Oturum açma, denetim ve sağlama günlüklerini kullanarak şüpheli etkinliği algılama

Tamamlandı

Veri kaybının en çok kullanıcı hesabının güvenliğinin aşılması ve ağınızdaki gizli varlıklara veya kaynaklara erişmek için kullanılması durumlarında oluşur. Azure, kullanıcılarınızın son davranışlarının tipik davranışlarıyla tutarlı olup olmadığını değerlendirmenize yardımcı olabilen günlüğe kaydetme ve denetim özellikleri sunar. Bu davranış normalden sapma gösterdiğinde, şüpheli bayrağı eklenir.

Güvenlik ekibinizin üyeleri, önceki ihlalin tekrarlanmasından çekiniyor ve hangi Azure özellikleriyle hizmetlerinin önlemeye yardımcı olabileceğini öğrenmek istiyor. Ekibinize güvence vermek için Azure’ın kullanıcı etkinliklerini günlüğe kaydetmeye yönelik sağladığı özellik ve şüpheli oturum açma davranışını belirlemek için günlüğe kaydetmenin nasıl kullanıldığı hakkında daha fazla bilgi edinmek istiyorsunuz.

Bu ünitede kullanıcı davranışını izlemek için iki farklı yaklaşım göreceksiniz. İlk yaklaşımda, oturum açma günlüğü dosyalarında depolanan kullanıcı oturum açma ayrıntılarına ağırlık verilir. İkinci yaklaşımda, bu kullanıcıların oturum açmış durumdayken gerçekleştirdiği etkinliklere bakar. Bu etkinlikler denetim dosyalarında depolanır.

Azure Active Directory günlükleri

Azure Active Directory (Azure AD) tüm Azure kiracınız genelinde günlük bilgilerini yakalar. Bu bilgileri analiz ve raporlamada kullanabilirsiniz. Kullanıcı davranışını değerlendirdikten etkinlik ve güvenlik günlüklerine bakmak istersiniz.

Etkinlik günlükleri kullanıcının ağınızda ve ağ içindeki varlıklarda gerçekleştirdiği tüm davranışları ve etkileşimleri kapsar. Özellikle iki tür günlük dosyasına dikkat etmek istersiniz:

  • Oturum açma günlükleri: Bu günlüklerde tüm kullanıcı etkinliği ve bunları isteyen uygulamalar hakkındaki ayrıntılar tutulur.
  • Denetim günlükleri: Ağınızda oturum açmış durumdayken bir kullanıcı veya grubun yaptıklarını gösterir.

Güvenlik günlükleri, etkinlik günlüklerinde bulunan özel durumların listesini gösterir. Dikkate değer iki kilit günlük dosyası vardır:

  • Riskli oturum açma işlemleri: Oturum açma davranışlarının önceki oturum açma girişimleriyle tutarlı olmadığı kullanıcı hesaplarıyla ilgili veriler tutulur.
  • Riskli oldukları belirlenen kullanıcılar: Riskli kullanıcı bayrağı atanmış tüm kullanıcıları gösterir.

Ama şimdilik yalnızca kullanıcı oturum açma ve etkinlik günlükleriyle ilgileniyorsunuz.

Azure oturum açma günlüğü dosyaları

Oturum açma günlüğü dosyaları ağınızdaki tüm girişimlerin kopyasını içerir. Öte yandan bu yalnızca kullanıcı kimliklerinin kullanıldığı geleneksel oturum açma işlemleri için geçerlidir. Oturum açma günlüğü dosyaları, sunucudan sunucuya bağlantılarda kullanılan otomatik kimlik doğrulamasını kaydetmez.

Oturum açma günlüğü dosyalarını şunları belirlemek için kullanabilirsiniz:

  • Kullanıcı oturum açma davranışının desenleri.
  • Zaman içinde kullanıcı oturum açma etkinliklerinin eğilimleri.
  • Ağınıza erişen tüm kullanıcıların genel durumu.

Önkoşullar

Oturum açma günlüklerinde yakalanan günlük verilerinden dolayı, bu günlüklere erişim ayrılmıştır ve sınırlıdır. Oturum açma günlüğü dosyalarını kullanmak için gerekenler:

  • Azure AD Premium veya daha iyi bir abonelik.
  • Genel Yönetici, Rapor Okuyucusu, Güvenlik Okuyucusu veya Güvenlik Yöneticisi rolleri veya izinleri olan en az bir kullanıcı.

Oturum açma günlüğü dosyasının yapısı

Oturum açma günlüğü hizmeti ilk kez etkinleştirildiğinde, verilerin kullanılabilir duruma gelmesi bir saat kadar sürebilir. Azure kullanıcı etkinliği hakkında, erişim zaman aralıklarından istekte bulunan uygulamaya kadar çok çeşitli veriler yakalar. Oturum açma günlüğü dosyasına Azure portalı aracılığıyla erişirsiniz.

  1. Azure portalında Azure AD örneğinize gidin.

  2. İzleyici bölümünde Oturum açma’yı seçin.

Aşağıdakine benzer bir sayfada oturum açma tablosu verilerinin tipik bir görünümü gösterilir:

Varsayılan oturum açma tablosu sütunlarının ekran görüntüsü.

Varsayılan tablo sütunları şunlardır:

  • Oturum açma tarihi
  • İlgili kullanıcı
  • Oturum açma isteğinde bulunan uygulama
  • Oturum açma durumu
  • Risk algılama durumu
  • Çok faktörlü kimlik doğrulaması durumu

Azure’daki tüm raporlarda olduğu gibi, sütunları ekleyip kaldırarak yapıyı değiştirebilirsiniz. Sütunları değiştirmek için Sütunlar’ı seçin.

Sütunlar bölmesinde, ihtiyacınız olan sütunları ekleyip kaldırabilirsiniz. Varsayılan sütunlara ek olarak şu seçeneklere sahipsiniz:

  • Request ID
  • User
  • UserName
  • IP address
  • Location
  • Operating System
  • Device Browser
  • Conditional Access
  • Alternate sign-in name

Günlük verilerini filtreleme

İşlemekle ilgilendiğiniz tüm oturum açma sütunlarını seçtikten sonra bile çok fazla veriniz olacaktır. Bu hacmi yönetmek ve doğru verileri almak için filtreler uygulamanız gerekir. Örneğin yalnızca kullanıcının riskli bayrağıyla işaretlendiği veya çok faktörlü kimlik doğrulamasının başarısız olduğu oturum açma kayıtlarını görmek isteyebilirsiniz. Filtreleri kullanmanız ham verilere çeşitli açılardan bakarak eğilimleri ve desenleri belirlemenize olanak tanır.

Filtreleri kullanmak için Filtre ekle'yi ve ardından kullanmak istediğiniz filtreleri seçin.

“Filtreler ekle” düğmesinin ve filtre listesinin ekran görüntüsü.

Burada birkaç önemli filtre ve bunları kullanarak neler yapabileceğiniz açıklanmıştır:

  • Kullanıcı: Adına veya kullanıcı asıl adına göre belirli kullanıcıları hedeflemenizi sağlar.
  • Uygulama: Belirli uygulamalar tarafından yapılan oturum açma isteklerini bulmanızı sağlar.
  • Oturum açma durumu: Sonuçları başarıyla oturum açan ve açamayan kullanıcılara göre daraltmanızı sağlar.
  • Koşullu Erişim: Geçerli koşullu erişim ilkelerinin uygulanmış olup olmadığını incelemenizi sağlar.
  • Tarih: Aradığınız verilerin tarih çerçevesini (bir aydan tek bir güne kadar) ayarlamanızı sağlar.

Oturum açma günlüklerini indirme

İlgilendiğiniz sütunları belirlediniz ve verileri yönetilebilir belirli bir alt kümeye daraltacak filtreleri uyguladınız. Şimdi işlemi gerçekleştirebilirsiniz. Azure işlemeye ve daha fazla analiz etmeye yönelik bazı harika araçlar sunar ama zaten mevcut uygulamaları kullanıyor olabilirsiniz. Azure sayesinde geçerli filtreler temelinde oturum açma verilerini indirebilirsiniz.

Oturum açma günlüğü kayıtlarını indirirken, uyguladığınız filtre ölçütleri temelinde en yeni 250.000 kayıtla sınırlısınız.

Görünümünüzdeki verileri indirmek için İndir’i seçin.

İndir düğmesinin ekran görüntüsü.

Veriler için CSV veya JSON biçimini kullanmak istediğinize karar verin.

Oturum açma hatası kodları

Başarısız oturum açma işlemlerinin analizi, güvenli ve iyi durumda bir Azure ortamını korumak için kilit önem taşır. Oturum açma günlüğü dosyalarınızı gözden geçirdiğinizde, duruma göre filtreleyerek yalnızca başarısız oturum açma işlemlerini görüntüleyebilirsiniz.

Başarısız seçeneği belirlenmiş “Oturum açma durumu” açılan denetiminin ekran görüntüsü.

Daha önce açıklandığı gibi, bu filtre uygulandığında tablo yalnızca başarısız oturum açma işlemlerini görüntüler.

Sonuç listesindeki oturum açma kayıtlarından herhangi birini seçtiğinizde oturum açma durumu, oturum açma hatası kodu ve başarısızlık nedeni ile birlikte kaydın anlık görüntüsünü görürsünüz.

Hata kodunun ve başarısızlık nedeninin vurgulandığı oturum açma başarısızlığı ayrıntılar bölmesinin ekran görüntüsü.

Bu modülün özet ünitesinde sağlanan URL’de hata kodlarının eksiksiz bir listesini bulacaksınız. Aşağıdaki tabloda birkaç örnek hata kodu ve resmi açıklamaları listelenmiştir:

Hata Açıklama
50002 Kiracıda kısıtlanmış ara sunucu erişimi nedeniyle oturum açma başarısız oldu. Bu sizin kendi kiracı ilkenizse kısıtlanmış kiracı ayarlarınızı değiştirerek bu sorunu çözebilirsiniz.
50005 Kullanıcılar şu anda Koşullu Erişim ilkesi aracılığıyla desteklenmeyen bir platform üzerinden cihazda oturum açmayı denedi.
50020 Kullanıcı şu nedenlerden birine bağlı olarak yetkilendirilmedi: kullanıcı v1 uç noktası olan bir MSA hesabıyla oturum açmayı deniyor veya kullanıcı kiracıda mevcut değil. Uygulama sahibine başvurun.
50055 Geçersiz parola girildi veya parolanın süresi doldu.
50057 Kullanıcı hesabı devre dışı bırakıldı. Hesap, yönetici tarafından devre dışı bırakıldı.
50074 Kullanıcı Multi-Factor Authentication (MFA) sınamasını iletmedi.
50126 Geçersiz kullanıcı adı veya parola ya da geçersiz şirket içi kullanıcı kimliği veya parolası.
50133 Süresi dolan parola veya son parola değişikliği nedeniyle oturum geçersiz.
50173 Yeni kimlik doğrulama belirteci gerekiyor. Kullanıcının yeni kimlik bilgileriyle yeniden oturum açmasını sağlayın.
53003 Koşullu Erişim ilkeleri nedeniyle erişim engellendi.
65004 Kullanıcı uygulamaya erişme onayı vermeyi reddetti. Kullanıcının oturum açmayı yeniden denemesini ve uygulamaya onay vermesini sağlayın.
70019 Doğrulama kodunun süresi doldu. Kullanıcının oturum açmayı yeniden denemesini sağlayın.
80007 Kimlik Doğrulama Aracısı kullanıcının parolasını doğrulayamıyor.
81007 Kiracı Sorunsuz SSO için etkinleştirilmedi.

Azure denetim günlüğü dosyaları

Denetim dosyaları kiracınızda yapılan her görevin geçmişini sağlar.

Denetim günlükleri uyumluluk için korunur. Bu günlükler, tüm sistem etkinliklerinizin kaydını tutar. Denetim günlüklerini gözden geçirdiğinizde, bazı etkinliklerin günlükte görünmesinde bir saatlik bir gecikme olabileceğine dikkat edin.

Önkoşullar

Denetim günlüğü dosyalarına erişmek için şunlar gerekir:

  • Genel Yönetici, Rapor Okuyucusu, Güvenlik Okuyucusu veya Güvenlik Yöneticisi rolleri veya izinleri olan en az bir kullanıcı

Denetim günlüğü dosyasının yapısı

Oturum açma günlüklerine çok benzer biçimde, denetim günlükleri de belirli gereksinimlerinizi karşılamak için uyarlanabilir ve değiştirilebilir. Varsayılan denetim günlüğü görünümünde aşağıdaki sütunlar görüntülenir:

  • Veriler
  • Hizmet
  • Category
  • Durum
  • Hedef
  • Başlatan

Daha önce açıklanan günlüklerde olduğu gibi, görüntülenen sütunları değiştirebilir ve aşağıdaki sütunları ekleyebilirsiniz:

  • Etkinlik
  • Durum Nedeni

Denetim günlüğü sonuçlarını filtreleme

Denetim günlükleri Azure ortamınızdan gelen yüz binlerce girdi içerebilir. Bu sayıyı yönetmek için, sonuçlara filtreler uygulayıp ihtiyacınız olan verileri görüntüleyebilirsiniz. Yalnızca aşağıdaki alanlardaki verileri filtreleyebilirsiniz:

  • Hizmet: Sonuçlardaki hizmetleri daraltmanızı sağlar. hizmet alanı, erişim gözden geçirmeleri, hesap sağlama, uygulama SSO 'su, kimlik doğrulama yöntemleri, B2C, koşullu erişim, çekirdek dizinler, yetkilendirme yönetimi, kimlik koruması, davet edilen kullanıcılar, Privileged Identity Management (pım), self servis grup ve parola yönetimi ve kullanım koşulları ile sınırlıdır.
  • Kategori: İstediğiniz denetim kategorisini belirtir. Seçim şunlar olabilir: yönetim birimi, uygulama yönetimi, kimlik doğrulaması, yetkilendirme, kişi, cihaz, cihaz yapılandırması, dizin yönetimi, yetkilendirme yönetimi, grup yönetimi, ilke kaynak yönetimi, rol yönetimi ve kullanıcı yönetimi.
  • Etkinlik: Seçenekler hizmet türüne göre koşullu ve daha önce seçtiğiniz kategoridir.
  • Durum: Etkinliğin başarılı veya başarısız olduğunu belirler.
  • Hedef: Hedef ad veya kullanıcı asıl adı kullanmanızı sağlar.
  • Başlatan: Kullanıcı adı veya evrensel asıl ad belirtmenizi sağlar. Her ikisi de büyük/küçük harfe duyarlıdır.
  • Tarih (aralık): Bir aydan bir güne kadar değişebilecek bir tarih aralığı belirtmenizi sağlar.

Denetim günlüğünü indirme

Verileri yönetilebilir belirli bir alt kümeye daraltmak için filtreler uyguladığınızda, verileri indirebilirsiniz. Denetim günlüğü kayıtlarını indirirken, uyguladığınız filtre ölçütleri temelinde en yeni 250.000 kayıtla sınırlısınız.

Görünümünüzdeki verileri indirmek için menü çubuğundaki İndir’i seçin.

Veriler için CSV veya JSON biçimini kullanmak istediğinize karar verin.

Kullanıcılar, gruplar ve kurumsal uygulamalar aracılığıyla denetim günlüklerine erişme

Denetim günlüğü verilerine Azure AD örneğiniz üzerinden erişirsiniz. Ama denetim günlüğüne doğrudan kullanıcılar, gruplar ve kurumsal uygulamalar aracılığıyla da erişebilirsiniz. Veriler, kullanılmakta olan erişim noktasına göre önceden filtrelenir. Denetim günlüklerine kullanıcılar üzerinden eriştiyseniz, yalnızca kullanıcılarla ilgili denetim günlüğü verilerini görürsünüz. Aynı durum gruplar ve kurumsal uygulamalar için de geçerlidir.

Kullanıcı denetim günlüklerine erişme

Azure AD örneğinizden kullanıcı denetim günlüklerine erişmek için burada gösterildiği gibi Denetim günlüklerini seçin:

Kullanıcıların “Denetim günlükleri” seçeneğinin ekran görüntüsü.

Azure AD örneğinizden grubun denetim günlüklerine erişmek için Gruplar’ı seçin.

Bilgilerinizi kontrol edin

1.

Kullanılan çok faktörlü kimlik doğrulaması hakkında hangi günlük dosyasında bilgi bulabilirsiniz?

2.

Kimlik koruması hakkındaki bilgileri hangi günlükte bulabilirsiniz?