תיעוד, ניתוח וניטור מידע הוא אחד החלקים החשובים של Microsoft Entra, החל מתיעוד של תעבורת רשת וסוגיו, דרך ניטור פרופיל התחברות ועד ניתוח התנהגויות של משתמשי קצה מול מערכות ואפליקציות. הפעלת לוגים של Global Secure Access היא חלק פשוט יחסית אבל כמו תמיד צריך להבין לעומק היכן הלוגים נמצאים, מהן הפעולות שנרשמות, איזה סוגי לוגים קיימים והיכן הפערים, ולאלה מצטרפים עוד שאלות רבות.

מאמר שמתמקד בתיעוד של לוגים ב Entra Internet Access ובדרכים השונות של הפעלה ועוד

המאמר הנוכחי מתמקד בחיבור הלוגים של Global Secure Access אל מול Microsoft Sentinel וניטור הלוגים הרלוונטייםֿ ולאחר מכן ניטור החיבור של מכונה עם פרופיל Microsoft 365.

לוגים למכביר

חיבור, אינטגרציה והזרמת לוגים אל Microsoft Sentinel היא דבר פשוט יחסית, ברוב הקונקטורים (Data Connector) מדובר על פעולות קצרות ופשוטות, בפרט, חיבור של Microsoft Entra. כאשר אנו מחברים את הקונקטור של Microsoft Entra (עדיין Azure AD) עם סוגי הלוגים השונים, אנו יכולים לעבוד עם לוגים שונים, החל מהלוג המוכר של SigninLogs, דרך AADNonInteractiveUserSignInLogs ועד הלוג החדש של NetworkAccessTraffic.

בקונקטור של Microsoft Entra ישנם לוגים נוספים שיכולים לסייע ביומיום, ואלה המוזכרים הם הלוגים הישירים של Global Secure Access. לוגים נוספים יכולים לסייע בפעולות נוספות אך אין בהם צורך ישיר.

טיפ: חיבור סוגי לוגים בקונקטור של Azure AD צריך להיעשות בצורה חכמה, שכן, חיבור כלל סוגי הלוגים לעיתים אינו נדרש ויכול להיות לזה השלכות, כמו, עלויות גבוהות.

הלוגים שאנו צריכים לניטור ולפיתוח תוכן מול Global Secure Access הם הלוגים הבאים:

• NetworkAccessTraffic
• SigninLogs
• AADNonInteractiveUserSignInLogs

טיפ: חשוב להדגיש כי הלוגים המוזכרים מעלה הם הלוגים המרכזיים שנדרשים לניטור, ובפרט NetworkAccessTraffic של תעבורת Microsoft 365. 

ברגע שהקונקטור מוגדר עם הלוגים האלה אנו יכולים להמשיך הלאה ולהבין את הפורמט של הלוג, ארטיפקטים שניתן להוציא מתוך הלוג, ואיך ניתן דרכו לפתח תוכן ב Microsoft Sentinel שכולל, חוקי זיהוי, חוקי Hunting וכן הלאה.

הרצת חיפוש עם שאילתה פשוטה תציג לנו מידע מתוך סוגי לוגים ובפרט כטבלאות, וכמו שניתן לראות ישנם מספר טבלאות, טרנזקציות, סוג התעבורה.

הטבלה או הסוג לוג הכי חשוב הוא NetworkAccessTraffic. הלוג של NetworkAccessTraffic מייצג ערכים מגוונים של תנועות גישה לרשת. הוא מכיל מידע מקיף בנוגע לאירועי תעבורת רשת, ומציע תובנות מפורטות לגבי אופי ומאפייני התעבורה באמצעות Global Secure Access.

כניסה אל רקורד ספציפי תציג תמונה מעניינת ועשירה של פעולות המשתמש, כמו, כתובות IP, סוג הגישה, פרופיל, פורטים, טרנזקציות נוספות, נתיבי גישה ועוד. אלה מאפשרים לנו לקבל נוף עשיר ומדויק של המשתמש ופעולותיו.

בכדי לנטר לוג מסוג NetworkAccessTraffic כדאי להבין את הפורמט ואיך הוא בנוי. אחת מכל אותן דרכים היא יכולה להיות באמצעות גישה אל Microsoft Graph. בגישה אל Microsoft Graph נוכל לתשאל אובייקטים נדרשים ולקבל את המאפיינים, בכתובת של Microsoft Graph נוכל לקבל את התשובה (Response View).

אפשר לשים את הכתובת הבאה ועם הרשאות נכונות לקבל את התשובה: https://graph.microsoft.com/beta/networkAccess/microsoft.graph.networkaccess.onboard/

טיפ: גישה אל הלוג באמצעות הגרף תהיה microsoft.graph.networkaccess.

ברגע שיש את הערכים המייצגים של הלוג נוכל להמשיך בניתוח הארטיפקטים והבנת הפעולות. שוב, גם כאן, חשוב לדעת כי הלוג העשיר של NetworkAccessTraffic הוא בעל ערך, אך ללא הלוג של SigninLogs לא נוכל להשלים את התמונה של פעולות המשתמש.

ברגע שיש את הלוגים מחוברים אנו יכולים להמשיך ךלךק הבא שהוא ניטור ויציר תוכן.

יצירת תוכן

יצירת תוכן או פיתוח תוכן בפלטפורמות SIEM ובפרט ב Microsoft Sentinel הוא ערך עליון כי ככל שיהיה לנו תוכן בעל ערך כמו, זיהוי, נראות ופערים, כך נוכל להבין את המצב בשטח ומשם להתקתדם למחוזות מתקדמים יותר. פיתוח תוכן ב Microsoft Sentinel זה הרבה KQL . עם זאת זאת חשוב להדגיש כי התוכן צריך להיות איכותי ומוצמד לתהליכים בארגון (פלייבוק טכני).

כיגוע, כמו בכל תהליך צריך להבין איך הלוג עובד בכדי ליצור את התוכן המבוקש ולכן במאמר הזה יהיה לנו תוכן מאוד ספציפי וחלק מיריעה רחבה יותר של כיסוי, נראות והבנה של תרחישים נוספים.

הדרך ליצירת חוקים

תחילה נתשאל את הלוג של NetworkAccessTraffic, שם נקבל המון רקורדים. הרקורדים יכולים להיות חלק מכניסה של משתמש קצה או ביצוע תהליך חיבור ראשוני וכן הלאה. לרוב הרקורדים יציגו כניסות של משתמשי קצה. הטבלה של NetworkAccessTraffic היא העיקרית כאן אבל בעוד מספר פעולות נבין שיש טבלאות נוספות במשחק.

הערכים החשובים בטבלה של NetworkAccessTraffic הם:

• TenantId
• TransactionId
• ConnectionId
• TrafficType
• DeviceCategory
• DestinationIp
• SourceIp
• AgentVersion
• DeviceId
• UserPrincipalName
• TransportProtocol
• PolicyId

לאחר מכן אנו צריכים לשלב את הטבלאות של NetworkAccessTraffic יחד עם SigninLogs בכדי להבין איך המשתמש התחבר והמשך האם היו כשלים ספציפיים. תחילה נקבל הבנה לגבי צורת החיבור של המשתמש. לצורך כך נריץ את השאילתה הבאה:

NetworkAccessTraffic
| where TimeGenerated >= ago(3d)
| where TrafficType == “microsoft365”
and DestinationFqdn == “aps.globalsecureaccess.microsoft.com”
| join SigninLogs on UserPrincipalName
| extend DeviceDisplayName = tostring(DeviceDetail.displayName)
| where AppDisplayName == “ZTNA Network Access Client — M365”
| project TimeGenerated, UserDisplayName, TransactionId, TrafficType, SourceIp, ResultType, DeviceDisplayName

השאילתה משלבת בין שתי טבלאות של NetworkAccessTraffic יחד עם SigninLogs לטובת הצגת כניסות משתמש לפי הערכים הבאים:

• פרופיל וסוג התעבורה
• כניסה מול כתובת ספציפית של aps.globalsecureaccess.microsoft.com
• שילוב הטבלה של SigninLogs
• הוצאת הפלט של מכונה
• התניה מול אפליציית TNA Network Access Client — M365
• הצגת השדות הרלוונטיים

נוכל להוסיף את השורה הבאה לשאילתה בכדי להבין האם היו ניסיונות כושלים בחיבור

| where ResultType != “0”

מאמרים נוספים

מצרף מספר מאמרים נוספים של Microsoft Entra

Microsoft Entra connector for Microsoft Sentinel

מאמרים בעברית על Entra

networkAccessTraffic resource type