使用英语阅读

通过

教程:使用 Microsoft Sentinel 为 Azure Active Directory B2C 数据配置安全分析

  • 项目
  • 2025/05/18

重要

自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息

通过将日志和审核信息路由到 Microsoft Sentinel 来提高 Azure Active Directory B2C(Azure AD B2C)环境的安全性。 可缩放Microsoft Sentinel 是云原生的安全信息和事件管理(SIEM)和安全业务流程、自动化和响应(SOAR)解决方案。 将解决方案用于 Azure AD B2C 的警报检测、威胁可见性、主动搜寻和威胁响应。

了解详细信息:

使用 Azure AD B2C Microsoft Sentinel 的更多用途包括:

  • 使用分析和威胁智能功能检测以前未检测到的威胁,并最大程度地减少误报
  • 通过人工智能 (AI) 调查威胁
    • 大规模搜寻可疑活动,并从Microsoft多年的网络安全工作经验中获益
  • 通过常见的任务编排和自动化快速响应事件
  • 满足组织的安全性和合规性要求

在本教程中,你将学习如何:

  • 将 Azure AD B2C 日志传输到 Log Analytics 工作区
  • 在 Log Analytics 工作区中启用 Microsoft Sentinel
  • 在 Microsoft Sentinel 中创建示例规则以触发事件
  • 配置自动响应

使用 Azure Monitor Log Analytics 配置 Azure AD B2C

若要定义资源的日志和指标的发送位置,

  1. 在 Azure AD B2C 租户的 Microsoft Entra ID 中启用 诊断设置
  2. 配置 Azure AD B2C 以将日志发送到 Azure Monitor。

了解详细信息, 使用 Azure Monitor 监视 Azure AD B2C

部署 Microsoft Sentinel 实例

将 Azure AD B2C 实例配置为将日志发送到 Azure Monitor 后,启用Microsoft Sentinel 实例。

重要

若要启用 Microsoft Sentinel,请获取Microsoft Sentinel 工作区所在的订阅的参与者权限。 若要使用 Microsoft Sentinel,请使用工作区所属资源组的参与者或读者权限。

  1. 登录到 Azure 门户

  2. 选择在其中创建 Log Analytics 工作区的订阅。

  3. 搜索“Microsoft Sentinel”并将其选中。

    在搜索栏中输入“Azure Sentinel”后的屏幕截图,以及随后出现的 Azure Sentinel 选项。

  4. 选择 并添加

  5. 搜索工作区 字段中,选择新工作区。

    “选择要添加到 Azure Sentinel 的工作区”下的搜索工作区字段的屏幕截图。

  6. 选择 “添加Microsoft Sentinel”。

    备注

    可以在多个工作区上运行 Microsoft Sentinel,但数据在单个工作区中隔离。
    请参阅快速入门:加入 Microsoft Sentinel

创建Microsoft Sentinel 规则

启用 Microsoft Sentinel 后,在 Azure AD B2C 租户中发生可疑事件时收到通知。

可以创建自定义分析规则来发现环境中的威胁和异常行为。 这些规则搜索特定事件或事件集,并在满足事件阈值或条件时发出警报。 然后生成事件以供调查。

请参阅创建自定义 分析规则来检测威胁

备注

Microsoft Sentinel 具有模板来创建威胁检测规则,用于搜索数据中的可疑活动。 在本教程中,将创建规则。

强制访问失败的通知规则

使用以下步骤接收有关两次或更多次失败的强行访问尝试进入您的系统的通知。 例如暴力攻击。

  1. 在Microsoft Sentinel 的左侧菜单中,选择 “分析”。

  2. 在顶部栏中,选择“ + 创建>计划查询规则”。

    “分析”下的“创建”选项的屏幕截图。

  3. 在“分析规则”向导中,转到 “常规”。

  4. 对于“名称”,请输入不成功的登录的名称。

  5. 对于“说明”,指示规则在 60 秒内通知两次或更多次登录失败。

  6. 对于 策略,请选择一个类别。 例如,选择 PreAttack

  7. 对于 严重性,请选择严重性级别。

  8. 状态 默认 为“已启用 ”。 若要更改规则,请转到 “活动规则 ”选项卡。

    “创建新规则”的屏幕截图,其中包含选项和选择。

  9. 选择“设置规则逻辑”选项卡。

  10. “规则”查询 字段中输入查询。 查询示例按 UserPrincipalName 整理登录。

    “设置规则逻辑”下的“规则查询”字段中查询文本的屏幕截图。

  11. 转到查询计划

  12. 对于“运行查询间隔”,请输入“5”和“分钟”。

  13. 对于“查找过去时段内的数据”,请输入“5”和“分钟”。

  14. 对于 在查询结果数时生成警报,请选择 “大于”和 “0”。

  15. 对于 事件分组,请选择 将所有事件分组到单个警报中

  16. 对于 生成警报后停止运行查询,请选择 “关闭”。

  17. 选择“下一步:事件设置”(预览版)。

查询计划选择和选项的屏幕截图。

  1. 转到“ 审阅并创建 ”选项卡以查看规则设置。

  2. 出现 “验证通过” 横幅时,选择“ 创建”。

    所选设置、“验证通过”横幅和“创建”选项的屏幕截图。

查看规则及其生成的事件。 在主“活动规则”选项卡下的表中查找新创建的自定义规则,类型为“计划

  1. 转到 “分析” 屏幕。
  2. 选择 “活动规则 ”选项卡。
  3. 在表中的“已计划”下,找到规则。

可以编辑、启用、禁用或删除规则。

“启用”、“禁用”、“删除”和“编辑”选项的活动规则的屏幕截图。

分类、调查和处置事件

事件可以包含多个警报,并且是调查的相关证据的聚合。 在事件级别,可以设置严重性和状态等属性。

了解详细信息: 使用 Microsoft Sentinel 调查事件

  1. 转到 “事件” 页。

  2. 选择事件。

  3. 右侧会显示详细的事件信息,包括严重性、实体、事件和事件 ID。

    显示事件信息的屏幕截图。

  4. 在“ 事件 ”窗格中,选择 “查看完整详细信息”。

  5. 查看汇总事件的选项卡。

    事件列表的屏幕截图。

  6. 选择证据>事件>链接到 Log Analytics

  7. 在结果中,查看尝试登录的标识 UserPrincipalName 值。

    事件详细信息的屏幕截图。

自动响应

Microsoft Sentinel 具有安全业务流程、自动化和响应 (SOAR) 函数。 将自动化操作或 playbook 附加到分析规则。

请参阅, 什么是 SOAR?

事件电子邮件通知

对于此任务,请使用 Microsoft Sentinel GitHub 存储库中的剧本。

  1. 转到已配置的 playbook。
  2. 编辑规则。
  3. 在“自动响应”选项卡上,选择剧本。

了解详细信息:事件电子邮件通知

规则的自动响应选项的屏幕截图。

资源

有关 Microsoft Sentinel 和 Azure AD B2C 的详细信息,请参阅:

后续步骤

处理 Microsoft Sentinel 中的误报