Freigeben über

Nachverfolgen und Untersuchen von Identitätsaktivitäten mit verlinkbaren Bezeichnern in Microsoft Entra

Microsoft bettet bestimmte Bezeichner in alle Zugriffstoken ein, die die Korrelation von Aktivitäten zurück zu einem einzelnen Stammauthentifizierungsereignis ermöglichen. Diese verlinkbaren Bezeichner werden in kundenorientierten Protokollen angezeigt, um Bedrohungssucher und Sicherheitsanalysten bei der Untersuchung und Verringerung von identitätsbasierten Angriffen zu unterstützen. Durch die Verwendung dieser Bezeichner können Sicherheitsexperten bösartige Aktivitäten über Sitzungen und Token hinweg effektiver nachverfolgen, analysieren und darauf reagieren, wodurch sowohl die Transparenz als auch die Sicherheit der Umgebung verbessert werden.

Typen von verlinkbaren Bezeichnern

Es gibt zwei Arten von verlinkbaren Bezeichnern, die zur Unterstützung erweiterter Identitätsuntersuchungs- und Bedrohungssucheszenarien verwendet werden: Sitzungs-ID-basierte Bezeichner und eindeutige Token-IDs.

Sitzungs-ID-basierte Kennungen

Ein Bezeichner basierend auf der Sitzungs-ID (SID-basierter Bezeichner) ermöglicht die Korrelation aller Authentifizierungsartefakte wie Zugriffstoken (AT),Aktualisierungstoken (RT) und Sitzungscookies, die aus einem einzigen Stammauthentifizierungsereignis ausgegeben wurden. Dieser Bezeichner ist besonders hilfreich für die Nachverfolgung von Aktivitäten in einer Sitzung.

Allgemeine SID-basierte Untersuchungsszenarien umfassen:

  • Korrelieren von Aktivitäten über Dienste hinweg: Beginnen Sie mit einer Sitzungs-ID aus Microsoft Entra-Anmeldeprotokollen. Verbinden Sie ihn mit Arbeitsauslastungsprotokollen, z. B. den Exchange Online-Überwachungsprotokollen oder Microsoft Graph-Aktivitätsprotokollen. Anschließend können Sie alle Aktionen identifizieren, die von Zugriffstoken ausgeführt werden, die dieselbe Sitzungs-ID verwenden.
  • Filtern nach Benutzer oder Gerät: Schmale Ergebnisse mithilfe von UserId oder DeviceId oder Filtern von Token, die innerhalb eines bestimmten Sitzungszeitrahmens ausgegeben wurden.
  • Aufzählen von Sitzungen: Bestimmen Sie, wie viele aktive Sitzungen für einen bestimmten Benutzer (UserId) oder ein Bestimmtes Gerät (DeviceId) vorhanden sind.
  • Link über Authentifizierungs-Artefakte: Der Anspruch auf die SID wird während der interaktiven Authentifizierung generiert und im Lieferumfang des primären Tokens (PRT), des Aktualisierungs-Tokens oder des Sitzungscookies enthalten. Alle von diesen Quellen ausgegebenen Zugriffstoken erben dieselbe SID und ermöglichen eine konsistente Verknüpfung über Authentifizierungsartefakte hinweg.

Eindeutige Token-IDs

Der eindeutige Tokenbezeichner (UTI) ist ein global eindeutiger Bezeichner (GUID), der in jedem Microsoft Entra-Zugriffstoken (AT) oder ID-Token eingebettet ist. Es identifiziert jedes Token oder jede Anforderung eindeutig und bietet eine differenzierte Rückverfolgbarkeit.

Ein gängiges UTI-basiertes Untersuchungsszenario ist die Ablaufverfolgung auf Tokenebene. Beginnen Sie mit einem UTI aus Microsoft Entra-Anmeldeprotokollen, und korrelieren Sie sie mit Arbeitsauslastungsprotokollen, z. B. den Exchange Online-Überwachungsprotokollen oder Microsoft Graph-Aktivitätsprotokollen, um alle Aktionen zu verfolgen, die von einem bestimmten Zugriffstoken ausgeführt werden.

Der UTI ist für jedes Zugriffstoken und jede Sitzung einzigartig, was ihn ideal macht, um verdächtige oder kompromittierte Token während Untersuchungen zu identifizieren.

Verknüpfungsfähige Bezeichneransprüche

In dieser Tabelle werden alle verknüpfungsfähigen Bezeichneransprüche in den Entra-Token beschrieben.

Anspruch Format Beschreibung
oid Zeichenfolge, eine GUID Der unveränderliche Bezeichner für den Anforderer, d. h. die überprüfte Identität des Benutzers oder Dienstprinzipals. Mit dieser ID wird der Anforderer anwendungsübergreifend eindeutig identifiziert.
tid Zeichenfolge, eine GUID Stellt den Mandanten dar, bei dem sich der Benutzer anmeldet.
sid Zeichenfolge, eine GUID Stellt einen eindeutigen Bezeichner für eine gesamte Sitzung dar und wird generiert, wenn ein Benutzer die interaktive Authentifizierung durchführt. Diese ID hilft beim Verknüpfen aller Authentifizierungsartefakte, die aus einer einzigen Stammauthentifizierung ausgestellt wurden.
Geräte-ID Zeichenfolge, eine GUID Stellt einen eindeutigen Bezeichner für das Gerät dar, von dem ein Benutzer mit einer Anwendung interagiert.
uti Schnur Stellt den Anspruch auf den Token-Identifikator dar. Diese ID ist ein eindeutiger Identifikator pro Token, bei dem Groß- und Kleinschreibung beachtet wird.
iat Integer, ein UNIX-Zeitstempel Gibt an, wann die Authentifizierung für dieses Token erfolgt ist.

Protokollverfügbarkeit für verlinkbare Bezeichner

Derzeit werden verlinkbare Bezeichner in den folgenden Protokollquellen aufgezeichnet:

  • Microsoft Entra-Anmeldeprotokolle
  • Microsoft Exchange Online-Überwachungsprotokolle
  • Microsoft Graph-Aktivitätsprotokolle
  • Microsoft SharePoint Online-Überwachungsprotokolle
  • Microsoft Teams-Überwachungsprotokolle

Diese Protokolle ermöglichen Sicherheitsanalysten das Korrelieren von Authentifizierungsereignissen und der Tokennutzung über Dienste hinweg und unterstützen umfassende Untersuchungen zu identitätsbezogenen Bedrohungen.

Verknüpfungsfähige Bezeichner in Microsoft Entra-Anmeldeprotokollen

Alle Anmeldeprotokolleinträge weisen die verknüpfungsfähigen Bezeichneransprüche auf, und diese Tabelle zeigt die Zuordnung zwischen verknüpfungsfähigem Bezeichneranspruch mit entra-Anmeldeprotokoll-Attribut.

Anspruch Entra Anmelden, Protokollieren, Attributname
oid Benutzer-ID
tid Ressource Mieter ID
sid Sitzungs-ID
Geräte-ID Geräte-ID
uti Eindeutiger Tokenbezeichner
iat Datum

Um die Anmeldeprotokolle im Microsoft Entra Admin Center anzuzeigen:

  1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.
  2. Gehen Sie zu Microsoft Entra ID>Überwachung & Integrität>Anmeldedaten protokollieren.
  3. Filtern Sie nach Zeit oder nach bestimmten Benutzern, um die spezifischen Protokolleinträge anzuzeigen.
  4. Klicken Sie auf einen beliebigen Anmeldeprotokolleintrag.
  5. Grundlegende Informationen zeigen die Benutzer-ID, die Ressourcenmandanten-ID, die Sitzungs-ID, den eindeutigen Tokenbezeichner und das Datum an. Geräte zeigen die Geräte-ID für registrierte und domänenverbundene Geräte an.

Screenshot des Anmeldeprotokolleintrags im Microsoft Entra Admin Center.

Screenshot des Anmeldeprotokolleintrags mit verlinkbaren Bezeichnern.

Sie sollten mit dem Microsoft Entra-Anmeldeprotokollen-Attribut "Benutzer-ID" beginnen, indem Sie manuell in den Workload-Auditprotokollen suchen, um alle Aktivitäten mithilfe eines bestimmten Zugriffstokens nachzuverfolgen. Ebenso kann das Attribut "Session ID" verwendet werden, um manuell nach den Arbeitsauslastungsüberwachungsprotokollen zu suchen, um alle Aktivitäten nachzuverfolgen.

Verknüpfungsfähige Bezeichner in Microsoft Exchange Online-Protokollen

Exchange Online-Überwachungsprotokolle bieten Einblicke in kritische Benutzeraktivitäten und unterstützen eingehende Untersuchungen, indem detaillierte Überwachungsereignisse erfasst werden. Zu diesen Protokollen gehören verlinkbare Bezeichner, die aus Microsoft Entra-Token übernommen werden, und erlauben die Korrelation über Authentifizierungsartefakten und Workloads hinweg.

Unterstützte Untersuchungsszenarien

Für Szenarien wie Postfachaktualisierungen, Elementverschiebungen oder Löschungen können Sie folgende Aktionen ausführen:

  • Beginnen Sie mit verlinkbaren Bezeichnern aus Microsoft Entra-Anmeldeprotokollen, z. B. Sitzungs-ID (SID) oder eindeutiger Tokenbezeichner (UTI).
  • Verwenden Sie diese Identifikatoren, um Microsoft Purview Audit (Standard) oder Audit (Premium) Protokolle zu suchen.
  • Verfolgen Sie alle Benutzeraktionen, die während einer bestimmten Sitzung oder durch ein bestimmtes Token für Postfachelemente ausgeführt werden.

Dieser Ansatz ermöglicht Es Sicherheitsanalysten, Aktivitäten über Dienste hinweg nachzuverfolgen und potenziellen Missbrauch oder Kompromittierungen zu identifizieren.

Ausführliche Anleitungen zum Durchsuchen von Exchange Online-Überwachungsprotokollen finden Sie unter Durchsuchen des Überwachungsprotokolls.

Diese Tabelle zeigt die Zuordnung zwischen verknüpfungsfähigen Bezeichneransprüchen und dem Exchange Online-Überwachungsprotokoll-Attribut.

Anspruch Exchange Online-Überwachungsprotokoll-Attributname
oid TokenObjectId
tid TokenTenantId
sid SessionID / AADSessionId im Objekt App Zugriffskontext
Geräte-ID DeviceId (nur für registrierte/domänenverbundene Geräte verfügbar)
uti UniqueTokenId im Objekt App Zugriffskontext
iat IssuedAtTime innerhalb des Objekts App Access Context

Anzeigen von Exchange Online-Protokollen mithilfe des Microsoft Purview-Portals

  1. Wechseln Sie zum Microsoft Purview-Portal.

  2. Suchen Sie ab Exchange nach Protokollen mit einem bestimmten Zeitrahmen und Datensatztypen.

    Screenshot des Microsoft Purview-Portals mit der Suche nach Protokollen mit Exchange-Arbeitsauslastung.

  3. Sie können nach einem bestimmten Benutzer oder einem UTI-Wert aus Microsoft Entra-Anmeldeprotokollen weiter filtern. Sie können alle Aktivitätsprotokolle innerhalb einer Sitzung filtern mit SessionId.

  4. Die Ergebnisse zeigen alle verlinkbaren Bezeichner an.

    Screenshot des Microsoft Purview-Portals mit Protokollelement mit verlinkbaren Bezeichnern.

    Screenshot des Microsoft Purview-Portals mit detailliertem Protokollelement.

  5. Exportieren Sie das Audit-Protokoll und untersuchen Sie für einen bestimmten SessionId oder UniqueTokenId alle Aktivitäten für Exchange Online.

Anzeigen von Exchange Online-Protokollen mithilfe von PowerShell-Cmdlets

  1. Führen Sie PowerShell als Administrator aus.

  2. Wenn das ExchangeOnlineManagement-Modul nicht installiert ist, führen Sie Folgendes aus:

    Install-Module -Name ExchangeOnlineManagement

  3. Herstellen einer Verbindung mit Exchange Online:

    Connect-ExchangeOnline -UserPrincipalName <user@4jkvzv.onmicrosoft.com>

  4. Führen Sie einige Postfachbefehle aus:

    Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 97MB

    Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 98MB

    Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 99MB

  5. Durchsuchen des einheitlichen Überwachungsprotokolls:

    Search-UnifiedAuditLog -StartDate 01/06/2025 -EndDate 01/08/2025 -RecordType ExchangeItem, ExchangeAdmin, ExchangeAggregatedOperation, ExchangeItemAggregated, ExchangeItemGroup, ExchangeSearch

  6. Die Ergebnisse weisen alle verlinkbaren Bezeichner auf.

Hinweis

Die verlinkbaren Bezeichner sind in den Exchange Online-Überwachungsprotokollen für einige aggregierte Protokolleinträge oder aus Hintergrundprozessen generierte Protokolle nicht verfügbar.

Weitere Informationen finden Sie unter Exchange Online PowerShell.

Verknüpfungsfähige Bezeichner in Microsoft Graph-Aktivitätsprotokollen

Microsoft Graph-Aktivitätsprotokolle stellen einen Überwachungspfad aller HTTP-Anforderungen bereit, die vom Microsoft Graph-Dienst für einen Mandanten empfangen und verarbeitet werden. Diese Protokolle werden in einem Log Analytics-Arbeitsbereich gespeichert und ermöglichen eine erweiterte Analyse und Untersuchung.

Wenn Sie Microsoft Graph-Aktivitätsprotokolle so konfigurieren, dass sie an einen Log Analytics-Arbeitsbereich gesendet werden, können Sie sie mithilfe der Kusto-Abfragesprache abfragen. Auf diese Weise können Sie detaillierte Untersuchungen zu Benutzer- und Anwendungsverhalten in microsoft 365-Diensten durchführen.

Untersuchungsszenarien mit verlinkbaren Bezeichnern

Für Szenarien mit Microsoft Graph-Aktivitäten können Sie folgende Aktionen ausführen:

  • Beginnen Sie mit verlinkbaren Bezeichnern aus Microsoft Entra-Anmeldeprotokollen, z. B. SID oder UTI.
  • Verwenden Sie diese Bezeichner, um Benutzeraktionen in Microsoft Graph-Aktivitätsprotokollen zu korrelieren und zu verfolgen.
  • Verfolgen Sie alle Vorgänge, die für Postfachelemente oder andere Ressourcen durch ein bestimmtes Token oder eine bestimmte Sitzung ausgeführt werden, siehe "Microsoft Graph-Aktivitätsprotokolle".

Diese Tabelle zeigt die Zuordnung zwischen verknüpfungsfähigen Bezeichneransprüchen und dem Microsoft Graph-Aktivitätsprotokoll-Attribut.

Anspruch Attributname im Microsoft Graph-Aktivitätsprotokoll
oid Benutzer-ID
tid Mieter-ID
sid Sitzung-ID
Geräte-ID DeviceId (nur für registrierte und domänenverbundene Geräte verfügbar)
uti SignInActivityId
iat TokenIssuedAt

Zusammenführen von Anmeldeprotokollen und Microsoft Graph-Aktivitätsprotokollen mithilfe von KQL

Sie können Kusto Query Language (KQL) verwenden, um Microsoft Entra-Anmeldeprotokolle und Microsoft Graph-Aktivitätsprotokolle für erweiterte Untersuchungsszenarien zusammenzuführen.

Filtern nach verlinkbaren Bezeichnern

  • Filtern nach uti: Verwenden Sie das uti-Attribut, um alle Aktivitäten zu analysieren, die einem bestimmten Zugriffstoken zugeordnet sind. Dies ist nützlich, um das Verhalten eines einzelnen Tokens über Dienste hinweg nachzuverfolgen.
  • Filtern nach sid (Sitzungs-ID): Verwenden Sie den Anspruch sid, um alle Aktivitäten zu analysieren, die von Bedienungshilfen, die von einem aktualisierten Token ausgestellt wurden, der von einer interaktiven Stamm-Authentifizierung stammt. Auf diese Weise können Sie den vollständigen Sitzungslebenszyklus nachverfolgen.
  • Zusätzliche Filterung: Sie können Ihre Abfragen mithilfe von Attributen wie UserId, DeviceId und zeitbasierten Filtern weiter verfeinern, um den Umfang Ihrer Untersuchung einzuschränken.

Mit diesen Funktionen können Sicherheitsanalysten Authentifizierungsereignisse mit Workloadaktivitäten korrelieren, die Sichtbarkeit und Reaktion auf identitätsbezogene Bedrohungen verbessern.

MicrosoftGraphActivityLogs
| where TimeGenerated > ago(4d) and UserId == '4624cd8c-6c94-4593-b0d8-a4983d797ccb'
| join kind=leftouter (union
SigninLogs,
AADNonInteractiveUserSignInLogs,
AADServicePrincipalSignInLogs,
AADManagedIdentitySignInLogs,
ADFSSignInLogs
| where TimeGenerated > ago(4d))
on $left.SignInActivityId == $right.UniqueTokenIdentifier

Screenshot der Ergebnisse einer KQL-Abfrage, die zusammenhängende Protokolle zeigt.

Weitere Informationen zu Abfragen im Log Analytics-Arbeitsbereich finden Sie unter Analysieren von Microsoft Entra-Aktivitätsprotokollen mit Log Analytics.

Beispielszenario: Nachverfolgen von Benutzeraktivitäten in Microsoft 365 Services Exchange Online und MSGraph

In diesem Beispiel wird gezeigt, wie Sie die Aktionen eines Benutzers über Microsoft 365-Dienste hinweg mithilfe von verlinkbaren Bezeichnern und Überwachungsprotokollen nachverfolgen.

Szenarioübersicht

Ein Benutzer führt die folgende Abfolge von Aktionen aus:

  1. Meldet sich bei Office.com Der Benutzer initiiert eine interaktive Authentifizierung und generiert ein Stammtoken. Dieses Token enthält verlinkbare Bezeichner wie die Sitzungs-ID (SID) und den Eindeutigen Tokenbezeichner (Unique Token Identifier, UTI), die an nachfolgende Token weitergegeben werden.

  2. Greift auf Microsoft Graph zu. Der Benutzer interagiert mit Microsoft Graph-APIs, um Organisationsdaten abzurufen oder zu ändern. Jede Anforderung wird in den Microsoft Graph-Aktivitätsprotokollen protokolliert, wobei die zugeordnete SID und UTI die Korrelation mit dem ursprünglichen Anmeldeereignis ermöglichen.

  3. Verwendet Exchange Online (Outlook) Der Benutzer öffnet Outlook über Exchange Online und führt Postfachvorgänge wie Lesen, Verschieben oder Löschen von E-Mails durch. Diese Aktionen werden in Exchange Online-Überwachungsprotokollen erfasst, die auch dieselben verlinkbaren Bezeichner enthalten.

Mithilfe der SID können Analysten alle Aktivitäten über Dienste nachverfolgen, die von derselben Sitzung stammen. Alternativ kann die UTI zum Anheften von Aktionen verwendet werden, die an ein bestimmtes Zugriffstoken gebunden sind.

  1. Finden Sie die Leitung, Zeile des interaktiven Anmeldeprotokolls in den Anmeldeprotokollen und sammeln Sie das SessionId:

    Screenshot der interaktiven Anmeldeprotokollzeile mit Sitzungs-ID.

  2. Fügen Sie einen Filter nach SessionId. Sie können die SessionId für interaktive oder nicht interaktive Anmeldedaten erhalten.

    Interaktive Anmeldungen:

    Screenshot der interaktiven Anmeldungen, die nach Sitzungs-ID gefiltert werden.

    Nichtinteraktive Anmeldungen:

    Screenshot von nicht interaktiven Anmeldungen, die nach Sitzungs-ID gefiltert wurden.

  3. Um alle Aktivitäten im Microsoft Graph Workload zu erhalten, die der Benutzer in dieser Sitzung durchgeführt hat, gehen Sie zu Log Analytics im Microsoft Entra Admin-Zentrum und lassen Sie die Abfrage ausführen, um die Anmeldeprotokolle von Microsoft Entra und die Aktivitätsprotokolle von Microsoft Graph zusammenzuführen. Diese Abfrage filtert nach UserId und SessionId.

    Screenshot der Nach Benutzer-ID und Sitzungs-ID gefilterten Microsoft Graph-Aktivitäten.

    Weitere Filter können auf ein SignInActivityId-Attribut (uti-Anforderung) angewendet werden, um mehr über den Zugriff bei einer bestimmten Anfrage zu erfahren.

  4. Um Exchange Online-Aktivitäten abzurufen, öffnen Sie das Microsoft Purview-Portal, und suchen Sie nach Benutzern oder Datensatztypen.

    Screenshot des Microsoft Purview-Portals mit der Suche nach Benutzern oder Datensatztypen.

  5. Exportieren der Daten.

    Screenshot des Datenexports im Microsoft Purview-Portal.

  6. Der Protokolleintrag verfügt über alle verlinkbaren Bezeichner. Sie können nach UniqueTokenId jeder eindeutigen Aktivität suchen und nach AADSessionId allen Aktivitäten innerhalb der Sitzung suchen.

    Screenshot der Protokollzeile mit verlinkbaren Bezeichnern.

Verlinkbare Bezeichner in Microsoft SharePoint Online-Überwachungsprotokollen

Microsoft SharePoint Online-Überwachungsprotokolle bieten einen umfassenden Überwachungspfad aller Anforderungen, die vom SharePoint Online-Dienst für einen Mandanten verarbeitet werden. Diese Protokolle erfassen eine vielzahl von Benutzeraktivitäten, einschließlich Vorgängen wie Datei- und Ordnererstellung, Aktualisierungen, Löschungen und Listenänderungen. Eine detaillierte Übersicht über die SharePoint Online-Überwachungsprotokollierung finden Sie unter SharePoint Online-Überwachungsprotokolle.

Untersuchungsszenarien mit verlinkbaren Bezeichnern

Für Szenarien mit SharePoint Online-Aktivitäten können Sie folgende Aktionen ausführen:

  • Beginnen Sie mit verlinkbaren Bezeichnern aus Microsoft Entra-Anmeldeprotokollen, z. B. SID oder UTI.
  • Verwenden Sie diese Identifikatoren, um Microsoft Purview Audit (Standard) oder Audit (Premium) Protokolle zu suchen.
  • Verfolgen Sie alle Benutzeraktionen, die in SharePoint Online während einer bestimmten Sitzung oder durch ein bestimmtes Token ausgeführt werden.

Dieser Ansatz ermöglicht Es Sicherheitsanalysten, Authentifizierungsereignisse mit SharePoint-Aktivitäten zu korrelieren, die effektive Untersuchung und Reaktion auf potenzielle Bedrohungen zu unterstützen.

Anleitungen zum Durchsuchen von SharePoint Online-Überwachungsprotokollen finden Sie unter Durchsuchen des Überwachungsprotokolls | Microsoft Learn.

Die folgende Tabelle zeigt die Zuordnung zwischen verknüpfungsfähigen Bezeichneransprüchen und dem Microsoft SharePoint Online-Überwachungsprotokoll-Attribut.

Anspruch Name des Microsoft SharePoint Online-Überwachungsprotokoll-Attributs
oid Benutzerobjekt-ID
tid Organisations-ID
sid AADSessionId im Objekt App Zugriffskontext
Geräte-ID DeviceId (nur für registrierte/domänenverbundene Geräte verfügbar)
uti UniqueTokenId im Objekt App Zugriffskontext
iat IssuedAtTime innerhalb des Objekts App Access Context

Anzeigen von Microsoft SharePoint Online-Überwachungsprotokollen mithilfe des Microsoft Purview-Portals

  1. Wechseln Sie zum Microsoft Purview-Portal.

  2. Suchen Sie nach Protokollen mit einem bestimmten Zeitrahmen und Workload als Microsoft SharePoint Online.

    Screenshot des Microsoft Purview-Portals mit der Suche nach SharePoint Online-Protokollen.

  3. Um nach Datensatztypen zu filtern, können die unterstützten Datensatztypen nach Elementen gefunden werden, die mit SharePoint beginnen.

    Screenshot des Microsoft Purview-Portals mit unterstützten Datensatztypen für SharePoint Online.

  4. Sie können nach einem bestimmten Benutzer oder einem UTI-Wert aus Microsoft Entra-Anmeldeprotokollen weiter filtern. Sie können alle Aktivitätsprotokolle innerhalb einer Sitzung filtern mit AADSessionId.

  5. Die Überwachungssuchergebnisse zeigen alle Protokollzeilen aus den SharePoint Online-Aktivitäten an.

    Screenshot des Microsoft Purview-Portals mit Überwachungsprotokollergebnissen für SharePoint Online.

  6. Jedes Protokollelement zeigt alle verlinkbaren Bezeichner an.

    Screenshot des Microsoft Purview-Portals mit Protokollelement mit verlinkbaren Bezeichnern für SharePoint Online.

  7. Exportieren Sie das Audit-Protokoll und untersuchen Sie für einen bestimmten AADSessionId oder UniqueTokenId alle Aktivitäten für Microsoft SharePoint Online.

Verlinkbare Bezeichner in Microsoft Teams-Überwachungsprotokollen

Microsoft Teams-Überwachungsprotokolle erfassen einen detaillierten Datensatz aller Anforderungen, die vom Teams-Dienst für einen Mandanten verarbeitet werden. Überwachte Aktivitäten umfassen die Teamerstellung und -löschung, Kanalzufügungen und Entfernungen sowie Änderungen an Kanaleinstellungen.

Eine vollständige Liste der überwachten Teams-Aktivitäten finden Sie unter "Teams-Aktivitäten" im Überwachungsprotokoll. Weitere Informationen zu Teams-Überwachungsprotokollen finden Sie unter Teams-Überwachungsprotokolle. Weitere Informationen zum Durchsuchen der Teams-Überwachungsprotokolle finden Sie unter Durchsuchen des Überwachungsprotokolls.

Untersuchungsszenarien mit verlinkbaren Bezeichnern

So untersuchen Sie Teams-Aktivitäten:

  • Beginnen Sie mit verlinkbaren Bezeichnern aus Microsoft Entra-Anmeldeprotokollen, z. B. SID oder UTI.
  • Verwenden Sie diese Identifikatoren, um Microsoft Purview Audit (Standard) oder Audit (Premium) Protokolle zu suchen.
  • Verfolgen Sie Nutzeraktionen über Teams-Sitzungen hinweg, einschließlich der Vorgänge von Teams und Kanälen.

Die nachstehende Tabelle zeigt die Zuordnung zwischen verknüpfbaren Identifizierungsansprüchen und dem Attribut Teams Audit-Protokoll.

Anspruch Name des Teams-Überwachungsprotokoll-Attributs
oid Benutzerschlüssel
tid Organisations-ID
sid AADSessionId im Objekt App Zugriffskontext
Geräte-ID DeviceId (nur für registrierte/domänenverbundene Geräte verfügbar)
uti UniqueTokenId im Objekt App Zugriffskontext
iat IssuedAtTime innerhalb des Objekts App Access Context

Untersuchen von Tokenmissbrauch in Microsoft Teams und SharePoint Online

Bei einem Sicherheitsvorfall, bei dem ein Zugriffstoken kompromittiert wird , z. B. durch Phishing, und anschließend von einem böswilligen Akteur verwendet wird, sollten Mandantenadministratoren sofortige Maßnahmen ergreifen, um die Bedrohung zu enthalten und ihre Auswirkungen zu untersuchen.

Nachdem alle aktiven Benutzersitzungen und Token widerrufen wurden, können Administratoren mit einer forensischen Untersuchung beginnen, um den Umfang nicht autorisierter Aktivitäten zu ermitteln. Insbesondere müssen sie aktionen identifizieren, die der Angreifer während des betroffenen Zeitraums in Microsoft Teams und SharePoint Online ausgeführt hat.

Mithilfe von verlinkbaren Bezeichnern wie der Sitzungs-ID (SID) und dem eindeutigen Tokenbezeichner (Unique Token Identifier, UTI) von Microsoft Entra-Anmeldeprotokollen können Administratoren aktivitäten in Microsoft Purview-Überwachungsprotokollen (Standard) und Überwachungsprotokollen (Premium) korrelieren und nachverfolgen. Dies ermöglicht Einblick in:

Teams-bezogene Aktionen wie Team- oder Kanalerstellung, Löschung oder Konfigurationsänderungen. SharePoint Online-Vorgänge, einschließlich Dateizugriff, Erstellung, Änderung oder Löschung.

  1. Starten Sie mit den Anmeldedaten von Microsoft Entra, um die Sitzungs-ID dieses Zugriffstokens zu finden, indem Sie nach der Zeit, zu der das Token protokolliert wurde, und nach der ObjectId des Benutzers filtern.

    Screenshot des Microsoft Purview-Portals mit Protokollelement mit verlinkbaren Bezeichnern für das Teams-Szenario.

  2. Ermitteln Sie die verlinkbaren Bezeichner aus Microsoft Entra-Anmeldeprotokollen, z. B. SID oder UTI, die als Filter für Teams- und SharePoint Online-Überwachungsprotokolle verwendet werden sollen.

  3. Suchen Sie im Purview-Portal nach Protokollen mit einem bestimmten Zeitrahmen für Arbeitslasten wie Teams und SharePoint Online und für den jeweiligen Benutzer.

    Screenshot des Microsoft Purview-Portals mit der Suche nach Protokollen für die SharePoint- und Teams-Arbeitsauslastung.

  4. Die Suche gibt alle Überwachungsprotokolleinträge innerhalb dieses Zeitraums zurück, gefiltert nach Benutzer und Workloads wie Teams und SharePoint Online.

    Screenshot des Microsoft Purview-Portals mit Ergebnissen für SPO- und Teams-Protokolle.

  5. Der Administrator kann den gesamten Überwachungsprotokollpfad von der Benutzeranmeldung im Team sehen und sehen, dass der schlechte Akteur mehrere Aktivitäten durchgeführt hat, z. B. bestimmte Benutzer in einem Teams-Kanal hinzugefügt, eine Phishing-Nachricht gepostet, Dateien aus SharePoint gelöscht und Dateien hinzugefügt usw.

  6. Jedes Protokollelement kann geöffnet werden, um detaillierte Informationen zu verlinkbaren Bezeichnern zu erhalten. Unten sehen Sie ein Beispiel für das Veröffentlichen einer Nachricht durch den Benutzer.

    Screenshot des Microsoft Purview-Portals mit Protokollelement für Teams und SPO.

  7. Nachfolgend finden Sie ein Beispiel für das Herunterladen einer Datei aus SharePoint Online.

    Screenshot des Microsoft Purview-Portals mit der Suche nach Protokollelementen für Teams und SPO.

  8. Exportieren Sie das protokollierte Audit und untersuchen Sie für ein bestimmtes SessionId oder UniqueTokenId bestimmte Aktivitäten. Die folgende Abbildung zeigt alle verschiedenen Vorgänge, die vom Angreifer ausgeführt wurden.

    Screenshot des Microsoft Purview-Portals mit der Suche nach exportierten Protokollen.

Durch die Analyse der Protokolldateien mit verlinkbaren Bezeichnern können Mandantenadministratoren und Sicherheitsexperten bösartige Aktivitäten in Sitzungen und Token effektiv nachverfolgen, analysieren und darauf reagieren.

Verwandte Inhalte

Microsoft Entra-Anmeldeprotokolle
Teams-Auditprotokolle
SharePoint Online-Überwachungsprotokolle
Microsoft Graph-Aktivitätsprotokolle

  • Last updated on