Отслеживание и расследование видов активности, связанных с удостоверением, через связующие идентификаторы в Microsoft Entra

Майкрософт внедряет определенные идентификаторы во все маркеры доступа, которые позволяют корреляции действий обратно с одним корневым событием проверки подлинности. Эти связываемые идентификаторы отображаются в журналах, доступных клиентам, для поддержки охотников за угрозами и аналитиков безопасности в расследовании и предотвращении атак, основанных на удостоверениях. Используя эти идентификаторы, специалисты по безопасности могут более эффективно отслеживать, анализировать и реагировать на вредоносные действия в сеансах и маркерах, повышая прозрачность и безопасность среды.

Типы ссылочных идентификаторов

Существует два типа идентификаторов, которые можно связать, используемых для поддержки расширенного исследования личности и сценариев охоты на угрозы: идентификаторы на основе сеанса и уникальные идентификаторы маркеров.

Идентификаторы на основе сеансового ID

Идентификатор на основе идентификатора сеанса (идентификатор на основе SID) обеспечивает корреляцию всех артефактов проверки подлинности, таких как маркер доступа (AT),маркер обновления (RT) и файлы cookie сеанса, выданные одним корневым событием проверки подлинности. Этот идентификатор особенно полезен для отслеживания действий в сеансе.

Распространенные сценарии расследования на основе SID включают:

• Свяжите деятельность между службами: Начните с идентификатора сеанса из журналов входа Microsoft Entra. Присоединяйте его к журналам рабочей нагрузки, например журналам аудита Exchange Online или журналам действий Microsoft Graph. Затем можно определить все действия, выполняемые маркерами доступа, которые используют один и тот же идентификатор сеанса.
• Фильтрация по пользователю или устройству: узкие результаты с помощью UserId или DeviceId или маркеров фильтрации, выданных в течение определенного периода времени сеанса.
• Перечисление сеансов. Определение количества активных сеансов для определенного пользователя (UserId) или устройства (DeviceId).
• Связь между артефактами проверки подлинности: требование SID создается во время интерактивной проверки подлинности и включается в основной маркер обновления (PRT), маркер обновления или сеансовый файл cookie. Все маркеры доступа, выданные этими источниками, наследуют один и тот же идентификатор безопасности, что позволяет обеспечить согласованную связь между артефактами проверки подлинности.

Уникальные идентификаторы токенов

Уникальный идентификатор токена (UTI) — это глобально уникальный идентификатор (GUID), внедренный в каждый токен доступа Microsoft Entra (AT) или ID-токен. Он однозначно идентифицирует каждый маркер или запрос, обеспечивая точное отслеживание.

Распространенный сценарий исследования на основе UTI — трассировка действий на уровне маркеров. Начните с UTI из журналов входа Microsoft Entra и сопоставляйте их с журналами рабочей нагрузки, такими как журналы аудита Exchange Online или журналы действий Microsoft Graph, чтобы отслеживать все действия, выполняемые определенным маркером доступа.

UTI является уникальным для каждого токена доступа и сеанса, что делает его идеальным для выявления подозрительных или скомпрометированных токенов во время расследований.

Утверждения связываемого идентификатора

В этой таблице описываются все утверждения идентификатора, доступные для ссылок, в токенах Entra.

Доступность логов для компонуемых идентификаторов

В настоящее время связываемые идентификаторы записываются в следующих источниках логов:

• журналы входа Microsoft Entra
• журналы аудита Microsoft Exchange Online
• журналы действий Microsoft Graph
• журналы аудита Microsoft Office SharePoint Online
• журналы аудита Microsoft Teams

Эти журналы позволяют аналитикам безопасности сопоставлять события проверки подлинности и использование маркеров между службами, поддерживая комплексные исследования угроз, связанных с удостоверениями.

Связываемые идентификаторы в журналах входа в Microsoft Entra

Все записи журнала входа содержат связные утверждения идентификаторов. В следующей таблице показано сопоставление утверждений идентификатора, доступных для связывания, и атрибутов журнала входа Entra.

Чтобы просмотреть журналы входа из Центр администрирования Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами Читатель отчетов.
2. Перейдите к Microsoft Entra ID>Мониторинг и здоровье>Sign-in logs.
3. Фильтруйте по времени или по определенному пользователю, чтобы просмотреть определенные записи журнала.
4. Выберите любую запись журнала входа.
5. Основные сведения содержат идентификатор пользователя, идентификатор клиента ресурса, идентификатор сеанса, уникальный идентификатор маркера и дату. Устройства отображают идентификатор устройства для зарегистрированных и присоединенных к домену устройств.

Начните с атрибута идентификатора пользователя в журналах входа в Microsoft Entra, а затем выполните поиск журналов аудита рабочей нагрузки, чтобы отслеживать все действия с помощью определенного маркера доступа. Аналогичным образом используйте атрибут идентификатора сеанса для поиска журналов аудита рабочей нагрузки и отслеживания всех действий в сеансе.

Связываемые идентификаторы в журналах Microsoft Exchange Online

Exchange Online журналы аудита обеспечивают видимость критически важных действий пользователей и поддержку подробных исследований путем записи подробных событий аудита. Эти журналы включают связываемые идентификаторы, перенесенные из токенов Microsoft Entra, что позволяет осуществлять корреляцию между артефактами аутентификации и рабочими нагрузками.

Поддерживаемые сценарии исследования

В таких сценариях, как обновления почтовых ящиков, перемещение элементов или удаление, можно:

• Начните с связываемых идентификаторов из журналов входа Microsoft Entra, таких как идентификатор сеанса (SID) или уникальный идентификатор токена (UTI).
• Используйте эти идентификаторы для поиска журналов Аудит Microsoft Purview (Standard) или Audit (Premium).
• Отслеживайте все действия пользователя, выполняемые на элементах почтового ящика во время определенного сеанса или по определенному маркеру.

Этот подход позволяет аналитикам безопасности отслеживать действия между службами и выявлять потенциальное неправильное использование или компрометацию.

Подробные инструкции по поиску в журналах аудита Exchange Online см. в разделе Поиск в журнале аудита.

В этой таблице показано сопоставление связанных утверждений идентификаторов и атрибута журнала аудита Exchange Online.

Просмотр журналов Exchange Online с помощью Портал Microsoft Purview

1. Перейдите к Портал Microsoft Purview.

2. Найдите журналы с определенным временем и типами записей, начиная с Exchange.

   

3. Вы можете дополнительно отфильтровать данные для конкретного пользователя или значение UTI в журналах входа Microsoft Entra. Вы можете отфильтровать все логи действий в сеансе с помощью SessionId.

4. В результатах отображаются все связываемые идентификаторы.

   

   

5. Экспортируйте записи аудита и проанализируйте конкретные SessionId или UniqueTokenId для всех действий в Exchange Online.

Просмотр журналов Exchange Online с помощью командлетов PowerShell

1. Запустите PowerShell с правами администратора.

2. Если модуль ExchangeOnlineManagement не установлен, выполните следующую команду:

   Install-Module -Name ExchangeOnlineManagement
   

3. Подключитесь к Exchange Online:

   Connect-ExchangeOnline -UserPrincipalName <user@4jkvzv.onmicrosoft.com>
   

4. Выполните некоторые команды почтового ящика:

   Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 97MB
   

   Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 98MB
   

   Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 99MB
   

5. Выполните поиск по единому журналу аудита:

   Search-UnifiedAuditLog -StartDate 01/06/2025 -EndDate 01/08/2025 -RecordType ExchangeItem, ExchangeAdmin, ExchangeAggregatedOperation, ExchangeItemAggregated, ExchangeItemGroup, ExchangeSearch
   

6. Результаты содержат все связываемые идентификаторы.

Дополнительные сведения см. в разделе Exchange Online PowerShell.

Связываемые идентификаторы в журналах действий Microsoft Graph

Microsoft Graph журналы действий предоставляют журналы аудита всех http-запросов, полученных и обработанных службой Microsoft Graph для клиента. Эти журналы хранятся в рабочей области Log Analytics, что позволяет выполнять расширенный анализ и исследование.

Если настроить отправку журналов действий Microsoft Graph в рабочую область Log Analytics, вы можете запросить их с помощью языка запросов Kusto Query Language. Это позволяет выполнять подробные исследования поведения пользователей и приложений в службах Microsoft 365.

Сценарии исследования с использованием связываемых идентификаторов

Для сценариев, связанных с активностью Microsoft Graph, можно:

• Начните с идентификаторов, доступных для связывания, из журналов входа Microsoft Entra, таких как SID или UTI.
• Используйте эти идентификаторы для сопоставления и трассировки действий пользователей в Microsoft Graph журналах действий.
• Отслеживайте все операции, выполняемые с элементами почтового ящика или другими ресурсами с помощью конкретного маркера или сеанса, см. журналы действий Microsoft Graph.

Эта таблица демонстрирует соответствие между привязываемыми утверждениями идентификаторов и атрибутами журнала действий Microsoft Graph.

Сопоставление журналов входа и действий Microsoft Graph с использованием KQL

Язык запросов Kusto (KQL) можно использовать для присоединения к журналам входа Microsoft Entra и журналам действий Microsoft Graph для сценариев расширенного исследования.

Фильтрация по связываемым идентификаторам

• Фильтрация по uti: используйте атрибут uti для анализа всех действий, связанных с определенным маркером доступа. Это полезно для трассировки поведения одного токена в разных службах.
• Фильтрация по sid (идентификатор сеанса): Используйте утверждение с идентификатором sid для анализа всех действий, выполняемых токенами доступа, выданными из токена обновления, созданного из корневой интерактивной аутентификации. Это позволяет отслеживать полный жизненный цикл сеанса.
• Дополнительная фильтрация. Вы можете дополнительно уточнить запросы с помощью таких атрибутов, как UserId, DeviceId и фильтры на основе времени, чтобы сузить область исследования.

Эти возможности позволяют аналитикам безопасности сопоставлять события проверки подлинности с действиями рабочей нагрузки, повышая видимость и реагирование на угрозы, связанные с удостоверениями.

MicrosoftGraphActivityLogs
| where TimeGenerated > ago(4d) and UserId == '4624cd8c-6c94-4593-b0d8-a4983d797ccb'
| join kind=leftouter (union
SigninLogs,
AADNonInteractiveUserSignInLogs,
AADServicePrincipalSignInLogs,
AADManagedIdentitySignInLogs,
ADFSSignInLogs
| where TimeGenerated > ago(4d))
on $left.SignInActivityId == $right.UniqueTokenIdentifier

Дополнительные сведения о запросах в рабочей области Log Analytics см. в разделе Анализ журналов активности Microsoft Entra с помощью Log Analytics.

Пример сценария: отслеживание действий пользователей в Exchange Online и Microsoft Graph

В этом примере показано, как отслеживать действия пользователя в службах Microsoft 365 с помощью связываемых идентификаторов и журналов аудита.

Обзор сценария

Пользователь выполняет следующую последовательность действий:

1. Войдите в Office.com Пользователь инициирует интерактивную проверку подлинности, создав корневой маркер. Этот маркер включает компонованные идентификаторы, такие как идентификатор сеанса (SID) и уникальный идентификатор маркера (UTI), которые распространяются на последующие маркеры.

2. Пользователь обращается к Microsoft Graph. Пользователь взаимодействует с API-интерфейсами Microsoft Graph для получения или изменения данных организации. Каждый запрос регистрируется в журналах действий Microsoft Graph с соответствующим идентификатором безопасности (SID) и UTI, что позволяет коррелировать с исходным событием входа в систему.

3. Использует Exchange Online (Outlook) Пользователь открывает Outlook через Exchange Online и выполняет операции почтовых ящиков, такие как чтение, перемещение или удаление сообщений электронной почты. Эти действия фиксируются в Exchange Online журналах аудита, которые также включают те же идентификаторы, которые можно связать.

Используя идентификатор сеанса, аналитики могут отслеживать все действия во всех службах, из той же сессии. Кроме того, UTI можно использовать для определения действий, связанных с определенным маркером доступа.

1. Найдите интерактивную строку журнала логина в журналах входа и запишите SessionId:

   

2. Добавьте фильтр по SessionId. Вы можете получить SessionId для интерактивных или неинтерактивных авторизаций.

   Интерактивные входы:

   

   Неинтерактивные входы:

   

3. Чтобы получить все действия, выполненные пользователем с нагрузкой Microsoft Graph в рамках этой сессии, перейдите в раздел Log Analytics в центре администрирования Microsoft Entra и запустите запрос на объединение журналов входа Microsoft Entra и журналов активности Microsoft Graph. Следующий запрос фильтрует по UserId и SessionId.

   

   Чтобы узнать больше о доступе по конкретному запросу, можно выполнить дополнительную фильтрацию по атрибуту SignInActivityId (атрибут uti).

4. Чтобы получить информацию о действиях Exchange Online, откройте портал Microsoft Purview и выполните поиск по пользователям или типам записей.

   

5. Экспорт данных.

   

6. Запись журнала содержит все связываемые идентификаторы. Вы можете выполнять поиск UniqueTokenId по каждому уникальному действию и выполнять поиск AADSessionId по всем действиям в сеансе.

   

Связываемые идентификаторы в журналах аудита Microsoft Office SharePoint Online

Microsoft Office SharePoint Online журналы аудита предоставляют полный журнал аудита всех запросов, обработанных службой SharePoint Online для клиента. Эти журналы фиксируют широкий спектр действий пользователей, включая операции создания файлов и папок, обновления, удаления и изменения списка. Чтобы получить подробный обзор ведения журналов аудита в SharePoint Online, см. раздел Журналы аудита SharePoint Online.

Сценарии исследования с использованием связываемых идентификаторов

В сценариях, связанных с действием SharePoint Online, можно:

• Начните с идентификаторов, доступных для связывания, из журналов входа Microsoft Entra, таких как SID или UTI.
• Используйте эти идентификаторы для поиска в журналах Аудит Microsoft Purview (стандартный) или Audit (Премиум).
• Отслеживайте все действия пользователя, выполняемые в SharePoint Online во время определенного сеанса или по определенному токену.

Этот подход позволяет аналитикам безопасности сопоставлять события проверки подлинности с действиями SharePoint, поддерживая эффективное исследование и реагирование на потенциальные угрозы.

Руководство по поиску журналов аудита SharePoint Online см. в статье Search the audit log | Майкрософт Learn.

В следующей таблице показано сопоставление идентификаторов и атрибутов журнала аудита Microsoft Office SharePoint Online.

Просмотр журналов аудита Microsoft Office SharePoint Online с помощью Портал Microsoft Purview

1. Перейдите к Портал Microsoft Purview.

2. Выполните поиск журналов с определенным временем и рабочей нагрузкой как Microsoft Office SharePoint Online.

   

3. Для фильтрации по типам записей поддерживаемые типы записей можно найти по элементам, начиная с SharePoint.

   

4. Вы можете дополнительно отфильтровать данные для конкретного пользователя или значение UTI в журналах входа Microsoft Entra. Вы можете отфильтровать все логи действий в сеансе с помощью AADSessionId.

5. Результаты поиска аудита покажут все строки журнала активности SharePoint Online.

   

6. Каждый элемент журнала отображает все идентификаторы, доступные для связывания.

   

7. Экспортируйте журнал аудита и изучите конкретные AADSessionId или UniqueTokenId для всех действий для Microsoft Office SharePoint Online.

Связываемые идентификаторы в журналах аудита Microsoft Teams

Microsoft Teams журналы аудита записывают подробную запись всех запросов, обработанных службой Teams для клиента. Проверенные действия включают создание и удаление команды, добавление каналов и удаление, а также изменения параметров канала.

Полный список проверенных действий Teams см. в разделе "Действия Teams" в журнале аудита. Дополнительные сведения о журналах аудита Teams см. по ссылке. Дополнительные сведения о поиске журналов аудита Teams см. в разделе "Поиск журнала аудита".

Сценарии исследования с использованием связываемых идентификаторов

Чтобы исследовать действия Teams, следуйте этим шагам:

• Начните с идентификаторов, доступных для связывания, из журналов входа Microsoft Entra, таких как SID или UTI.
• Используйте эти идентификаторы для поиска в журналах Аудит Microsoft Purview (стандартный) или Audit (Премиум).
• Отслеживайте действия пользователей в сеансах Teams, включая операции команды и канала.

В следующей таблице показано соответствие утверждений связываемых идентификаторов и атрибутов журнала аудита Teams.

Исследование неправильного использования токенов в Microsoft Teams и SharePoint Online

В случае инцидента безопасности, когда маркер доступа скомпрометирован (например, через фишинг) и впоследствии используется вредоносным субъектом, администраторы клиентов должны принять немедленные меры, чтобы содержать угрозу и исследовать его влияние.

После отзыва всех активных сеансов и маркеров пользователей администраторы могут начать судебное расследование, чтобы определить область несанкционированного действия. В частности, им может потребоваться определить действия, выполняемые злоумышленником в Microsoft Teams и SharePoint Online в течение затронутых периодов времени.

Используя связанные идентификаторы, такие как идентификатор сеанса (SID) и уникальный идентификатор маркера (UTI) из журналов входа в Microsoft Entra, администраторы могут сопоставлять и отслеживать действия в журналах Аудит Microsoft Purview (стандартная) и аудит (Премиум). Это позволяет получить доступ к информации о:

Действия, связанные с Teams, такие как создание команды или канала, удаление или изменение конфигурации. Операции в SharePoint Online, включая доступ к файлам, их создание, изменение или удаление.

1. Начните с журналов входа Microsoft Entra, чтобы найти идентификатор сеанса этого токена доступа, отфильтровав по времени, когда токен был украден посредством фишинга, и по идентификатору объекта пользователя.

   

2. Определите связываемые идентификаторы из журналов входа Microsoft Entra, таких как SID или UTI, чтобы использовать их в качестве фильтра в журналах аудита Teams и SharePoint Online.

3. На портале Purview найдите журналы с определенным временем для рабочих нагрузок, таких как Teams и SharePoint Online, а также для конкретного пользователя.

   

4. Поиск возвращает все записи журнала аудита в течение этого периода времени, отфильтрованные в зависимости от пользователя и таких рабочих нагрузок, как Teams и SharePoint Online.

   

5. Администратор может просмотреть полный журнал аудита, показывающий, что злоумышленник добавил пользователей в канал Teams, опубликовал фишинговое сообщение и удалил файлы из SharePoint.

6. Каждый элемент журнала можно открыть для получения подробных сведений о связываемых идентификаторах. В следующем примере показан пользователь, публикующий сообщение.

   

7. В следующем примере показан скачивание файла из SharePoint Online.

   

8. Экспортируйте журнал аудита и исследуйте конкретный SessionId или UniqueTokenId для определенных действий. На следующем рисунке показаны все операции, выполняемые злоумышленником.

   

Анализируя файлы журнала с соответствующими идентификаторами, администраторы арендаторов и специалисты по безопасности могут эффективно отслеживать, анализировать и реагировать на вредоносные действия, происходящие в рамках сессий и токенов.

Связанный контент

• Microsoft Entra журналы входа
• Журналы аудита Teams
• журналы аудита SharePoint Online
• журналы действий Microsoft Graph