Azure Active Directory (Azure AD) 是一款基于云的身份和访问管理服务,它可以帮助组织保护用户、应用和数据。Azure AD 生成了多种类型的日志,记录了用户、设备、应用和服务的活动和事件。这些日志对于监视、审计和调查 Azure AD 的安全状况非常有用。
Microsoft Sentinel 是一款基于云的安全信息和事件管理 (SIEM) 和扩展检测和响应 (XDR) 解决方案,它可以帮助组织收集、分析和响应各种数据源的安全威胁。Microsoft Sentinel 提供了内置的连接器,可以从 Azure AD 收集数据,并将其流式传输到 Microsoft Sentinel 的工作区中。通过使用连接器,可以利用 Microsoft Sentinel 的强大功能,如工作簿、分析规则、事件、书签、狩猎查询等,来可视化、监视和调查 Azure AD 的日志。
在本文中,我们将介绍如何使用 Microsoft Sentinel 的内置连接器来收集和分析 Azure AD 的日志,包括以下步骤:
- 前提条件
- 连接 Azure AD
- 查询和可视化日志
- 创建分析规则和事件
-
使用工作簿进行监视
前提条件
在开始之前,你需要满足以下条件:
- 你需要有一个 Azure 订阅,并在其中创建一个 Microsoft Sentinel 工作区。如果你还没有,请参考 [快速入门:开始使用 Microsoft Sentinel](https://docs.microsoft.com/zh-cn/azure/sentinel/quickstart-onboard)。创建Microsoft Sentinel 工作区可以参考我之前的文章如何在几分钟内启用Microsoft Sentinel,打造智能的云原生安全运营中心
- 你需要有一个 Azure Active Directory 租户,并为其分配 Azure Active Directory P1 或 P2 许可证,以便收集登录日志。其他类型的日志不需要特定的许可证。
- 你需要有 Microsoft Sentinel 工作区的协作者角色,以及登录日志所在租户的全局管理员或安全管理员角色。此外,你还需要对 Azure AD 诊断设置具有读写权限,以便检查连接的状态。如果你还没有,请参考 [为用户分配角色](https://docs.microsoft.com/zh-cn/azure/role-based-access-control/role-assignments-steps ) 和 [配置诊断设置](https://docs.microsoft.com/zh-cn/azure/active-directory/reports-monitoring/howto-integrate-activity-logs-with-log-analytics#configure-diagnostic-settings )。
满足前提条件是连接 Azure AD 的必要步骤,因为它们可以确保你有足够的权限和资源来收集和分析日志。你可以通过查看连接器页面上的状态指示器来验证连接是否成功。
连接 Azure AD
要将 Azure AD 的数据连接到 Microsoft Sentinel,请按照以下步骤操作:
- 在 Microsoft Sentinel 中,从导航菜单中选择 **数据连接器**或者使用 **内容中心**安装Azure AD数据连接器。
- 在数据连接器库中,选择 **Azure Active Directory**,然后选择 **打开连接器页面**。
- 在要流式传输到 Microsoft Sentinel 的日志类型旁边,打开复选框,然后选择 **连接**。
连接成功后,你可以在
LogManagement
部分下方的
日志
中看到数据。根据不同的日志类型,你可以看到以下表格(示例):
- SigninLogs
- AuditLogs
- AADNonInteractiveUserSignInLogs
- AADServicePrincipalSignInLogs
- AADManagedIdentitySignInLogs
- AADProvisioningLogs
查询和可视化日志
要查询和可视化 Azure AD 的日志,请按照以下步骤操作:
- 在 Microsoft Sentinel 中,从导航菜单中选择 **日志**。
- 在查询窗口的顶部,输入相关表格名称,例如 `SigninLogs`。你可以使用 [Kusto 查询语言 (KQL)]来编写更复杂的查询,以筛选、分组、聚合和可视化数据。
- 选择 **运行**,然后在结果窗格中查看数据。你可以使用不同的图表类型来可视化数据,例如饼图、柱状图、时间线图等。你还可以将查询结果保存为函数或工作簿,以便以后使用。
查询和可视化日志可以帮助你深入了解 Azure AD 的活动和事件,以及发现异常和可疑的模式。例如,你可以使用以下查询来查看失败的登录尝试的数量和原因:
| SigninLogs | where ResultType != 0 | summarize count() by ResultDescription | render piechart |
创建分析规则和事件
要创建分析规则和事件,请按照以下步骤操作:
- 在 Microsoft Sentinel 中,从导航菜单中选择 **分析**。或者在内容中心中使用已经内置的分析规则
- 在模板库中,搜索和选择与 Azure AD 相关的模板,例如 **Azure AD 失败登录尝试** 或 **Azure AD 用户帐户被禁用**。你可以查看模板的详细信息,如名称、描述、严重性、查询、触发器等。
- 选择 **创建规则**,然后在规则向导中配置规则的设置,如名称、描述、实体映射、警报逻辑、触发器、响应等。
配置查询周期计划或者通过计划任务在特定时间进行运行
事件设置,页面,定义”根据此分析规则触发的警报创建事件”、”警报分组”
自动响应页面,根据实际环境查看此分析规则将触发的所有自动化规则,并创建新的自动化规则
我这里选择分配所有者
- 选择 **创建**,然后等待规则运行并生成事件。
创建分析规则和事件可以帮助你自动化检测和响应 Azure AD 的安全威胁,以及优先处理重要的警报。例如,你可以使用
Azure AD 失败登录尝试
模板来创建一个规则,该规则会在检测到多次失败的登录尝试时生成一个事件,并自动发送电子邮件通知给安全团队。
现在我们假定多次尝试失败登录Azure AD,之后该分析规则将基于预定策略每 1 hour运行一次查询
使用工作簿进行监视
要使用工作簿进行监视,请按照以下步骤操作:
- 在 Microsoft Sentinel 中,从导航菜单中选择 **威胁管理** > **工作簿**。
- 在工作簿页面中,搜索和选择与 Azure AD 相关的工作簿,例如 **Azure AD 审核日志** 或 **Azure AD 登录日志**。你可以查看工作簿的详细信息,如名称、描述、作者、版本等。
- 选择 **查看工作簿**,然后在工作簿页面中查看数据的可视化效果。你可以使用不同的参数来筛选和定制数据,例如时间范围、用户、位置等。
可以发现使用工作簿进行监视可以帮助你快速了解 Azure AD 的安全状态和趋势。
在本文中,我们介绍了如何使用 Microsoft Sentinel 的内置连接器来收集和分析 Azure AD 的日志。我们学习了如何连接 Azure AD,如何查询和可视化日志,如何创建分析规则和事件,以及如何使用工作簿进行监视。通过这些步骤,我们可以利用 Microsoft Sentinel 的强大功能来提高 Azure AD 的安全性和可见性。
后面我将演示使用Microsoft Sentinel Playbook来响应Azure AD 失败登录尝试,锁定用户账户,启动调查以及恢复用户账户并重置密码来演示更多SIEM和SOAR的可能性。
如果你喜欢这篇博客,还请分享给你的朋友和同事。如果你有任何问题或建议,请在下方留言,我会尽快回复你。谢谢你的阅读和支持!