Kullanıcı hesapları için Microsoft Entra güvenlik işlemleri
Kullanıcı kimliği, kuruluşunuzu ve verilerinizi korumanın en önemli yönlerinden biridir. Bu makalede hesap oluşturma, silme ve hesap kullanımını izleme yönergeleri sağlanır. İlk bölüm, olağan dışı hesap oluşturma ve silme işleminin nasıl izleneceğini kapsar. İkinci bölüm, olağan dışı hesap kullanımının nasıl izleneceğini kapsar.
Microsoft Entra güvenlik işlemlerine genel bakış makalesini henüz okumadıysanız devam etmeden önce okumanızı öneririz.
Bu makale genel kullanıcı hesaplarını kapsar. Ayrıcalıklı hesaplar için bkz. Güvenlik işlemleri – ayrıcalıklı hesaplar.
Temel tanımlama
Anormal davranışı bulmak için öncelikle normal ve beklenen davranışı tanımlamanız gerekir. Kuruluşunuz için beklenen davranışı tanımlamak, beklenmeyen davranışların ne zaman ortaya çıktığını belirlemenize yardımcı olur. Tanım, izleme ve uyarı yaparken hatalı pozitiflerin kirlilik düzeyini azaltmaya da yardımcı olur.
Beklentilerinizi tanımladıktan sonra beklentilerinizi doğrulamak için temel izleme gerçekleştirirsiniz. Bu bilgilerle, günlükleri tanımladığınız toleransların dışında kalan her şey için izleyebilirsiniz.
Normal işlemler dışında oluşturulan hesaplar için veri kaynaklarınız olarak Microsoft Entra denetim günlüklerini, Microsoft Entra oturum açma günlüklerini ve dizin özniteliklerini kullanın. Aşağıda, kuruluşunuz için normal olan şeyleri düşünmenize ve tanımlamanıza yardımcı olacak öneriler yer alır.
Kullanıcı hesabı oluşturma – aşağıdakileri değerlendirin:
Kullanıcı hesaplarını oluşturmak ve yönetmek için kullanılan araçlara ve süreçlere yönelik strateji ve ilkeler. Örneğin, standart öznitelikler, kullanıcı hesabı özniteliklerine uygulanan biçimler var mı?
Hesap oluşturma için onaylanmış kaynaklar. Örneğin, Active Directory (AD), Microsoft Entra ID veya Workday gibi İk sistemlerinden kaynaklanır.
Onaylanan kaynakların dışında oluşturulan hesaplar için uyarı stratejisi. Kuruluşunuzun işbirliğinde bulunduğu kuruluşların denetimli bir listesi var mı?
Yetkilendirme yönetimi veya diğer normal işlemler dışında oluşturulan hesaplar için konuk hesaplarının ve uyarı parametrelerinin sağlanması.
Onaylı kullanıcı yöneticisi olmayan bir hesap tarafından oluşturulan, değiştirilen veya devre dışı bırakılan hesaplar için strateji ve uyarı parametreleri.
Çalışan kimliği gibi standart öznitelikleri eksik olan veya kuruluş adlandırma kurallarına uymayan hesaplar için izleme ve uyarı stratejisi.
Hesap silme ve saklama için strateji, ilkeler ve süreç.
Şirket içi kullanıcı hesapları – Microsoft Entra Bağlan ile eşitlenen hesaplar için aşağıdakileri değerlendirin:
Eşitleme kapsamındaki ormanlar, etki alanları ve kuruluş birimleri (OU' lar). Bu ayarları değiştirebilecek onaylanan yöneticiler kimler ve kapsam ne sıklıkta denetleniyor?
Eşitlenen hesap türleri. Örneğin, kullanıcı hesapları ve veya hizmet hesapları.
Ayrıcalıklı şirket içi hesapları oluşturma işlemi ve bu tür bir hesabın eşitlenmesinin nasıl denetlenmekte olduğu.
Şirket içi kullanıcı hesapları oluşturma işlemi ve bu hesap türünün eşitlemesinin nasıl yönetildiğini.
Şirket içi hesapların güvenliğini sağlama ve izleme hakkında daha fazla bilgi için bkz . Microsoft 365'i şirket içi saldırılara karşı koruma.
Bulut kullanıcı hesapları – aşağıdakileri değerlendirin:
Bulut hesaplarını doğrudan Microsoft Entra Id'de sağlama ve yönetme işlemi.
Microsoft Entra bulut hesapları olarak sağlanan kullanıcı türlerini belirleme işlemi. Örneğin, yalnızca ayrıcalıklı hesaplara mı izin verirsiniz yoksa kullanıcı hesaplarına da mı izin verirsiniz?
Bulut kullanıcı hesaplarını oluşturması ve yönetmesi beklenen güvenilir kişilerin ve veya işlemlerin listesini oluşturma ve koruma işlemi.
Onaylanmamış bulut tabanlı hesaplar için uyarı stratejisi oluşturma ve koruma işlemi.
Nereye bakılır?
Araştırma ve izleme için kullandığınız günlük dosyaları şunlardır:
Azure portalından Microsoft Entra denetim günlüklerini görüntüleyebilir ve virgülle ayrılmış değer (CSV) veya JavaScript Nesne Gösterimi (JSON) dosyaları olarak indirebilirsiniz. Azure portalında, microsoft Entra günlüklerini izleme ve uyarı otomasyonuna olanak sağlayan diğer araçlarla tümleştirmenin çeşitli yolları vardır:
Microsoft Sentinel – Güvenlik bilgileri ve olay yönetimi (SIEM) özellikleri sağlayarak kurumsal düzeyde akıllı güvenlik analizi sağlar.
Sigma kuralları - Sigma, otomatik yönetim araçlarının günlük dosyalarını ayrıştırmak için kullanabileceği kurallar ve şablonlar yazmak için gelişen bir açık standarttır. Önerilen arama ölçütlerimiz için Sigma şablonlarının bulunduğu yerde, Sigma deposuna bir bağlantı ekledik. Sigma şablonları Microsoft tarafından yazılmıyor, test edilmedi ve yönetilmiyor. Bunun yerine, depo ve şablonlar dünya çapında BT güvenlik topluluğu tarafından oluşturulur ve toplanır.
Azure İzleyici – çeşitli koşulların otomatik olarak izlenmesini ve uyarılmasını sağlar. Farklı kaynaklardan verileri birleştirmek için çalışma kitapları oluşturabilir veya kullanabilir.
SIEM ile tümleştirilmiş Azure Event Hubs - Microsoft Entra günlükleri, Azure Event Hubs tümleştirmesi aracılığıyla Splunk, ArcSight, QRadar ve Sumo Logic gibi diğer SIEM'lerle tümleştirilebilir.
Bulut için Microsoft Defender Uygulamaları – uygulamaları keşfetmenize ve yönetmenize, uygulamalar ve kaynaklar arasında idare sağlamanıza ve bulut uygulamalarınızın uyumluluğunu denetlemenize olanak tanır.
Kimlik Koruması Önizlemesi ile iş yükü kimliklerinin güvenliğini sağlama - Oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimlikleri üzerindeki riski algılamak için kullanılır.
İzleyeceğin ve uyaracağın çoğu, Koşullu Erişim ilkelerinizin etkileridir. Koşullu Erişim içgörüleri ve raporlama çalışma kitabını kullanarak bir veya daha fazla Koşullu Erişim ilkelerinin oturum açma işlemlerinizdeki etkilerini ve cihaz durumu da dahil olmak üzere ilkelerin sonuçlarını inceleyebilirsiniz. Bu çalışma kitabı, bir özeti görüntülemenize ve belirli bir zaman aralığındaki etkileri belirlemenize olanak tanır. Çalışma kitabını belirli bir kullanıcının oturum açma bilgilerini araştırmak için de kullanabilirsiniz.
Bu makalenin geri kalanında izlemenizi ve uyarı yapmanızı önerdiğimiz şeyler açıklanmaktadır ve tehdit türüne göre düzenlenmiştir. Önceden oluşturulmuş belirli çözümlerin bulunduğu yerlerde bunlara bağlanır veya tabloyu izleyen örnekler sağlarız. Aksi takdirde, önceki araçları kullanarak uyarılar oluşturabilirsiniz.
Hesap oluşturma
Anormal hesap oluşturma işlemi bir güvenlik sorununa işaret edebilir. Kısa süreli hesaplar, adlandırma standartlarına uymayan hesaplar ve normal işlemler dışında oluşturulan hesaplar araştırılmalıdır.
Kısa süreli hesaplar
Hesap oluşturma ve silme işlemleri normal kimlik yönetimi işlemlerinin dışında Microsoft Entra Id'de izlenmelidir. Kısa süreli hesaplar, kısa bir süre içinde oluşturulan ve silinen hesaplardır. Bu hesap oluşturma ve hızlı silme türü, kötü bir aktörün hesap oluşturarak, bunları kullanarak ve sonra hesabı silerek algılamayı önlemeye çalıştığı anlamına gelebilir.
Kısa süreli hesap desenleri, onaylanmamış kişilerin veya işlemlerin, oluşturulan işlemler ve ilkelerin dışında kalan hesaplar oluşturma ve silme hakkına sahip olabileceğini gösterebilir. Bu tür bir davranış, görünür işaretçileri dizinden kaldırır.
Hesap oluşturma ve silme için veri izi hızlı bir şekilde bulunmazsa, bir olayı araştırmak için gereken bilgiler artık mevcut olmayabilir. Örneğin, hesaplar silinebilir ve geri dönüşüm kutusundan temizlenebilir. Denetim günlükleri 30 gün boyunca saklanır. Ancak, daha uzun süreli saklama için günlüklerinizi Azure İzleyici'ye veya bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümüne aktarabilirsiniz.
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Yakın bir zaman dilimi içinde hesap oluşturma ve silme olayları. | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı ekleme Durum = başarı -Ve- Etkinlik: Kullanıcıyı silme Durum = başarı |
Kullanıcı asıl adı (UPN) olaylarını arayın. 24 saatin altında oluşturulan ve silinen hesapları arayın. Microsoft Sentinel şablonu |
| Onaylanmamış kullanıcılar veya işlemler tarafından oluşturulan ve silinen hesaplar. | Medium | Microsoft Entra denetim günlükleri | Tarafından başlatıldı (aktör) – KULLANICI ASıL ADI -Ve- Etkinlik: Kullanıcı ekleme Durum = başarı ve-veya Etkinlik: Kullanıcıyı silme Durum = başarı |
Aktörler onaylanmamış kullanıcılarsa uyarı gönderecek şekilde yapılandırın. Microsoft Sentinel şablonu |
| Onaylanmamış kaynaklardan hesaplar. | Medium | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı ekleme Durum = başarı Hedefler = KULLANICI ASıL ADI |
Girdi onaylanan bir etki alanından değilse veya bilinen bir engellenen etki alanıysa, uyarı gönderecek şekilde yapılandırın. Microsoft Sentinel şablonu |
| Ayrıcalıklı role atanan hesaplar. | Yüksek | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı ekleme Durum = başarı -Ve- Etkinlik: Kullanıcıyı silme Durum = başarı -Ve- Etkinlik: Role üye ekleme Durum = başarı |
Hesap bir Microsoft Entra rolüne, Azure rolüne veya ayrıcalıklı grup üyeliğine atanmışsa, araştırmayı uyarın ve önceliklerini belirleyin. Microsoft Sentinel şablonu Sigma kuralları |
Hem ayrıcalıklı hem de ayrıcalıklı olmayan hesaplar izlenmeli ve uyarılmalıdır. Ancak ayrıcalıklı hesapların yönetici izinleri olduğundan izleyici, uyarı ve yanıt süreçlerinizde daha yüksek önceliğe sahip olmaları gerekir.
Adlandırma ilkelerine uymayan hesaplar
Adlandırma ilkelerine uymayan kullanıcı hesapları kuruluş ilkelerinin dışında oluşturulmuş olabilir.
En iyi yöntem, kullanıcı nesneleri için bir adlandırma ilkesine sahip olmaktır. Adlandırma ilkesine sahip olmak yönetimi kolaylaştırır ve tutarlılık sağlamaya yardımcı olur. İlke, kullanıcıların onaylanan işlemlerin dışında ne zaman oluşturulduğunu keşfetmeye de yardımcı olabilir. Kötü bir aktör adlandırma standartlarınızın farkında olmayabilir ve kuruluş süreçlerinizin dışında sağlanan bir hesabı algılamayı kolaylaştırabilir.
Kuruluşlar, kullanıcı ve ayrıcalıklı hesaplar oluşturmak için kullanılan belirli biçimlere ve özniteliklere sahip olma eğilimindedir. Örneğin:
Yönetici hesabı UPN =ADM_firstname.lastname@tenant.onmicrosoft.com
Kullanıcı hesabı UPN = Firstname.Lastname@contoso.com
Kullanıcı hesaplarının genellikle gerçek bir kullanıcıyı tanımlayan bir özniteliği vardır. Örneğin, EMPID = XXXNNN. Kuruluşunuzda normal tanımlamaya yardımcı olmak için ve hesaplar adlandırma kuralınıza uymadığında günlük girişleri için bir temel tanımlarken aşağıdaki önerileri kullanın:
Adlandırma kuralına uymayen hesaplar. Örneğin,
nnnnnnn@contoso.comyerinefirstname.lastname@contoso.com.Standart öznitelikleri doldurulmamış veya doğru biçimde olmayan hesaplar. Örneğin, geçerli bir çalışan kimliğine sahip değil.
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Tanımlı beklenen öznitelikleri olmayan kullanıcı hesapları. | Düşük | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı ekleme Durum = başarı |
Standart özniteliklerinize sahip hesapları null veya yanlış biçimde arayın. Örneğin, EmployeeID Microsoft Sentinel şablonu |
| Yanlış adlandırma biçimi kullanılarak oluşturulan kullanıcı hesapları. | Düşük | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı ekleme Durum = başarı |
Adlandırma ilkenize uymayan UPN'ye sahip hesapları arayın. Microsoft Sentinel şablonu |
| Adlandırma ilkesini izlemeyen ayrıcalıklı hesaplar. | Yüksek | Azure Aboneliği | Azure portalını kullanarak Azure rol atamalarını listeleme - Azure RBAC | Abonelikler için rol atamalarını listeleyin ve oturum açma adının kuruluşunuzun biçimiyle eşleşmediği durumlarda uyarı verin. Örneğin, ön ek olarak ADM_. |
| Adlandırma ilkesini izlemeyen ayrıcalıklı hesaplar. | Yüksek | Microsoft Entra dizini | Microsoft Entra rol atamalarını listeleme | UPN'nin kuruluşunuzun biçimiyle eşleşmediği Microsoft Entra rolleri uyarısı için rol atamalarını listeleyin. Örneğin, ön ek olarak ADM_. |
Ayrıştırma hakkında daha fazla bilgi için bkz:
Microsoft Entra denetim günlükleri - Azure İzleyici Günlüklerinde metin verilerini ayrıştırma
Azure Abonelikleri - Azure PowerShell kullanarak Azure rol atamalarını listeleme
Microsoft Entra Id - Microsoft Entra rol atamalarını listeleme
Normal işlemler dışında oluşturulan hesaplar
Kimliklerin yaşam döngüsünü güvenli bir şekilde denetleyebilmeniz için kullanıcı ve ayrıcalıklı hesaplar oluşturmak için standart süreçlere sahip olmak önemlidir. Kullanıcılar yerleşik işlemlerin dışında sağlanır ve sağlamaları kaldırılırsa, güvenlik riskleri oluşturabilir. Yerleşik işlemlerin dışında çalışma, kimlik yönetimi sorunlarına da neden olabilir. Olası riskler şunlardır:
Kullanıcı ve ayrıcalıklı hesaplar kuruluş ilkelerine bağlı kalmak için yönetilmeyebilir. Bu, doğru yönetilmeyen hesaplarda daha geniş bir saldırı yüzeyine yol açabilir.
Kötü niyetli aktörlerin kötü amaçlı hesaplar oluşturmasını algılamak zorlaşır. Yerleşik yordamların dışında geçerli hesapların oluşturulması, hesapların ne zaman oluşturulduğunu veya kötü amaçlı olarak değiştirilen izinleri algılamak zorlaşır.
Kullanıcı ve ayrıcalıklı hesapların yalnızca kuruluş ilkelerinize uygun olarak oluşturulmasını öneririz. Örneğin, doğru adlandırma standartları, kuruluş bilgileri ve uygun kimlik idaresi kapsamında bir hesap oluşturulmalıdır. Kuruluşların kimlik oluşturma, yönetme ve silme haklarına sahip olan kişilere yönelik sıkı denetimleri olmalıdır. Bu hesapları oluşturma rolleri sıkı bir şekilde yönetilmeli ve haklar ancak bu izinleri onaylamak ve almak için oluşturulmuş bir iş akışından sonra kullanılabilir olmalıdır.
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Onaylanmamış kullanıcılar veya işlemler tarafından oluşturulan veya silinen kullanıcı hesapları. | Medium | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı ekleme Durum = başarı ve-veya- Etkinlik: Kullanıcıyı silme Durum = başarı -Ve- Tarafından başlatıldı (aktör) = KULLANICI ASıL ADI |
Onaylanmamış kullanıcılar veya işlemler tarafından oluşturulan hesaplarla ilgili uyarı. Yükseltilmiş ayrıcalıklarla oluşturulan hesapların önceliklerini belirleyin. Microsoft Sentinel şablonu |
| Onaylanmamış kaynaklardan oluşturulan veya silinen kullanıcı hesapları. | Medium | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcı ekleme Durum = başarı -veya- Etkinlik: Kullanıcıyı silme Durum = başarı -Ve- Hedefler = KULLANICI ASıL ADI |
Etki alanı onaylanmamış veya bilinen engellenen etki alanı olduğunda uyarır. |
Olağan dışı oturum açma işlemleri
Kullanıcı kimlik doğrulaması için hataların görülmesi normaldir. Ancak desenleri veya hata bloklarını görmek, kullanıcının Kimliğinde bir şeyler olduğunu gösteren bir gösterge olabilir. Örneğin, Parola spreyi veya Deneme Yanılma saldırıları sırasında veya bir kullanıcı hesabının gizliliği ihlal edildiğinde. Desenler ortaya çıktığında izlemeniz ve uyarırsınız. Bu, kullanıcıyı ve kuruluşunuzun verilerini koruyabilmenize yardımcı olur.
Başarı her şeyin yolunda olduğunu söylüyor. Ancak bu, kötü bir aktörün bir hizmete başarıyla erişmiş olduğu anlamına gelebilir. Başarılı oturum açma bilgilerini izlemek, erişim elde eden ancak erişimi olması gereken kullanıcı hesapları olmayan kullanıcı hesaplarını algılamanıza yardımcı olur. Kullanıcı kimlik doğrulaması başarıları, Microsoft Entra oturum açma günlüklerindeki normal girişlerdir. Desenlerin ne zaman ortaya çıktığını algılamak için izlemenizi ve uyarı vermenizi öneririz. Bu, kullanıcı hesaplarını ve kuruluşunuzun verilerini koruyabilmenize yardımcı olur.
Günlük izleme ve uyarı stratejisi tasarlayıp kullanıma hazır hale getirmek için Azure portalı aracılığıyla kullanabileceğiniz araçları göz önünde bulundurun. Kimlik Koruması kimlik tabanlı risklerin algılanması, korunması ve düzeltilmesi için otomatikleştirmenizi sağlar. Kimlik koruması, riski algılamak ve kullanıcılar ve oturum açma işlemleri için bir risk puanı atamak için zekayla beslenen makine öğrenmesi ve buluşsal sistemleri kullanır. Müşteriler, erişime ne zaman izin verilip reddedilebileceğine veya kullanıcının bir riskten güvenli bir şekilde kendi kendine düzeltmesine izin verebileceği bir risk düzeyine göre ilke yapılandırabilir. Aşağıdaki Kimlik Koruması risk algılamaları bugün risk düzeylerini bilgilendirmektedir:
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Sızdırılan kimlik bilgileri kullanıcı riski algılama | Yüksek | Microsoft Entra risk algılama günlükleri | UX: Sızdırılan kimlik bilgileri API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Microsoft Entra Threat Intelligence kullanıcı risk algılama | Yüksek | Microsoft Entra risk algılama günlükleri | UX: Microsoft Entra tehdit bilgileri API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Anonim IP adresi oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: Anonim IP adresi API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Atipik seyahat oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: Atipik seyahat API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Anormal Belirteç | Değişir | Microsoft Entra risk algılama günlükleri | UX: Anormal Belirteç API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Kötü amaçlı yazılım bağlantılı IP adresi oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: Kötü amaçlı yazılım bağlantılı IP adresi API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Şüpheli tarayıcı oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: Şüpheli tarayıcı API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Tanıdık olmayan oturum açma özellikleri oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: Tanıdık olmayan oturum açma özellikleri API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Kötü amaçlı IP adresi oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: Kötü amaçlı IP adresi API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Şüpheli gelen kutusu işleme kuralları oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: Şüpheli gelen kutusu işleme kuralları API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Parola Spreyi oturum açma riski algılama | Yüksek | Microsoft Entra risk algılama günlükleri | UX: Parola spreyi API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| İmkansız seyahat oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: İmkansız seyahat API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Yeni ülke/bölge oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: Yeni ülke/bölge API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Anonim IP adresi oturum açma riski algılama etkinliği | Değişir | Microsoft Entra risk algılama günlükleri | UX: Anonim IP adresinden etkinlik API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Şüpheli gelen kutusu iletme oturum açma riski algılama | Değişir | Microsoft Entra risk algılama günlükleri | UX: Şüpheli gelen kutusu iletme API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
| Microsoft Entra threat intelligence oturum açma riski algılama | Yüksek | Microsoft Entra risk algılama günlükleri | UX: Microsoft Entra tehdit bilgileri API: Bkz . riskDetection kaynak türü - Microsoft Graph |
Bkz. Risk nedir? Microsoft Entra Kimlik Koruması Sigma kuralları |
Daha fazla bilgi için Kimlik Koruması nedir? adresini ziyaret edin.
Bakmanız gereken bilgi
Uyarının oluşmasını ve kuruluşunuzun güvenlik ilkelerine uygun olmasını sağlamak için Microsoft Entra oturum açma günlüklerindeki veriler üzerinde izlemeyi yapılandırın. Bunun bazı örnekleri şunlardır:
Başarısız Kimlik Doğrulamaları: İnsanlar olarak zaman zaman hepimiz parolalarımızı yanlış anlarız. Ancak, birçok başarısız kimlik doğrulaması, kötü bir aktörün erişim elde etmeye çalıştığını gösterebilir. Saldırılar vahşilik bakımından farklılık gösterir ancak saatte birkaç denemeden çok daha yüksek bir hıza kadar değişebilir. Örneğin, Parola Spreyi normalde birçok hesapta daha kolay parolaları avlarken, Deneme Yanılma Girişimi hedeflenen hesaplara karşı birçok parolayı dener.
Kesintiye Uğramış Kimlik Doğrulamaları: Microsoft Entra Id'deki Kesme, koşullu erişim ilkesinde bir denetimi zorunlu tutma gibi kimlik doğrulamasını karşılamak için bir işlemin eklenmesini temsil eder. Bu normal bir olaydır ve uygulamalar doğru yapılandırılmadığında gerçekleşebilir. Ancak bir kullanıcı hesabı için çok sayıda kesinti gördüğünüzde, bu hesapta bir şeyler olduğunu gösterebilir.
- Örneğin, Oturum açma günlüklerinde bir kullanıcıya filtre uyguladıysanız ve çok büyük miktarda oturum açma durumu görüyorsanız = Kesildi ve Koşullu Erişim = Hata. Daha derine inerken, kimlik doğrulama ayrıntılarında parolanın doğru olduğu, ancak güçlü kimlik doğrulamasının gerekli olduğu gösterilebilir. Bu, kullanıcının çok faktörlü kimlik doğrulamasını (MFA) tamamlamadığı anlamına gelebilir ve bu da kullanıcının parolasının tehlikeye girdiğini ve kötü aktörün MFA'yi yerine getiremediğini gösterebilir.
Akıllı kilitleme: Microsoft Entra ID, kimlik doğrulama işlemine tanıdık ve tanıdık olmayan konumlar kavramını tanıtan bir akıllı kilitleme hizmeti sağlar. Tanıdık bir konumu ziyaret eden bir kullanıcı hesabı, aynı konuma aşina olmayan bir kötü aktör birkaç denemeden sonra engellenirken başarıyla kimlik doğrulamasından geçebilir. Kilitlenmiş hesapları arayın ve daha fazla araştırma gerçekleştirin.
IP değişiklikleri: Farklı IP adreslerinden gelen kullanıcıları görmek normaldir. Ancak, Sıfır Güven durumlar asla güvenmez ve her zaman doğrulamaz. Büyük miktarda IP adresi ve başarısız oturum açma işlemi görmek, izinsiz girişin göstergesi olabilir. Birden çok IP adreslerinden gerçekleşen birçok başarısız kimlik doğrulaması desenini arayın. Sanal özel ağ (VPN) bağlantılarının hatalı pozitiflere neden olabileceğini unutmayın. Zorluklardan bağımsız olarak IP adresi değişikliklerini izlemenizi ve mümkünse bu riskleri otomatik olarak algılamak ve azaltmak için Microsoft Entra Kimlik Koruması kullanmanızı öneririz.
Konumlar: Genellikle, bir kullanıcı hesabının aynı coğrafi konumda olmasını beklersiniz. Ayrıca, çalışanlarınız veya iş ilişkileriniz olan konumlardan da oturum açmanızı beklersiniz. Kullanıcı hesabı, oraya gitmek için gerekenden daha kısa sürede farklı bir uluslararası konumdan geldiğinde, kullanıcı hesabının kötüye kullanıldığına işaret edebilir. VPN'lerin hatalı pozitiflere neden olabileceğini unutmayın; coğrafi olarak uzak konumlardan oturum açan kullanıcı hesaplarını izlemenizi ve mümkünse bu riskleri otomatik olarak algılamak ve azaltmak için Microsoft Entra Kimlik Koruması kullanmanızı öneririz.
Bu risk alanı için standart kullanıcı hesaplarını ve ayrıcalıklı hesapları izlemenizi ancak ayrıcalıklı hesapların araştırmalarını önceliklendirmenizi öneririz. Ayrıcalıklı hesaplar, herhangi bir Microsoft Entra kiracısında en önemli hesaplardır. Ayrıcalıklı hesaplar için belirli yönergeler için bkz. Güvenlik işlemleri – ayrıcalıklı hesaplar.
Nasıl algılanır
Olağan dışı oturum açma özellikleriyle belirtilen tehditleri keşfetmeye yardımcı olmak için Microsoft Entra Kimlik Koruması ve Microsoft Entra oturum açma günlüklerini kullanırsınız. Kimlik Koruması hakkındaki bilgilere Kimlik Koruması nedir? adresinden ulaşabilirsiniz. Ayrıca, izleme ve uyarı amacıyla verileri Azure İzleyici'ye veya SIEM'e çoğaltabilirsiniz. Ortamınız için normal tanımlamak ve bir taban çizgisi ayarlamak için şunları belirleyin:
kullanıcı tabanınız için normal olarak kabul ettiğiniz parametreler.
kullanıcı hizmet masasını çağırmadan veya self servis parola sıfırlama işlemi gerçekleştirmeden önceki bir süre içinde ortalama parola deneme sayısı.
uyarı vermeden önce kaç başarısız girişime izin vermek istediğinizi ve kullanıcı hesapları ile ayrıcalıklı hesaplar için farklı olup olmadığını.
uyarı vermeden önce kaç MFA denemesine izin vermek istediğinizi ve kullanıcı hesapları ile ayrıcalıklı hesaplar için farklı olup olmadığını.
eski kimlik doğrulaması etkinleştirildiyse ve kullanımdan kaldırılıyorsa yol haritanız.
bilinen çıkış IP adresleri kuruluşunuza yöneliktir.
kullanıcılarınızın faaliyet gösterdiği ülkeler/bölgeler.
ağ konumu veya ülke/bölge içinde sabit kalan kullanıcı grupları olup olmadığı.
Kuruluşunuza özgü olağan dışı oturum açma işlemleri için diğer göstergeleri belirleyin. Örneğin, kuruluşunuzun çalışmadığı haftanın veya yılın günleri veya saatleri.
Ortamınızdaki hesaplar için normalin kapsamını belirledikten sonra, izlemek ve uyarı vermek istediğiniz senaryoları belirlemeye yardımcı olmak ve uyarılarınızı hassas bir şekilde ayarlamak için aşağıdaki listeyi göz önünde bulundurun.
Kimlik Koruması yapılandırıldıysa izlemeniz ve uyarı vermeniz gerekiyor mu?
Ayrıcalıklı hesaplara izlemek ve uyarı vermek için kullanabileceğiniz daha katı koşullar uygulanıyor mu? Örneğin, ayrıcalıklı hesapların yalnızca güvenilen IP adreslerinden kullanılması gerekir.
Ayarladığınız taban çizgileri çok agresif mi? Çok fazla uyarı olması uyarıların yoksayılması veya kaçırılması ile sonuçlanabilir.
Güvenlik temeli ilkelerinizi destekleyen korumanın yerinde olduğundan emin olmak için Kimlik Koruması'na tıklayın. Örneğin, risk = yüksekse kullanıcıları engelleme. Bu risk düzeyi, bir kullanıcı hesabının gizliliğinin tehlikeye girdiğini yüksek oranda güvenerek gösterir. Oturum açma risk ilkelerini ve kullanıcı risk ilkelerini ayarlama hakkında daha fazla bilgi için Kimlik Koruması ilkeleri'ne gidin. Koşullu Erişim'i ayarlama hakkında daha fazla bilgi için Koşullu Erişim: Oturum açma riski tabanlı Koşullu Erişim'i ziyaret edin.
Aşağıdakiler, girdilerin etkisine ve önem derecesine göre önem sırasına göre listelenmiştir.
Dış kullanıcı oturum açmalarını izleme
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Diğer Microsoft Entra kiracılarında kimlik doğrulaması kullanan kullanıcılar. | Düşük | Microsoft Entra oturum açma günlüğü | Durum = başarı Kaynak kiracı kimliği != Ev Kiracı Kimliği |
Bir kullanıcının kuruluşunuzun kiracısında bir kimlikle başka bir Microsoft Entra kiracısında başarılı bir şekilde kimlik doğrulamasına sahip olduğunu algılar. Kaynak Kiracı Kimliği, Ev Kiracı Kimliği'ne eşit değilse uyarı Microsoft Sentinel şablonu Sigma kuralları |
| Kullanıcı durumu Konuktan Üyeye değiştirildi | Medium | Microsoft Entra denetim günlükleri | Etkinlik: Kullanıcıyı güncelleştirme Kategori: UserManagement UserType Konuktan Üyeye değiştirildi |
Konuktan Üyeye kullanıcı türünün değiştirilmesini izleyin ve uyarın. Bu beklenen bir şey miydi? Microsoft Sentinel şablonu Sigma kuralları |
| Onaylanmamış davetliler tarafından kiracıya davet edilen konuk kullanıcılar | Medium | Microsoft Entra denetim günlükleri | Etkinlik: Dış kullanıcıyı davet etme Kategori: UserManagement Başlatan (aktör): Kullanıcı Asıl Adı |
Dış kullanıcıları davet eden onaylanmamış aktörleri izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları |
Başarısız olağan dışı oturum açma işlemleri için izleme
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Başarısız oturum açma girişimleri. | Orta - Yalıtılmış Olay ise Yüksek: Birçok hesap aynı desene veya VIP'ye sahipse. |
Microsoft Entra oturum açma günlüğü | Durum = başarısız oldu -Ve- Oturum açma hata kodu 50126 - Geçersiz kullanıcı adı veya parola nedeniyle kimlik bilgileri doğrulanırken hata oluştu. |
Bir temel eşik tanımlayın ve ardından kuruluş davranışlarınızı paketleyip yanlış uyarıların oluşturulmasını sınırlayacak şekilde izleyin ve ayarlayın. Microsoft Sentinel şablonu Sigma kuralları |
| Akıllı kilitleme olayları. | Orta - Yalıtılmış Olay ise Yüksek: Birçok hesap aynı desene veya VIP'ye sahipse. |
Microsoft Entra oturum açma günlüğü | Durum = başarısız oldu -Ve- Oturum açma hata kodu = 50053 – IdsLocked |
Bir temel eşik tanımlayın ve ardından kuruluş davranışlarınızı paketleyip yanlış uyarıların oluşturulmasını sınırlayacak şekilde izleyin ve ayarlayın. Microsoft Sentinel şablonu Sigma kuralları |
| Kesme | Orta - Yalıtılmış Olay ise Yüksek: Birçok hesap aynı desene veya VIP'ye sahipse. |
Microsoft Entra oturum açma günlüğü | 500121, kimlik doğrulaması güçlü kimlik doğrulama isteği sırasında başarısız oldu. -veya- 50097, Cihaz kimlik doğrulaması gereklidir veya 50074, Güçlü Kimlik Doğrulaması gerekir. -veya- 50155, DeviceAuthenticationFailed -veya- 50158, ExternalSecurityChallenge - Dış güvenlik sınaması karşılanmamış -veya- 53003 ve Hata nedeni = Koşullu Erişim tarafından engellendi |
Kesintileri izleyin ve uyarın. Bir temel eşik tanımlayın ve ardından kuruluş davranışlarınızı paketleyip yanlış uyarıların oluşturulmasını sınırlayacak şekilde izleyin ve ayarlayın. Microsoft Sentinel şablonu Sigma kuralları |
Aşağıdakiler, girdilerin etkisine ve önem derecesine göre önem sırasına göre listelenmiştir.
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Çok faktörlü kimlik doğrulaması (MFA) sahtekarlık uyarıları. | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = başarısız oldu -Ve- Ayrıntılar = MFA Reddedildi |
Herhangi bir girişte izleme ve uyarı verme. Microsoft Sentinel şablonu Sigma kuralları |
| Çalışmadığınız ülkelerden/bölgelerden başarısız kimlik doğrulamaları. | Medium | Microsoft Entra oturum açma günlüğü | Konum = <onaylanmamış konum> | Herhangi bir girdiyi izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları |
| Kullanılmayan eski protokoller veya protokoller için başarısız kimlik doğrulamaları. | Medium | Microsoft Entra oturum açma günlüğü | Durum = hata -Ve- İstemci uygulaması = Diğer İstemciler, POP, IMAP, MAPI, SMTP, ActiveSync |
Herhangi bir girdiyi izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları |
| Koşullu Erişim tarafından engellenen hatalar. | Medium | Microsoft Entra oturum açma günlüğü | Hata kodu = 53003 -Ve- Hata nedeni = Koşullu Erişim tarafından engellendi |
Herhangi bir girdiyi izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları |
| Herhangi bir türde başarısız kimlik doğrulamaları artırıldı. | Medium | Microsoft Entra oturum açma günlüğü | Panodaki hatalarda yakalama artışları. Yani, bugün için hata toplamı aynı gün (önceki hafta) %10'dur >. | Ayarlanmış bir eşiğiniz yoksa, hataların %10 veya daha fazla artıp artmadığını izleyin ve uyarın. Microsoft Sentinel şablonu |
| Kimlik doğrulaması, ülkelerin/bölgelerin normal iş operasyonları gerçekleştirmediğinde haftanın saatlerinde ve günlerinde gerçekleşir. | Düşük | Microsoft Entra oturum açma günlüğü | Normal çalışma günleri\saati dışında gerçekleşen etkileşimli kimlik doğrulamayı yakalayın. Durum = başarı -Ve- Konum = <konum> -Ve- Gün\Saat = <normal çalışma saatleri değil> |
Herhangi bir girdiyi izleyin ve uyarın. Microsoft Sentinel şablonu |
| Hesap devre dışı bırakıldı/oturum açma işlemleri için engellendi | Düşük | Microsoft Entra oturum açma günlüğü | Durum = Hata -Ve- hata kodu = 50057, Kullanıcı hesabı devre dışı bırakıldı. |
Bu, bir kişinin kuruluştan ayrıldıktan sonra bir hesaba erişmeye çalıştığını gösterebilir. Hesap engellenmiş olsa da, bu etkinlikte oturum açmak ve uyarı vermek önemlidir. Microsoft Sentinel şablonu Sigma kuralları |
Başarılı olağan dışı oturum açma işlemleri için izleme
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Ayrıcalıklı hesapların beklenen denetimlerin dışında kimlik doğrulamaları. | Yüksek | Microsoft Entra oturum açma günlüğü | Durum = başarı -Ve- UserPricipalName = <Yönetici hesabı> -Ve- Konum = <onaylanmamış konum> -Ve- IP Adresi = <onaylanmamış IP> Cihaz Bilgileri= <onaylanmamış Tarayıcı, İşletim Sistemi> |
Beklenen denetimlerin dışında ayrıcalıklı hesaplar için başarılı kimlik doğrulamasını izleyin ve uyarın. Üç yaygın denetim listelenir. Microsoft Sentinel şablonu Sigma kuralları |
| Yalnızca tek faktörlü kimlik doğrulaması gerektiğinde. | Düşük | Microsoft Entra oturum açma günlüğü | Durum = başarı Kimlik doğrulaması gereksinimi = Tek faktörlü kimlik doğrulaması |
Düzenli aralıklarla izleyin ve beklenen davranışı sağlayın. Sigma kuralları |
| MFA için kayıtlı olmayan ayrıcalıklı hesapları keşfedin. | Yüksek | Azure Graph API'si | Yönetici hesapları için IsMFARegistered eq false sorgusu. Kimlik bilgilerini listelemeUserRegistrationDetails - Microsoft Graph beta |
Kasıtlı mı yoksa gözetim mi olduğunu belirlemek için denetim ve araştırma. |
| Kuruluşunuzun faaliyet göstermediği ülkelerden/bölgelerden başarılı kimlik doğrulamaları. | Medium | Microsoft Entra oturum açma günlüğü | Durum = başarı Konum = <onaylanmamış ülke/bölge> |
Sağladığınız şehir adlarına eşit olmayan girişleri izleyin ve uyarın. Sigma kuralları |
| Başarılı kimlik doğrulaması, oturum Koşullu Erişim tarafından engellendi. | Medium | Microsoft Entra oturum açma günlüğü | Durum = başarı -Ve- hata kodu = 53003 – Koşullu Erişim tarafından engellenen hata nedeni |
Kimlik doğrulamasının başarılı olup olmadığını izleyin ve araştırın, ancak oturum Koşullu Erişim tarafından engellenir. Microsoft Sentinel şablonu Sigma kuralları |
| Eski kimlik doğrulamasını devre dışı bıraktığınızda başarılı kimlik doğrulaması. | Medium | Microsoft Entra oturum açma günlüğü | status = success -Ve- İstemci uygulaması = Diğer İstemciler, POP, IMAP, MAPI, SMTP, ActiveSync |
Kuruluşunuz eski kimlik doğrulamasını devre dışı bırakmışsa, eski kimlik doğrulaması başarılı olduğunda izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları |
Yalnızca tek faktörlü kimlik doğrulamasının gerekli olduğu orta düzeyde iş etkisi (MBI) ve yüksek iş etkisi (HBI) uygulamalarına yönelik kimlik doğrulamalarını düzenli aralıklarla gözden geçirmenizi öneririz. Her bir öğe için tek faktörlü kimlik doğrulamasının beklenip beklenmediğini belirlemek istiyorsunuz. Ayrıca, konuma bağlı olarak başarılı kimlik doğrulaması artışları veya beklenmeyen zamanlarda gözden geçirin.
| İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
|---|---|---|---|---|
| Tek faktörlü kimlik doğrulaması kullanarak MBI ve HBI uygulamasında kimlik doğrulamaları. | Düşük | Microsoft Entra oturum açma günlüğü | status = success -Ve- Uygulama Kimliği = <HBI uygulaması> -Ve- Kimlik doğrulaması gereksinimi = tek faktörlü kimlik doğrulaması. |
Bu yapılandırmanın kasıtlı olduğunu gözden geçirin ve doğrulayın. Sigma kuralları |
| Ülkelerin/bölgelerin normal iş operasyonları gerçekleştirmediği haftanın veya yılın gün ve saatlerinde kimlik doğrulamaları. | Düşük | Microsoft Entra oturum açma günlüğü | Normal çalışma günleri\saati dışında gerçekleşen etkileşimli kimlik doğrulamayı yakalayın. Durum = başarı Konum = <konum> Tarih\Saat = <normal çalışma saatleri değil> |
Ülkelerin/bölgelerin normal iş operasyonları gerçekleştirmediği haftanın veya yılın gün ve saatlerindeki kimlik doğrulamalarını izleyin ve uyarın. Sigma kuralları |
| Başarılı oturum açma işlemlerinde ölçülebilir artış. | Düşük | Microsoft Entra oturum açma günlüğü | Pano genelinde başarılı kimlik doğrulamasında artışları yakalama. Yani, bugünün başarı toplamları aynı gün (önceki hafta) %10'dur >. | Ayarlanmış bir eşiğiniz yoksa, başarılı kimlik doğrulamaları %10 veya daha yüksek bir artış gösterirse izleyin ve uyarın. Microsoft Sentinel şablonu Sigma kuralları |
Sonraki adımlar
Şu güvenlik işlemleri kılavuzu makalelerine bakın:
Microsoft Entra güvenlik işlemlerine genel bakış
Tüketici hesapları için güvenlik işlemleri
Ayrıcalıklı hesaplar için güvenlik işlemleri
Privileged Identity Management için güvenlik işlemleri
Uygulamalar için güvenlik işlemleri