Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В инфраструктуре есть множество компонентов, в которых при неправильной настройке могут возникнуть уязвимости. В рамках стратегии мониторинга и оповещения для инфраструктуры осуществляйте мониторинг и создавайте оповещения о событиях в следующих областях:
Аутентификация и авторизация
Компоненты гибридной проверки подлинности, включая Серверы федерации
Политики
Подписки
Мониторинг и оповещение компонентов вашей инфраструктуры аутентификации критически важны. Любая компрометация может привести к полной компрометации всей среды. Многие предприятия, использующие идентификатор Microsoft Entra, работают в гибридной среде проверки подлинности. Облачные и локальные компоненты необходимо включить в стратегию мониторинга и оповещения. При использовании среды гибридной проверки подлинности возникает еще один вектор атаки на вашу среду.
Мы рекомендуем считать все компоненты и учетные записи, используемые для управления ими, ресурсами уровня управления или уровня 0. Рекомендации по разработке и реализации среды см. в руководстве Обеспечение безопасности привилегированного доступа. Это руководство содержит рекомендации по каждому из компонентов гибридной проверки подлинности, которые потенциально могут использоваться для клиента Microsoft Entra.
Первым шагом, позволяющим обнаруживать непредвиденные события и возможные атаки, является создание базовых показателей. Для всех локальных компонентов, перечисленных в этой статье, см. статью Развертывание привилегированного доступа, которая входит в руководство по обеспечению безопасности привилегированного доступа.
Где искать
Для исследования и мониторинга используйте файлы журнала:
В портале Azure можно просмотреть журналы аудита Microsoft Entra и загрузить в формате CSV (значения, разделенные запятыми) или JSON (нотация объектов JavaScript). В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, которые обеспечивают более высокую автоматизацию мониторинга и оповещения:
Microsoft Sentinel – включает интеллектуальную аналитику безопасности на корпоративном уровне за счет возможностей управления информационной безопасностью и событиями безопасности (SIEM).
Sigma-правила. Sigma — это развивающийся открытый стандарт для написания правил и шаблонов, которые автоматизированные средства управления могут использовать для анализа файлов журналов. В случаях, когда существуют шаблоны Sigma для рекомендуемых нами критериев поиска, мы добавили ссылку на репозиторий Sigma. Шаблоны Sigma не создаются, не проверяются и не управляются корпорацией Майкрософт. Репозиторий и шаблоны создаются и собираются международным сообществом специалистов по ИТ-безопасности.
Azure Monitor — включает автоматический мониторинг и оповещение о разных условиях. с возможностью создавать или использовать рабочие книги для объединения данных из разных источников.
Центры событий Azure интегрированы с SIEM - журналы Microsoft Entra можно интегрировать с другими SIEM-системами, такими как Splunk, ArcSight, QRadar и Sumo Logic через интеграцию с Центрами событий Azure.
Microsoft Defender for Cloud Apps – позволяет обнаруживать приложения и управлять ими, определять приложения и ресурсы, проверять свои приложения на соответствие требованиям.
Защита удостоверений ресурсов с помощью Microsoft Entra ID Protection. Используется для обнаружения риска для удостоверений ресурсов в поведении при входе и офлайн индикаторах компрометации.
В оставшейся части этой статьи описывается, для чего мы рекомендуем реализовать мониторинг и создание оповещений. Сведения упорядочены по типам угроз. Для предварительно созданных решений после таблицы предоставляются ссылки. В противном случае можно создавать оповещения с помощью предыдущих средств.
Инфраструктура проверки подлинности
В гибридных средах, которые содержат как локальные, так и облачные ресурсы и учетные записи, инфраструктура Active Directory является ключевой частью стека проверки подлинности. Стек также является целевым объектом для атак, поэтому его нужно настроить так, чтобы поддерживать безопасность среды, и осуществлять за ним надлежащий мониторинг. Примеры текущих типов атак, используемых против вашей инфраструктуры проверки подлинности, включают атаки с применением методов распыления паролей и Solorigate. Ниже приведены ссылки на статьи, с которыми мы советуем ознакомиться:
Общие сведения о защите привилегированного доступа. В этой статье приводятся общие сведения об актуальных методах, основанных на принципе "Никому не доверяй", используемых для создания и поддержки безопасного привилегированного доступа.
Отслеживаемые действия в Microsoft Defender для Идентификации. В этой статье представлен исчерпывающий список действий, которые подлежат мониторингу и настройке оповещений.
Учебное пособие по оповещениям безопасности в Microsoft Defender для идентификации - В этой статье представлена информация о создании и внедрении стратегии оповещений безопасности.
Ниже приведены ссылки на конкретные статьи, в которых основное внимание уделяется мониторингу инфраструктуры проверки подлинности и оповещениям.
Понимание и использование путей бокового перемещения с Microsoft Defender для идентификационных данных — методы обнаружения, которые помогают определить случаи, когда несекретные учетные записи используются для получения доступа к конфиденциальным учетным записям в сети.
Работа с оповещениями системы безопасности в Microsoft Defender для удостоверений — здесь описано, как просматривать оповещения и управлять ими после регистрации.
Ниже приведены конкретные аспекты, на которые следует обратить внимание:
| Что отслеживать | Уровень риска | Где | Примечания. |
|---|---|---|---|
| Тенденции блокировки экстрасети. | Высокая | Microsoft Entra Connect Health (Система здоровья Microsoft Entra Connect) | См. сведения о мониторинге AD FS с помощью Microsoft Entra Connect Health для средств и методов, помогающих обнаруживать тенденции блокировки экстрасети. |
| Неудавшиеся попытки входа в систему | Высокая | Портал Connect Health | Экспортируйте или скачайте отчет о ненадежном IP-адресе и следуйте указаниям в статье Отчет о ненадежном IP-адресе (общедоступная предварительная версия). |
| В соответствии с требованиями конфиденциальности. | Низкая | Microsoft Entra Connect Health (Система здоровья Microsoft Entra Connect) | Настройте Microsoft Entra Connect Health, чтобы отключить сбор данных и мониторинг, используя статью Конфиденциальность пользователей и Microsoft Entra Connect Health. |
| Потенциальная атака с использованием брутфорса на LDAP | Средняя | Microsoft Defender для идентификации | Используйте датчик, чтобы обнаружить потенциальные атаки методом подбора на LDAP. |
| Разведка при перечислении учетных записей | Средняя | Microsoft Defender для защиты идентификационных данных | Используйте датчик для помощи в выполнении разведки с помощью перечисления учетных записей. |
| Общая корреляция между идентификатором Microsoft Entra и Azure AD FS | Средняя | Microsoft Defender для идентификации | Используйте возможности для сопоставления действий между идентификатором Microsoft Entra и средами Azure AD FS. |
Мониторинг сквозной проверки подлинности
Сквозная аутентификация Microsoft Entra позволяет пользователям входить в систему, проверяя пароли непосредственно в локальную службу Active Directory.
Ниже приведены конкретные аспекты, на которые следует обратить внимание:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001 — не удалось подключиться к Active Directory | Убедитесь, что серверы с агентами являются членами того же леса Active Directory, что и пользователи, чьи пароли должны быть проверены, и что они могут подключаться к Active Directory. |
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002 — время ожидания подключения к Active Directory истекло | Убедитесь, что служба Active Directory доступна и отвечает на запросы агентов. |
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Приложение и служба Журналы\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004 — агенту передано недопустимое имя пользователя | Убедитесь, что пользователь пытается войти в систему с правильным именем пользователя. |
| Ошибки сквозной проверки подлинности Microsoft Entra | Средняя | Журналы приложений и служб\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005 — в процессе проверки обнаружено непредсказуемое исключение WebException | Это временная проблема. Повторите запрос. Если проблема не исчезла, обратитесь в службу поддержки Майкрософт. |
| Ошибки сквозной аутентификации Microsoft Entra | Средняя | Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007 — произошла ошибка при обмене данными с Active Directory | Посмотрите дополнительные сведения в журналах агентов и убедитесь, что Active Directory работает должным образом. |
| Ошибки сквозной проверки подлинности Microsoft Entra | Высокая | API функции LogonUserA для Win32 | События входа в систему 4624: учетная запись успешно вошла в систему — соотносить с — 4625(F) — учетную запись не удалось использовать для входа в систему. |
Используйте с подозреваемыми именами пользователей на контроллере домена, который выполняет проверку подлинности запросов. Руководство по функции LogonUserA (winbase.h) |
| Ошибки сквозной аутентификации Microsoft Entra | Средняя | Скрипт PowerShell контроллера домена | Запрос приводится после этой таблицы. | Используйте сведения в Microsoft Entra Connect: устранение неполадок сквозной проверки подлинностидля получения рекомендаций. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Мониторинг создания новых клиентов Microsoft Entra
Организациям может потребоваться отслеживать и оповещать о создании новых арендаторов Microsoft Entra, когда действие инициируется учетными записями из их собственных арендаторов. Отслеживание этого сценария позволяет получить представление о количестве создаваемых арендаторов, к которым могут получить доступ пользователи.
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Создание нового арендатора Microsoft Entra с использованием идентификационных данных из вашего арендатора. | Средняя | Журналы аудита Microsoft Entra | Категория: управление каталогами. Действие: создание компании. |
В целевых объектах отображается созданный идентификатор TenantID. |
Соединитель частной сети
Идентификатор Microsoft Entra и прокси приложения Microsoft Entra предоставляют удаленным пользователям возможность единого входа. Пользователи безопасно подключаются к локальным приложениям без использования виртуальной частной сети (VPN), серверов с двумя адресами и правил брандмауэра. Если сервер соединителя частной сети Microsoft Entra скомпрометирован, злоумышленники могут изменить интерфейс единого входа или изменить доступ к опубликованным приложениям.
Сведения о настройке мониторинга для Application Proxy см. в статье Устранение неполадок и сообщения об ошибках Application Proxy. Файл данных, который записывает сведения, можно найти в журналах приложений и служб\Microsoft\Microsoft Entra private network\Connector\Admin. Для полного справочного руководства по активности аудита см. справочник по действиям аудита Microsoft Entra. Что нужно отслеживать:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Ошибки Kerberos | Средняя | Различные инструменты | Средняя | Руководство по ошибкам проверки подлинности Kerberos см. в разделе "Ошибки Kerberos" в статье Устранение неполадок и сообщения об ошибках Application Proxy. |
| Проблемы с безопасностью DC | Высокая | Журналы аудита безопасности DC | Идентификатор события 4742(S): учетная запись компьютера изменена -и- Флаг — доверено для делегирования –или– Флаг — доверено для аутентификации с целью делегирования полномочий |
Изучите любые изменения флагов. |
| Атаки типа Pass-the-Ticket | Высокая | Следуйте указаниям в: Рекогносцировка субъекта безопасности (LDAP) (внешний идентификатор 2038) Руководство. Оповещения о скомпрометированных учетных данных Понять и использовать пути бокового перемещения с Microsoft Defender для идентификации Общие сведения о профилях сущностей |
Параметры устаревших методов проверки подлинности
Чтобы обеспечить эффективность многофакторной проверки подлинности (MFA), необходимо также заблокировать устаревшие методы. Затем необходимо отслеживать среду и настроить оповещения об использовании устаревших методов проверки подлинности. Устаревшие протоколы проверки подлинности, например POP, SMTP, IMAP и MAPI, не могут требовать использование MFA. Это делает такие протоколы предпочтительными точками входа для злоумышленников. Дополнительные сведения о средствах, которые можно использовать для блокирования устаревших методов аутентификации, см. в статье Новые средства блокировки устаревших методов проверки подлинности в организации.
Устаревшая аутентификация фиксируется как часть сведений о событии в журнале входа Microsoft Entra. Для выявления случаев использования устаревших методов проверки подлинности можно использовать книгу Azure Monitor. Для получения дополнительной информации см. "Входы с использование устаревшей проверки подлинности", который является частью Как использовать рабочие книги Azure Monitor для отчетов Microsoft Entra. Кроме того, можно использовать книгу незащищенных протоколов для Microsoft Sentinel. Дополнительные сведения см. в руководстве по использованию книги незащищенных протоколов Microsoft Sentinel. Ниже перечислены конкретные действия, которые необходимо отслеживать:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Устаревшие методы проверки подлинности | Высокая | Журнал входа Microsoft Entra | ClientApp: POP ClientApp: IMAP ClientApp: MAPI ClientApp: SMTP ClientApp: ActiveSync перейдите к EXO Другие клиенты: SharePoint и EWS |
В средах федеративного домена неудачные попытки проверки подлинности не регистрируются, а значит они не появятся в журнале. |
Microsoft Entra Connect
Microsoft Entra Connect предоставляет централизованное расположение, которое обеспечивает синхронизацию учетных записей и атрибутов между локальной и облачной средой Microsoft Entra. Microsoft Entra Connect — это средство Майкрософт, предназначенное для удовлетворения и достижения целей гибридной идентификации. Она предоставляет следующие возможности.
Синхронизация хэша паролей — метод входа, который синхронизирует хэш локального пароля AD пользователя с идентификатором Microsoft Entra.
Синхронизация. Отвечает за создание пользователей, групп и других объектов. Убедитесь, что информация об идентификации для ваших локальных пользователей и групп соответствует данным в облаке. Эта синхронизация также включает хэши паролей.
Мониторинг работоспособности - Microsoft Entra Connect Health может обеспечить надежный мониторинг и предоставить центральное расположение в портале Azure для просмотра этой активности.
Синхронизация удостоверений между локальной и облачной средами представляет новое направление атак для локальной и облачной сред. Примите во внимание следующие рекомендации.
Вы рассматриваете основные и промежуточные серверы Microsoft Entra Connect как системы уровня 0 в плоскости управления.
Следуйте стандартному набору политик, который управляет каждым типом учетной записи и его использованием в вашей среде.
Вы устанавливаете Microsoft Entra Connect и Connect Health. Эти средства в основном предоставляют операционные данные для среды.
Ведение журнала операций Microsoft Entra Connect происходит разными способами:
Мастер Microsoft Entra Connect записывает данные в
\ProgramData\AADConnectжурнал. При каждом вызове мастера создается файл журнала трассировки с меткой времени. Журнал трассировки можно импортировать в Sentinel или другие средства управления информационной безопасностью и управления событиями безопасности (SIEM) третьих сторон для анализа.Некоторые операции инициируют скрипт PowerShell для сбора данных журнала. Для сбора этих данных необходимо убедиться в том, что включено ведение журнала блоков скриптов.
Мониторинг изменений конфигурации
Идентификатор Microsoft Entra использует обработчик данных Microsoft SQL Server или SQL для хранения сведений о конфигурации Microsoft Entra Connect. Таким образом, стратегия мониторинга и аудита должна включать мониторинг и аудит файлов журнала, связанных с конфигурацией. В частности, включите следующие таблицы в стратегию мониторинга и оповещения.
| Что отслеживать | Где | Примечания. |
|---|---|---|
| агент управления MMS | Записи аудита службы SQL | См. Записи аудита SQL Server |
| mms_partition | Записи аудита службы SQL | См. Записи аудита SQL Server |
| mms_run_profile | Записи аудита службы SQL | См. Записи аудита SQL Server |
| конфигурация_сервера_mms | Записи аудита службы SQL | См. Записи аудита SQL Server |
| mms_synchronization_rule | Записи аудита службы SQL | См. Записи аудита SQL Server |
Сведения о том, какие сведения о конфигурации отслеживать и как это делать, см. в следующих источниках:
Для сервера SQL см. Записи аудита SQL Server.
При использовании Microsoft Sentinel см. статью Подключение к серверам Windows для получения сведений о событиях безопасности.
Сведения о настройке и использовании Microsoft Entra Connect см. в разделе "Что такое Microsoft Entra Connect?
Мониторинг и устранение неполадок с синхронизацией
Одной из функций Microsoft Entra Connect является синхронизация хэш-синхронизации между локальным паролем пользователя и идентификатором Microsoft Entra. Неполадки с синхронизацией паролей могут повлиять на всех пользователей или некоторое их подмножество. Используйте следующие сведения для проверки правильности работы или устранения неполадок:
Сведения о проверке и устранении неполадок синхронизации хэша см. в статье "Устранение неполадок синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect".
Изменения в пространствах соединителей см. в статье "Устранение неполадок объектов и атрибутов Microsoft Entra Connect".
Важные ресурсы по мониторингу
| Что отслеживать | Ресурсы |
|---|---|
| Проверка синхронизации хэша | Устранение неполадок при синхронизации хэша паролей с помощью Microsoft Entra Connect Sync |
| Изменения в пространствах соединителей | См. сведения об устранении неполадок объектов и атрибутов Microsoft Entra Connect |
| Изменения настроенных правил | Отслеживайте изменения в фильтрации, доменах и организационных единицах, атрибутах и изменениях на основе групп. |
| Изменения SQL и MSDE | Изменения параметров ведения журнала и добавление настраиваемых функций. |
Осуществляйте мониторинг по следующим критериям:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Изменения планировщика | Высокая | PowerShell | Set-ADSyncScheduler | Обратите внимание на изменения в расписании |
| Изменения запланированных задач | Высокая | Журналы аудита Microsoft Entra | Действие: 4699(S) — запланированная задача удалена –или– Действие: 4701(s) — запланированная задача отключена –или– Действие 4702: запланированная задача была обновлена |
Отслеживайте все изменения. |
Дополнительные сведения о ведении журналов операций сценариев PowerShell см. в разделе Включение ведения журнала блоков скриптов справочной документации по PowerShell.
Дополнительные сведения о настройке ведения журнала PowerShell для анализа с помощью Splunk см. в руководстве по передаче данных в Splunk User Behavior Analytics.
Мониторинг бесшовного единого входа
Microsoft Entra бесшовный единый вход (Seamless SSO) автоматически осуществляет вход пользователей, когда они находятся на корпоративных настольных компьютерах, подключенных к корпоративной сети. Данный бесшовный SSO предоставляет вашим пользователям удобный доступ к облачным приложениям, не требуя других локальных компонентов. Единый вход использует возможности сквозной проверки подлинности и синхронизации хэша паролей, предоставляемые Microsoft Entra Connect.
Мониторинг действий единого входа и действий Kerberos поможет обнаружить общие шаблоны атак, осуществляемых с целью кражи учетных данных. Организуйте мониторинг, используя следующие данные:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Ошибки, связанные с SSO и аутентификацией Kerberos | Средняя | Журнал входа Microsoft Entra | Список кодов ошибок единого входа см. в статье Единый вход. | |
| Запрос на устранение ошибок | Средняя | PowerShell | См. запрос под таблицей. Проверьте каждый лес с включенным SSO. | Проверьте каждый лес с включенным SSO. |
| События, связанные с Kerberos | Высокая | Мониторинг Microsoft Defender для идентификации | Ознакомьтесь с инструкциями в статье Microsoft Defender для удостоверений Lateral Movement Paths (LMPs). |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Управление политиками защиты паролем
При развертывании защиты паролей Microsoft Entra мониторинг и отчеты являются важными задачами. Следующие ссылки помогут вам понять различные методы мониторинга, в том числе сведения о том, где каждая служба записывает сведения и как сообщать об использовании защиты паролей Microsoft Entra.
Агент контроллера домена и прокси-службы записывают сообщения в журнал событий. Все командлеты PowerShell, описанные ниже, доступны только на прокси-сервере (см. модуль AzureADPasswordProtection для PowerShell). Программное обеспечение агента DC не устанавливает модуль PowerShell.
Подробные сведения о планировании и внедрении локальной защиты паролей доступны на сайте Планирование и развертывание локальной защиты паролей Microsoft Entra Password Protection. Сведения о мониторинге см. в разделе "Мониторинг локальной защиты паролей Microsoft Entra". На каждом контроллере домена программное обеспечение службы агента контроллера домена записывает каждый отдельный результат операции проверки паролей (и другие состояния) в следующий локальный журнал событий:
\Application and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Application and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Application and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Журнал администратора агента DC является основным источником информации о том, как ведет себя программное обеспечение. По умолчанию журнал трассировки отключен. Его нужно включить до регистрации данных. Чтобы устранить неполадки прокси приложения и сообщения об ошибках, подробные сведения см. в описании устранения неполадок прокси приложения Microsoft Entra. Информация для этих событий заносится в следующие журналы:
Журналы приложений и служб\Microsoft\Microsoft Entra private network\Connector\Admin
Журнал аудита Microsoft Entra, категория "Прокси приложений"
Полный справочник по действиям аудита Microsoft Entra доступен в справочнике по действиям аудита Microsoft Entra.
Условный доступ
В идентификаторе Microsoft Entra можно защитить доступ к ресурсам, настроив политики условного доступа. ИТ-администратору нужно убедиться, что политики условного доступа работают должным образом, чтобы гарантировать надежную защиту своих ресурсов. Мониторинг и оповещение об изменениях в службе условного доступа позволяет обеспечить правильное применение политик доступа к данным, определенных вашей организацией. Microsoft Entra регистрирует события, когда вносятся изменения в Условный доступ, и предоставляет рабочие книги, чтобы гарантировать, что ваши политики обеспечивают ожидаемое покрытие.
Ссылки на книги
Отслеживайте изменения политик условного доступа, используя следующие сведения:
| Что отслеживать | Уровень риска | Где | Фильтр и подфильтр | Примечания. |
|---|---|---|---|---|
| Новая политика условного доступа создана неутвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие. Добавление политики условного доступа Категория: политика Инициатор действия (субъект): основное имя пользователя |
Мониторинг и оповещение об изменениях условного доступа. Кем инициировано (действующее лицо): одобрено ли внесение изменений в условия доступа? Шаблон Microsoft Sentinel Sigma-правила |
| Политика условного доступа удалена неутвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие. Удаление политики условного доступа Категория: политика Инициатор действия (субъект): основное имя пользователя |
Мониторинг и оповещение об изменениях условного доступа. Кем инициировано (субъект): утверждено для внесения изменений в условный доступ? Шаблон Microsoft Sentinel Sigma-правила |
| Политика условного доступа обновлена неутвержденными субъектами | Средняя | Журналы аудита Microsoft Entra | Действие. Обновление политики условного доступа Категория: политика Инициатор действия (субъект): основное имя пользователя |
Мониторинг и оповещение об изменениях условного доступа. Кем инициировано (действующее лицо): одобрено ли внесение изменений в условия доступа? Просмотр измененных свойств и сравнение "старых" и "новых" значений Шаблон Microsoft Sentinel Sigma-правила |
| Удаление пользователя из группы, используемой для определения области критических политик условного доступа | Средняя | Журналы аудита Microsoft Entra | Действие: удаление участника из группы Категория: GroupManagement Целевой объект: имя субъекта-пользователя |
Мониторинг и оповещение для групп, используемых для определения области применения критически важных политик условного доступа. "Целевой объект"— это пользователь, который был удален. Sigma-правила |
| Добавление пользователя в группу, используемую для определения области критических политик условного доступа | Низкая | Журналы аудита Microsoft Entra | Действие: добавление участника в группу Категория: GroupManagement Целевой объект: имя основного пользователя |
Мониторинг и оповещение для групп, используемых для определения области применения критически важных политик условного доступа. "Целевой объект" — это добавленный пользователь. Sigma-правила |
Следующие шаги
Обзор операций безопасности Microsoft Entra
Операции безопасности для учетных записей пользователей
Операции безопасности для учетных записей потребителей
Операции безопасности для привилегированных учетных записей
Операции безопасности для управления привилегированными идентичностями