Устранение неполадок и сообщения об ошибках Application Proxy. Файл данных, который записывает сведения, можно найти в журналах приложений и служб\Microsoft\Microsoft Entra private network\Подключение or\Администратор. Полное справочное руководство по активности аудита см. в справочнике по действиям аудита Microsoft Entra. Что нужно отслеживать:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Ошибки Kerberos | Средняя | Различные средства | Средняя | Руководство по ошибкам проверки подлинности Kerberos см. в разделе об ошибках Kerberos в статье Устранение неполадок и сообщения об ошибках Application Proxy. |
| Проблемы с безопасностью DC | Высокая | Журналы аудита безопасности DC | Идентификатор события 4742(S): учетная запись компьютера изменена -и- Флаг — доверено для делегирования –или– Флаг — доверено для проверки подлинности для делегирования |
Изучите любые изменения флагов. |
| Атаки типа Pass-the-Ticket | Высокая | Следуйте указаниям в следующих статьях: Рекогносцировка субъекта безопасности (LDAP) (внешний идентификатор 2038) Руководство. Оповещения о скомпрометированных учетных данных Общие сведения о путях бокового смещения и их использовании с Microsoft Defender для удостоверений Общие сведения о профилях сущностей |
Параметры устаревших методов проверки подлинности
Чтобы обеспечить эффективность многофакторной проверки подлинности (MFA), необходимо также заблокировать устаревшие методы. Затем необходимо отслеживать среду и настроить оповещения об использовании устаревших методов проверки подлинности. Устаревшие протоколы проверки подлинности, например POP, SMTP, IMAP и MAPI, не могут требовать использование MFA. Это делает такие протоколы предпочтительными точками входа для злоумышленников. Дополнительные сведения о средствах, которые можно использовать для блокирования устаревших методов аутентификации, см. в статье Новые средства блокировки устаревших методов проверки подлинности в организации.
Устаревшая проверка подлинности фиксируется в журнале входа Microsoft Entra как часть сведений о событии. Для выявления случаев использования устаревших методов проверки подлинности можно использовать книгу Azure Monitor. Дополнительные сведения см. в статье "Входы с использованием устаревшей проверки подлинности", которая является частью использования книг Azure Monitor для отчетов Microsoft Entra. Кроме того, можно использовать книгу незащищенных протоколов для Microsoft Sentinel. Дополнительные сведения см. в руководстве по использованию книги незащищенных протоколов Microsoft Sentinel. Ниже перечислены конкретные действия, которые необходимо отслеживать:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Устаревшие методы проверки подлинности | Высокая | Журнал входа Microsoft Entra | ClientApp: POP ClientApp: IMAP ClientApp: MAPI ClientApp: SMTP ClientApp: ActiveSync go to EXO Другие клиенты: SharePoint и EWS |
В средах федеративного домена неудачные попытки проверки подлинности не регистрируются, а значит они не появятся в журнале. |
Microsoft Entra Connect
Microsoft Entra Подключение предоставляет централизованное расположение, которое обеспечивает синхронизацию учетных записей и атрибутов между локальной и облачной средой Microsoft Entra. Microsoft Entra Подключение — это средство Майкрософт, предназначенное для удовлетворения и достижения целей гибридной идентификации. Она предоставляет следующие возможности.
Синхронизация хэша паролей — метод входа, который синхронизирует хэш локального пароля AD пользователя с идентификатором Microsoft Entra.
Синхронизация. Отвечает за создание пользователей, групп и других объектов. Также она обеспечивает согласованность сведений о пользователях и группах в локальной и в облачной средах. Эта синхронизация также включает хэши паролей.
монитор работоспособности . Microsoft Entra Подключение Health может обеспечить надежный мониторинг и предоставить центральное расположение в портал Azure для просмотра этого действия.
Синхронизация удостоверений между локальной и облачной средами представляет новое направление атак для локальной и облачной сред. Примите во внимание следующие рекомендации.
Microsoft Entra Подключение первичных и промежуточных серверов в качестве систем уровня 0 в плоскости управления.
Следуйте стандартному набору политик, который управляет каждым типом учетной записи и его использованием в вашей среде.
Вы устанавливаете Microsoft Entra Подключение и Подключение Health. Эти средства в основном предоставляют операционные данные для среды.
Ведение журнала операций Microsoft Entra Подключение происходит разными способами:
Мастер microsoft Entra Подключение записывает данные
\ProgramData\AADConnectв журнал. При каждом вызове мастера создается файл журнала трассировки с меткой времени. Журнал трассировки можно импортировать в Sentinel или другие сторонние средства управление информационной безопасностью и событиями безопасности (SIEM) для анализа.Некоторые операции инициируют скрипт PowerShell для сбора данных журнала. Для сбора этих данных необходимо убедиться в том, что включено ведение журнала блоков скриптов.
Мониторинг изменений конфигурации
Идентификатор Microsoft Entra использует обработчик данных Microsoft SQL Server или SQL для хранения сведений о конфигурации Microsoft Entra Подключение. Таким образом, стратегия мониторинга и аудита должна включать мониторинг и аудит файлов журнала, связанных с конфигурацией. В частности, включите следующие таблицы в стратегию мониторинга и оповещения.
| Что отслеживать | Где | Примечания. |
|---|---|---|
| mms_management_agent | Записи аудита службы SQL | См. Записи аудита SQL Server |
| mms_partition | Записи аудита службы SQL | См. Записи аудита SQL Server |
| mms_run_profile | Записи аудита службы SQL | См. Записи аудита SQL Server |
| mms_server_configuration | Записи аудита службы SQL | См. Записи аудита SQL Server |
| mms_synchronization_rule | Записи аудита службы SQL | См. Записи аудита SQL Server |
Сведения о том, какие сведения о конфигурации отслеживать и как это делать, см. в следующих источниках:
При использовании сервера SQL см. статью Записи аудита SQL Server.
При использовании Microsoft Sentinel см. статью Подключение к серверам Windows для получения сведений о событиях безопасности.
Сведения о настройке и использовании microsoft Entra Подключение см. в статье "Что такое Microsoft Entra Подключение?
Мониторинг и устранение неполадок с синхронизацией
Одной из функций Microsoft Entra Подключение является синхронизация хэша между локальным паролем пользователя и идентификатором Microsoft Entra. Неполадки с синхронизацией паролей могут повлиять на всех пользователей или некоторое их подмножество. Используйте следующие сведения для проверки правильности работы или устранения неполадок:
Сведения о проверка синхронизации хэша и устранении неполадок см. в статье "Устранение неполадок синхронизации хэша паролей с помощью Microsoft Entra Подключение Sync".
Изменения в пространствах соединителей см. в статье "Устранение неполадок с объектами и атрибутами Microsoft Entra Подключение".
Важные ресурсы по мониторингу
| Что отслеживать | Ресурсы |
|---|---|
| Проверка синхронизации хэша | Сведения об устранении неполадок синхронизации хэша паролей с помощью microsoft Entra Подключение Sync |
| Изменения в пространствах соединителей | Устранение неполадок объектов и атрибутов Microsoft Entra Подключение |
| Изменения настроенных правил | Отслеживайте изменение по следующим параметрам: фильтрация, домен и подразделение, атрибуты и изменения на основе групп |
| Изменения SQL и MSDE | Изменения параметров ведения журнала и добавление настраиваемых функций. |
Осуществляйте мониторинг по следующим критериям:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Изменения планировщика | Высокая | PowerShell | Set-ADSyncScheduler | Обратите внимание на изменения в расписании |
| Изменения запланированных задач | Высокая | Журналы аудита Microsoft Entra | Действие: 4699(S) — запланированная задача удалена –или– Действие: 4701(s) — запланированная задача отключена –или– Действие = 4702: запланированная задача была обновлена |
Отслеживайте все изменения. |
Дополнительные сведения о ведении журналов операций сценариев PowerShell см. в разделе Включение ведения журнала блоков скриптов справочной документации по PowerShell.
Дополнительные сведения о настройке ведения журнала PowerShell для анализа с помощью Splunk см. в руководстве по передаче данных в Splunk User Behavior Analytics.
Мониторинг простого единого входа
Microsoft Entra простой единый вход (Простой единый вход) автоматически входит в систему пользователей, когда они находятся на корпоративных настольных компьютерах, подключенных к корпоративной сети. Данная функция предоставляет пользователям удобный доступ к облачным приложениям и не требует устанавливать новые локальные компоненты. Единый вход использует возможности сквозной проверки подлинности и синхронизации хэша паролей, предоставляемые Microsoft Entra Подключение.
Мониторинг действий единого входа и действий Kerberos поможет обнаружить общие шаблоны атак, осуществляемых с целью кражи учетных данных. Организуйте мониторинг, используя следующие данные:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Ошибки, связанные с единым входом и проверкой Kerberos | Средняя | Журнал входа Microsoft Entra | Список кодов ошибок единого входа см. в статье Единый вход. | |
| Запрос на устранение ошибок | Средняя | PowerShell | См. запрос под таблицей. Проверьте каждый лес с включенным единым входом. | Проверьте каждый лес с включенным единым входом. |
| События, связанные с Kerberos | Высокая | Мониторинг Microsoft Defender для удостоверений | Ознакомьтесь с инструкциями в статье Пути горизонтального движения в Microsoft Defender для удостоверений. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Управление политиками защиты паролем
При развертывании защиты паролей Microsoft Entra мониторинг и отчеты являются важными задачами. Следующие ссылки помогут вам понять различные методы мониторинга, в том числе сведения о том, где каждая служба записывает сведения и как сообщать об использовании защиты паролей Microsoft Entra.
Агент контроллера домена и прокси-службы записывают сообщения в журнал событий. Все командлеты PowerShell, описанные ниже, доступны только на прокси-сервере (см. модуль AzureADPasswordProtection для PowerShell). Программное обеспечение агента контроллера домена не устанавливает модуль PowerShell.
Подробные сведения о планировании и реализации локальной защиты паролей доступны на сайте Plan и deploy on-on-on-microsoft Entra Password Protection. Сведения о мониторинге см. в разделе "Мониторинг локальной защиты паролей Microsoft Entra". На каждом контроллере домена программное обеспечение службы агента контроллера домена записывает каждый отдельный результат операции проверки паролей (и другие состояния) в следующий локальный журнал событий:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Журнал администратора агента контроллера домена является главным источником информации о поведении программного обеспечения. По умолчанию журнал трассировки отключен. Его нужно включить до регистрации данных. Чтобы устранить неполадки прокси приложения и сообщения об ошибках, подробные сведения см. в описании устранения неполадок прокси приложения Microsoft Entra. Информация для этих событий заносится в следующие журналы:
Журналы приложений и служб\Microsoft\Microsoft Entra private network\Подключение or\Администратор
Журнал аудита Microsoft Entra, прокси приложения категории
Полный справочник по действиям аудита Microsoft Entra доступен в справочнике по действиям аудита Microsoft Entra.
Условный доступ
В идентификаторе Microsoft Entra можно защитить доступ к ресурсам, настроив политики условного доступа. ИТ-администратору нужно убедиться, что политики условного доступа работают должным образом, чтобы гарантировать надежную защиту своих ресурсов. Мониторинг и оповещение об изменениях в службе условного доступа позволяет обеспечить правильное применение политик доступа к данным, определенных вашей организацией. Журналы Microsoft Entra при внесении изменений в условный доступ, а также предоставляют книги, чтобы гарантировать, что политики обеспечивают ожидаемое покрытие.
Ссылки на книги
Отслеживайте изменения политик условного доступа, используя следующие сведения:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Новая политика условного доступа создана неутвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие. Добавление политики условного доступа Категория: политика Кем инициировано (субъект): имя субъекта-пользователя |
Мониторинг и оповещение об изменениях условного доступа. Кем инициировано (субъект): утверждено для внесения изменений в условный доступ? Шаблон Microsoft Sentinel Sigma-правила |
| Политика условного доступа удалена неутвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие. Удаление политики условного доступа Категория: политика Кем инициировано (субъект): имя субъекта-пользователя |
Мониторинг и оповещение об изменениях условного доступа. Кем инициировано (субъект): утверждено для внесения изменений в условный доступ? Шаблон Microsoft Sentinel Sigma-правила |
| Политика условного доступа обновлена неутвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие. Обновление политики условного доступа Категория: политика Кем инициировано (субъект): имя субъекта-пользователя |
Мониторинг и оповещение об изменениях условного доступа. Кем инициировано (субъект): утверждено для внесения изменений в условный доступ? Просмотр измененных свойств и сравнение "старых" и "новых" значений Шаблон Microsoft Sentinel Sigma-правила |
| Удаление пользователя из группы, используемой для определения области критических политик условного доступа | Средняя | Журналы аудита Microsoft Entra | Действие: удаление участника из группы Категория: GroupManagement Целевой объект: имя субъекта-пользователя |
Мониторинг и оповещение групп, используемых для определения области критических политик условного доступа. "Целевой объект"— это пользователь, который был удален. Sigma-правила |
| Добавление пользователя в группу, используемую для определения области критических политик условного доступа | Низкая | Журналы аудита Microsoft Entra | Действие: добавление участника в группу Категория: GroupManagement Целевой объект: имя субъекта-пользователя |
Мониторинг и оповещение групп, используемых для определения области критических политик условного доступа. "Целевой объект" — это добавленный пользователь. Sigma-правила |
Следующие шаги
Обзор операций безопасности Microsoft Entra
Операции безопасности для учетных записей пользователей
Операции безопасности для учетных записей потребителей
Операции безопасности для привилегированных учетных записей
Операции по обеспечению безопасности службы Azure Active Directory Privileged Identity Management