Aktivera säkerhetsgranskningar för Azure Active Directory Domain Services
Azure Active Directory Med Domain Services(Azure AD DS)-säkerhetsgranskningar kan Azure strömma säkerhetshändelser till målresurser. Dessa resurser omfattar Azure Storage, Azure Log Analytics-arbetsytor eller Azure Event Hub. När du aktiverar säkerhetsgranskningshändelser skickar Azure AD DS alla granskade händelser för den valda kategorin till målresursen.
Du kan arkivera händelser i Azure Storage och strömma händelser till programvara för säkerhetsinformation och händelsehantering (SIEM) (eller motsvarande) med hjälp av Azure Event Hubs, eller göra din egen analys och använda Azure Log Analytics-arbetsytor från Azure Portal.
Viktigt
Azure AD DS säkerhetsgranskningar är endast tillgängliga för Azure Resource Manager-baserade hanterade domäner. Information om hur du migrerar finns i Migrera Azure AD DS från den klassiska virtuella nätverksmodellen till Resource Manager.
Mål för säkerhetsgranskning
Du kan använda Azure Storage, Azure Event Hubs eller Azure Log Analytics-arbetsytor som en målresurs för Azure AD DS säkerhetsgranskningar. Dessa mål kan kombineras. Du kan till exempel använda Azure Storage för arkivering av säkerhetsgranskningshändelser, men en Azure Log Analytics-arbetsyta för att analysera och rapportera om informationen på kort sikt.
I följande tabell beskrivs scenarier för varje målresurstyp.
Viktigt
Du måste skapa målresursen innan du aktiverar Azure AD DS säkerhetsgranskningar. Du kan skapa dessa resurser med hjälp Azure Portal, Azure PowerShell eller Azure CLI.
| Målresurs | Scenario |
|---|---|
| Azure Storage | Det här målet bör användas när ditt primära behov är att lagra säkerhetsgranskningshändelser i arkiveringssyfte. Andra mål kan användas i arkiveringssyfte, men dessa mål ger funktioner utöver det primära behovet av arkivering. Innan du aktiverar Azure AD DS säkerhetsgranskningshändelser börjar du med att skapa ett Azure Storage konto. |
| Azure Event Hubs | Det här målet bör användas när ditt primära behov är att dela säkerhetsgranskningshändelser med ytterligare programvara, till exempel programvara för dataanalys eller &-program för händelsehantering (SIEM). Innan du aktiverar Azure AD DS säkerhetsgranskningshändelser skapar du en händelsehubb med Azure Portal |
| Azure Log Analytics-arbetsyta | Det här målet bör användas när ditt primära behov är att analysera och granska säkra granskningar från Azure Portal direkt. Innan du aktiverar Azure AD DS säkerhetsgranskningshändelser skapar du en Log Analytics-arbetsyta i Azure Portal. |
Aktivera säkerhetsgranskningshändelser med hjälp av Azure Portal
Om du Azure AD DS säkerhetsgranskningshändelser med hjälp Azure Portal du följande steg.
Viktigt
Azure AD DS säkerhetsgranskningar är inte retroaktiva. Du kan inte hämta eller spela upp händelser från tidigare. Azure AD DS kan bara skicka händelser som inträffar när säkerhetsgranskningar har aktiverats.
Logga in på Azure Portal på https://portal.azure.com.
Längst upp i Azure Portal du efter och väljer Azure AD Domain Services. Välj din hanterade domän, till exempel aaddscontoso.com.
I Azure AD DS väljer du Diagnostikinställningar till vänster.
Ingen diagnostik konfigureras som standard. Kom igång genom att välja Lägg till diagnostikinställning.
Ange ett namn för diagnostikkonfigurationen, till exempel aadds-auditing.
Markera kryssrutan för det mål för säkerhetsgranskning som du vill använda. Du kan välja mellan ett Azure Storage konto, en Azure-händelsehubb eller en Log Analytics-arbetsyta. Dessa målresurser måste redan finnas i din Azure-prenumeration. Du kan inte skapa målresurserna i den här guiden.
- Azure Storage
- Välj Arkivera till ett lagringskonto och välj sedan Konfigurera.
- Välj prenumerationen och det Storage som du vill använda för att arkivera säkerhetsgranskningshändelser.
- När du är klar väljer du OK.
- Azure Event Hubs
- Välj Strömma till en händelsehubb och välj sedan Konfigurera.
- Välj namnområdet Prenumeration och Händelsehubb. Om det behövs väljer du även ett namn på händelsehubben och sedan händelsehubbens principnamn.
- När du är klar väljer du OK.
- Azure Log Analytic-arbetsytor
- Välj Skicka till Log Analytics och välj sedan den prenumeration och Log Analytics-arbetsyta som du vill använda för att lagra säkerhetsgranskningshändelser.
- Azure Storage
Välj de loggkategorier som du vill ska ingå för den specifika målresursen. Om du skickar granskningshändelserna till ett Azure Storage-konto kan du också konfigurera en bevarandeprincip som definierar antalet dagar som data ska behållas. Standardinställningen 0 behåller alla data och roterar inte händelser efter en viss tidsperiod.
Du kan välja olika loggkategorier för varje målresurs i en enda konfiguration. Med den här funktionen kan du välja vilka loggkategorier som du vill behålla för Log Analytics och vilka loggar kategorier som du till exempel vill arkivera.
När du är klar väljer du Spara för att genomföra ändringarna. Målresurserna börjar ta emot Azure AD DS säkerhetsgranskningshändelser strax efter att konfigurationen har sparats.
Aktivera säkerhetsgranskningshändelser med hjälp av Azure PowerShell
Om du Azure AD DS säkerhetsgranskningshändelser med hjälp Azure PowerShell du följande steg. Om det behövs installerar du först Azure PowerShell-modulen och ansluter till din Azure-prenumeration.
Viktigt
Azure AD DS säkerhetsgranskningar är inte retroaktiva. Du kan inte hämta eller spela upp händelser från tidigare. Azure AD DS kan bara skicka händelser som inträffar när säkerhetsgranskningar har aktiverats.
Autentisera till din Azure-prenumeration med hjälp Anslut-AzAccount-cmdleten. Ange autentiseringsuppgifterna för ditt konto när du uppmanas till det.
Connect-AzAccountSkapa målresursen för säkerhetsgranskningshändelserna.
Azure Storage - Skapa ett lagringskonto med Azure PowerShell
Azure Event Hubs - Skapa en händelsehubb med hjälp av Azure PowerShell. Du kan också behöva använda cmdleten New-AzEventHubAuthorizationRule för att skapa en auktoriseringsregel som ger Azure AD DS behörigheter till händelsehubbens namnområde. Auktoriseringsregeln måste innehålla behörigheterna Hantera, Lyssna och Skicka.
Viktigt
Se till att du anger auktoriseringsregeln för händelsehubbens namnområde och inte själva händelsehubben.
Azure Log Analytic-arbetsytor - Skapa en Log Analytics-arbetsyta med Azure PowerShell.
Hämta resurs-ID:t för Azure AD DS hanterad domän med hjälp av cmdleten Get-AzResource. Skapa en variabel med namnet $aadds. ResourceId som ska innehålla värdet:
$aadds = Get-AzResource -name aaddsDomainNameKonfigurera Azure-diagnostikinställningarna med hjälp av cmdleten Set-AzDiagnosticSetting för att använda målresursen för Azure AD Domain Services säkerhetsgranskningshändelser. I följande exempel har variabeln $aadds. ResourceId används från föregående steg.
Azure Storage – Ersätt storageAccountId med namnet på ditt lagringskonto:
Set-AzDiagnosticSetting ` -ResourceId $aadds.ResourceId ` -StorageAccountId storageAccountId ` -Enabled $trueAzure event hubs – Ersätt eventHubName med namnet på din händelsehubb och eventHubRuleId med ditt auktoriseringsregel-ID:
Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId ` -EventHubName eventHubName ` -EventHubAuthorizationRuleId eventHubRuleId ` -Enabled $trueAzure Log Analytics-arbetsytor – Ersätt workspaceId med ID:t för Log Analytics-arbetsytan:
Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId ` -WorkspaceID workspaceId ` -Enabled $true
Köra frågor mot och visa säkerhetsgranskningshändelser med hjälp av Azure Monitor
Med Log Analytic-arbetsytor kan du visa och analysera säkerhetsgranskningshändelser med hjälp Azure Monitor och Kusto-frågespråket. Det här frågespråket är utformat för skrivskyddad användning som har energisparfunktioner med en lättläst syntax. Mer information om hur du kommer igång med Kusto-frågespråk finns i följande artiklar:
- Dokumentation för Azure Monitor
- Kom igång med Log Analytics i Azure Monitor
- Kom igång med loggfrågor i Azure Monitor
- Skapa och dela instrumentpaneler för Log Analytics-data
Följande exempelfrågor kan användas för att börja analysera säkerhetsgranskningshändelser från Azure AD DS.
Exempelfråga 1
Visa alla kontolåsningshändelser för de senaste sju dagarna:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Exempelfråga 2
Visa alla kontolåsningshändelserna (4740) mellan den 3 juni 2020 kl. 9:00 och 10 juni 2020 midnatt, sorterade stigande efter datum och tid:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc
Exempelfråga 3
Visa inloggningshändelser för kontot för sju dagar sedan (från och med nu) för kontot med namnet user:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Exempelfråga 4
Visa inloggningshändelser för kontot för sju dagar sedan för kontot med namnet användare som försökte logga in med ett felaktigt lösenord (0xC0000006a):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Exempelfråga 5
Visa inloggningshändelser för kontot för sju dagar sedan för kontot med namnet användare som försökte logga in när kontot var utelåst (0xC0000234):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Exempelfråga 6
Visa antalet konto inloggningshändelser för sju dagar sedan för alla inloggningsförsök som har inträffat för alla utelåsta användare:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()
Granska händelsekategorier
Azure AD DS säkerhetsgranskningar överensstämmer med traditionell granskning för traditionella AD DS-domänkontrollanter. I hybridmiljöer kan du återanvända befintliga granskningsmönster så att samma logik kan användas när händelserna analyseras. Beroende på vilket scenario du behöver felsöka eller analysera måste de olika granskningshändelsekategorierna vara riktade.
Följande granskningshändelsekategorier är tillgängliga:
| Granska kategorinamn | Beskrivning |
|---|---|
| Kontoinloggning | Granskningar försöker autentisera kontodata på en domänkontrollant eller på en lokal hanterare av säkerhetskonton (SAM).Principinställningar för inloggning och utloggning och händelser spårar försök att komma åt en viss dator. Inställningar och händelser i den här kategorin fokuserar på den kontodatabas som används. Den här kategorin innehåller följande underkategorier: |
| Kontohantering | Granskar ändringar av användar- och datorkonton och grupper. Den här kategorin innehåller följande underkategorier: |
| Detaljspårning | Granskar aktiviteter för enskilda program och användare på den datorn och för att förstå hur en dator används. Den här kategorin innehåller följande underkategorier: |
| Directory Services-åtkomst | Granskningar försöker komma åt och ändra objekt i Active Directory Domain Services (AD DS). Dessa granskningshändelser loggas bara på domänkontrollanter. Den här kategorin innehåller följande underkategorier: |
| Logon-Logoff | Granskningar försöker logga in på en dator interaktivt eller över ett nätverk. Dessa händelser är användbara för att spåra användaraktivitet och identifiera potentiella attacker på nätverksresurser. Den här kategorin innehåller följande underkategorier: |
| Objektåtkomst | Granskningar försöker komma åt specifika objekt eller typer av objekt i ett nätverk eller en dator. Den här kategorin innehåller följande underkategorier:
|
| Principändring | Granskar ändringar av viktiga säkerhetsprinciper i ett lokalt system eller nätverk. Principer upprättas vanligtvis av administratörer för att skydda nätverksresurser. Övervakning av ändringar eller försök att ändra dessa principer kan vara en viktig aspekt av säkerhetshantering för ett nätverk. Den här kategorin innehåller följande underkategorier: |
| Privilegiumanvändning | Granskar användningen av vissa behörigheter på ett eller flera system. Den här kategorin innehåller följande underkategorier: |
| System | Granskar ändringar på systemnivå till en dator som inte ingår i andra kategorier och som kan påverka säkerheten. Den här kategorin innehåller följande underkategorier: |
Händelse-ID:er per kategori
Azure AD DS säkerhetsgranskningar registrerar följande händelse-ID:er när den specifika åtgärden utlöser en granskningsbar händelse:
| Namn på händelsekategori | Händelse-ID:er |
|---|---|
| Kontoinloggningssäkerhet | 4767, 4774, 4775, 4776, 4777 |
| Säkerhet för kontohantering | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Säkerhet för detaljspårning | Ingen |
| Säkerhet för DS-åtkomst | 5136, 5137, 5138, 5139, 5141 |
| Logon-Logoff säkerhet | 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964 |
| Säkerhet för objektåtkomst | Ingen |
| Säkerhet för principändring | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Säkerhet för privilegiumanvändning | 4985 |
| Systemsäkerhet | 4612, 4621 |
Nästa steg
Specifik information om Kusto finns i följande artiklar:
- Översikt över Kusto-frågespråket.
- Kusto-självstudie för att bekanta dig med grundläggande frågor.
- Exempelfrågor som hjälper dig att lära dig nya sätt att se dina data.
- Kusto-metodtips för att optimera dina frågor för framgång.