تحليل سجلات أمان Azure AD: مراقبة ورصد نشاط Azure AD. هل ترغب في تعزيز معرفتك باستخدام أمان Azure AD وسجلات المراقبة لمراقبة وتحليل أنشطة Azure AD؟يوضح هذا المقال كيفية استخدام كل سجل لمراقبة ومراجعة أنشطة المستخدمين في Azure AD.
يبدأ المقال باستكشاف 4 سجلات وشرح المعلومات التي تقدمها. ثم يناقش الشروط الترخيصية والأدوار الأساسية لاستخدام هذه السجلات.أخيرًا، هناك تعليمات خطوة بخطوة حول استخدام السجلات لمراقبة وتحليل أنشطة المستخدمين.
قراءة أيضًا: أفضل الممارسات لأمان Azure AD للعمل عن بعد
سجلات الأمان والمراقبة في Azure AD لمراقبة وتحليل الأنشطة
يوفر Azure Active Directory أربع سجلات تحتوي على بيانات متنوعة يحتاجها المؤسسات لمراقبة وتحليل أنشطة المستخدمين في النظام. يتضمن هذا سجلات تسجيل الدخول، وسجلات التدقيق، وسجلات الإعداد، وتقارير “الاستخدام والرؤى”.
فهم سجل تسجيل الدخول في Azure AD وتسجيل الدخول (معاينة)
سجلات تسجيل الدخول في Azure AD تعطي المؤسسات رؤى قوية حول كيفية دخول المستخدمين واستخدام التطبيقات والخدمات. هذا النوع من السجلات هو واحد من الثلاثة سجلات النشاط.
يحدد مسؤولو تكنولوجيا المعلومات أنماط تسجيل الدخول للمستخدمين من خلال المعلومات المسجلة في سجل التسجيل. علاوة على ذلك، يكشف هذا السجل عن عدد المستخدمين الذين قاموا بتسجيل الدخول في فترة معينة. كما يعرض حالة عمليات تسجيل الدخول.
اعتبارًا من يونيو 2023، أصدرت Microsoft نسخة معاينة تسمى “سجلات تسجيل الدخول (معاينة)”. بينما يسجل سجل تسجيل الدخول الكلاسيكي الأنشطة التفاعلية للمستخدمين، يتتبع المعاينة هذا و3 أنواع إضافية من عمليات تسجيل الدخول (المستخدمين غير التفاعليين، ومبادئ الخدمة، والهويات المدارة) لتسجيل الدخول إلى مورد Azure.
حسنًا ، يحدث تسجيل الدخول التفاعلي عندما يصل المستخدمون إلى Azure AD باستخدام اسم المستخدم وكلمة المرور أو المصادقة الثنائية. من ناحية أخرى، تسجيلات الدخول غير التفاعلية هي من التطبيقات التي تسجل الدخول نيابة عن المستخدم.
علاوة على ذلك، يقوم مبادئ الخدمة بتسجيل الدخول نيابة عنهم في حين أن سجلات تسجيل الدخول لـالهويات المدارة تسجل تسجيلات الدخول من التطبيقات التي تحتفظ بالأسرار بأمان في خزينة مفتاح Azure.
بعيدًا عن مكون “المستخدم”، تسجل سجلات تسجيل الدخول 3 مكونات أساسية عندما يصل المستخدمون أو التطبيقات إلى مورد Azure. العنصر الحاسم الأول هو “من“.
يظهر هذا السجل الهوية (المستخدم) الذي قام بتسجيل الدخول. يسجل السجل أيضًا “كيف“، مشيرًا إلى العميل أو التطبيق المستخدم لتسجيل الدخول.
أخيراً، تحصل أيضاً على ” ماذا“، والتي تسجل مورد الهوية المستهدف الذي تم الوصول إليه.
لذلك، كلما قمت بـ مراقبة ومراجعة أمان أزور إيه دي باستخدام سجلات تسجيل الدخول، ابحث عن “من” و “كيف” و “ماذا” المسجلة كـ “المستخدم” و “الموارد” و “التطبيق” أو “تطبيق العميل”.
اقرأ أيضاً استخدام أداة ضيوف InfraSOS لمراجعة وتدقيق أزور إيه دي
فهم سجلات مراجعة أزور أكتيف دايركتوري
سجل المراجعة هو سجل نشاط آخر في أزور إيه دي يساعد على مراقبة وتحليل إجراءات المستخدم. يسجل سجل المراجعة الإجراءات داخل الدليل.
على وجه التحديد، يسجل أزور إيه دي مراجعة السجلات التغييرات التي أجريت على المستخدمين، المجموعات، أو التطبيقات في الدليل. هذه سجلات الأنشطة مطلوبة غالباً لأغراض الامتثال.
عند مراقبة مؤسستك لسجلات مراجعة أزور إيه دي، قد تكشف عن خروقات أمنية أو مسائل امتثال تحتاج إلى إصلاح.
يتم تسجيل الموضوع الرئيسي للسجل المراجعي (المستخدم، المجموعة أو التطبيق) كـ “نوع الأنشطة”. بالإضافة إلى نوع الأنشطة، يتم تسجيل أيضًا “الفئة”، “الحالة” والشخص الذي بدأ هذه الأنشطة تسجيلًا “بدءت بواسطة (المفعول)”.
عندما يتم فتح سجل المراجعة، يوجد ثلاث لوحات: “الأنشطة”,”الهدف(الأشياء)” و “الخصائص المعدلة”.
في لوحة “الأنشطة” يظهر “نوع الأنشطة”، وهي تسجل ما إذا تم تغيير في مجموعة، مستخدم أو تطبيق. بالإضافة إلى ذلك، تسجل تلك الفتحة فئة سجل المراجعة وحالتها.
ويسجل أيضًا “بدءت بواسطة (المفعول)”، وهي تشمل معلومات المستخدم الذي أجرى التغييرات وعنوان الIP وتعريف معلومات المستخدم (UPN).
في لوحة “الهدف(الأشياء)” يسجل تفاصيل العنصر المعدل. إذا كان متاحًا، يسجل إسم العنصر، إسم العرض، معرفي العنصر وتعريف معلومات المستخدم (UPN).
وأخيرًا، يظهر لوحة “الخصائص المعدلة” الخصائص المعدلة للعنصر المعدل، بما في ذلك القيم القديمة والجديدة.
فهم سجلات توفير Azure Active Directory
يتكامل خدمة Active Directory من Azure مع تطبيقات الأطراف الثالثة التي تقوم بتوفير المستخدمين في الدليل. وتسجل أنشطتهم في سجلات التوفير لمساعدة مسؤولي تكنولوجيا المعلومات في تتبع التغييرات التي تقوم بها هذه التطبيقات أو حل المشكلات.
فيما يتعلق بالسجلات، تتتبع سجلات التوفير المعلومات مثل المستخدمين الذين تم إنشاؤهم بنجاح أو تعديلهم بواسطة خدمة الطرف الثالث مثل ServiceNow. بالإضافة إلى ذلك، تتتبع تغييرات المجموعات والخدمة التي قامت بالتغيير.
تساعد هذه السجلات في الحصول على معلومات حول الأمان والتدقيق والامتثال.
فهم تقارير “الاستخدام والرؤى” في Azure AD
تعتبر تقارير “الاستخدام والرؤى” مستودعًا مركزيًا حيث يسجل Azure AD أنشطة تسجيل الدخول لتطبيقات Microsoft 365 الأخرى. إنها المكان الوحيد حيث يمكن عرض أنشطة تسجيل الدخول.
تسجل الصفحة عمليات تسجيل الدخول الناجحة والفاشلة، وعدد كل منها، ومعدل النجاح. وليس فقط ذلك، بل إنها تعرض أيضًا رابطًا لعرض أنشطة تسجيل الدخول لكل تطبيق.
كما هو موضح في اللقطة أعلاه، توفر صفحة “الاستخدام والرؤى” معلومات حول التطبيقات الأكثر استخدامًا في منظمة ما، والتطبيقات ذات معدل نجاح تسجيل الدخول الأدنى، وأعلى أخطاء تسجيل الدخول.
بالنقر على رابط “عرض نشاط تسجيل الدخول” لتطبيق معين، يتم عرض أخطاء تسجيل الدخول. بالإضافة إلى ذلك، تعرض صفحة التفاصيل رموز الخطأ وحدوثاته، وتاريخ آخر حدوث للخطأ.
قبل المتابعة من “الاستخدام والرؤى”، أرغب في التأكيد على تقارير حرجة أخرى هنا. في وقت سابق، ذكرت أن سجلات تسجيل الدخول تتتبع تسجيلات الدخول الرئيسية للخدمة.
هذه المعلومات متاحة في “الاستخدام والرؤى” كـ “أنشطة تسجيل الدخول للكيانات الخدمية (معاينة)”. بالنقر على هذا، يتم عرض الكيانات الخدمية التي قامت Azure Active Directory بمصادقتها.
تشمل هذه التقرير اسم الكيان الخدمي، ووقت آخر تسجيل دخول له، ورابطًا لـ “عرض المزيد من التفاصيل”.
قبل أن نصل إلى ذلك، أود أن أشير إلى سجلات قيمة أخرى على صفحة “الاستخدام والرؤى”، بدءًا من “أنشطة طرق المصادقة”.
تسجيلات “أنشطة الطرق المصروفة للتحقق” الطرق المصروفة تستخدم بواسطة المستخدمين في المنظمة للتسجيل في Azure AD.
توفر الصفحة على 2 لوحات: التسجيل والاستخدام. اللوحة الأولي تسجل المستخدمين الذين تم تسجيلهم لطرق التحقق المتاحة.
من جهة أخرى، يشرح اللوحة الثانية كيف تم استخدام الطرق المصروفة.
أخر سجل الذي يحتاج في قوة الأداة هو “تقرير ‘أنشطة المعلومات التطبيقية (تجربة)'”. يوفر هذا التقرير على آخر تاريخ تم استخدام شهادة التطبيق.
بالإضافة إلى ذلك، يسجل هذا التقرير بالمعلومات التالية: معرفة التطبيق، نوع الشهادة، ورابط لمشاهدة تفاصيل السجل.
أقرأ أيضًا 使用 Office 365 用户报告
مراقبة وتحليل أنشطة Azure AD مع Azure AD أمن وسجلات المراقبة
في هذا القسم، قم بتسجيل دخولك إلى Azure Portal عبر portal.azure.com. ثم، ابحث عن وافق “Azure Active Directory.”
باستخدام سجلات الدخول لمراقبة وتحليل أنشطة المستخدمين.
للوصول إلى سجلات تسجيل الدخول، افتحها من قائمة المراقب في بوابة Azure Active Directory.
بعد فتح سجلات تسجيل الدخول إلى Azure AD، قم بتخصيص الأعمدة لتلبية احتياجاتك.
ثم، قم بالتحقق من الأعمدة التي تحتاجها في القائمة المنبثقة “الأعمدة” وقم بإلغاء تحديد تلك التي لا تحتاج إليها. نوصي بالتحقق من الأعمدة في لقطة الشاشة أدناه.
أضف عوامل تصفية إلى السجل بعد تعيين الأعمدة حسب تفضيلك لعرض المعلومات التي ترغب في تحليلها.
لإضافة عامل تصفية، انقر فوق “إضافة عوامل تصفية”، حدد عامل تصفية وانقر على تطبيق. كرر هذا لعدد العوامل التصفية التي تحتاجها.
بعد ذلك، انقر على عامل تصفية وأضف شرطًا. في لقطة الشاشة أدناه، قمت بتصفية سجلات تسجيل الدخول الخاصة بي لإرجاع فقط السجلات التي تحتوي على مستخدمين يحتوون على “فيكتور”.
قد قللت هذه العملية من عدد السجلات إلى ما أريد عرضه. اعتمادًا على ما نقوم بحله، نضيف عوامل تصفية إضافية.
يوفر فتح إدخال سجل تقارير مفصلة حوله. تكشف علامة “المعلومات الأساسية” عن معلومات حرجة حول عملية تسجيل الدخول، مثل التاريخ، “متطلبات المصادقة”، معلومات حول المستخدم، التطبيق الذي تم الوصول إليه، وأداة تشخيص تسجيل الدخول.
أداة تشخيص تسجيل الدخول تستخدم لإجراء استكشاف أعطال إضافي المتعلقة بعملية تسجيل الدخول والحصول على إجراءات موصى بها لإصلاح المشاكل.
إدخال السجل لديه علامات تبويب أخرى.
حسنًا، يسجل علامة التبويب “الموقع” الموقع وعنوان IP الذي حاول المستخدم المصادقة منه.
تسجل أيضًا علامة التبويب “معلومات الجهاز” نظام التشغيل الخاص بالمستخدم والمتصفح وما إذا كان الجهاز متوافقًا.
أخيرًا، استخدم معلومات في علامتي التبويب “الوصول الشرطي” و”الإبلاغ فقط” لعرض الوصول الشرطي وسياسات أخرى قد تكون قد تم تطبيقها أو لم يتم تطبيقها على عملية تسجيل الدخول.
استخدم سجلات تدقيق Azure AD لتحليل أنشطة المستخدم
لفتح سجل التدقيق، انقر عليه في قائمة Azure Active Directory.
ثم، اتبع الخطوات الموصوفة في القسم الأخير لتخصيص العمود حسب احتياجاتك.
بالمثل لسجلات تسجيل الدخول، تحتوي سجلات المراقبة على إمكانيات تصفية. لحسن الحظ، يضيف Microsoft شروط التصفية – الخدمة، النشاط، و الفئة – التي تحتاجها بشكل أساسي.
ومع ذلك، يوفر سجل المراقبة الخيار لإضافة تصفيات مخصصة. لإضافة تصفية، انقر فوق “إضافة تصفيات”، حدد تصفية وانقر فوق تطبيق.
بمجرد أن تقوم بإضافة تصفية، يتم عرضها، واستخدمها لتحديد النتائج المعروضة من قبل سجل المراقبة. في اللقطة أدناه، لقد قمت بتصفية السجل حسب التاريخ و البدء بالتنفيذ (الممثل).
الخطوة التالية هي التفصيل عن طريق النقر على إدخال. بمجرد فتح إدخال السجل، قم بمراجعة المعلومات في علامات النشاط، الهدف (الأهداف)، وعلامات “الخصائص المعدلة”.
اتبع الخطوات في الفصلين الفرعيين الأخيرين والمعلومات في الأقسام السابقة لتكوين، تحليل ومراقبة سجلات التوفير وتقارير “الاستخدام والرؤى”.
تحليل سجلات أمان Azure AD: مراقبة ورصد نشاط Azure AD – الاستنتاج
مراقبة وتحليل سجلات المراجعة هو بالفعل بناءً للتكيف بـ الحماية التعريفية في Azure، الوصول بشروط، وإدارة المستخدمين المميزين التعريفية، وأيضًا خصائص الأمانة الأخرى. عن طريق تحليل السجلات في قاعدة بيانات Azure Active Directory، يتمكن مسؤولون التكنولوجيا الشبكية من الكشف مستقبليًا عن وجود حالات الاختلالات الأمنية محتملة.
بحد ذاته، يمتلك Azure AD جميع السجلات التي يتطلبها هذا الهدف. ومن الخاص، يقدم للمنظمات سجلات الدخول، وسجلات الدخول (تجريبي)، وسجلات المراجعة.
بالإضافة إلى ذلك، يوفر هذا الأداة القوية لإدارة الهويات في السحابة مع سجلات التوفير وتقارير “الاستخدام والبيانات”.توفر هذه السجلات معلومات متنوعة لمساعدة في تحديد صحة الأمانة لبنية Azure AD.
ولمساعدة المنظمات في استخدام السجلات بشكل فعال، يوضح هذا المقال ما توفره السجلات في Azure AD وكيفية استخدامها لمراقبة وتحليل موقف Azure AD من الأمانة.
Source:
https://infrasos.com/analyze-azure-ad-security-logs-audit-monitor-azure-ad-activity/