Udostępnij przez

Samouczek: konfigurowanie analizy zabezpieczeń dla danych B2C usługi Azure Active Directory za pomocą usługi Microsoft Sentinel

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

Zwiększ bezpieczeństwo środowiska Azure Active Directory B2C (Azure AD B2C), przekierowując dzienniki i informacje inspekcji do usługi Microsoft Sentinel. Skalowalna usługa Microsoft Sentinel to natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz orkiestracji, automatyzacji i reagowania na zabezpieczenia (SOAR). Użyj rozwiązania do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia dla usługi Azure AD B2C.

Więcej informacji:

Więcej zastosowań usługi Microsoft Sentinel z usługą Azure AD B2C to:

  • Wykrywaj wcześniej niewykryte zagrożenia i minimalizuj liczbę wyników fałszywie dodatnich dzięki funkcjom analizy i analizy zagrożeń
  • Badanie zagrożeń za pomocą sztucznej inteligencji (AI)
    • Wykrywaj podejrzane działania na dużą skalę i korzystaj z doświadczenia zdobytego przez lata pracy w firmie Microsoft w zakresie cyberbezpieczeństwa
  • Szybkie reagowanie na incydenty dzięki wspólnej orkiestracji zadań i automatyzacji
  • Spełnianie wymagań organizacji w zakresie zabezpieczeń i zgodności

Z tego samouczka dowiesz się, jak wykonywać następujące działania:

  • Transfer dzienników Azure AD B2C do obszaru roboczego usługi Log Analytics
  • Włączanie usługi Microsoft Sentinel w obszarze roboczym usługi Log Analytics
  • Utwórz przykładową regułę w usłudze Microsoft Sentinel, aby wyzwolić incydent
  • Konfigurowanie automatycznej odpowiedzi

Konfigurowanie usługi Azure AD B2C przy użyciu usługi Azure Monitor Log Analytics

Aby zdefiniować, gdzie są wysyłane dzienniki i metryki dla zasobu,

  1. Włącz ustawienia diagnostyczne w Microsoft Entra ID w dzierżawie Azure AD B2C.
  2. Skonfiguruj usługę Azure AD B2C do wysyłania dzienników do usługi Azure Monitor.

Dowiedz się więcej, Monitorowanie usługi Azure AD B2C za pomocą usługi Azure Monitor.

Wdrażanie wystąpienia usługi Microsoft Sentinel

Po skonfigurowaniu wystąpienia usługi Azure AD B2C do wysyłania dzienników do usługi Azure Monitor, należy włączyć wystąpienie usługi Microsoft Sentinel.

Ważne

Aby włączyć usługę Microsoft Sentinel, uzyskaj uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy usługi Microsoft Sentinel. Aby korzystać z usługi Microsoft Sentinel, użyj uprawnień współautora lub czytelnika w grupie zasobów, do której należy obszar roboczy.

  1. Zaloguj się do witryny Azure Portal.

  2. Wybierz subskrypcję, w której jest tworzony obszar roboczy usługi Log Analytics.

  3. Wyszukaj i wybierz Microsoft Sentinel.

    Zrzut ekranu przedstawiający usługę Azure Sentinel wprowadzoną w polu wyszukiwania i wyświetloną opcję Azure Sentinel.

  4. Wybierz Dodaj.

  5. W polu Wyszukaj obszary robocze wybierz nowy obszar roboczy.

    Zrzut ekranu przedstawiający pole obszarów roboczych wyszukiwania w obszarze Wybierz obszar roboczy do dodania do usługi Azure Sentinel.

  6. Wybierz pozycję Dodaj usługę Microsoft Sentinel.

    Uwaga / Notatka

    Istnieje możliwość uruchomienia usługi Microsoft Sentinel w więcej niż jednym obszarze roboczym, jednak dane są izolowane w jednym obszarze roboczym.
    Zobacz Szybki start: dołączanie usługi Microsoft Sentinel

Tworzenie reguły usługi Microsoft Sentinel

Po włączeniu usługi Microsoft Sentinel otrzymuj powiadomienia, gdy w dzierżawie Azure AD B2C wystąpi coś podejrzanego.

Możesz utworzyć niestandardowe reguły analizy, aby wykrywać zagrożenia i nietypowe zachowania w środowisku. Te reguły wyszukują określone zdarzenia lub zestawy zdarzeń i powiadamiają o spełnieniu progów zdarzeń lub warunków. Następnie generowane są zdarzenia do zbadania.

Zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń

Uwaga / Notatka

Usługa Microsoft Sentinel zawiera szablony do tworzenia reguł wykrywania zagrożeń, które przeszukują dane pod kątem podejrzanych działań. Na potrzeby tego samouczka utworzysz regułę.

Reguła powiadamiania o nieudanym wymuszonym dostępie

Wykonaj poniższe kroki, aby otrzymać powiadomienie o co najmniej dwóch nieudanych, wymuszonych próbach dostępu do środowiska. Przykładem jest atak siłowy.

  1. W usłudze Microsoft Sentinel z menu po lewej stronie wybierz pozycję Analiza.

  2. Na górnym pasku wybierz opcję + Utwórz>zaplanowaną regułę zapytania.

    Zrzut ekranu przedstawiający opcję Utwórz w obszarze Analizy.

  3. W kreatorze reguł analizy przejdź do pozycji Ogólne.

  4. W polu Nazwa wprowadź nazwę nieudanego logowania.

  5. W polu Opis wskaż, że reguła powiadamia o co najmniej dwóch nieudanych logowaniach w ciągu 60 sekund.

  6. W polu Taktyka wybierz kategorię. Na przykład wybierz pozycję PreAttack.

  7. W polu Ważność wybierz poziom ważności.

  8. Stan jest domyślnie włączony. Aby zmienić regułę, przejdź do zakładki Aktywne reguły .

    Zrzut ekranu przedstawiający tworzenie nowej reguły z opcjami i wyborami.

  9. Wybierz kartę Ustaw logikę reguły.

  10. Wprowadź zapytanie w polu Kwerenda reguły . Przykład zapytania organizuje logowania użytkowników według UserPrincipalName.

    Zrzut ekranu przedstawiający tekst zapytania w polu Zapytanie reguły w obszarze Ustawianie logiki reguły.

  11. Przejdź do pozycji Planowanie zapytań.

  12. W polu Uruchom zapytanie co wprowadź 5 i minut.

  13. Aby wyszukać dane z ostatnich, wprowadź 5 i minut.

  14. Dla opcji Generuj alert, gdy liczba wyników zapytania wybierz Jest większa niż i 0.

  15. W obszarze Grupowanie zdarzeń wybierz pozycję Grupuj wszystkie zdarzenia w jeden alert.

  16. W polu Zatrzymaj uruchomione zapytanie po wygenerowaniu alertu wybierz pozycję Wyłączone.

  17. Naciśnij Dalej: Ustawienia incydentu (wersja zapoznawcza).

Zrzut ekranu przedstawiający wybrane opcje i opcje planowania zapytań.

  1. Przejdź do karty Przeglądanie i tworzenie , aby przejrzeć ustawienia reguły.

  2. Po wyświetleniu banera Walidacja zakończona pomyślnie wybierz opcję Utwórz.

    Zrzut ekranu z wybranymi ustawieniami, Baner Walidacji zakończonej pomyślnie i opcją Utwórz.

Wyświetlanie reguły i generowanych przez nią zdarzeń. Znajdź nowo utworzoną regułę niestandardową typu Zaplanowane w tabeli na karcie Aktywne reguły na stronie głównej

  1. Przejdź do ekranu Analizy .
  2. Wybierz kartę Aktywne reguły .
  3. W tabeli w obszarze Zaplanowane znajdź regułę.

Regułę można edytować, włączać, wyłączać i usuwać.

Zrzut ekranu aktywnych reguł z opcjami włączania, wyłączania, usuwania i edycji.

Klasyfikacja, badanie i korygowanie zdarzeń

Zdarzenie może zawierać wiele alertów i jest agregacją odpowiednich dowodów na potrzeby badania. Na poziomie zdarzenia można ustawić właściwości, takie jak Ważność i Stan.

Dowiedz się więcej: Badanie zdarzeń za pomocą usługi Microsoft Sentinel.

  1. Przejdź do strony Incydenty .

  2. Wybierz zdarzenie.

  3. Po prawej stronie zostaną wyświetlone szczegółowe informacje o zdarzeniu, w tym ważność, jednostki, zdarzenia i identyfikator zdarzenia.

    Zrzut ekranu przedstawiający informacje o zdarzeniu.

  4. W okienku Zdarzenia wybierz pozycję Wyświetl pełne szczegóły.

  5. Przejrzyj karty podsumowujące zdarzenie.

    Zrzut ekranu z listą incydentów.

  6. Wybierz Dowody>Zdarzenia>Połącz z Log Analytics.

  7. W wynikach zobacz wartość tożsamości UserPrincipalName próbującą się zalogować.

    Zrzut ekranu ze szczegółami zdarzenia.

Automatyczna odpowiedź

Usługa Microsoft Sentinel ma funkcje orkiestracji, automatyzacji i reagowania na zabezpieczenia (SOAR). Dołącz akcje automatyczne lub podręcznik do reguł analizy.

Zobacz, co to jest SOAR?

Powiadomienie e-mail o zdarzeniu

W tym celu użyj podręcznika z repozytorium GitHub usługi Microsoft Sentinel.

  1. Przejdź do skonfigurowanego podręcznika.
  2. Edytuj regułę.
  3. Na karcie Automatyczna odpowiedź wybierz podręcznik.

Dowiedz się więcej: Powiadomienie e-mail o incydencie

Zrzut ekranu z opcjami odpowiedzi automatycznych dla reguły.

Zasoby

Aby uzyskać więcej informacji na temat usług Microsoft Sentinel i Azure AD B2C, zobacz:

Następny krok

Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel

  • Last updated on