Etki Alanı Hizmetleri için Azure Active Directory denetimlerini etkinleştirme

  • Makale
  • Okumak için 9 dakika

Azure Active Directory Domain Services (Azure AD DS) güvenlik denetimleri, Azure'ın güvenlik olaylarını hedeflenen kaynaklara akışla akar. Bu kaynaklar Azure Depolama, Azure Log Analytics çalışma alanları veya Azure Event Hub'dır. Güvenlik denetimi olaylarını etkinleştirdikten sonra Azure AD DS kategori için tüm denetlenen olayları hedeflenen kaynağa gönderir.

Azure Event Hubs kullanarak olayları Azure depolamada arşivler ve olayları güvenlik bilgileri ve olay yönetimi (SIEM) yazılımı (veya eşdeğeri) olarak akışa alır ya da Azure portal' dan kendi analizlerinizi ve Azure Log Analytics çalışma alanlarını kullanabilirsiniz.

Önemli

Azure AD DS denetimler yalnızca Azure Resource Manager tabanlı yönetilen etki alanları için kullanılabilir. Geçiş hakkında bilgi için bkz. Azure AD DS'i Klasik sanal ağ modelinden Resource Manager.

Güvenlik denetimi hedefleri

Güvenlik denetimleri için azure Depolama, Azure Event Hubs veya Azure Log Analytics çalışma alanlarını hedef kaynak Azure AD DS kullanabilirsiniz. Bu hedefler bir arada olabilir. Örneğin, güvenlik denetim olaylarını arşivlemek için Azure Depolama'i kullanabilirsiniz, ancak kısa vadede bilgileri analiz etmek ve raporlamak için bir Azure Log Analytics çalışma alanı kullanabilirsiniz.

Aşağıdaki tabloda her hedef kaynak türü için senaryolar özetlemektedir.

Önemli

Güvenlik denetimlerini etkinleştirmeden önce hedef kaynağı Azure AD DS gerekir. Bu kaynakları Azure portal, Azure PowerShell veya Azure CLI kullanarak oluşturabilirsiniz.

Hedef Kaynak Senaryo
Azure Depolama Birincil ihtiyacınız arşivleme amacıyla güvenlik denetim olaylarını depolamak olduğunda bu hedef kullanılmalıdır. Diğer hedefler arşivleme amacıyla kullanılabilir, ancak bu hedefler birincil arşivleme ihtiyacının ötesinde özellikler sağlar.

Güvenlik denetimi olaylarını Azure AD DS önce Azure Depolama oluşturun.
Azure Event Hubs Güvenlik denetim olaylarını veri analizi yazılımı veya güvenlik bilgileri ve olay yönetimi (SIEM) yazılımı gibi ek yazılımlarla & ihtiyacınız olduğunda bu hedef kullanılmalıdır.

Güvenlik denetimi olaylarını Azure AD DS önce, Azure portal kullanarak olay hub'ı Azure portal
Azure Log Analytics Çalışma Alanı Bu hedef, birincil ihtiyacınız doğrudan güvenlik denetimlerinden gelen güvenli denetimleri analiz etmek ve gözden geçirmek Azure portal kullanılmalıdır.

Güvenlik denetimi Azure AD DS etkinleştirmeden önce, Azure portal'de Log Analytics çalışma alanı oluşturun.

Güvenlik denetim olaylarını Azure portal

Aşağıdaki adımları Azure AD DS güvenlik denetim olaylarını Azure portal için aşağıdaki adımları tamamlayın.

Önemli

Azure AD DS güvenlik denetimleri geçmişe dönük değildir. Geçmişten olayları alasiniz veya yeniden oynatasiniz. Azure AD DS yalnızca güvenlik denetimleri etkinleştirildikten sonra oluşan olayları gönderebilir.

  1. https://portal.azure.com adresinden Azure portalında oturum açın.

  2. Dosyanın üst kısmında Azure portal öğesini seçin ve öğesini Azure AD Domain Services. Yönetilen etki alanınızı seçin, örneğin aaddscontoso.com.

  3. Uygulama Azure AD DS sol taraftan Tanılama ayarları'ı seçin.

  4. Varsayılan olarak hiçbir tanılama yapılandırılmaz. Çalışmaya başlama için Tanılama ayarı ekle'yi seçin.

    Azure AD Domain Services için tanılama ayarı ekleme

  5. Tanılama yapılandırması için aadds-auditing gibi bir ad girin.

    Istediğiniz güvenlik denetimi hedefi kutusunu işaretleyin. Azure Depolama hesabı, Azure olay hub'ı veya Log Analytics çalışma alanı seçebilirsiniz. Bu hedef kaynakların Azure aboneliğinde zaten mevcut olması gerekir. Bu sihirbazda hedef kaynakları oluşturasınız.

    Yakalamak için gerekli hedefi ve denetim olaylarının türünü etkinleştirme

    • Azure depolama
      • Bir depolama hesabında arşivle'yi ve ardından Yapılandır'ı seçin.
      • Güvenlik denetimi olaylarını arşivlemek Depolama abonelik ve abonelik hesabını seçin.
      • Hazır olduğunda Tamam'ı seçin.
    • Azure event hubs
      • Bir olay hub'ı için Akış'ı ve ardından Yapılandır'ı seçin.
      • Abonelik ve Olay hub'ı ad alanını seçin. Gerekirse, bir Olay hub'ı adı ve ardından Olay hub'ı ilke adı seçin.
      • Hazır olduğunda Tamam'ı seçin.
    • Azure Log Analytic çalışma alanları
      • Log Analytics'e Gönder'i ve ardından güvenlik denetim olaylarını depolamak için kullanmak istediğiniz Abonelik ve Log Analytics Çalışma Alanını seçin.

  6. Belirli bir hedef kaynak için dahil etmek istediğiniz günlük kategorilerini seçin. Denetim olaylarını bir Azure Depolama hesabına gönderirseniz, verilerin tutulacak gün sayısını tanımlayan bir saklama ilkesi de yapılandırabilirsiniz. Varsayılan 0 ayarı tüm verileri korur ve bir süre sonra olayları döndürmez.

    Tek bir yapılandırmada hedeflenen her kaynak için farklı günlük kategorileri seçebilirsiniz. Bu özellik, Log Analytics için hangi günlük kategorilerini ve örneğin arşivlemek istediğiniz günlük kategorilerini seçmenize olanak sağlar.

  7. Bitirin, değişikliklerinizi kaydetmek için Kaydet'i seçin. Yapılandırma kaydedildikten kısa bir Azure AD DS sonra hedef kaynaklar güvenlik denetimi olaylarını almaya başlar.

Güvenlik denetim olaylarını Azure PowerShell

Azure AD DS kullanarak güvenlik denetimi olaylarını Azure PowerShell için aşağıdaki adımları tamamlayın. Gerekirse, önce Azure PowerShell modülünü yükleyin ve Azure aboneliğinize bağlanın.

Önemli

Azure AD DS güvenlik denetimleri geçmişe dönük değildir. Geçmişten olayları alasiniz veya yeniden oynatasiniz. Azure AD DS yalnızca güvenlik denetimleri etkinleştirildikten sonra oluşan olayları gönderebilir.

  1. Bağlan-AzAccount cmdlet'ini kullanarak Azure aboneliğiniz için kimlik doğrulaması yapma. İstendiğinde hesap kimlik bilgilerinizi girin.

    Connect-AzAccount

  2. Güvenlik denetimi olayları için hedef kaynağı oluşturun.

  3. Get-AzResource cmdlet'ini kullanarak Azure AD DS etki alanınız için kaynak kimliğini elde edin. $aadds. Değeri tutmak için ResourceId:

    $aadds = Get-AzResource -name aaddsDomainName

  4. Set-AzDiagnosticSetting cmdlet'ini kullanarak Azure Tanılama ayarlarını, güvenlik denetimi olaylarına yönelik hedef Azure AD Domain Services için yapılandırma. Aşağıdaki örneklerde değişkeni $aadds. ResourceId önceki adımda kullanılmıştır.

    • Azure depolama - storageAccountId yerine depolama hesabı adını yazın:

      Set-AzDiagnosticSetting `
    -ResourceId $aadds.ResourceId `
    -StorageAccountId storageAccountId `
    -Enabled $true

    • Azure event hubs - eventHubName yerine olay hub'nizin adını, eventHubRuleId yerine de yetkilendirme kuralı kimliğinizi yazın:

      Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId `
    -EventHubName eventHubName `
    -EventHubAuthorizationRuleId eventHubRuleId `
    -Enabled $true

    • Azure Log Analytics çalışma alanları - workspaceId alanını Log Analytics çalışma alanının kimliğiyle değiştirin:

      Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId `
    -WorkspaceID workspaceId `
    -Enabled $true

Azure İzleyici kullanarak güvenlik denetimi olaylarını sorgulama ve Azure İzleyici

Log Analytic çalışma alanları, kusto sorgu dilini kullanarak güvenlik denetimi olaylarını Azure İzleyici ve analiz etmenize izin sağlar. Bu sorgu dili, okuması kolay bir söz dizimi ile güç analiz özelliklerine sahip salt okunur kullanım için tasarlanmıştır. Kusto sorgu dilleriyle çalışmaya başlama hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Aşağıdaki örnek sorgular, güvenlik denetimi olaylarını güvenlik olaylarını analiz etmek için Azure AD DS.

Örnek sorgu 1

Tümünü görüntüle son yedi gün için hesap kilitleme olaylarını seçin:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Örnek sorgu 2

Tümünü görüntüle 3 Haziran 2020 ile 09.00 arasında hesap kilitleme olayları ( 4740) ve 10 Haziran 2020 gece yarısı, tarih ve saat ile artan düzende sıralanmış:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc

Örnek sorgu 3

User adlı hesap için yedi gün önce (şu andan itibaren) hesap oturum açma olaylarını görüntüleme:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Örnek sorgu 4

Kötü bir parola kullanarak oturum açma girişiminde bulunan kullanıcı adlı hesap için yedi gün önce hesap oturum açma olaylarını görüntüle ( 0xC0000006a):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Örnek sorgu 5

Hesap kilitliyken oturum açma girişiminde bulunan kullanıcı adlı hesap için yedi gün önce hesap oturum açma olaylarını görüntüle ( 0xC0000234):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Örnek sorgu 6

Kilitlenmiş tüm kullanıcılar için yapılan tüm oturum açma girişimleri için yedi gün önce 7 gün önce hesap oturum açma olaylarının sayısını görüntülendi:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()

Olay kategorilerini denetleme

Azure AD DS güvenlik denetimleri, geleneksel etki alanı denetleyicileri için geleneksel AD DS ile uyumludur. Karma ortamlarda, olayları analiz etmek için aynı mantığın kullanılana var olan denetim desenlerini yeniden kullanabilirsiniz. Sorun gidermeniz veya analiz etmeniz gereken senaryoya bağlı olarak, farklı denetim olayı kategorilerinin hedefli olması gerekir.

Aşağıdaki denetim olayı kategorileri kullanılabilir:

Denetim Kategorisi Adı Açıklama
Hesap Oturumu Açma Denetimler, bir etki alanı denetleyicisinde veya yerel Güvenlik Hesapları Yöneticisi'nde (SAM) hesap verilerini doğrulamaya çalışır.

Oturum açma ve Kapatma ilkesi ayarları ve olayları belirli bir bilgisayara erişme girişimlerini takip ediyor. Ayarlar ve bu kategorideki olaylar, kullanılan hesap veritabanına odaklanır. Bu kategori aşağıdaki alt kategoriyi içerir:
Hesap Yönetimi Kullanıcı ve bilgisayar hesaplarında ve gruplarında yapılan değişiklikleri kontrol edin. Bu kategori aşağıdaki alt kategoriyi içerir:
Ayrıntı İzleme Tek tek uygulamaların ve kullanıcıların o bilgisayarda etkinliklerini ve bir bilgisayarın nasıl kullanışlarını anlamak için etkinlikleri kontrol edin. Bu kategori aşağıdaki alt kategoriyi içerir:
Dizin Hizmetleri Erişimi Denetimler, Active Directory Domain Services 'de (AD DS). Bu denetim olayları yalnızca etki alanı denetleyicilerine kaydedilir. Bu kategori aşağıdaki alt kategoriyi içerir:
Logon-Logoff Denetimler, bir bilgisayarda etkileşimli olarak veya ağ üzerinden oturum açma girişiminde bulunmaktadır. Bu olaylar, kullanıcı etkinliğini izlemek ve ağ kaynaklarına yönelik olası saldırıları belirlemek için yararlıdır. Bu kategori aşağıdaki alt kategoriyi içerir:
Nesne Erişimi Bir ağ veya bilgisayarda belirli nesnelere veya nesne türlerine erişmeye çalışır. Bu kategori aşağıdaki alt kategoriyi içerir:
İlke Değişikliği Yerel bir sistem veya ağ üzerinde önemli güvenlik ilkelerine yapılan değişiklikleri kontrol ediyor. İlkeler genellikle ağ kaynaklarının güvenliğini sağlamak için yöneticiler tarafından kurulur. Bu ilkelerin izlenmesi veya bu ilkelerin değişmesi, bir ağ için güvenlik yönetiminin önemli bir yönü olabilir. Bu kategori aşağıdaki alt kategoriyi içerir:
Ayrıcalık Kullanımı Bir veya daha fazla sistem üzerinde belirli izinlerin kullanımını denetlemektedir. Bu kategori aşağıdaki alt kategoriyi içerir:
Sistem Diğer kategorilere dahil olmayan ve olası güvenlik etkileri olan bir bilgisayarda sistem düzeyindeki değişiklikleri kontrol edin. Bu kategori aşağıdaki alt kategoriyi içerir:

Kategori başına olay kimlikleri

Azure AD DS denetimler, belirli bir eylem denetlenebilir bir olayı tetikleyene aşağıdaki olay kimliklerini kaydediyor:

Olay Kategorisi Adı Olay Kimlikleri
Hesap Oturum Açma güvenliği 4767, 4774, 4775, 4776, 4777
Hesap Yönetimi güvenliği 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Ayrıntı İzleme güvenliği Hiçbiri
DS Erişim güvenliği 5136, 5137, 5138, 5139, 5141
Logon-Logoff güvenlik 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Nesne Erişimi güvenliği Hiçbiri
İlke Değişikliği güvenliği 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Ayrıcalık Kullanımı güvenliği 4985
Sistem güvenliği 4612, 4621

Sonraki adımlar

Kusto hakkında belirli bilgiler için aşağıdaki makalelere bakın:

  • Kusto sorgu diline genel bakış.
  • Sorgu temelleri hakkında bilgi sahibi olmak için Kusto öğreticisi.
  • Verilerinizi görmenin yeni yollarını öğrenmenize yardımcı olan örnek sorgular.
  • Sorgularınızı başarı için en iyi duruma getirmek için Kusto en iyi yöntemleri.