Kurz: Konfigurace analýzy zabezpečení pro data Azure Active Directory B2C pomocí Služby Microsoft Sentinel

  • Článek

Zvyšte zabezpečení prostředí Azure Active Directory B2C (Azure AD B2C) směrováním protokolů a informací o auditu do služby Microsoft Sentinel. Škálovatelná služba Microsoft Sentinel je řešení pro správu informací o zabezpečení a událostí (SIEM) nativní pro cloud a řešení pro orchestraci, automatizaci a reakci zabezpečení (SOAR). Řešení použijte pro detekci výstrah, viditelnost hrozeb, proaktivní proaktivní proaktivní vyhledávání a reakci na hrozby pro Azure AD B2C.

Další informace:

Další použití služby Microsoft Sentinel s Azure AD B2C:

  • Detekce dříve nezjištěných hrozeb a minimalizace falešně pozitivních výsledků pomocí funkcí analýzy hrozeb a analýzy hrozeb
  • Zkoumání hrozeb pomocí umělé inteligence (AI)
    • Vyhledávání podezřelých aktivit ve velkém měřítku a využití zkušeností z let práce microsoftu na kybernetické bezpečnosti
  • Rychlá reakce na incidenty pomocí běžné orchestrace a automatizace úloh
  • Splnění požadavků vaší organizace na zabezpečení a dodržování předpisů

V tomto kurzu získáte informace o těchto tématech:

  • Přenos protokolů Azure AD B2C do pracovního prostoru služby Log Analytics
  • Povolení Služby Microsoft Sentinel v pracovním prostoru služby Log Analytics
  • Vytvoření ukázkového pravidla ve službě Microsoft Sentinel pro aktivaci incidentu
  • Konfigurace automatizované odpovědi

Konfigurace Azure AD B2C s využitím Služby Azure Monitor Log Analytics

Pokud chcete definovat, kam se odesílají protokoly a metriky pro prostředek,

  1. Povolte nastavení diagnostiky v Microsoft Entra ID ve vašem tenantovi Azure AD B2C.
  2. Nakonfigurujte Azure AD B2C tak, aby odesílala protokoly do Azure Monitoru.

Další informace najdete v tématu Monitorování Azure AD B2C pomocí Azure Monitoru.

Nasazení instance služby Microsoft Sentinel

Jakmile nakonfigurujete instanci Azure AD B2C tak, aby odesílala protokoly do Služby Azure Monitor, povolte instanci Služby Microsoft Sentinel.

Důležité

Pokud chcete povolit Službu Microsoft Sentinel, získejte oprávnění přispěvatele k předplatnému, ve kterém se nachází pracovní prostor služby Microsoft Sentinel. Pokud chcete použít Microsoft Sentinel, použijte oprávnění Přispěvatel nebo Čtenář ve skupině prostředků, do které pracovní prostor patří.

  1. Přihlaste se k webu Azure Portal.

  2. Vyberte předplatné, ve kterém se pracovní prostor služby Log Analytics vytvořil.

  3. Vyhledejte a vyberte Microsoft Sentinel.

    Snímek obrazovky se službou Azure Sentinel zadanou do vyhledávacího pole a možností Azure Sentinel, která se zobrazí

  4. Vyberte Přidat.

  5. V poli Hledat pracovní prostory vyberte nový pracovní prostor.

    Snímek obrazovky s polem Prohledat pracovní prostory v části Zvolte pracovní prostor, který chcete přidat do Služby Azure Sentinel

  6. Vyberte Přidat Microsoft Sentinel.

    Poznámka

    Microsoft Sentinel je možné spustit ve více než jednom pracovním prostoru, ale data jsou izolovaná v jednom pracovním prostoru.
    Viz Rychlý start: Onboarding Microsoft Sentinelu.

Vytvoření pravidla služby Microsoft Sentinel

Jakmile povolíte Službu Microsoft Sentinel, dostanete oznámení, když se ve vašem tenantovi Azure AD B2C stane něco podezřelého.

Můžete vytvořit vlastní analytická pravidla pro zjišťování hrozeb a neobvyklého chování ve vašem prostředí. Tato pravidla vyhledávají konkrétní události nebo sady událostí a upozorní vás, když jsou splněné prahové hodnoty nebo podmínky události. Pak se vygenerují incidenty pro šetření.

Viz Vytvoření vlastních analytických pravidel pro detekci hrozeb.

Poznámka

Microsoft Sentinel obsahuje šablony pro vytváření pravidel detekce hrozeb, která vyhledávají podezřelou aktivitu v datech. Pro účely tohoto kurzu vytvoříte pravidlo.

Pravidlo oznámení pro neúspěšný vynucený přístup

Pomocí následujícího postupu obdržíte oznámení o dvou nebo více neúspěšných pokusech o vynucený přístup do vašeho prostředí. Příkladem je útok hrubou silou.

  1. V microsoft sentinelu v nabídce vlevo vyberte Analýza.

  2. Na horním panelu vyberte + Vytvořit>naplánované pravidlo dotazu.

    Snímek obrazovky s možností Vytvořit v části Analýza

  3. V průvodci Analytickým pravidlem přejděte na Obecné.

  4. Do pole Název zadejte název neúspěšných přihlášení.

  5. V části Popis označte, že pravidlo do 60 sekund upozorní na dvě nebo více neúspěšných přihlášení.

  6. V části Taktika vyberte kategorii. Vyberte například PreAttack.For example, select PreAttack.

  7. V části Závažnost vyberte úroveň závažnosti.

  8. Stav je ve výchozím nastavení Povoleno . Pokud chcete změnit pravidlo, přejděte na kartu Aktivní pravidla .

    Snímek obrazovky vytvoření nového pravidla s možnostmi a výběry

  9. Vyberte kartu Nastavit logiku pravidla .

  10. Do pole Dotazu pravidla zadejte dotaz. Příklad dotazu uspořádá přihlášení podle UserPrincipalName.

    Snímek obrazovky s textem dotazu v poli Dotazu pravidla v části Nastavit logiku pravidla

  11. Přejděte na Plánování dotazů.

  12. Jako Spustit dotaz po zadejte 5 a Minuty.

  13. Jako Vyhledávací data od posledního zadejte 5 a Minuty.

  14. V části Generovat upozornění při počtu výsledků dotazu vyberte Je větší než a 0.

  15. V části Seskupování událostí vyberte Seskupovat všechny události do jednoho upozornění.

  16. V části Zastavit spuštění dotazu po vygenerování upozornění vyberte Vypnuto.

  17. Vyberte Další: Nastavení incidentu (Preview).

Snímek obrazovky s možnostmi a možnostmi plánování dotazů

  1. Přejděte na kartu Zkontrolovat a vytvořit a zkontrolujte nastavení pravidla.

  2. Jakmile se zobrazí banner Ověření prošlo , vyberte Vytvořit.

    Snímek obrazovky s vybranými nastaveními, bannerem Ověření prošlo a možností Vytvořit

Prohlédněte si pravidlo a incidenty, které generuje. Vyhledejte nově vytvořené vlastní pravidlo typu Scheduled v tabulce na kartě Aktivní pravidla na hlavním panelu.

  1. Přejděte na obrazovku Analýza .
  2. Vyberte kartu Aktivní pravidla .
  3. V tabulce v části Naplánované najděte pravidlo.

Pravidlo můžete upravit, povolit, zakázat nebo odstranit.

Snímek obrazovky s aktivními pravidly s možnostmi Povolit, Zakázat, Odstranit a Upravit

Třídění, vyšetřování a náprava incidentů

Incident může obsahovat více výstrah a je agregací relevantních důkazů pro šetření. Na úrovni incidentu můžete nastavit vlastnosti, jako je Závažnost a Stav.

Další informace: Zkoumání incidentů pomocí služby Microsoft Sentinel

  1. Přejděte na stránku Incidenty .

  2. Vyberte incident.

  3. Napravo se zobrazí podrobné informace o incidentu, včetně závažnosti, entit, událostí a ID incidentu.

    Snímek obrazovky s informacemi o incidentu

  4. V podokně Incidenty zvolte Zobrazit úplné podrobnosti.

  5. Zkontrolujte karty, které shrnují incident.

    Snímek obrazovky se seznamem incidentů

  6. Vyberte EvidenceEventsLink to Log Analytics.Select Evidence >Events> Link to Log Analytics.

  7. Ve výsledcích se podívejte na hodnotu identity UserPrincipalName při pokusu o přihlášení.

    Snímek obrazovky s podrobnostmi incidentu

Automatizovaná odpověď

Microsoft Sentinel má funkce orchestrace zabezpečení, automatizace a odezvy (SOAR). Připojte k analytickým pravidlům automatizované akce neboli playbook.

Viz Co je SOAR?

Email oznámení o incidentu

Pro tuto úlohu použijte playbook z úložiště Microsoft Sentinel Na GitHubu.

  1. Přejděte na nakonfigurovaný playbook.
  2. Upravte pravidlo.
  3. Na kartě Automatizovaná odpověď vyberte playbook.

Další informace: Oznámení o incidentech Email

Snímek obrazovky s možnostmi automatizované odpovědi na pravidlo

Zdroje informací

Další informace o službě Microsoft Sentinel a Azure AD B2C najdete tady:

Další krok

Zpracování falešně pozitivních výsledků ve službě Microsoft Sentinel