Анализируйте журналы безопасности Azure AD: аудит и мониторинг деятельности Azure AD. Хотите улучшить свои знания в использовании безопасности Azure AD и журналов аудита для мониторинга и анализа действий в Azure AD?
Эта статья объясняет, как использовать каждый журнал для мониторинга и анализа действий пользователей в Azure AD.
Статья начинается с изучения четырех журналов и объяснения информации, которую они предоставляют. Затем она обсуждает требования к лицензированию и ролевые предпосылки для использования этих журналов.
Наконец, предоставлены пошаговые инструкции по использованию журналов для мониторинга и анализа действий пользователей.
Журналы безопасности и аудита Azure AD для мониторинга и анализа действийжурналы входа , журналы аудита , журналы обеспечения и отчеты о “использовании и аналитике”.
Azure Active Directory предоставляет четыре журнала с различными данными, которые организации должны отслеживать и анализировать деятельность пользователей в системе. Эти включают в себя журналы входа в систему, журналы аудита, журналы обеспечения и отчеты о “использовании и инсайтах”.
Понимание журналов входа в систему Azure AD и журналов входа в систему (предварительный просмотр)
Журналы входа в систему Azure AD предоставляют организациям мощные инсайты в то, как пользователи получают доступ и используют приложения и услуги. Этот тип журнала является одним из трех журналов действий.
IT-администраторы определяют шаблоны входа пользователей по информации, записанной в журнале входа. Кроме того, этот журнал раскрывает количество пользователей, которые вошли в систему за определенный период. Также он отображает статус входов в систему.
К июню 2023 года Microsoft выпустил предварительную версию под названием “журналы входа в систему (предварительный просмотр)”. В то время как классический журнал входа в систему записывает интерактивные действия пользователей, предварительный отслеживает это и 3 дополнительных типа входов в систему (неинтерактивные пользователи, служебные принципалы и управляемые идентичности) для входов в систему ресурсов Azure.
Хорошо, интерактивный вход в систему происходит, когда пользователи получают доступ к Azure AD с помощью имени пользователя и пароля или MFA. С другой стороны, неинтерактивные входы в систему происходят от приложений, которые входят от имени пользователя.
Кроме того, служебные принципалы входят от их имени, в то время как управляемые идентификаторы записывают входы в систему от приложений с секретами, безопасно хранящимися в Azure Key Vault.
Помимо компонента “пользователь”, журналы входа в систему записывают 3 основных компонента при доступе пользователей или приложений к ресурсу Azure. Первый критический элемент – “кто”.
Эта запись показывает личность (пользователя), который вошел в систему. Журнал также записывает “как”, указывая клиент или приложение, использованное для входа в систему.
В конце концов, у тебя также есть “что“, который записывает целевую ресурс, доступенный Identity.
Таким образом, каждый раз, когда ты наблюдаешь и аудитируешь активность безопасности Azure AD с помощью журналов входа, учитывай “кто”, “как” и “что”, записанные как “пользователь”, “ресурс” и “приложение” или “клиентское приложение”.
Общее понимание журналов аудита Azure Active Directory
Журнал аудита – это другой журнал активности Azure AD, который помогает наблюдать и анализировать действия пользователей. Журнал аудита записывает действия внутри каталога.
Конкретно, журналы аудита Azure AD записывают изменения, сделанные в пользователей, групп или приложений каталога. Эти журналы активности обычно требуются для соблюдения политик.
Когда организации наблюдают за журналами аудита Azure AD, это может揭示安全 уязвимости или проблемы с соблюдением, которые требуют исправления.
Данные о теме журнала аудита (пользователь, группа или приложение) записываются как “Тип деятельности”. Кроме типа деятельности, также записывается “Категория”, “Статус” и лиц, который инициировал деятельность, записанный как “Инициирован przez (актор)”.
Когда открывается журнал аудита, у него есть три вкладки: “Деятельность”, “Цель(и)” и “Измененные свойства”.
Вкладка “Деятельность” отображает “Тип деятельности”, записывая, был ли изменен группа, пользователь или приложение. Кроме того, вкладка записывает категорию журнала и его статус.
Также записывается информация “Инициирован przez (актор)”, которая включает имя пользователя, которое сделало изменения, IP-адрес и UPN пользователя.
Вкладка “Цель(и)” записывает детали измененного объекта. Если доступно, записывается имя объекта, отображаемое имя, идентификатор и UPN объекта.
В конце концов, на вкладке “Измененные свойства” отображаются свойства измененного объекта, включая старые и новые значения.
разбор журналов учета Azure Active Directory учета
Azure Active Directory интегрируется с третьими стороными приложениями, которые предоставляют пользователей в каталоге. Оно записывает их деятельность в журналы предоставления для IT-администраторов, чтобы исправить или отследить изменения, которые эти приложения производят.
Что касается записей, журналы предоставления отслеживают информацию о пользователях, успешно созданных или измененных третьей стороной службой, такой как ServiceNow. Кроме того, он отслеживает изменения групп и которая служба сделала эту запись.
Эти записи помогают с информацией о безопасности , аудитом и соблюдением норм .
Понимание отчетов Azure AD “Usage and insights” (Использование и информация)
“Отчеты по использованию и инсайтам” являются центральным хранением, где Azure AD записывает активность входа в другие приложения Microsoft 365. Это единственное место, где можно просмотреть активность входа.
На странице записываются успешные и неудачные входы, количество каждого и уровень успешности. Кроме того, здесь также показывается ссылка для просмотра активности входа для каждого приложения.
Как показано на скриншоте выше, страница “отчеты по использованию и инсайтам” предоставляет информацию о наиболее используемых приложениях в организации, приложениях с самым низким уровнем успешности входа и основных ошибок входа.
Кликнув на ссылку “просмотр активности входа” для приложения, можно увидеть ошибки входа. Кроме того, на странице деталей отображаются коды ошибок, их встречаемость и дата последнего возникновения ошибки.
перед тем, как перейти от “использование & инсайты”, я хочу выделить другие критические отчеты здесь. ранее я упомянул, что журналы входов отслеживают активность входа сервисных представителей.
Эта информация доступна в “отчетах по использованию и инсайтам” как “активность входа сервисных представителей (Пробный режим)”. Кликнув на это, отображаются сервисные представители, которые Azure Active Directory идентифицировала.
В этом отчете указан имя сервисного представителя, последний раз, когда оно входило, и ссылка “подробнее”.
прежде чем перейти к этому, я хочу упомянуть другие ценные журналы на странице “отчеты по использованию и инсайтам”, начиная с “активности методов аутентификации”.
Записи “Методы аутентификации” отслеживают методы аутентификации, используемые пользователями в организации для регистрации в Azure AD.
На странице есть 2 вкладки: Регистрация и Использование. Вкладка Регистрация отображает пользователей, зарегистрировавшихся для доступных методов аутентификации.
С другой стороны, вкладка Использование содержит информацию о том, как использовались методы аутентификации.
Последний журнал, который вам нужен в вашем арсенале, – это отчет “Активность учетных данных приложения (предварительная версия)”. Этот отчет предоставляет последнюю дату использования учетных данных приложения.
Кроме того, этот отчет регистрирует идентификатор приложения, тип сертификата и ссылку для просмотра сведений о записи.
Также читайте Использование отчетов о пользователях Office 365
Отслеживание и анализ деятельности Azure AD с помощью журналов безопасности и аудита Azure AD
В этом разделе войдите в портал Azure через portal.azure.com. Затем найдите и откройте “Azure Active Directory”.
Использование журналов входа для отслеживания и анализа действий пользователей
Для доступа к журналам входа откройте их в меню Монитор портала Azure Active Directory.
После открытия журналов входа Azure AD настройте столбцы в соответствии с вашими потребностями.
Затем установите флажки у необходимых столбцов на всплывающей панели “Столбцы” и снимите флажки с ненужных. Мы рекомендуем отметить столбцы, указанные на скриншоте ниже.
Добавьте фильтры к журналу после настройки столбцов в соответствии с вашими предпочтениями, чтобы отобразить информацию, которую вы хотите проанализировать.
Чтобы добавить фильтр, нажмите “Добавить фильтры”, выберите фильтр и нажмите “Применить”. Повторите это для всех необходимых фильтров.
Затем щелкните по фильтру и добавьте условие. На скриншоте ниже я отфильтровал журналы входа, чтобы отображались только журналы с пользователями, содержащими “виктор”.
Это фильтрация уменьшила количество журналов до нужного для просмотра. В зависимости от того, что мы отлаживаем, мы добавляем дополнительные фильтры.
Открытие записи журнала предоставляет подробные отчеты об этом. Вкладка “Основная информация” содержит важную информацию о входе, такую как дата, “Требование аутентификации”, информацию о пользователе, использованное приложение и инструмент диагностики входа.
Инструмент диагностики входа используется для выполнения дополнительной отладки входа и получения рекомендуемых действий для устранения проблем.
В журнале есть другие вкладки.
Ну, вкладка “Местоположение” записывает местоположение и IP-адрес, с которого пользователь пытался выполнить аутентификацию.
Вкладка “Информация об устройстве” также записывает операционную систему пользователя, браузер и соблюдается ли устройство требованиями.
Наконец, используйте информацию во вкладках “Условный доступ” и “Только для отчета”, чтобы просмотреть условный доступ и другие политики, которые могли или не могли быть применены к входу.
Используя журналы аудита Azure AD для анализа действий пользователей
Чтобы открыть журнал аудита, щелкните его в меню Azure Active Directory.
Затем следуйте описанным в последнем подразделе шагам для настройки столбцов по своим потребностям.
Подобно журналам входа в систему, журналам аудита присущи возможности фильтрации. К счастью, Microsoft добавляет наиболее необходимые условия фильтрации – Служба, Деятельность и Категория.
Однако журнал аудита предоставляет возможность добавления пользовательских фильтров. Чтобы добавить фильтр, щелкните “Добавить фильтры”, выберите фильтр и нажмите Применить.
После добавления фильтра он отображается и используется для определения результатов, отображаемых в журнале аудита. На скриншоте ниже я отфильтровал журнал по Дата и Инициировано (актор).
Следующим шагом является углубление, нажав на запись. После открытия записи журнала ознакомьтесь с информацией на вкладках “Деятельность”, “Цель(и)” и “Измененные свойства”.
Следуйте инструкциям в последних двух подразделах и информации из предыдущих разделов для настройки, анализа и мониторинга журналов предоставления и отчетов “Использование и аналитика”.
Анализ журналов безопасности Azure AD: Аудит и мониторинг деятельности Azure AD. Вывод
Мониторинг и анализ журналов аудита так же важны, как настройка Azure Защиты идентичности, Условного доступа, Привилегированного управления идентичностью и других функций безопасности. Анализируя журналы в службе Azure Active Directory, IT-администраторы проактивно обнаруживают и минимизируют потенциальные инциденты безопасности.
К счастью, Azure AD имеет все необходимые журналы для достижения этой цели. Конкретно, он предлагает организациям журналы входа, журналы входа (предварительный просмотр) и аудита.
Кроме того, этот мощный инструмент управления идентичностью в облаке также включает журналы провиженинга и отчеты “использование и аналитика”. Эти журналы предоставляют различные данные для помощи в определении уровня безопасности инфраструктуры Azure AD.
Для помощи организациям эффективно использовать журналы, в этой статье объясняется информация, которую предоставляют журналы Azure AD, и как использовать их для мониторинга и анализа уровня безопасности Azure AD
Source:
https://infrasos.com/analyze-azure-ad-security-logs-audit-monitor-azure-ad-activity/