Tüketici hesapları için Microsoft Entra güvenlik işlemleri
Tüketici kimliği etkinlikleri, kuruluşunuzun korunması ve izlenmesi için önemli bir alandır. Bu makale Azure Active Directory B2C (Azure AD B2C) kiracılarına yöneliktir ve tüketici hesabı etkinliklerini izlemeye yönelik yönergelere sahiptir. Etkinlikler şunlardır:
- Tüketici hesabı
- Ayrıcalıklı hesap
- Uygulama
- Altyapı
Başlamadan önce
Bu makaledeki yönergeleri kullanmadan önce Microsoft Entra güvenlik işlemleri kılavuzunu okumanızı öneririz.
Temel tanımlama
Anormal davranışı bulmak için normal ve beklenen davranışı tanımlayın. Kuruluşunuz için beklenen davranışı tanımlamak beklenmeyen davranışları keşfetmenize yardımcı olur. İzleme ve uyarı sırasında hatalı pozitif sonuçları azaltmaya yardımcı olmak için tanımını kullanın.
Beklenen davranış tanımlandığında, beklentileri doğrulamak için temel izleme gerçekleştirin. Ardından, tolerans dışında kalanlar için günlükleri izleyin.
Normal işlemler dışında oluşturulan hesaplar için veri kaynaklarınız olarak Microsoft Entra denetim günlüklerini, Microsoft Entra oturum açma günlüklerini ve dizin özniteliklerini kullanın. Aşağıdaki öneriler normal tanımlamanıza yardımcı olabilir.
Tüketici hesabı oluşturma
Aşağıdaki listeyi değerlendirin:
- Tüketici hesaplarını oluşturmaya ve yönetmeye yönelik araçlar ve süreçler için strateji ve ilkeler
- Örneğin, tüketici hesabı özniteliklerine uygulanan standart öznitelikler ve biçimler
- Hesap oluşturma için onaylanmış kaynaklar.
- Örneğin, özel ilkeler ekleme, müşteri sağlama veya geçiş aracı
- Onaylanan kaynaklar dışında oluşturulan hesaplar için uyarı stratejisi.
- Kuruluşunuzun işbirliği içinde olduğu kuruluşların denetimli bir listesini oluşturma
- Onaylanmamış bir tüketici hesabı yöneticisi tarafından oluşturulan, değiştirilen veya devre dışı bırakılan hesaplar için strateji ve uyarı parametreleri
- Müşteri numarası gibi standart öznitelikleri eksik olan veya kuruluş adlandırma kurallarına uymayan tüketici hesapları için izleme ve uyarı stratejisi
- Hesap silme ve saklama için strateji, ilkeler ve süreç
Nereye bakılır?
Araştırmak ve izlemek için günlük dosyalarını kullanın. Daha fazla bilgi için aşağıdaki makalelere bakın:
- Microsoft Entra Id'de denetim günlükleri
- Microsoft Entra Id'de oturum açma günlükleri (önizleme)
- Nasıl Yapılır: Riski araştırma
Denetim günlükleri ve otomasyon araçları
Azure portalından Microsoft Entra denetim günlüklerini görüntüleyebilir ve virgülle ayrılmış değer (CSV) veya JavaScript Nesne Gösterimi (JSON) dosyaları olarak indirebilirsiniz. İzlemeyi ve uyarıyı otomatikleştirmek için Microsoft Entra günlüklerini diğer araçlarla tümleştirmek için Azure portalını kullanın:
- Microsoft Sentinel – Güvenlik bilgileri ve olay yönetimi (SIEM) özellikleriyle güvenlik analizi
- Sigma kuralları - Otomatik yönetim araçlarının günlük dosyalarını ayrıştırmak için kullanabileceği açık bir kural ve şablon yazma standardıdır. Önerilen arama ölçütlerimiz için Sigma şablonları varsa, Sigma deposuna bir bağlantı ekledik. Microsoft, Sigma şablonlarını yazmaz, test etmez veya yönetmez. Depo ve şablonlar BT güvenlik topluluğu tarafından oluşturulur ve toplanır.
- Azure İzleyici – çeşitli koşulları otomatik izleme ve uyarı alma. Farklı kaynaklardan verileri birleştirmek için çalışma kitapları oluşturun veya kullanın.
- SIEM ile tümleşik Azure Event Hubs - Microsoft Entra günlüklerini Azure Event Hubs ile Splunk, ArcSight, QRadar ve Sumo Logic gibi SIEM'lerle tümleştirme
- Bulut için Microsoft Defender Uygulamaları – uygulamaları keşfetme ve yönetme, uygulamalar ve kaynaklar arasında idare ve bulut uygulaması uyumluluğuna uyma
- Kimlik Koruması - oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimlikleri üzerindeki riski algılama
Nelerin izleneceğine ve uyarılmaya ilişkin öneriler için makalenin geri kalanını kullanın. Tehdit türüne göre düzenlenmiş tablolara bakın. Tabloyu takip eden önceden oluşturulmuş çözümlerin veya örneklerin bağlantılarına bakın. Daha önce bahsedilen araçları kullanarak uyarılar oluşturun.
Tüketici hesapları
İzlenecekler | Risk düzeyi | Konumu | Filtre / alt filtre | Notlar |
---|---|---|---|---|
Çok sayıda hesap oluşturma veya silme işlemi | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı ekleme Durum = başarı Tarafından başlatıldı (aktör) = CPIM Hizmeti -Ve- Etkinlik: Kullanıcıyı silme Durum = başarı Tarafından başlatıldı (aktör) = CPIM Hizmeti |
Bir temel eşik tanımlayın ve ardından kuruluş davranışlarınızı paketleyip ayarlamak için izleyin. Hatalı uyarıları sınırlayın. |
Onaylanmamış kullanıcılar veya işlemler tarafından oluşturulan ve silinen hesaplar | Orta | Microsoft Entra denetim günlükleri | Tarafından başlatıldı (aktör) – KULLANICI ASıL ADI -Ve- Etkinlik: Kullanıcı ekleme Durum = başarı Tarafından başlatıldı (aktör) != CPIM Hizmeti ve-veya Etkinlik: Kullanıcıyı silme Durum = başarı Tarafından başlatıldı (aktör) != CPIM Hizmeti |
Aktörler onaylanmamış kullanıcılarsa uyarı gönderecek şekilde yapılandırın. |
Ayrıcalıklı role atanan hesaplar | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı ekleme Durum = başarı Tarafından başlatıldı (aktör) == CPIM Hizmeti -Ve- Etkinlik: Role üye ekleme Durum = başarı |
Hesap bir Microsoft Entra rolüne, Azure rolüne veya ayrıcalıklı grup üyeliğine atanmışsa, araştırmayı uyarın ve önceliklerini belirleyin. |
Başarısız oturum açma girişimleri | Orta - Yalıtılmış olaysa Yüksek - birçok hesap aynı desenle karşılaşıyorsa |
Microsoft Entra oturum açma günlüğü | Durum = başarısız oldu -Ve- Oturum açma hata kodu 50126 - Geçersiz kullanıcı adı veya parola nedeniyle kimlik bilgileri doğrulanırken hata oluştu. -Ve- Uygulama == "CPIM PowerShell İstemcisi" -veya- Application == "ProxyIdentityExperienceFramework" |
Bir temel eşik tanımlayın ve ardından kurumsal davranışlarınıza uyacak şekilde izleyin ve ayarlayın ve hatalı uyarıların oluşturulmasını sınırlayın. |
Akıllı kilitleme olayları | Orta - Yalıtılmış olaysa Yüksek - birçok hesap aynı deseni veya VIP'yi yaşıyorsa |
Microsoft Entra oturum açma günlüğü | Durum = başarısız oldu -Ve- Oturum açma hata kodu = 50053 – IdsLocked -Ve- Uygulama == "CPIM PowerShell İstemcisi" -veya- Uygulama =="ProxyIdentityExperienceFramework" |
Bir temel eşik tanımlayın ve ardından kurumsal davranışlarınıza uyacak şekilde izleyin ve ayarlayın ve hatalı uyarıları sınırlayın. |
Çalışmadığınız ülkelerden veya bölgelerden başarısız kimlik doğrulamaları | Orta | Microsoft Entra oturum açma günlüğü | Durum = başarısız oldu -Ve- Konum = <onaylanmamış konum> -Ve- Uygulama == "CPIM PowerShell İstemcisi" -veya- Application == "ProxyIdentityExperienceFramework" |
Sağlanan şehir adlarına eşit olmayan girişleri izleyin. |
Herhangi bir türde artan başarısız kimlik doğrulamaları | Orta | Microsoft Entra oturum açma günlüğü | Durum = başarısız oldu -Ve- Uygulama == "CPIM PowerShell İstemcisi" -veya- Application == "ProxyIdentityExperienceFramework" |
Eşiğiniz yoksa, hataların %10 veya daha yüksek olup olmadığını izleyin ve uyarın. |
Hesap devre dışı bırakıldı/oturum açma işlemleri için engellendi | Düşük | Microsoft Entra oturum açma günlüğü | Durum = Hata -Ve- hata kodu = 50057, Kullanıcı hesabı devre dışı bırakıldı. |
Bu senaryo, kuruluştan ayrıldıktan sonra bir hesaba erişmeye çalışan bir kişiyi gösterebilir. Hesap engellendi, ancak bu etkinliği günlüğe kaydetmek ve uyarmak önemlidir. |
Başarılı oturum açma işlemlerinde ölçülebilir artış | Düşük | Microsoft Entra oturum açma günlüğü | Durum = Başarılı -Ve- Uygulama == "CPIM PowerShell İstemcisi" -veya- Application == "ProxyIdentityExperienceFramework" |
Eşiğiniz yoksa, başarılı kimlik doğrulamaları %10 veya daha yüksek bir artışla izleyip uyarır. |
Ayrıcalıklı hesaplar
İzlenecekler | Risk düzeyi | Konumu | Filtre / alt filtre | Notlar |
---|---|---|---|---|
Oturum açma hatası, hatalı parola eşiği | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = Hata -Ve- hata kodu = 50126 |
Bir temel eşik tanımlayın ve kurumsal davranışlarınıza uyacak şekilde izleyin ve ayarlayın. Hatalı uyarıları sınırlayın. |
Koşullu Erişim gereksinimi nedeniyle hata | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = Hata -Ve- hata kodu = 53003 -Ve- Hata nedeni = Koşullu Erişim tarafından engellendi |
Olay, bir saldırganın hesaba girmeye çalıştığını gösterebilir. |
Kesme | Yüksek, orta | Microsoft Entra oturum açma günlüğü | Durum = Hata -Ve- hata kodu = 53003 -Ve- Hata nedeni = Koşullu Erişim tarafından engellendi |
Olay, bir saldırganın hesap parolasına sahip olduğunu gösterebilir, ancak MFA sınamasını geçemez. |
Hesap kilitleme | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = Hata -Ve- hata kodu = 50053 |
Bir temel eşik tanımlayın, ardından kurumsal davranışlarınıza uyacak şekilde izleyin ve ayarlayın. Hatalı uyarıları sınırlayın. |
Oturum açma işlemleri için hesap devre dışı bırakıldı veya engellendi | Iowa | Microsoft Entra oturum açma günlüğü | Durum = Hata -Ve- Hedef = Kullanıcı UPN'si -Ve- hata kodu = 50057 |
Olay, kuruluştan ayrıldıktan sonra hesap erişimi elde etmeye çalışan bir kişiyi gösterebilir. Hesap engellenmiş olsa da bu etkinliği günlüğe kaydedip uyarın. |
MFA sahtekarlığı uyarısı veya engellemesi | Yüksek | Microsoft Entra oturum açma günlüğü/Azure Log Analytics | Oturum açma kimlik>doğrulaması ayrıntıları Sonuç ayrıntıları = MFA reddedildi, sahtekarlık kodu girildi |
Ayrıcalıklı kullanıcı, bir saldırganın hesap parolasına sahip olduğunu gösteren MFA istemini başlatmadığını gösterir. |
MFA sahtekarlığı uyarısı veya engellemesi | Yüksek | Microsoft Entra oturum açma günlüğü/Azure Log Analytics | Etkinlik türü = Sahtekarlık bildirildi - Kullanıcı MFA veya sahtekarlık nedeniyle engellendi - Sahtekarlık raporu kiracı düzeyi ayarlarına bağlı olarak hiçbir işlem yapılmadı | Ayrıcalıklı kullanıcı, MFA istemini başlatmadığını belirtti. Senaryo, bir saldırganın hesap parolasına sahip olduğunu gösterebilir. |
Beklenen denetimlerin dışında ayrıcalıklı hesap oturum açma işlemleri | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = Hata UserPricipalName = <Yönetici hesabı> Konum = <onaylanmamış konum> IP adresi = <onaylanmamış IP> Cihaz bilgileri = <onaylanmamış Tarayıcı, İşletim Sistemi> |
Onaylanmamış olarak tanımladığınız girişleri izleyin ve uyarın. |
Normal oturum açma sürelerinin dışında | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = Başarılı -Ve- Konum = -Ve- Saat = Çalışma saatleri dışında |
Oturum açma işlemleri beklenen süreler dışında gerçekleşiyorsa izleyin ve uyarın. Her ayrıcalıklı hesap için normal çalışma düzenini bulun ve normal çalışma saatleri dışında planlanmamış değişiklikler varsa uyarı verin. Normal çalışma saatleri dışında oturum açma işlemleri güvenliğin aşılmasına veya içeriden gelen olası tehditlere işaret edebilir. |
Parola değiştirme | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik aktörü = Yönetici/self servis -Ve- Hedef = Kullanıcı -Ve- Durum = Başarı veya başarısızlık |
Herhangi bir yönetici hesabı parolası değiştiğinde uyarır. Ayrıcalıklı hesaplar için bir sorgu yazın. |
Kimlik doğrulama yöntemlerindeki değişiklikler | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kimlik sağlayıcısı oluşturma Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
Değişiklik, bir saldırganın hesaba kimlik doğrulama yöntemi ekleyerek erişimin devam ettiğini gösterebilir. |
Kimlik Sağlayıcısı onaylanmamış aktörler tarafından güncelleştirildi | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kimlik sağlayıcısını güncelleştirme Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
Değişiklik, bir saldırganın hesaba kimlik doğrulama yöntemi ekleyerek erişimin devam ettiğini gösterebilir. |
Kimlik Sağlayıcısı onaylanmamış aktörler tarafından silindi | Yüksek | Microsoft Entra erişim gözden geçirmeleri | Etkinlik: Kimlik sağlayıcısını silme Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
Değişiklik, bir saldırganın hesaba kimlik doğrulama yöntemi ekleyerek erişimin devam ettiğini gösterebilir. |
Uygulamalar
İzlenecekler | Risk düzeyi | Konumu | Filtre / alt filtre | Notlar |
---|---|---|---|---|
Uygulamalara kimlik bilgileri eklendi | Yüksek | Microsoft Entra denetim günlükleri | Service-Core Dizini, Category-ApplicationManagement Etkinlik: Uygulama Sertifikalarını ve gizli dizi yönetimini güncelleştirme -Ve- Etkinlik: Hizmet sorumlusunu/Uygulamayı Güncelleştirme |
Kimlik bilgileri şu durumlarda uyarır: normal iş saatleri veya iş akışları dışında eklenir, ortamınızda kullanılmayan türler veya hizmet sorumlusunu destekleyen SAML olmayan bir akışa eklenir. |
Azure rol tabanlı erişim denetimi (RBAC) rolüne veya Microsoft Entra rolüne atanan uygulama | Yüksek-orta | Microsoft Entra denetim günlükleri | Tür: hizmet sorumlusu Etkinlik: "Role üye ekle" veya "Role uygun üye ekle" -veya- "Role kapsamlı üye ekle." |
Yok |
Uygulamaya "ile izinler gibi yüksek ayrıcalıklı izinler verildi. Tümü" (Directory.ReadWrite.All) veya geniş kapsamlı izinler (Posta.) | Yüksek | Microsoft Entra denetim günlükleri | Yok | Uygulamalar "gibi geniş izinler verdi. Tümü" (Directory.ReadWrite.All) veya geniş kapsamlı izinler (Posta.) |
uygulama izinleri (uygulama rolleri) veya yüksek ayrıcalıklı temsilci izinleri veren Yönetici istrator | Yüksek | Microsoft 365 portalı | "Hizmet sorumlusuna uygulama rolü ataması ekle" -Nerede- Hedefler, hassas verilerle (Microsoft Graph gibi) "Temsilci izni ekleme" ile bir API tanımlar -Nerede- Hedefler, hassas verilerle (Microsoft Graph gibi) bir API tanımlar -Ve- DelegatedPermissionGrant.Scope yüksek ayrıcalıklı izinler içerir. |
Genel, uygulama veya bulut uygulaması yöneticisi bir uygulamaya onay verdiğinizde uyarır. Özellikle normal etkinlik ve değişiklik yordamları dışında onay arayın. |
Uygulamaya Microsoft Graph, Exchange, SharePoint veya Microsoft Entra Id izinleri verilir. | Yüksek | Microsoft Entra denetim günlükleri | "Temsilci izni ekleme" -veya- "Hizmet sorumlusuna uygulama rolü ataması ekle" -Nerede- Hedefler hassas verilerle (Microsoft Graph, Exchange Online vb.) bir API tanımlar |
Önceki satırdaki uyarıyı kullanın. |
Tüm kullanıcılar adına verilen yüksek ayrıcalıklı temsilci izinleri | Yüksek | Microsoft Entra denetim günlükleri | "Temsilci izni ekleme" burada: Hedefler, hassas verilerle (Microsoft Graph gibi) bir API tanımlar DelegatedPermissionGrant.Scope yüksek ayrıcalıklı izinler içerir -Ve- DelegatedPermissionGrant.ConsentType , "AllPrincipals" şeklindedir. |
Önceki satırdaki uyarıyı kullanın. |
ROPC kimlik doğrulama akışını kullanan uygulamalar | Orta | Microsoft Entra oturum açma günlüğü | Status=Success Kimlik Doğrulama Protokolü-ROPC |
Kimlik bilgileri önbelleğe alınabildiği veya depolanabildiği için bu uygulamaya yüksek güven düzeyi yerleştirilir. Mümkünse daha güvenli bir kimlik doğrulama akışına geçin. İşlemi yalnızca otomatik uygulama testinde (varsa) kullanın. |
Sallanma URI'si | Yüksek | Microsoft Entra günlükleri ve Uygulama Kaydı | Service-Core Dizini Category-ApplicationManagement Etkinlik: Uygulamayı Güncelleştirme Success – AppAddress Özellik Adı |
Örneğin, giden bir etki alanı adına veya sahip olmadığınız bir etki alanı adına işaret eden sarkan URI'leri arayın. |
Yeniden yönlendirme URI yapılandırma değişiklikleri | Yüksek | Microsoft Entra günlükleri | Service-Core Dizini Category-ApplicationManagement Etkinlik: Uygulamayı Güncelleştirme Success – AppAddress Özellik Adı |
HTTPS* kullanmayan URI'leri, sonunda joker karakter bulunan URI'leri veya URL'nin etki alanını, uygulamaya özgü olmayan URI'leri, denetlemediğiniz bir etki alanını işaret eden URI'leri arayın. |
AppID URI'sinde yapılan değişiklikler | Yüksek | Microsoft Entra günlükleri | Service-Core Dizini Category-ApplicationManagement Etkinlik: Uygulamayı Güncelleştirme Etkinlik: Hizmet sorumlusunu güncelleştirme |
URI'yi ekleme, değiştirme veya kaldırma gibi AppID URI değişikliklerini arayın. |
Uygulama sahipliğindeki değişiklikler | Orta | Microsoft Entra günlükleri | Service-Core Dizini Category-ApplicationManagement Etkinlik: Uygulamaya sahip ekleme |
Normal değişiklik yönetimi etkinlikleri dışında uygulama sahibi olarak eklenen kullanıcıların örneklerini arayın. |
Oturumu kapatma URL'sinde yapılan değişiklikler | Düşük | Microsoft Entra günlükleri | Service-Core Dizini Category-ApplicationManagement Etkinlik: Uygulamayı Güncelleştirme -Ve- Etkinlik: Hizmet ilkesini güncelleştirme |
Oturumu kapatma URL'sinde yapılan değişiklikleri arayın. Var olmayan konumlara boş girdiler veya girdiler kullanıcının oturumu sonlandırmasını durdurur. |
Altyapı
İzlenecekler | Risk Düzeyi | Konumu | Filtre / alt filtre | Notlar |
---|---|---|---|---|
Onaylanmamış aktörler tarafından oluşturulan yeni Koşullu Erişim İlkesi | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Koşullu Erişim ilkesi ekleme Kategori: İlke Başlatan (aktör): Kullanıcı Asıl Adı |
Koşullu Erişim değişikliklerini izleyin ve uyarın. Başlatan (aktör): Koşullu Erişim'de değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından kaldırılan Koşullu Erişim İlkesi | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Koşullu Erişim ilkesini silme Kategori: İlke Başlatan (aktör): Kullanıcı Asıl Adı |
Koşullu Erişim değişikliklerini izleyin ve uyarın. Başlatan (aktör): Koşullu Erişim'de değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından güncelleştirilen Koşullu Erişim İlkesi | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Koşullu Erişim ilkesini güncelleştirme Kategori: İlke Başlatan (aktör): Kullanıcı Asıl Adı |
Koşullu Erişim değişikliklerini izleyin ve uyarın. Başlatan (aktör): Koşullu Erişim'de değişiklik yapmak için onaylandı mı? Değiştirilen Özellikler'i gözden geçirin ve eski ile yeni değeri karşılaştırın |
Onaylanmamış aktörler tarafından oluşturulan B2C özel ilkesi | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Özel ilke oluşturma Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
Özel ilke değişikliklerini izleyin ve uyarın. Başlatan (aktör): Özel ilkelerde değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından güncelleştirilen B2C özel ilkesi | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Özel ilkeler alma Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
Özel ilke değişikliklerini izleyin ve uyarın. Başlatan (aktör): Özel ilkelerde değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından silinen B2C özel ilkesi | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Özel ilkeyi silme Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
Özel ilke değişikliklerini izleyin ve uyarın. Başlatan (aktör): Özel ilkelerde değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından oluşturulan kullanıcı akışı | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı akışı oluşturma Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
Kullanıcı akışı değişikliklerini izleyin ve uyarın. Başlatan (aktör): Kullanıcı akışlarında değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından güncelleştirilen kullanıcı akışı | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı akışını güncelleştirme Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
Kullanıcı akışı değişikliklerini izleyin ve uyarın. Başlatan (aktör): Kullanıcı akışlarında değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından silinen kullanıcı akışı | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı akışını silme Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
Kullanıcı akışı değişikliklerini izleyin ve uyarın. Başlatan (aktör): Kullanıcı akışlarında değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından oluşturulan API bağlayıcıları | Orta | Microsoft Entra denetim günlükleri | Etkinlik: API bağlayıcısı oluşturma Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
API bağlayıcısı değişikliklerini izleyin ve uyarın. Başlatan (aktör): API bağlayıcılarında değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından güncelleştirilen API bağlayıcıları | Orta | Microsoft Entra denetim günlükleri | Etkinlik: API bağlayıcısı güncelleştirme Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı: ResourceManagement |
API bağlayıcısı değişikliklerini izleyin ve uyarın. Başlatan (aktör): API bağlayıcılarında değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından silinen API bağlayıcıları | Orta | Microsoft Entra denetim günlükleri | Etkinlik: API bağlayıcısı güncelleştirme Kategori: ResourceManagment Hedef: Kullanıcı Asıl Adı: ResourceManagment |
API bağlayıcısı değişikliklerini izleyin ve uyarın. Başlatan (aktör): API bağlayıcılarında değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından oluşturulan kimlik sağlayıcısı (IdP) | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kimlik sağlayıcısı oluşturma Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
IdP değişikliklerini izleyin ve uyarın. Başlatan (aktör): IdP yapılandırmasında değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından güncelleştirilen IdP | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kimlik sağlayıcısını güncelleştirme Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
IdP değişikliklerini izleyin ve uyarın. Başlatan (aktör): IdP yapılandırmasında değişiklik yapmak için onaylandı mı? |
Onaylanmamış aktörler tarafından silinen IdP | Orta | Microsoft Entra denetim günlükleri | Etkinlik: Kimlik sağlayıcısını silme Kategori: ResourceManagement Hedef: Kullanıcı Asıl Adı |
IdP değişikliklerini izleyin ve uyarın. Başlatan (aktör): IdP yapılandırmasında değişiklik yapmak için onaylandı mı? |
Sonraki adımlar
Daha fazla bilgi edinmek için aşağıdaki güvenlik işlemleri makalelerine bakın:
- Microsoft Entra güvenlik işlemleri kılavuzu
- Kullanıcı hesapları için Microsoft Entra güvenlik işlemleri
- Microsoft Entra Id'de ayrıcalıklı hesaplar için güvenlik işlemleri
- Privileged Identity Management için Microsoft Entra güvenlik işlemleri
- Uygulamalar için Microsoft Entra güvenlik işlemleri kılavuzu
- Cihazlar için Microsoft Entra güvenlik işlemleri
- Altyapı için güvenlik işlemleri
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin