Säkerhetsåtgärder för privilegierade konton

Vad som ska övervakas Risknivå Var Filtrera/underfilter Kommentarer
Försök till och slutförda ändringar Högt Azure AD-granskningsloggar Datum och tid
-and-
Tjänst
-and-
Kategori och namn på aktiviteten (vad)
-and-
Status = Lyckades eller misslyckades
-and-
Mål
-and-
Initierare eller aktör (vem)
Oplanerade ändringar ska avisering göras omedelbart. Dessa loggar bör behållas för att hjälpa till vid alla undersökningar. Eventuella ändringar på klientorganisationsnivå bör undersökas omedelbart (länka till Infra-dokument) som skulle sänka din klients säkerhetsstatus. Ett exempel är att undanta konton från MFA eller villkorsstyrd åtkomst. Avisering om tillägg eller ändringar i program.
EXEMPEL
Försök till eller slutförd ändring av appar eller tjänster med högt värde
Högt Granskningslogg Tjänst
-and-
Kategori och namn på aktiviteten
  • Datum och tid
  • Tjänst
  • Kategori och namn på aktiviteten
  • Status = Lyckades eller misslyckades
  • Mål
  • Initierare eller aktör (vem)
  • Privilegierade ändringar i Azure AD Domain Services Högt Azure AD Domain Services Leta efter händelse 4673 Aktivera säkerhetsgranskningar för Azure Active Directory Domain Services
    Granska användning av känsliga privilegier. En lista över alla privilegierade händelser finns i artikeln.

    Ändringar av privilegierade konton

    Undersök ändringar av privilegierade kontons autentiseringsregler och privilegier, särskilt om ändringen ger större behörighet eller möjlighet att utföra uppgifter i Azure AD-miljön.

    Vad som ska övervakas Risknivå Var Filtrera/underfilter Kommentarer
    Skapa privilegierat konto Medel Azure AD-granskningsloggar Tjänst = Core Directory
    -and-
    Kategori = Användarhantering
    -and-
    Aktivitetstyp = Lägg till användare
    -korrelera med-
    Kategorityp = Rollhantering
    -and-
    Aktivitetstyp = Lägg till medlem i roll
    -and-
    Ändrade egenskaper = Role.DisplayName
    Övervaka skapandet av privilegierade konton. Leta efter korrelationer som är ett kort tidsintervall mellan skapande och borttagning av konton.
    Azure Sentinel mall
    Ändringar av autentiseringsmetoder Högt Azure AD-granskningsloggar Tjänst = autentiseringsmetod
    -and-
    Aktivitetstyp = Användarregistrerad säkerhetsinformation
    -and-
    Kategori = Användarhantering
    Den här ändringen kan vara en indikation på att en angripare lägger till en autentiseringsmetod i kontot så att de kan ha fortsatt åtkomst.
    Azure Sentinel mall
    Avisering om ändringar av privilegierade kontobehörigheter Högt Azure AD-granskningsloggar Kategori = Rollhantering
    -and-
    Aktivitetstyp = Lägg till berättigad medlem (permanent)
    -and-
    Aktivitetstyp = Lägg till berättigad medlem (berättigad)
    -and-
    Status = Lyckades eller misslyckades
    -and-
    Ändrade egenskaper = Role.DisplayName
    Den här aviseringen gäller särskilt för konton som tilldelas roller som inte är kända eller som ligger utanför deras normala ansvarsområden.
    Oanvända privilegierade konton Medel Azure AD-åtkomstgranskningar Utför en månatlig granskning för inaktiva privilegierade användarkonton.
    Konton som är undantagna från villkorlig åtkomst Högt Azure Monitor-loggar
    \- eller -
    Åtkomstgranskningar
    Villkorlig åtkomst = Insights och rapportering Alla konton som är undantagna från villkorlig åtkomst kringgår troligen säkerhetskontroller och är mer sårbara för kompromettering. Brytningskonton är undantagna. Se information om hur du övervakar brytarkonton i ett efterföljande avsnitt av den här artikeln.

    Mer information om hur du övervakar undantag till principer för villkorlig åtkomst finns i Insikter om villkorlig åtkomst och rapportering.

    Mer information om hur du identifierar oanvända privilegierade konton finns i Skapa en åtkomstgranskning av Azure AD-roller i Privileged Identity Management.

    Tilldelning och höjning

    Om du har privilegierade konton som etableras permanent med förhöjd kapacitet kan du öka risken för angrepp mot säkerhetsgränsen. Använd i stället just-in-time-åtkomst med hjälp av en höjning. Med den här typen av system kan du tilldela behörighet för privilegierade roller. Administratörer höjer sina privilegier till de rollerna endast när de utför uppgifter som behöver dessa behörigheter. Med hjälp av en höjningsprocess kan du övervaka utökade privilegier och icke-användning av privilegierade konton.

    Upprätta en baslinje

    Om du vill övervaka undantag måste du först skapa en baslinje. Fastställ följande information för:

    • Administratörskonton:

      • Din strategi för privilegierade konton
      • Användning av lokala konton för att administrera lokala resurser
      • Användning av molnbaserade konton för att administrera molnbaserade resurser
      • Metod för att avgränsa och övervaka administrativa behörigheter för lokala och molnbaserade resurser
    • Privilegierat rollskydd:

      • Skyddsstrategi för roller som har administratörsbehörighet
      • Organisationsprincip för att använda privilegierade konton
      • Strategi och principer för att upprätthålla permanent behörighet jämfört med att tillhandahålla tidsbunden och godkänd åtkomst

    Följande begrepp och information hjälper dig att fastställa principer:

    • Just-in-time-administratörsprinciper:Använd Azure AD-loggarna för att samla in information för att utföra administrativa uppgifter som är vanliga i din miljö. Fastställ hur lång tid som krävs för att slutföra uppgifterna.
    • Precis tillräckliga administratörsprinciper:Fastställ denminst privilegierade rollen , som kan vara en anpassad roll som krävs för administrativa uppgifter.
    • Upprätta en princip för utökadeprivilegier: När du har fått information om vilken typ av utökade privilegier som behövs och hur lång tid som krävs för varje uppgift kan du skapa principer som återspeglar utökad privilegierad användning för din miljö. Definiera till exempel en princip för att begränsa global administratörsåtkomst till en timme.

    När du har konfigurerat din baslinje och angett en princip kan du konfigurera övervakning för att identifiera och aviseringsanvändning utanför principen.

    Identifiering

    Var särskilt uppmärksam på och undersök ändringar i tilldelning och utökade privilegier.

    Saker att övervaka

    Du kan övervaka ändringar av privilegierade konton med hjälp av Azure AD-granskningsloggar och Azure Monitor loggar. Mer specifikt bör du inkludera följande ändringar i övervakningsprocessen.

    Vad som ska övervakas Risknivå Var Filtrera/underfilter Kommentarer
    Tillagd till berättigad privilegierad roll Högt Azure AD-granskningsloggar Tjänst = PIM
    -and-
    Kategori =
    -and-
    Aktivitetstyp = Lägg till medlem i slutförd roll (berättigad)
    -and-
    Status = Lyckades eller misslyckades
    -and-
    Ändrade egenskaper = Role.DisplayName
    Alla konton som är berättigade till en roll får nu privilegierad åtkomst. Om tilldelningen är oväntad eller har en roll som inte är kontoinnehavarens ansvar undersöker du.
    Azure Sentinel mall
    Roller som tilldelats utanför PIM Högt Azure AD-granskningsloggar Tjänst = PIM
    -and-
    Kategori = Rollhantering
    -and-
    Aktivitetstyp = Lägg till medlem i roll (permanent)
    -and-
    Status = Lyckades eller misslyckades
    -and-
    Ändrade egenskaper = Role.DisplayName
    De här rollerna bör övervakas noggrant och varnas. Användare bör inte tilldelas roller utanför PIM där det är möjligt.
    Azure Sentinel mall
    Höjder Medel Azure AD-granskningsloggar Tjänst = PIM
    -and-
    Kategori = Rollhantering
    -and-
    Aktivitetstyp = Lägg till medlem i slutförd roll (PIM-aktivering)
    -and-
    Status = Lyckades eller misslyckades
    -and-
    Ändrade egenskaper = Role.DisplayName
    När ett privilegierat konto har höjts kan det nu göra ändringar som kan påverka säkerheten för din klientorganisation. Alla höjningar bör loggas och, om de sker utanför standardmönstret för den användaren, avisering och undersökas om det inte planeras.
    Godkännanden och neka höjning Låg Azure AD-granskningsloggar Tjänst = Åtkomstgranskning
    -and-
    Kategori = UserManagement
    -and-
    Aktivitetstyp = Begäran godkänd eller nekad
    -and-
    Initierad aktör = UPN
    Övervaka alla höjningar eftersom det kan ge en tydlig indikation på tidslinjen för ett angrepp.
    Azure Sentinel mall
    Ändringar i PIM-inställningar Högt Azure AD-granskningsloggar Tjänst = PIM
    -and-
    Kategori = Rollhantering
    -and-
    Aktivitetstyp = Uppdatera rollinställning i PIM
    -and-
    Statusorsak = MFA vid aktivering inaktiverad (exempel)
    En av dessa åtgärder kan minska säkerheten för PIM-höjningen och göra det enklare för angripare att skaffa ett privilegierat konto.
    Ingen höjning sker på SAW/PAW Högt Azure AD-inloggningsloggar Enhets-ID
    -and-
    Webbläsare
    -and-
    Operativsystem
    -and-
    Kompatibel/hanterad
    Korrelera med:
    Tjänst = PIM
    -and-
    Kategori = Rollhantering
    -and-
    Aktivitetstyp = Lägg till medlem i slutförd roll (PIM-aktivering)
    -and-
    Status = Lyckades eller misslyckades
    -and-
    Ändrade egenskaper = Role.DisplayName
    Om den här ändringen har konfigurerats bör alla försök att höja behörigheten på en icke-PAW/SAW-enhet undersökas omedelbart eftersom det kan tyda på att en angripare försöker använda kontot.
    Höjning för att hantera alla Azure-prenumerationer Högt Azure Monitor Fliken Aktivitetslogg
    Fliken Katalogaktivitet
    Driftnamn = Tilldelar anroparen till administratör för användaråtkomst
    -and-
    Händelsekategori = Administrativ
    -and-
    Status = Lyckades, starta, misslyckas
    -and-
    Händelse initierad av
    Den här ändringen bör undersökas omedelbart om den inte är planerad. Den här inställningen kan ge en angripare åtkomst till Azure-prenumerationer i din miljö.

    Mer information om hur du hanterar höjning finns i Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper. Information om hur du övervakar höjningar med hjälp av informationen i Azure AD-loggarna finns i Azure-aktivitetsloggen, som är en del Azure Monitor dokumentationen.

    Information om hur du konfigurerar aviseringar för Azure-roller finns i Konfigurera säkerhetsaviseringar för Azure-resursroller i Privileged Identity Management.

    Nästa steg

    Se följande artiklar om säkerhetsdriftsguide:

    Säkerheten för affärstillgångar beror på integriteten hos de privilegierade konton som administrerar dina IT-system. Cyberangreppare använder stöld av autentiseringsuppgifter och andra metoder för att rikta privilegierade konton och få åtkomst till känsliga data.

    Traditionellt har organisationens säkerhet fokuserat på ingångs- och utgångspunkter i ett nätverk som säkerhets perimeter. Programvara som en tjänst (SaaS)-program och personliga enheter på Internet har dock gjort den här metoden mindre effektiv.

    Azure Active Directory (Azure AD) använder identitets- och åtkomsthantering (IAM) som kontrollplan. I organisationens identitetslager har användare som tilldelats privilegierade administrativa roller kontroll. De konton som används för åtkomst måste skyddas, oavsett om miljön är lokal, i molnet eller i en hybridmiljö.

    Du är helt ansvarig för alla säkerhetslager för din lokala IT-miljö. När du använder Azure-tjänster är skydd och åtgärder det gemensamma ansvaret för Microsoft som molntjänstleverantör och du som kund.

    Var du ska leta

    Loggfilerna som du använder för undersökning och övervakning är:

    Från Azure Portal kan du visa Azure AD-granskningsloggarna och ladda ned dem som filer med kommaavgränsade värden (CSV) eller JavaScript Object Notation (JSON). Det Azure Portal flera sätt att integrera Azure AD-loggar med andra verktyg som möjliggör större automatisering av övervakning och aviseringar:

    • Microsoft Sentinel:Möjliggör intelligent säkerhetsanalys på företagsnivå genom att tillhandahålla funktioner för säkerhetsinformation och händelsehantering (SIEM).

    • Azure Monitor:Möjliggör automatisk övervakning och avisering om olika villkor. Kan skapa eller använda arbetsböcker för att kombinera data från olika källor.

    • Azure Event Hubs integrerad med en SIEM: Gör att Azure AD-loggar kan push-skickas till andra SIEM-datorer som Splunk, ArcSight, QRadar och Sumo Logic via Azure Event Hubs-integrering.

    • Microsoft Defender för molnappar:Gör att du kan identifiera och hantera appar, styra över appar och resurser och kontrollera molnappars efterlevnad.

    • Microsoft Graph:Gör att du kan exportera data och använda Microsoft Graph för att göra mer analys. Mer information om Microsoft Graph finns i Microsoft Graph PowerShell SDK och Azure Active Directory Identity Protection.

    • Identity Protection:Genererar tre viktiga rapporter som du kan använda för att hjälpa dig med undersökningen:

      • Riskfyllda användare:Innehåller information om vilka användare som är utsatta för risk, information om identifieringar, historik över alla riskfyllda inloggningar och riskhistorik.
      • Riskfyllda inloggningar:Innehåller information om en inloggning som kan tyda på misstänkta omständigheter. Mer information om hur du undersöker information från den här rapporten finns i Undersök risk.
      • Riskidentifiering:Innehåller information om andra risker som utlöses när en risk identifieras och annan relevant information, till exempel inloggningsplats och eventuell information från Microsoft Defender för Cloud Apps.

    Även om vi avråder från den här praxis kan privilegierade konton ha stående administrationsbehörigheter. Om du väljer att använda stående privilegier och kontot komprometteras kan det ha en starkt negativ effekt. Vi rekommenderar att du prioriterar övervakning av privilegierade konton och inkluderar kontona i din Privileged Identity Management (PIM)-konfiguration. Mer information om PIM finns i Börja använda Privileged Identity Management. Vi rekommenderar också att du verifierar administratörskontona:

    • Krävs.
    • Ha minst behörighet att köra de krävde aktiviteterna.
    • Skyddas med multifaktorautentisering (MFA) som minimum.
    • Körs från PAW-enheter (Privileged Access Workstation) eller SAW-enheter (Secure Admin Workstation).

    Resten av den här artikeln beskriver vad vi rekommenderar att du övervakar och avisering om. Artikeln är ordnad efter typ av hot. Där det finns specifika fördefinierade lösningar länkar vi till dem efter tabellen. Annars kan du skapa aviseringar med hjälp av föregående verktyg.

    Mer specifikt innehåller den här artikeln information om hur du ställer in baslinjer och granskar inloggning och användning av privilegierade konton. Här beskrivs också verktyg och resurser som du kan använda för att upprätthålla integriteten för dina privilegierade konton. Innehållet är indeat i följande ämnen:

    • Nödkonton
    • Inloggning med privilegierat konto
    • Ändringar av privilegierade konton
    • Privilegierade grupper
    • Behörighetstilldelning och utökade privilegier

    Konton för åtkomst vid akutfall

    Det är viktigt att du förhindrar att du av misstag blir utelåst från Din Azure AD-klientorganisation. Du kan minska effekten av en oavsiktlig utelåsning genom att skapa konton för åtkomst vid akutfall i din organisation. Konton för åtkomst vid akutfall kallas även för nödkonton, som i "nödfallsmeddelanden" som finns på fysisk säkerhetsutrustning som larm.

    Konton för åtkomst vid akutfall är mycket privilegierade och de tilldelas inte till specifika personer. Konton för åtkomst vid akutfall är begränsade till nödfall eller nödfall där normala privilegierade konton inte kan användas. Ett exempel är när en princip för villkorlig åtkomst är felkonfigurerad och låser ut alla vanliga administrativa konton. Begränsa användningen av nödkonto till endast de tillfällen då det är absolut nödvändigt.

    Vägledning om vad du kan göra i en katastrof finns i Säkra åtkomstmetoder för administratörer i Azure AD.

    Skicka en avisering med hög prioritet varje gång ett konto för åtkomst vid akutfall används.

    Identifiering

    Eftersom nödkonton endast används i nödfall bör övervakningen inte identifiera någon kontoaktivitet. Skicka en avisering med hög prioritet varje gång ett konto för åtkomst vid akutfall används eller ändras. Någon av följande händelser kan tyda på att en felaktig aktör försöker kompromettera dina miljöer:

    • Konto som används:Övervaka och varna för alla aktiviteter med hjälp av den här typen av konto, till exempel:
      • Logga in.
      • Ändring av kontolösenord.
      • Kontobehörighet eller roller har ändrats.
      • Autentiseringsmetod har lagts till eller ändrats.

    Mer information om hur du hanterar konton för åtkomst vid akutfall finns i Hantera administratörskonton för åtkomst vid akutfall i Azure AD. Detaljerad information om hur du skapar en avisering för ett nödkonto finns i Skapa en aviseringsregel.

    Inloggning med privilegierat konto

    Övervaka all inloggningsaktivitet för privilegierade konton med hjälp av Azure AD-inloggningsloggarna som datakälla. Förutom information om lyckade och misslyckade inloggningar innehåller loggarna följande information:

    • Avbryter
    • Enhet
    • Location
    • Risk
    • Program
    • Datum och tid
    • Är kontot inaktiverat
    • Lockout
    • MFA-bedrägeri
    • Fel med villkorsstyrd åtkomst

    Saker att övervaka

    Du kan övervaka inloggningshändelser för privilegierade konton i Azure AD-inloggningsloggarna. Avisering om och undersök följande händelser för privilegierade konton.

    Vad som ska övervakas Risknivå Var Filtrera/underfilter Kommentarer
    Inloggningsfel, tröskelvärde för felaktigt lösenord Högt Inloggningslogg för Azure AD Status = Fel
    -and-
    felkod = 50126
    Definiera ett tröskelvärde för baslinjen och övervaka och justera sedan för att passa organisationens beteenden och begränsa falska aviseringar från att genereras.
    Azure Sentinel mall
    Fel på grund av krav för villkorsstyrd åtkomst Högt Inloggningslogg för Azure AD Status = Fel
    -and-
    felkod = 53003
    -and-
    Felorsak = Blockeras av villkorlig åtkomst
    Den här händelsen kan vara en indikation på att en angripare försöker komma in på kontot.
    Azure Sentinel mall
    Privilegierade konton som inte följer namngivningsprincipen Azure-prenumeration Lista azure-rolltilldelningar med hjälp Azure Portal – Azure RBAC Lista rolltilldelningar för prenumerationer och avisering där inloggningsnamnet inte matchar organisationens format. Ett exempel är användningen av ADM_ som ett prefix.
    Avbryta Hög, medel Azure AD-inloggningar Status = Avbruten
    -and-
    felkod = 50074
    -and-
    Felorsak = stark autentisering krävs
    Status = Avbruten
    -and-
    Felkod = 500121
    Felorsak = Autentiseringen misslyckades under begäran om stark autentisering
    Den här händelsen kan vara en indikation på att en angripare har lösenordet för kontot men inte kan klara MFA-utmaningen.
    Azure Sentinel mall
    Privilegierade konton som inte följer namngivningsprincipen Högt Azure AD-katalog Visa Azure AD-rolltilldelningar Lista rolltilldelningar för Azure AD-roller och avisering där UPN inte matchar organisationens format. Ett exempel är användningen av ADM_ som ett prefix.
    Identifiera privilegierade konton som inte har registrerats för MFA Högt Microsoft Graph API Fråga efter IsMFARegistered eq false för administratörskonton. Lista credentialUserRegistrationDetails – Microsoft Graph beta Granska och undersöka för att avgöra om händelsen är avsiktlig eller ett misstag.
    Kontoutelåsning Högt Inloggningslogg för Azure AD Status = Fel
    -and-
    felkod = 50053
    Definiera ett tröskelvärde för baslinjen och övervaka och justera sedan för att passa organisationens beteenden och begränsa falska aviseringar från att genereras.
    Azure Sentinel mall
    Kontot har inaktiverats eller blockerats för inloggningar Låg Inloggningslogg för Azure AD Status = Fel
    -and-
    Mål = Användar-UPN
    -and-
    felkod = 50057
    Den här händelsen kan indikera att någon försöker få åtkomst till ett konto när de har lämnat organisationen. Även om kontot är blockerat är det fortfarande viktigt att logga och avisering om den här aktiviteten.
    Azure Sentinel mall
    Avisering eller blockering av MFA-bedrägeri Högt Inloggningslogg för Azure AD/Azure Log Analytics Inloggningar Autentiseringsinformation > Resultatinformation = MFA nekad, bedrägerikod angivet Privilegierade användare har angett att de inte har initierat MFA-prompten, vilket kan tyda på att en angripare har lösenordet för kontot.
    Azure Sentinel mall
    Avisering eller blockering av MFA-bedrägeri Högt Azure AD-granskningslogglogg/Azure Log Analytics Aktivitetstyp = Rapporterad bedrägeri – Användaren blockeras för MFA eller rapporterat bedrägeri – Ingen åtgärd vidtas (baserat på inställningar på klientnivå för bedrägerirapport) Privilegierade användare har angett att de inte har initierat MFA-prompten, vilket kan tyda på att en angripare har lösenordet för kontot.
    Azure Sentinel mall
    Privilegierade konto inloggningar utanför förväntade kontroller Inloggningslogg för Azure AD Status = Fel
    UserPricipalName = < Administratörskonto>
    Plats = < ej godkänd plats>
    IP-adress < = ej godkänd IP-adress>
    Enhetsinformation = < ej godkänd webbläsare, operativsystem>
    Övervaka och varna för alla poster som du har definierat som ej godkända.
    Azure Sentinel mall
    Utanför normala inloggningstider Högt Inloggningslogg för Azure AD Status = Lyckades
    -and-
    Plats =
    -and-
    Tid = Utanför arbetstid
    Övervaka och avisering om inloggningar sker utanför förväntade tider. Det är viktigt att hitta det normala arbetsmönstret för varje privilegierat konto och att varna om det finns oplanerade ändringar utanför normal arbetstid. Inloggningar utanför normal arbetstid kan tyda på kompromettering eller potentiella insiderhot.
    Azure Sentinel mall
    Identitetsskyddsrisk Högt Identity Protection-loggar Risktillstånd = Utsatta för risk
    -and-
    Risknivå = Låg, medel, hög
    -and-
    Aktivitet = Obekant inloggning/TOR och så vidare
    Den här händelsen indikerar att det har upptäckts en avvikelse vid inloggningen för kontot och bör meddelas.
    Lösenordsändring Högt Azure AD-granskningsloggar Aktivitetsspelare = Admin/självbetjäning
    -and-
    Mål = användare
    -and-
    Status = Lyckades eller misslyckades
    Avisering om lösenordsändringar för administratörskonton, särskilt för globala administratörer, användaradministratörer, prenumerationsadministratörer och konton för åtkomst vid akutfall. Skriv en fråga riktad mot alla privilegierade konton.
    Azure Sentinel mall
    Ändring i äldre autentiseringsprotokoll Högt Inloggningslogg för Azure AD Klientapp = Annan klient, IMAP, POP3, MAPI, SMTP och så vidare
    -and-
    Användarnamn = UPN
    -and-
    Program = Exchange (exempel)
    Många attacker använder äldre autentisering, så om autentiseringsprotokollet ändras för användaren kan det vara en indikation på ett angrepp.
    Ny enhet eller plats Högt Inloggningslogg för Azure AD Enhetsinformation = Enhets-ID
    -and-
    Webbläsare
    -and-
    Operativsystem
    -and-
    Kompatibel/hanterad
    -and-
    Mål = användare
    -and-
    Location
    De flesta administratörsaktiviteter bör komma från privilegieradeåtkomstenheter , från ett begränsat antal platser. Av den anledningen bör du avisering på nya enheter eller platser.
    Azure Sentinel mall
    Inställningen Granska avisering har ändrats Högt Azure AD-granskningsloggar Tjänst = PIM
    -and-
    Kategori = Rollhantering
    -and-
    Aktivitet = Inaktivera PIM-avisering
    -and-
    Status = Lyckades
    Ändringar av en kärnavisering bör avisering om det är oväntat.

    Ändringar efter privilegierade konton

    Övervaka alla slutförda och försök till ändringar av ett privilegierat konto. Med dessa data kan du fastställa vad som är normal aktivitet för varje privilegierat konto och avisera om aktivitet som avviker från förväntat. Azure AD-granskningsloggarna används för att registrera den här typen av händelse. Mer information om Azure AD-granskningsloggar finns i Granskningsloggar i Azure Active Directory.

    Azure Active Directory Domain Services

    Privilegierade konton som har tilldelats behörigheter i Azure AD Domain Services kan utföra uppgifter för Azure AD Domain Services som påverkar säkerhetsstatusen för dina Azure-värdbaserade virtuella datorer (VM) som använder Azure AD Domain Services. Aktivera säkerhetsgranskningar på virtuella datorer och övervaka loggarna. Mer information om hur du Azure AD Domain Services granskningar och en lista över känsliga privilegier finns i följande resurser: