跳至主内容

Azure AD传感器

Azure AD是一种 扩展检测与响应 传感器,用于从Microsoft Entra ID(原Azure AD)收集并预处理用户与群组数据,包括其登录活动及配置变更信息。

Entra ID与 GravityZone XDR 的集成通过 Microsoft Graph API 实现, Azure Event Hubs 可作为可选补充。

警告

建议使用Azure Event Hubs。仅使用Microsoft Graph API可能导致从Microsoft Entra ID获取安全事件时出现延迟。

本节将指导您在 GravityZone 控制中心 .

重要提示

若使用混合Active Directory设置,请确保同时部署Active Directory传感器。更多信息请参阅 Active Directory传感器 .

先决条件

在设置Azure AD传感器以实现与Microsoft Entra ID集成前,请确保完成以下操作:

  • 为Microsoft Entra ID应用程序分配必要权限

  • 推荐:配置Azure事件中心

设置Microsoft Entra ID应用程序

  1. Microsoft Entra管理中心 中注册应用程序(若尚未注册)。详情请参阅 向Microsoft身份平台注册应用程序 .

    请记录 应用程序(客户端)ID 以及 目录(租户)ID .

  2. 根据传感器配置需求,为您的应用程序添加以下应用程序权限以访问Microsoft Graph。具体请参阅 Microsoft Graph应用程序权限 .

    1. 若需直接在 GravityZone 中接收Microsoft Entra ID事件并针对事件执行响应操作,需具备以下权限:

      • AuditLog.Read.All

      • Directory.Read.all

      • Mail.ReadWrite :用于删除电子邮件

      • User.ReadWrite.All , User.EnableDisableAccount.All :允许安全分析师禁用涉及 XDR 事件的用户账户

      • User.ReadWrite.All , User.RevokeSessions.All :允许安全分析师强制重置涉及 XDR 事件的用户账户密码

      • IdentityRiskyUser.Read.All :用于在 XDR 事件图谱详情面板中显示Microsoft Entra ID高风险用户信息

      • IdentityRiskyUser.ReadWrite.All :用于将用户账户标记为已泄露

    2. 若仅需接收来自Microsoft Entra ID的事件,以下权限已足够:

      • AuditLog.Read.All

      • Directory.ReadAll

      • IdentityRiskyUser.Read.All

    重要提示

    • IdentityRiskyUser.ReadWrite.AllIdentityRiskyUser.Read.All 需要Microsoft Entra ID P2许可证。其他权限需Microsoft Entra ID P1许可证。

    • 需为分配的应用程序权限授予管理员同意。

  3. 若需直接从 GravityZone XDR 事件中强制重置Microsoft 365账户密码,必须为先前创建的应用程序分配 用户管理员 角色。请按以下步骤操作:

    1. Microsoft Entra管理中心 中,导航至 身份 > 角色与管理员 > 角色与管理员 (位于左侧菜单)。

    2. 搜索 用户管理员 角色并选中。

    3. 选择 添加分配 .

    4. 点击 未选择成员 以打开 选择成员 弹窗。

    5. 搜索并选择您的应用。

    6. 点击 选择 ,然后 下一步 .

    7. 提供分配理由。

    8. 点击 分配 .

  4. 为了能对管理员用户执行响应操作,请将 全局管理员 角色分配给该应用程序。为此,请从第三步开始重复 全局管理员 角色的分配流程。

  5. 为应用程序生成客户端密钥(若尚未拥有)。详情请参阅 添加客户端密钥 章节(位于 添加凭据 文章中)。

    请记录所添加客户端密钥的

配置Azure事件中心

若需通过Azure事件中心优化事件传输速度,还需完成以下步骤:

  1. Azure门户 中创建资源组(若尚未创建)。详情请参阅 创建资源组 .

  2. 在资源组中创建事件中心命名空间。具体操作参见 创建事件中心命名空间 .

  3. 在命名空间内创建事件中心。更多信息请访问 创建事件中心 .

    重要提示

    • 请根据企业规模和活动水平设置 分区数量 保留时间(小时) 。对于大型企业,若 GravityZone 无法及时处理所有事件数据,过短的保留时间可能导致安全事件遗漏。增加分区数量可提升 GravityZone 处理安全事件的效率。

      虽然无法提供精确数值,但建议设置4-8个分区及12小时保留时间,可在性能、可靠性和成本效益间取得平衡。

      建议后续根据数据量和事件消费模式动态调整这些参数。

    • 在事件中心的 设置 区域可查看事件中心名称及其关联的消费组。若需传感器使用非默认消费组,请点击 + 消费组 创建新组。

  4. 为事件中心创建SAS策略并获取连接字符串。参考 命名空间中特定事件中心的连接字符串 .

    注意

    建议为特定事件中心而非整个命名空间创建SAS策略。

  5. Microsoft Entra管理中心 中,按照 将日志流式传输到事件中心 主题的前七个步骤,启用日志路由至先前创建的事件中心。

    在第五步,选择以下日志类别:

    • 审计日志

    • 登录日志

    • 配置日志

    • 高风险用户

    重要提示

    第七步必须选择先前创建的事件中心名称。

设置Azure AD传感器

要在 GravityZone 控制中心 配置Azure AD传感器,请按以下步骤操作:

  1. 从左侧菜单进入 配置 > 传感器管理 页面。

  2. 选择 新增 以集成新传感器。

  3. 选择 Azure AD 传感器并点击 集成 .

  4. 检查要求 页面,点击 确认 以证明先决条件步骤已完成。

  5. 为集成命名并提供 应用程序ID 客户端密钥 以及 租户ID (这些信息已在先决条件步骤中获取)。

  6. 如果在先决条件步骤中选择了使用Azure事件中心,请提供 事件中心连接字符串 事件中心名称 (这些信息已获取)。

    可选地,可以提供非默认的消费者组。

  7. 如果在先决条件步骤中未选择使用Azure事件中心,请勾选 不使用Azure事件中心获取安全事件 选项。

  8. 点击 测试连接 .

  9. 点击 添加传感器 .

  10. 点击 完成 .

    新集成将显示在 传感器管理 网格中。

本节内容 :