Uygulamalar için Microsoft Entra güvenlik işlemleri kılavuzu
Uygulamaların güvenlik ihlalleri için bir saldırı yüzeyi vardır ve izlenmesi gerekir. Kullanıcı hesapları kadar sık hedeflenmese de ihlaller oluşabilir. Uygulamalar genellikle insan müdahalesi olmadan çalıştığından saldırıları algılamak daha zor olabilir.
Bu makalede, uygulama olaylarını izlemek ve bunlarla ilgili uyarı almak için yönergeler sağlanmaktadır. Aşağıdakilerin sağlanmasına yardımcı olmak için düzenli olarak güncelleştirilir:
Kötü amaçlı uygulamaların verilere yersiz erişim sağlamasını engelleme
Uygulamaların kötü aktörler tarafından gizliliğinin ihlal edilmesini önleme
Yeni uygulamaları daha güvenli bir şekilde derlemenizi ve yapılandırmanızı sağlayan içgörüler toplayın
Uygulamaların Microsoft Entra Id'de nasıl çalıştığını bilmiyorsanız bkz . Microsoft Entra Id'de uygulamalar ve hizmet sorumluları.
Not
Microsoft Entra güvenlik işlemlerine genel bakış konusunu henüz gözden geçirmediyseniz, bunu şimdi yapmayı göz önünde bulundurun.
Bakmanız gereken bilgi
Güvenlik olayları için uygulama günlüklerinizi izlerken, normal etkinlikleri kötü amaçlı etkinliklerden ayırt etmeye yardımcı olmak için aşağıdaki listeyi gözden geçirin. Aşağıdaki olaylar güvenlik sorunlarını gösterebilir. Her biri makalede ele alınmıştır.
Normal iş süreçlerinin ve zamanlamalarının dışında gerçekleşen tüm değişiklikler
Uygulama kimlik bilgileri değişiklikleri
UYGULAMA İZİNLERİ
Microsoft Entra Kimliğine veya Azure rol tabanlı erişim denetimi (RBAC) rolüne atanan hizmet sorumlusu
Yüksek ayrıcalıklı izinler verilen uygulamalar
Azure Key Vault değişiklikleri
Uygulamalara onay veren son kullanıcı
Risk düzeyine göre son kullanıcı onayı durduruldu
Uygulama yapılandırma değişiklikleri
Evrensel kaynak tanımlayıcısı (URI) değiştirildi veya standart dışı
Uygulama sahiplerine yapılan değişiklikler
Oturum kapatma URL'leri değiştirildi
Nereye bakılır?
Araştırma ve izleme için kullandığınız günlük dosyaları şunlardır:
Azure portalından Microsoft Entra denetim günlüklerini görüntüleyebilir ve virgülle ayrılmış değer (CSV) veya JavaScript Nesne Gösterimi (JSON) dosyaları olarak indirebilirsiniz. Azure portalında, microsoft Entra günlüklerini diğer araçlarla tümleştirmenin çeşitli yolları vardır ve bu da izleme ve uyarının daha fazla otomasyonunu sağlar:
Microsoft Sentinel – Güvenlik bilgileri ve olay yönetimi (SIEM) özellikleriyle kurumsal düzeyde akıllı güvenlik analizi sağlar.
Sigma kuralları - Sigma, otomatik yönetim araçlarının günlük dosyalarını ayrıştırmak için kullanabileceği kurallar ve şablonlar yazmak için gelişen bir açık standarttır. Önerilen arama ölçütlerimiz için Sigma şablonları olduğunda, Sigma deposuna bir bağlantı ekledik. Sigma şablonları Microsoft tarafından yazılmıyor, test edilmedi ve yönetilmiyor. Bunun yerine, depo ve şablonlar dünya çapında BT güvenlik topluluğu tarafından oluşturulur ve toplanır.
Azure İzleyici – çeşitli koşulları otomatik izleme ve uyarı alma. Farklı kaynaklardan verileri birleştirmek için çalışma kitapları oluşturabilir veya kullanabilir.
SIEM Microsoft Entra günlükleriyle tümleştirilmiş Azure Event Hubs, Azure Event Hubs tümleştirmesi aracılığıyla Splunk, ArcSight, QRadar ve Sumo Logic gibi diğer SIEM'lerle tümleştirilebilir.-
Bulut için Microsoft Defender Uygulamaları – uygulamaları keşfedin ve yönetin, uygulamalar ve kaynaklar arasında idare edin ve bulut uygulamalarınızın uyumluluğunu denetleyin.
Kimlik Koruması Önizlemesi ile iş yükü kimliklerinin güvenliğini sağlama- oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimlikleri üzerindeki riski algılar.
İzlediğiniz ve uyarıda bulunanların çoğu Koşullu Erişim ilkelerinizin etkileridir. Koşullu Erişim içgörüleri ve raporlama çalışma kitabını kullanarak bir veya daha fazla Koşullu Erişim ilkelerinin oturum açma işlemlerinizdeki etkilerini ve cihaz durumu da dahil olmak üzere ilkelerin sonuçlarını inceleyebilirsiniz. Bir özeti görüntülemek ve bir zaman aralığındaki etkileri belirlemek için çalışma kitabını kullanın. Çalışma kitabını belirli bir kullanıcının oturum açma bilgilerini araştırmak için kullanabilirsiniz.
Bu makalenin geri kalanında izlemenizi ve bu konuda uyarı yapmanızı öneririz. Tehdit türüne göre düzenlenmiştir. Önceden oluşturulmuş çözümler olduğunda, bunlara bağlanır veya tablodan sonra örnekler sağlarız. Aksi takdirde, önceki araçları kullanarak uyarılar oluşturabilirsiniz.
Uygulama kimlik bilgileri
Birçok uygulama, Microsoft Entra Id'de kimlik doğrulaması yapmak için kimlik bilgilerini kullanır. Beklenen işlemlerin dışında eklenen diğer tüm kimlik bilgileri, bu kimlik bilgilerini kullanan kötü amaçlı bir aktör olabilir. İstemci gizli dizileri kullanmak yerine güvenilen yetkililer veya Yönetilen Kimlikler tarafından verilen X509 sertifikalarını kullanmanızı öneririz. Ancak, istemci gizli dizilerini kullanmanız gerekiyorsa, uygulamaların güvenliğini sağlamak için iyi hijyen uygulamalarını izleyin. Uygulama ve hizmet sorumlusu güncelleştirmelerinin denetim günlüğüne iki girdi olarak kaydedildiği unutmayın.
Uzun kimlik bilgisi süre sonu sürelerini belirlemek için uygulamaları izleyin.
Uzun ömürlü kimlik bilgilerini kısa bir yaşam süresiyle değiştirin. Kimlik bilgilerinin kod depolarında işlenmediğinden ve güvenli bir şekilde depolandığından emin olun.
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Mevcut uygulamalara kimlik bilgileri eklendi | Yüksek | Microsoft Entra denetim günlükleri | Service-Core Dizini, Category-ApplicationManagement Etkinlik: Uygulama Sertifikalarını ve gizli dizi yönetimini güncelleştirme -Ve- Etkinlik: Hizmet sorumlusunu/Uygulamayı Güncelleştirme |
Kimlik bilgileri şu durumlarda uyarır: normal iş saatleri veya iş akışları dışında, ortamınızda kullanılmayan türlerde veya saml olmayan bir akış destekleyen hizmet sorumlusuna eklenir. Microsoft Sentinel şablonu Sigma kuralları |
| İlkelerinizin izin verdikten daha uzun bir ömrü olan kimlik bilgileri. | Orta | Microsoft Graph | Uygulama Anahtarı kimlik bilgilerinin durumu ve bitiş tarihi -Ve- Uygulama parolası kimlik bilgileri |
Kimlik bilgilerinin başlangıç ve bitiş tarihini bulmak ve izin verilenden uzun kullanım sürelerini değerlendirmek için MS Graph API'sini kullanabilirsiniz. Bu tabloyu izleyen PowerShell betiğine bakın. |
Aşağıdaki önceden oluşturulmuş izleme ve uyarılar kullanılabilir:
Microsoft Sentinel – Yeni uygulama veya hizmet ilkesi kimlik bilgileri eklendiğinde uyarı
Azure İzleyici – Solorigate riskini değerlendirmenize yardımcı olacak Microsoft Entra çalışma kitabı - Microsoft Tech Community
Bulut için Defender Uygulamaları – Bulut için Defender Uygulamalar anomali algılama uyarıları araştırma kılavuzu
PowerShell - Kimlik bilgisi ömrünü bulmak için örnek PowerShell betiği.
UYGULAMA İZİNLERİ
Bir yönetici hesabı gibi uygulamalara da ayrıcalıklı roller atanabilir. Uygulamalara Kullanıcı Yönetici istrator gibi herhangi bir Microsoft Entra rolü veya Faturalama Okuyucusu gibi Azure RBAC rolleri atanabilir. Kullanıcı olmadan ve bir arka plan hizmeti olarak çalıştırılabildiği için, bir uygulamaya ayrıcalıklı roller veya izinler verildiğinde yakından izleyin.
Bir role atanan hizmet sorumlusu
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Azure RBAC rolüne veya Microsoft Entra rolüne atanan uygulama | Yüksek-Orta | Microsoft Entra denetim günlükleri | Tür: hizmet sorumlusu Etkinlik: "Role üye ekleme" veya "Role uygun üye ekleme" -veya- "Role kapsamlı üye ekle." |
Yüksek ayrıcalıklı roller için risk yüksektir. Daha düşük ayrıcalıklı roller için risk orta düzeydedir. Azure rolüne veya Microsoft Entra rolüne normal değişiklik yönetimi veya yapılandırma yordamları dışında bir uygulama atandığında uyarır. Microsoft Sentinel şablonu Sigma kuralları |
Uygulamaya yüksek ayrıcalıklı izinler verildi
Uygulamalar en az ayrıcalık ilkesine uygun olmalıdır. Gerekli olduğundan emin olmak için uygulama izinlerini araştırın. Uygulamaları tanımlamaya ve ayrıcalıklı izinleri vurgulamanıza yardımcı olmak için bir uygulama onayı verme raporu oluşturabilirsiniz.
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Uygulamaya "ile izinler gibi yüksek ayrıcalıklı izinler verildi. All" (Directory.ReadWrite.All) veya geniş kapsamlı izinler (Posta.) | Yüksek | Microsoft Entra denetim günlükleri | "Hizmet sorumlusuna uygulama rolü ataması ekle", -Nerede- Hedefler, hassas verilerle (Microsoft Graph gibi) bir API tanımlar -Ve- AppRole.Value, yüksek ayrıcalıklı uygulama iznini (uygulama rolü) tanımlar. |
Uygulamalar "gibi geniş izinler verdi. All" (Directory.ReadWrite.All) veya geniş kapsamlı izinler (Posta.) Microsoft Sentinel şablonu Sigma kuralları |
| uygulama izinleri (uygulama rolleri) veya yüksek ayrıcalıklı temsilci izinleri veren Yönetici istrator | Yüksek | Microsoft 365 portalı | "Hizmet sorumlusuna uygulama rolü ataması ekle", -Nerede- Hedefler, hassas verilerle (Microsoft Graph gibi) bir API tanımlar "Temsilci izni ekleme", -Nerede- Hedefler, hassas verilerle (Microsoft Graph gibi) bir API tanımlar -Ve- DelegatedPermissionGrant.Scope yüksek ayrıcalıklı izinler içerir. |
Bir yönetici bir uygulamayı kabul ettiğinde uyarır. Özellikle normal etkinlik ve değişiklik yordamları dışında onay arayın. Microsoft Sentinel şablonu Microsoft Sentinel şablonu Microsoft Sentinel şablonu Sigma kuralları |
| Uygulamaya Microsoft Graph, Exchange, SharePoint veya Microsoft Entra Id izinleri verilir. | Yüksek | Microsoft Entra denetim günlükleri | "Temsilci izni ekleme" -veya- "Hizmet sorumlusuna uygulama rolü ataması ekle", -Nerede- Hedefler hassas verilerle (Microsoft Graph, Exchange Online vb.) bir API tanımlar |
Önceki satırda olduğu gibi uyarı verin. Microsoft Sentinel şablonu Sigma kuralları |
| Diğer API'ler için uygulama izinleri (uygulama rolleri) verilir | Orta | Microsoft Entra denetim günlükleri | "Hizmet sorumlusuna uygulama rolü ataması ekle", -Nerede- Hedefler diğer TÜM API'leri tanımlar. |
Önceki satırda olduğu gibi uyarı verin. Sigma kuralları |
| Tüm kullanıcılar adına yüksek ayrıcalıklı temsilci izinleri verilir | Yüksek | Microsoft Entra denetim günlükleri | Hedeflerin hassas verilerle (Microsoft Graph gibi) bir API'yi tanımladığı "Temsilcili izin izni ekleme", DelegatedPermissionGrant.Scope yüksek ayrıcalıklı izinler içerir, -Ve- DelegatedPermissionGrant.ConsentType , "AllPrincipals" şeklindedir. |
Önceki satırda olduğu gibi uyarı verin. Microsoft Sentinel şablonu Microsoft Sentinel şablonu Microsoft Sentinel şablonu Sigma kuralları |
Uygulama izinlerini izleme hakkında daha fazla bilgi için şu öğreticiye bakın: Riskli OAuth uygulamalarını araştırma ve düzeltme.
Azure Key Vault
Kiracınızın gizli dizilerini depolamak için Azure Key Vault'ı kullanın. Key Vault yapılandırmasında ve etkinliklerinde yapılan değişikliklere dikkat etmenizi öneririz.
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Key Vault'larınıza nasıl ve ne zaman erişilir ve kim tarafından erişilir? | Orta | Azure Key Vault günlükleri | Kaynak türü: Key Vaults | Şunları arayın: Normal işlemler ve saatler dışında Key Vault'a erişim, Key Vault ACL'sinde yapılan değişiklikler. Microsoft Sentinel şablonu Sigma kuralları |
Azure Key Vault'un kurulumunu yaptıktan sonra günlüğe kaydetmeyi etkinleştirin. Key Vault'larınıza nasıl ve ne zaman erişildiğini görün ve sistem durumu etkileniyorsa, atanan kullanıcılara veya dağıtım listelerine e-posta, telefon, metin veya Event Grid bildirimi yoluyla bildirim göndermek için Key Vault'ta uyarıları yapılandırın. Buna ek olarak, Key Vault içgörüleriyle izlemeyi ayarlamak size Key Vault isteklerinin, performansının, hatalarının ve gecikme süresinin anlık görüntüsünü sağlar. Log Analytics,Azure Key Vault için Key Vault'unuzu seçtikten sonra ve ardından "Günlükler" seçildiğinde "İzleme" altında erişilebilen bazı örnek sorgulara da sahiptir.
Son kullanıcı onayı
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Uygulamaya son kullanıcı onayı | Düşük | Microsoft Entra denetim günlükleri | Etkinlik: Uygulamaya onay / ConsentContext.Is Yönetici Consent = false | Şunlara bakın: yüksek profilli veya yüksek ayrıcalıklı hesaplar, uygulama yüksek riskli izinler ister, genel, yanlış yazılmış gibi şüpheli adlara sahip uygulamalar. Microsoft Sentinel şablonu Sigma kuralları |
Bir uygulamaya onay verme eylemi kötü amaçlı değildir. Ancak, şüpheli uygulamaları aramak için yeni son kullanıcı onayı vermelerini araştırın. Kullanıcı onayı işlemlerini kısıtlayabilirsiniz.
Onay işlemleri hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:
Son kullanıcı risk tabanlı onay nedeniyle durduruldu
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Son kullanıcı onayı, risk tabanlı onay nedeniyle durduruldu | Orta | Microsoft Entra denetim günlükleri | Core Directory / ApplicationManagement / Uygulamaya onay verme Hata durumu nedeni = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Risk nedeniyle onayın durdurulduğu zamanları izleyin ve analiz edin. Şunlara bakın: yüksek profilli veya yüksek ayrıcalıklı hesaplar, uygulama yüksek riskli izinler ister veya genel, yanlış yazılmış gibi şüpheli adlara sahip uygulamalar. Microsoft Sentinel şablonu Sigma kuralları |
Uygulama kimlik doğrulama akışları
OAuth 2.0 protokolünde birkaç akış vardır. Bir uygulama için önerilen akış, oluşturulan uygulamanın türüne bağlıdır. Bazı durumlarda, uygulamanın kullanabileceği akış seçenekleri vardır. Bu durumda, bazı kimlik doğrulama akışları diğerlerine göre önerilir. Özellikle, kullanıcının geçerli parola kimlik bilgilerini uygulamaya göstermesini gerektirdiğinden kaynak sahibi parola kimlik bilgilerini (ROPC) önleyin. Uygulama daha sonra kimlik sağlayıcısında kullanıcının kimliğini doğrulamak için kimlik bilgilerini kullanır. Çoğu uygulama kimlik doğrulama kodu akışını veya Kod Değişimi için Proof Key (PKCE) ile kimlik doğrulama kod akışını kullanmalıdır, çünkü bu akış önerilir.
ROPC'nin önerildiği tek senaryo otomatik uygulama testidir. Ayrıntılar için bkz . Otomatik tümleştirme testleri çalıştırma.
Cihaz kodu akışı, giriş kısıtlanmış cihazlar için başka bir OAuth 2.0 protokol akışıdır ve tüm ortamlarda kullanılmaz. Cihaz kodu akışı ortamda görüntülendiğinde ve giriş kısıtlanmış cihaz senaryosunda kullanılmadığında. Yanlış yapılandırılmış bir uygulama veya kötü amaçlı olabilecek bir şey için daha fazla araştırma garanti edilir. Cihaz kodu akışı Koşullu Erişim'de de engellenebilir veya bunlara izin verilebiliyor. Ayrıntılar için bkz . Koşullu Erişim kimlik doğrulaması akışları .
Aşağıdaki oluşumu kullanarak uygulama kimlik doğrulamasını izleyin:
| İzlenecekler | Risk düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| ROPC kimlik doğrulama akışını kullanan uygulamalar | Orta | Microsoft Entra oturum açma günlüğü | Status=Success Kimlik Doğrulama Protokolü-ROPC |
Kimlik bilgileri önbelleğe alınabildiği veya depolanabildiği için bu uygulamaya yüksek düzeyde güven yerleştiriliyor. Mümkünse daha güvenli bir kimlik doğrulama akışına geçin. Bu yalnızca uygulamaların otomatik testinde (varsa) kullanılmalıdır. Daha fazla bilgi için bkz. Microsoft kimlik platformu ve OAuth 2.0 Kaynak Sahibi Parola Kimlik Bilgileri Sigma kuralları |
| Cihaz kodu akışını kullanan uygulamalar | Düşük-orta | Microsoft Entra oturum açma günlüğü | Status=Success Kimlik Doğrulama Protokolü-Cihaz Kodu |
Cihaz kodu akışları, giriş kısıtlanmış cihazlar için kullanılır ve bunlar tüm ortamlarda olmayabilir. Başarılı cihaz kodu akışları görünürse, bunlara gerek kalmadan geçerli olup olmadığını araştırın. Daha fazla bilgi için bkz. Microsoft kimlik platformu ve OAuth 2.0 cihaz yetkilendirmesi verme akışı Sigma kuralları |
Uygulama yapılandırma değişiklikleri
Uygulama yapılandırmasındaki değişiklikleri izleyin. Özel olarak, yapılandırma tekdüzen kaynak tanımlayıcısı (URI), sahiplik ve oturumu kapatma URL'sinde değişir.
Sallanma URI'sini ve Yeniden Yönlendirme URI'sini değiştirme
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Sallanma URI'si | Yüksek | Microsoft Entra günlükleri ve Uygulama Kaydı | Service-Core Dizini, Category-ApplicationManagement Etkinlik: Uygulamayı Güncelleştirme Success – AppAddress Özellik Adı |
Örneğin, artık var olmayan bir etki alanı adına veya açıkça sahip olmadığınız bir etki alanı adına işaret eden sarkan URI'leri arayın. Microsoft Sentinel şablonu Sigma kuralları |
| Yeniden yönlendirme URI yapılandırma değişiklikleri | Yüksek | Microsoft Entra günlükleri | Service-Core Dizini, Category-ApplicationManagement Etkinlik: Uygulamayı Güncelleştirme Success – AppAddress Özellik Adı |
HTTPS* kullanmayan URI'leri, sonunda joker karakter bulunan URI'leri veya URL'nin etki alanını, uygulamaya özgü OLMAYAN URI'leri, denetlemediğiniz bir etki alanına işaret eden URI'leri arayın. Microsoft Sentinel şablonu Sigma kuralları |
Bu değişiklikler algılandığında uyarır.
AppID URI'si eklendi, değiştirildi veya kaldırıldı
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| AppID URI'sinde yapılan değişiklikler | Yüksek | Microsoft Entra günlükleri | Service-Core Dizini, Category-ApplicationManagement Etkinlik: Güncelleştirme Uygulama Etkinlik: Hizmet sorumlusunu güncelleştirme |
URI'yi ekleme, değiştirme veya kaldırma gibi AppID URI değişikliklerini arayın. Microsoft Sentinel şablonu Sigma kuralları |
Onaylanan değişiklik yönetimi yordamlarının dışında bu değişiklikler algılandığında uyarır.
Yeni sahip
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Uygulama sahipliğindeki değişiklikler | Orta | Microsoft Entra günlükleri | Service-Core Dizini, Category-ApplicationManagement Etkinlik: Uygulamaya sahip ekleme |
Normal değişiklik yönetimi etkinlikleri dışında uygulama sahibi olarak eklenen bir kullanıcının herhangi bir örneğini arayın. Microsoft Sentinel şablonu Sigma kuralları |
Oturum kapatma URL'si değiştirildi veya kaldırıldı
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Oturumu kapatma URL'sinde yapılan değişiklikler | Düşük | Microsoft Entra günlükleri | Service-Core Dizini, Category-ApplicationManagement Etkinlik: Uygulamayı Güncelleştirme -Ve- Etkinlik: Hizmet ilkesini güncelleştirme |
Oturumu kapatma URL'sinde yapılan değişiklikleri arayın. Var olmayan konumlara boş girdiler veya girdiler kullanıcının oturumu sonlandırmasını durdurur. Microsoft Sentinel şablonu Sigma kuralları |
Kaynaklar
GitHub Microsoft Entra araç seti - https://github.com/microsoft/AzureADToolkit
Azure Key Vault güvenliğine genel bakış ve güvenlik kılavuzu - Azure Key Vault güvenliğine genel bakış
Solorgate risk bilgileri ve araçları - Solorigate riskine erişmenize yardımcı olacak Microsoft Entra çalışma kitabı
OAuth saldırı algılama kılavuzu - OAuth uygulamasına olağan dışı kimlik bilgileri ekleme
SIEM'ler için Microsoft Entra izleme yapılandırma bilgileri - Azure İzleyici tümleştirmesi ile iş ortağı araçları
Sonraki adımlar
Microsoft Entra güvenlik işlemlerine genel bakış
Kullanıcı hesapları için güvenlik işlemleri
Tüketici hesapları için güvenlik işlemleri
Ayrıcalıklı hesaplar için güvenlik işlemleri
Privileged Identity Management için güvenlik işlemleri