Microsoft Entra Id'de ayrıcalıklı hesaplar için güvenlik işlemleri

Makale
10/24/2023

İş varlıklarının güvenliği, BT sistemlerinizi yöneten ayrıcalıklı hesapların bütünlüğüne bağlıdır. Siber saldırganlar ayrıcalıklı hesapları hedeflemek ve hassas verilere erişim elde etmek için kimlik bilgisi hırsızlığı saldırılarını ve diğer araçları kullanır.

Geleneksel olarak, kurumsal güvenlik, bir ağın güvenlik çevresi olarak giriş ve çıkış noktalarına odaklanır. Ancak, İnternet'te hizmet olarak yazılım (SaaS) uygulamaları ve kişisel cihazlar bu yaklaşımı daha az etkili hale getirmektedir.

Microsoft Entra Id, denetim düzlemi olarak kimlik ve erişim yönetimini (IAM) kullanır. Kuruluşunuzun kimlik katmanında, ayrıcalıklı yönetim rollerine atanan kullanıcılar denetimdedir. Ortamın şirket içinde, bulutta veya karma ortamda olması fark etmeksizin erişim için kullanılan hesapların korunması gerekir.

Şirket içi BT ortamınız için tüm güvenlik katmanlarından tamamen siz sorumlusunuz. Azure hizmetlerini kullandığınızda önleme ve yanıt, bulut hizmeti sağlayıcısı olarak Microsoft'un ve müşteri olarak sizin ortak sorumluluklarıdır.

Paylaşılan sorumluluk modeli hakkında daha fazla bilgi için bkz . Bulutta paylaşılan sorumluluk.
Ayrıcalıklı kullanıcılar için erişimin güvenliğini sağlama hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama.
Çok çeşitli videolar, nasıl yapılır kılavuzları ve ayrıcalıklı kimlik için temel kavramların içeriği için Privileged Identity Management belgelerine bakın.

İzlenecek günlük dosyaları

Araştırma ve izleme için kullandığınız günlük dosyaları şunlardır:

Azure portalından Microsoft Entra denetim günlüklerini görüntüleyebilir ve virgülle ayrılmış değer (CSV) veya JavaScript Nesne Gösterimi (JSON) dosyaları olarak indirebilirsiniz. Azure portalında, microsoft Entra günlüklerini izleme ve uyarı otomasyonuna olanak sağlayan diğer araçlarla tümleştirmenin çeşitli yolları vardır:

Microsoft Sentinel. Güvenlik bilgileri ve olay yönetimi (SIEM) özellikleri sağlayarak kurumsal düzeyde akıllı güvenlik analizini etkinleştirir.
Sigma kuralları - Sigma, otomatik yönetim araçlarının günlük dosyalarını ayrıştırmak için kullanabileceği kurallar ve şablonlar yazmak için gelişen bir açık standarttır. Önerilen arama ölçütlerimiz için Sigma şablonlarının bulunduğu yerde, Sigma deposuna bir bağlantı ekledik. Sigma şablonları Microsoft tarafından yazılmaz, test edilmez ve yönetılmaz. Bunun yerine, depo ve şablonlar dünya çapında BT güvenlik topluluğu tarafından oluşturulur ve toplanır.
Azure İzleyici. Çeşitli koşulların otomatik olarak izlenmesini ve uyarılmasını sağlar. Farklı kaynaklardan verileri birleştirmek için çalışma kitapları oluşturabilir veya kullanabilir.
SIEM ile tümleştirilmiş Azure Event Hubs . Microsoft Entra günlüklerinin Azure Event Hubs tümleştirmesi aracılığıyla Splunk, ArcSight, QRadar ve Sumo Logic gibi diğer SIEM'lere gönderilmesini sağlar. Daha fazla bilgi için bkz . Microsoft Entra günlüklerini Azure olay hub'ına akışla aktarma.
uygulamaları Bulut için Microsoft Defender. Uygulamaları keşfetmenize ve yönetmenize, uygulamalar ve kaynaklar arasında idare sağlamanıza ve bulut uygulamalarınızın uyumluluğunu denetlemenize olanak tanır.
Microsoft Graph. Daha fazla analiz yapmak için verileri dışarı aktarmanızı ve Microsoft Graph'ı kullanmanızı sağlar. Daha fazla bilgi için bkz. Microsoft Graph PowerShell SDK'sı ve Microsoft Entra Kimlik Koruması.
Kimlik Koruması. Araştırmanıza yardımcı olması için kullanabileceğiniz üç önemli rapor oluşturur:
- Riskli kullanıcılar. Hangi kullanıcıların risk altında olduğu, algılamalar hakkındaki ayrıntılar, tüm riskli oturum açmaların geçmişi ve risk geçmişi hakkında bilgi içerir.
- Riskli oturum açma işlemleri. Şüpheli durumları gösterebilecek bir oturum açma hakkında bilgi içerir. Bu rapordaki bilgileri araştırma hakkında daha fazla bilgi için bkz . Riski araştırma.
- Risk algılamaları. Bir risk algılandığında tetiklenen diğer risklerle ilgili bilgileri ve oturum açma konumu gibi diğer ilgili bilgileri ve Bulut için Microsoft Defender Uygulamalarından tüm ayrıntıları içerir.
Kimlik Koruması Önizlemesi ile iş yükü kimliklerinin güvenliğini sağlama. Oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimliklerindeki riski algılamak için kullanın.

Bu uygulamayı önerilmez, ancak ayrıcalıklı hesaplar ayakta yönetim haklarına sahip olabilir. Ayaktaki ayrıcalıkları kullanmayı seçerseniz ve hesabın gizliliği ihlal edilirse, bunun olumsuz bir etkisi olabilir. Ayrıcalıklı hesapları izlemenin önceliğini belirlemenizi ve hesapları Privileged Identity Management (PIM) yapılandırmanıza eklemenizi öneririz. PIM hakkında daha fazla bilgi için bkz . Privileged Identity Management'ı kullanmaya başlama. Ayrıca, şu yönetici hesaplarını doğrulamanızı öneririz:

Gerekli.
gerekli etkinlikleri yürütmek için en az ayrıcalığı elde edin.
En az çok faktörlü kimlik doğrulaması ile korunur.
Ayrıcalıklı erişim iş istasyonundan (PAW) veya güvenli yönetici iş istasyonu (SAW) cihazlarından çalıştırılır.

Bu makalenin geri kalanında izlemenizi ve hangi konuda uyarı yapmanızı önerdiğimiz açıklanmaktadır. Makale tehdit türüne göre düzenlenmiştir. Önceden oluşturulmuş belirli çözümler olduğunda, tabloyu izleyerek bunlara bağlanırız. Aksi takdirde, yukarıda açıklanan araçları kullanarak uyarılar oluşturabilirsiniz.

Bu makalede, temelleri ayarlama ve oturum açma denetimi ve ayrıcalıklı hesapların kullanımıyla ilgili ayrıntılar sağlanır. Ayrıca ayrıcalıklı hesaplarınızın bütünlüğünü korumaya yardımcı olmak için kullanabileceğiniz araçlar ve kaynaklar da açıklanır. İçerik aşağıdaki konulara göre düzenlenmiştir:

Acil durum "break-glass" hesapları
Ayrıcalıklı hesap oturumu açma
Ayrıcalıklı hesap değişiklikleri
Ayrıcalıklı gruplar
Ayrıcalık ataması ve yükseltmesi

Acil durum erişim hesapları

Microsoft Entra kiracınızın yanlışlıkla kilitlenmesini önlemeniz önemlidir.

Microsoft, kuruluşların genel Yönetici istratör rolüne kalıcı olarak atanmış yalnızca buluta yönelik iki acil durum erişim hesabına sahip olması önerilir. Bu hesaplar yüksek ayrıcalıklıdır ve belirli kişilere atanmamışlardır. Hesaplar, normal hesapların kullanılamadığı veya diğer tüm yöneticilerin yanlışlıkla kilitlendiği acil durum veya "kırılan" senaryolarla sınırlıdır. Bu hesaplar, acil durum erişim hesabı önerilerine göre oluşturulmalıdır.

Acil durum erişim hesabı her kullanıldığında yüksek öncelikli bir uyarı gönderin.

Bulma

Cam kıran hesaplar yalnızca acil bir durum söz konusu olduğunda kullanıldığından izlemeniz hiçbir hesap etkinliği bulmamalıdır. Acil durum erişim hesabı her kullanıldığında veya değiştirildiğinde yüksek öncelikli bir uyarı gönderin. Aşağıdaki olaylardan herhangi biri kötü bir aktörün ortamlarınızı tehlikeye atmaya çalıştığını gösterebilir:

Oturum açın.
Hesap parolası değişikliği.
Hesap izni veya rolleri değiştirildi.
Kimlik bilgisi veya kimlik doğrulama yöntemi eklendi veya değiştirildi.

Acil durum erişim hesaplarını yönetme hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de acil durum erişimi yönetici hesaplarını yönetme. Acil durum hesabı için uyarı oluşturma hakkında ayrıntılı bilgi için bkz . Uyarı kuralı oluşturma.

Veri kaynağı olarak Microsoft Entra oturum açma günlüklerini kullanarak tüm ayrıcalıklı hesap oturum açma etkinliklerini izleyin. Oturum açma başarılı ve başarısız bilgilerine ek olarak, günlükler aşağıdaki ayrıntıları içerir:

Kesme
Cihaz
Konum
Risk
Uygulama
Tarih ve saat
Hesap devre dışı mı
Kilitleme
MFA sahtekarlığı
Koşullu Erişim hatası

İzlenecek şeyler

Ayrıcalıklı hesap oturum açma olaylarını Microsoft Entra oturum açma günlüklerinde izleyebilirsiniz. Ayrıcalıklı hesaplar için aşağıdaki olayları uyarın ve araştırın.

İzlenecekler	Risk düzeyi	Konumu	Filtre/alt filtre	Notlar
Oturum açma hatası, hatalı parola eşiği	Yüksek	Microsoft Entra oturum açma günlüğü	Durum = Hata -Ve- hata kodu = 50126	Bir temel eşik tanımlayın ve ardından kurumsal davranışlarınıza uyacak şekilde izleyin ve ayarlayın ve hatalı uyarıların oluşturulmasını sınırlayın. Microsoft Sentinel şablonu Sigma kuralları
Koşullu Erişim gereksinimi nedeniyle hata	Yüksek	Microsoft Entra oturum açma günlüğü	Durum = Hata -Ve- hata kodu = 53003 -Ve- Hata nedeni = Koşullu Erişim tarafından engellendi	Bu olay, saldırganın hesaba girmeye çalıştığının göstergesi olabilir. Microsoft Sentinel şablonu Sigma kuralları
Adlandırma ilkesini izlemeyen ayrıcalıklı hesaplar		Azure aboneliği	Azure portalı kullanarak Azure rol atamalarını listeleme	Abonelikler için rol atamalarını listeleyin ve oturum açma adının kuruluşunuzun biçimiyle eşleşmediği durumlarda uyarı verin. ADM_ ön ek olarak kullanılması örnek olarak verilmiştir.
Kesme	Yüksek, orta	Microsoft Entra Oturum Açma bilgileri	Durum = Kesintiye Uğradı -Ve- hata kodu = 50074 -Ve- Hata nedeni = Güçlü kimlik doğrulaması gerekiyor Durum = Kesintiye Uğradı -Ve- Hata kodu = 500121 Hata nedeni = Güçlü kimlik doğrulama isteği sırasında kimlik doğrulaması başarısız oldu	Bu olay, bir saldırganın hesap için parolaya sahip olduğunu ancak çok faktörlü kimlik doğrulama sınamasını geçediğinin göstergesi olabilir. Microsoft Sentinel şablonu Sigma kuralları
Adlandırma ilkesini izlemeyen ayrıcalıklı hesaplar	Yüksek	Microsoft Entra dizini	Microsoft Entra rol atamalarını listeleme	Microsoft Entra rolleri için rol atamalarını listeleyin ve UPN'nin kuruluşunuzun biçimiyle eşleşmediği durumlarda uyarı verin. ADM_ ön ek olarak kullanılması örnek olarak verilmiştir.
Çok faktörlü kimlik doğrulaması için kayıtlı olmayan ayrıcalıklı hesapları bulma	Yüksek	Microsoft Graph API	Yönetici hesapları için IsMFARegistered eq false sorgusu. Kimlik bilgilerini listelemeUserRegistrationDetails - Microsoft Graph beta	Olayın kasıtlı mı yoksa gözetim mi olduğunu belirlemek için denetim ve araştırma.
Hesap kilitleme	Yüksek	Microsoft Entra oturum açma günlüğü	Durum = Hata -Ve- hata kodu = 50053	Bir temel eşik tanımlayın ve ardından kurumsal davranışlarınıza uyacak şekilde izleyin ve ayarlayın ve hatalı uyarıların oluşturulmasını sınırlayın. Microsoft Sentinel şablonu Sigma kuralları
Oturum açma işlemleri için hesap devre dışı bırakıldı veya engellendi	Düşük	Microsoft Entra oturum açma günlüğü	Durum = Hata -Ve- Hedef = Kullanıcı UPN'si -Ve- hata kodu = 50057	Bu olay, kuruluşundan ayrılan birinin bir hesaba erişmeye çalıştığını gösterebilir. Hesap engellenmiş olsa da, bu etkinlikte oturum açmak ve uyarı vermek yine de önemlidir. Microsoft Sentinel şablonu Sigma kuralları
MFA sahtekarlığı uyarısı veya engellemesi	Yüksek	Microsoft Entra oturum açma günlüğü/Azure Log Analytics	Oturum açma bilgileri>Kimlik doğrulaması ayrıntıları Sonuç ayrıntıları = MFA reddedildi, sahtekarlık kodu girildi	Ayrıcalıklı kullanıcı, çok faktörlü kimlik doğrulama istemini başlatmadığını belirtmiştir. Bu, bir saldırganın hesabın parolasına sahip olduğunu gösterebilir. Microsoft Sentinel şablonu Sigma kuralları
MFA sahtekarlığı uyarısı veya engellemesi	Yüksek	Microsoft Entra denetim günlüğü/Azure Log Analytics	Etkinlik türü = Sahtekarlık bildirildi - Kullanıcı MFA veya sahtekarlık bildirildi için engellendi - Hiçbir işlem yapılmadı (sahtekarlık raporu için kiracı düzeyindeki ayarlara göre)	Ayrıcalıklı kullanıcı, çok faktörlü kimlik doğrulama istemini başlatmadığını belirtmiştir. Bu, bir saldırganın hesabın parolasına sahip olduğunu gösterebilir. Microsoft Sentinel şablonu Sigma kuralları
Beklenen denetimlerin dışında ayrıcalıklı hesap oturum açma işlemleri		Microsoft Entra oturum açma günlüğü	Durum = Hata UserPricipalName = <Yönetici hesabı> Konum = <onaylanmamış konum> IP adresi = <onaylanmamış IP> Cihaz bilgileri = <onaylanmamış Tarayıcı, İşletim Sistemi>	Onaylanmamış olarak tanımladığınız tüm girişleri izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları
Normal oturum açma sürelerinin dışında	Yüksek	Microsoft Entra oturum açma günlüğü	Durum = Başarılı -Ve- Konum = -Ve- Saat = Çalışma saatleri dışında	Oturum açma işlemleri beklenen süreler dışında gerçekleşiyorsa izleyin ve uyarın. Her ayrıcalıklı hesap için normal çalışma düzenini bulmak ve normal çalışma sürelerinin dışında planlanmamış değişiklikler olup olmadığını uyarmak önemlidir. Normal çalışma saatleri dışında oturum açma işlemleri güvenliğin aşılmasına veya içeriden gelen olası tehditlere işaret edebilir. Microsoft Sentinel şablonu Sigma kuralları
Kimlik koruma riski	Yüksek	Kimlik Koruması günlükleri	Risk durumu = Risk altında -Ve- Risk düzeyi = Düşük, orta, yüksek -Ve- Etkinlik = Tanıdık olmayan oturum açma/TOR vb.	Bu olay, hesap için oturum açmada bazı anormalliklerin algılandığına ve uyarı verilmesi gerektiğine işaret eder.
Parola değiştirme	Yüksek	Microsoft Entra denetim günlükleri	Etkinlik aktörü = Yönetici/self servis -Ve- Hedef = Kullanıcı -Ve- Durum = Başarı veya başarısızlık	Herhangi bir yönetici hesabı parolası değiştiğinde uyarır. Ayrıcalıklı hesaplar için bir sorgu yazın. Microsoft Sentinel şablonu Sigma kuralları
Eski kimlik doğrulama protokolünde değişiklik	Yüksek	Microsoft Entra oturum açma günlüğü	İstemci Uygulaması = Diğer istemci, IMAP, POP3, MAPI, SMTP vb. -Ve- Kullanıcı adı = UPN -Ve- Uygulama = Exchange (örnek)	Birçok saldırıda eski kimlik doğrulaması kullanılır, bu nedenle kullanıcı için kimlik doğrulama protokolünde bir değişiklik olması, bir saldırının göstergesi olabilir. Microsoft Sentinel şablonu Sigma kuralları
Yeni cihaz veya konum	Yüksek	Microsoft Entra oturum açma günlüğü	Cihaz bilgileri = Cihaz Kimliği -Ve- Tarayıcı -Ve- OS -Ve- Uyumlu/Yönetilen -Ve- Hedef = Kullanıcı -Ve- Konum	Çoğu yönetici etkinliği, sınırlı sayıda konumdan ayrıcalıklı erişim cihazlarından olmalıdır. Bu nedenle, yeni cihazlarda veya konumlarda uyarı verin. Microsoft Sentinel şablonu Sigma kuralları
Denetim uyarısı ayarı değiştirildi	Yüksek	Microsoft Entra denetim günlükleri	Hizmet = PIM -Ve- Kategori = Rol yönetimi -Ve- Etkinlik = PIM uyarılarını devre dışı bırakma -Ve- Durum = Başarılı	Çekirdek uyarıda yapılan değişiklikler beklenmedikse uyarılmalıdır. Microsoft Sentinel şablonu Sigma kuralları
Diğer Microsoft Entra kiracılarında kimlik doğrulaması Yönetici istrator'lar	Orta	Microsoft Entra oturum açma günlüğü	Durum = başarı Kaynak kiracı kimliği != Ev Kiracı Kimliği	Kapsamı Ayrıcalıklı Kullanıcılar olarak ayarlandığında, bu izleyici bir yöneticinin kuruluşunuzun kiracısında bir kimlikle başka bir Microsoft Entra kiracısında başarılı bir şekilde kimlik doğrulaması gerçekleştirdiğini algılar. Kaynak Kiracı Kimliği, Ev Kiracı Kimliği'ne eşit değilse uyarı Microsoft Sentinel şablonu Sigma kuralları
Yönetici Kullanıcı durumu Konuktan Üyeye değiştirildi	Orta	Microsoft Entra denetim günlükleri	Etkinlik: Kullanıcıyı güncelleştirme Kategori: UserManagement UserType Konuktan Üyeye değiştirildi	Konuktan Üyeye kullanıcı türünün değiştirilmesini izleyin ve uyarın. Bu değişiklik bekleniyor mu? Microsoft Sentinel şablonu Sigma kuralları
Onaylanmamış davetliler tarafından kiracıya davet edilen konuk kullanıcılar	Orta	Microsoft Entra denetim günlükleri	Etkinlik: Dış kullanıcıyı davet etme Kategori: UserManagement Başlatan (aktör): Kullanıcı Asıl Adı	Dış kullanıcıları davet eden onaylanmamış aktörleri izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları

Ayrıcalıklı hesaplara göre değişiklikler

Ayrıcalıklı bir hesap tarafından tamamlanan ve denenen tüm değişiklikleri izleyin. Bu veriler, her ayrıcalıklı hesap için nelerin normal etkinlik olduğunu ve beklenenden sapmaya neden olan etkinlikle ilgili uyarı oluşturmanızı sağlar. Microsoft Entra denetim günlükleri bu tür olayları kaydetmek için kullanılır. Microsoft Entra denetim günlükleri hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de denetim günlükleri.

Microsoft Entra Domain Services

Microsoft Entra Etki Alanı Hizmetleri'nde izin atanmış ayrıcalıklı hesaplar, Microsoft Entra Domain Services kullanan Azure tarafından barındırılan sanal makinelerinizin güvenlik duruşunu etkileyen Microsoft Entra Domain Services görevlerini gerçekleştirebilir. Sanal makinelerde güvenlik denetimlerini etkinleştirin ve günlükleri izleyin. Microsoft Entra Domain Services denetimlerini etkinleştirme hakkında daha fazla bilgi edinmek ve hassas ayrıcalıkların listesi için aşağıdaki kaynaklara bakın:

İzlenecekler	Risk düzeyi	Konumu	Filtre/alt filtre	Notlar
Denenen ve tamamlanan değişiklikler	Yüksek	Microsoft Entra denetim günlükleri	Tarih ve saat -Ve- Hizmet -Ve- Etkinliğin kategorisi ve adı (ne) -Ve- Durum = Başarı veya başarısızlık -Ve- Hedef -Ve- Başlatıcı veya aktör (kim)	Planlanmamış tüm değişiklikler anında uyarılmalıdır. Bu günlükler, herhangi bir araştırmada yardımcı olmak için saklanmalıdır. Kiracınızın güvenlik duruşunu düşürecek kiracı düzeyindeki tüm değişiklikler hemen araştırılmalıdır (Infra belgesine bağlantı). Bunun bir örneği, hesapları çok faktörlü kimlik doğrulaması veya Koşullu Erişim'den dışlamaktır. Uygulamalara yapılan tüm eklemeler veya değişiklikler hakkında uyarı verin. Uygulamalar için Microsoft Entra güvenlik işlemleri kılavuzuna bakın.
Örnek Yüksek değerli uygulama veya hizmetlerde değişiklik denendi veya tamamlandı	Yüksek	Denetim günlüğü	Hizmet -Ve- Etkinliğin kategorisi ve adı	Tarih ve saat, Hizmet, Kategori ve etkinliğin adı, Durum = Başarı veya başarısızlık, Hedef, Başlatıcı veya aktör (kim)
Microsoft Entra Domain Services'daki ayrıcalıklı değişiklikler	Yüksek	Microsoft Entra Domain Services	Olay 4673'e bakın	Microsoft Entra Domain Services için güvenlik denetimlerini etkinleştirme Tüm ayrıcalıklı olayların listesi için bkz . Hassas Ayrıcalık kullanımını denetleme.

Ayrıcalıklı hesaplarda yapılan değişiklikler

Özellikle değişiklik daha fazla ayrıcalık veya Microsoft Entra ortamınızda görev gerçekleştirme olanağı sağlıyorsa ayrıcalıklı hesapların kimlik doğrulama kurallarında ve ayrıcalıklarında yapılan değişiklikleri araştırın.

İzlenecekler	Risk düzeyi	Konumu	Filtre/alt filtre	Notlar
Ayrıcalıklı hesap oluşturma	Orta	Microsoft Entra denetim günlükleri	Hizmet = Çekirdek Dizin -Ve- Kategori = Kullanıcı yönetimi -Ve- Etkinlik türü = Kullanıcı ekle -bağıntı- Kategori türü = Rol yönetimi -Ve- Etkinlik türü = Role üye ekleme -Ve- Değiştirilen özellikler = Role.DisplayName	Ayrıcalıklı hesapların oluşturulmasını izleyin. Hesapların oluşturulması ve silinmesi arasında kısa bir süre olan bağıntıyı arayın. Microsoft Sentinel şablonu Sigma kuralları
Kimlik doğrulama yöntemlerindeki değişiklikler	Yüksek	Microsoft Entra denetim günlükleri	Hizmet = Kimlik Doğrulama Yöntemi -Ve- Etkinlik türü = Kullanıcı tarafından kaydedilen güvenlik bilgileri -Ve- Kategori = Kullanıcı yönetimi	Bu değişiklik, bir saldırganın hesaba kimlik doğrulama yöntemi ekleyerek erişime devam edebilmesini sağlayabilir. Microsoft Sentinel şablonu Sigma kuralları
Ayrıcalıklı hesap izinlerindeki değişikliklerle ilgili uyarı	Yüksek	Microsoft Entra denetim günlükleri	Kategori = Rol yönetimi -Ve- Etkinlik türü = Uygun üye ekleme (kalıcı) -veya- Etkinlik türü = Uygun üye ekleme (uygun) -Ve- Durum = Başarı veya başarısızlık -Ve- Değiştirilen özellikler = Role.DisplayName	Bu uyarı özellikle, bilinmeyen veya normal sorumluluklarının dışında olan roller atanmış olan hesaplara yöneliktir. Sigma kuralları
Kullanılmayan ayrıcalıklı hesaplar	Orta	Microsoft Entra erişim gözden geçirmeleri		Etkin olmayan ayrıcalıklı kullanıcı hesapları için aylık gözden geçirme gerçekleştirin. Sigma kuralları
Koşullu Erişim'den muaf tutulan hesaplar	Yüksek	Azure İzleyici Günlükleri -veya- Erişim Gözden Geçirmeleri	Koşullu Erişim = Analizler ve raporlama	Koşullu Erişim'den muaf tutulan herhangi bir hesap büyük olasılıkla güvenlik denetimlerini atlar ve güvenlik açığına karşı daha savunmasızdır. Cam kıran hesaplar muaftır. Bu makalenin devamında cam kıran hesapları izleme hakkında bilgi edinin.
Ayrıcalıklı hesaba Geçici Erişim Geçişi ekleme	Yüksek	Microsoft Entra denetim günlükleri	Etkinlik: kayıtlı güvenlik bilgilerini Yönetici Durum Nedeni: Yönetici kullanıcı için kayıtlı geçici erişim geçişi yöntemi Kategori: UserManagement Başlatan (aktör): Kullanıcı Asıl Adı Hedef: Kullanıcı Asıl Adı	Ayrıcalıklı bir kullanıcı için oluşturulan Geçici Erişim Geçişi'ni izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları

Koşullu Erişim ilkelerine yönelik özel durumları izleme hakkında daha fazla bilgi için bkz . Koşullu Erişim içgörüleri ve raporlama.

Kullanılmayan ayrıcalıklı hesapları bulma hakkında daha fazla bilgi için bkz . Privileged Identity Management'ta Microsoft Entra rollerinin erişim gözden geçirmesini oluşturma.

Atama ve yükseltme

Yükseltilmiş yeteneklerle kalıcı olarak sağlanan ayrıcalıklı hesaplara sahip olmak, saldırı yüzeyini ve güvenlik sınırınızın riskini artırabilir. Bunun yerine, bir yükseltme yordamı kullanarak tam zamanında erişim kullanın. Bu tür bir sistem ayrıcalıklı roller için uygunluk atamanızı sağlar. Yönetici ayrıcalıklarını yalnızca bu ayrıcalıklara ihtiyaç duyan görevleri gerçekleştirdiklerinde bu rollere yükseltebilir. Yükseltme işlemi kullanmak, ayrıcalıklı hesapların yükseltmelerini ve kullanılmamalarını izlemenizi sağlar.

Temel oluşturma

Özel durumları izlemek için önce bir temel oluşturmanız gerekir. Bu öğeler için aşağıdaki bilgileri belirleyin

hesapları Yönetici
- Ayrıcalıklı hesap stratejiniz
- Şirket içi kaynakları yönetmek için şirket içi hesapları kullanma
- Bulut tabanlı kaynakları yönetmek için bulut tabanlı hesapların kullanılması
- Şirket içi ve bulut tabanlı kaynaklar için yönetim izinlerini ayırma ve izleme yaklaşımı
Ayrıcalıklı rol koruması
- Yönetim ayrıcalıklarına sahip roller için koruma stratejisi
- Ayrıcalıklı hesapları kullanmak için kuruluş ilkesi
- Kalıcı ayrıcalığı korumak ve zamana bağlı ve onaylı erişim sağlamak için strateji ve ilkeler

Aşağıdaki kavramlar ve bilgiler ilkelerin belirlenmesine yardımcı olur:

Tam zamanında yönetici ilkeleri. Ortamınızda ortak olan yönetim görevlerini gerçekleştirmeye yönelik bilgileri yakalamak için Microsoft Entra günlüklerini kullanın. Görevleri tamamlamak için gereken tipik süreyi belirleyin.
Yeterli yönetici ilkeleri. Yönetim görevleri için gereken özel bir rol olabilecek en düşük ayrıcalıklı rolü belirleyin. Daha fazla bilgi için bkz . Microsoft Entra Id'de göreve göre en az ayrıcalıklı roller.
Bir yükseltme ilkesi oluşturun. Gereken yükseltilmiş ayrıcalık türü ve her görev için ne kadar süre gerektiğini kavradıktan sonra ortamınız için yükseltilmiş ayrıcalıklı kullanımı yansıtan ilkeler oluşturun. Örnek olarak, rol yükseltmesini bir saatle sınırlamak için bir ilke tanımlayın.

Temelinizi oluşturduktan ve ilkeyi ayarladıktan sonra, ilke dışındaki kullanımı algılamak ve uyarmak için izlemeyi yapılandırabilirsiniz.

Bulma

Atama ve ayrıcalık yükseltmesindeki değişikliklere özellikle dikkat edin ve değişiklikleri araştırın.

İzlenecek şeyler

Microsoft Entra denetim günlüklerini ve Azure İzleyici günlüklerini kullanarak ayrıcalıklı hesap değişikliklerini izleyebilirsiniz. İzleme işleminize aşağıdaki değişiklikleri ekleyin.

İzlenecekler	Risk düzeyi	Konumu	Filtre/alt filtre	Notlar
Uygun ayrıcalıklı role eklendi	Yüksek	Microsoft Entra denetim günlükleri	Hizmet = PIM -Ve- Kategori = Rol yönetimi -Ve- Etkinlik türü = Tamamlanan role üye ekleme (uygun) -Ve- Durum = Başarı veya başarısızlık -Ve- Değiştirilen özellikler = Role.DisplayName	Bir rol için uygun olan tüm hesaplara artık ayrıcalıklı erişim veriliyor. Atama beklenmedikse veya hesap sahibinin sorumluluğunda olmayan bir roldeyse araştırın. Microsoft Sentinel şablonu Sigma kuralları
PIM dışında atanan roller	Yüksek	Microsoft Entra denetim günlükleri	Hizmet = PIM -Ve- Kategori = Rol yönetimi -Ve- Etkinlik türü = Role üye ekleme (kalıcı) -Ve- Durum = Başarı veya başarısızlık -Ve- Değiştirilen özellikler = Role.DisplayName	Bu roller yakından izlenmeli ve uyarılmalıdır. Kullanıcılara mümkün olduğunca PIM dışında rol atanmamalıdır. Microsoft Sentinel şablonu Sigma kuralları
Yükselme	Orta	Microsoft Entra denetim günlükleri	Hizmet = PIM -Ve- Kategori = Rol yönetimi -Ve- Etkinlik türü = Tamamlanan role üye ekleme (PIM etkinleştirme) -Ve- Durum = Başarı veya başarısızlık -Ve- Değiştirilen özellikler = Role.DisplayName	Ayrıcalıklı bir hesap yükseltildikten sonra artık kiracınızın güvenliğini etkileyebilecek değişiklikler yapabilir. Tüm yükseltmeler günlüğe kaydedilmeli ve bu kullanıcı için standart düzenin dışında gerçekleşiyorsa uyarılmalı ve planlanmamışsa araştırılmalıdır.
Yükseltmeyi Onaylar ve reddetme	Düşük	Microsoft Entra denetim günlükleri	Hizmet = Erişim Gözden Geçirmesi -Ve- Kategori = UserManagement -Ve- Etkinlik türü = İstek onaylandı veya reddedildi -Ve- Başlatılan aktör = UPN	Bir saldırının zaman çizelgesini net bir şekilde ifade edebileceğinden tüm yükseltmeleri izleyin. Microsoft Sentinel şablonu Sigma kuralları
PIM ayarlarında yapılan değişiklikler	Yüksek	Microsoft Entra denetim günlükleri	Hizmet = PIM -Ve- Kategori = Rol yönetimi -Ve- Etkinlik türü = PIM'de rol ayarını güncelleştirme -Ve- Durum nedeni = Etkinleştirme devre dışı bırakılırken MFA (örnek)	Bu eylemlerden biri PIM yükseltmesinin güvenliğini azaltabilir ve saldırganların ayrıcalıklı bir hesap almasını kolaylaştırabilir. Microsoft Sentinel şablonu Sigma kuralları
SAW/PAW üzerinde yükseltme gerçekleşmiyor	Yüksek	Microsoft Entra oturum açma günlükleri	Cihaz Kimliği -Ve- Tarayıcı -Ve- OS -Ve- Uyumlu/Yönetilen Bağıntı: Hizmet = PIM -Ve- Kategori = Rol yönetimi -Ve- Etkinlik türü = Tamamlanan role üye ekleme (PIM etkinleştirme) -Ve- Durum = Başarı veya başarısızlık -Ve- Değiştirilen özellikler = Role.DisplayName	Bu değişiklik yapılandırılırsa, PAW/SAW olmayan bir cihazda yükseltme girişimi, bir saldırganın hesabı kullanmaya çalıştığını gösterebileceğinden hemen araştırılmalıdır. Sigma kuralları
Tüm Azure aboneliklerini yönetmek için yükseltme	Yüksek	Azure İzleyici	Etkinlik Günlüğü sekmesi Dizin Etkinliği sekmesi İşlem Adı = Çağıranı kullanıcı erişim yöneticisine atar -Ve- Olay kategorisi = Yönetici istrative -Ve- Durum = Başarılı, başlat, başarısız -Ve- Olayı başlatan:	Planlanmamışsa bu değişiklik hemen araştırılmalıdır. Bu ayar, bir saldırganın ortamınızdaki Azure aboneliklerine erişmesine izin verebilir.

Yükseltmeyi yönetme hakkında daha fazla bilgi için bkz . Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme. Microsoft Entra günlüklerinde bulunan bilgileri kullanarak yükseltmeleri izleme hakkında bilgi için bkz . Azure İzleyici belgelerinin bir parçası olan Azure Etkinlik günlüğü.

Azure rolleri için uyarıları yapılandırma hakkında bilgi için bkz . Privileged Identity Management'ta Azure kaynak rolleri için güvenlik uyarılarını yapılandırma.