跳至主内容

Azure AD传感器

Azure AD是一种 扩展检测与响应 传感器,用于从Microsoft Entra ID(原Azure AD)收集并预处理用户和群组数据,涵盖其登录活动及配置变更。

Entra ID与 GravityZone 扩展检测与响应 的集成通过 Microsoft Graph API实现 ,并可选搭配 Azure事件中心 使用。

警告

建议使用Azure事件中心。仅依赖Microsoft Graph API可能导致从Microsoft Entra ID获取安全事件时出现延迟。

本节将指导您在 GravityZone 控制中心 .

重要提示

若使用混合Active Directory架构,请确保同时部署Active Directory传感器。详情请参阅 Active Directory传感器 .

先决条件

在设置Azure AD传感器以实现与Microsoft Entra ID集成前,请确保完成以下操作:

  • 为Microsoft Entra ID应用程序分配必要权限

  • 推荐:配置Azure事件中心

设置Microsoft Entra ID应用程序

  1. Microsoft Entra管理中心 中注册应用程序(若无现有应用)。详情参阅 向Microsoft身份平台注册应用程序 .

    请记录 应用程序(客户端)ID 目录(租户)ID .

  2. 根据传感器配置需求,为应用程序添加以下访问Microsoft Graph的应用程序权限。参见 Microsoft Graph应用程序权限 .

    1. 要在 GravityZone 中直接接收来自Microsoft Entra ID的事件并对事件采取响应操作,需要以下权限:

      • AuditLog.Read.All

      • Directory.Read.all

      • Mail.ReadWrite :用于删除电子邮件

      • User.ReadWrite.All , User.EnableDisableAccount.All :允许安全分析师禁用涉及 XDR 事件的用户账户。

      • User.ReadWrite.All , User.RevokeSessions.All :允许安全分析师强制重置涉及 XDR 事件的用户账户密码。

      • IdentityRiskyUser.Read.All :用于在 XDR 事件图谱详情面板中显示Microsoft Entra ID高风险用户信息

      • IdentityRiskyUser.ReadWrite.All :用于将用户账户标记为已泄露

    2. 若仅需接收Microsoft Entra ID的事件,以下权限即可满足需求:

      • AuditLog.Read.All

      • Directory.ReadAll

      • IdentityRiskyUser.Read.All

    重要提示

    • IdentityRiskyUser.ReadWrite.AllIdentityRiskyUser.Read.All 需要Microsoft Entra ID P2许可证。其他权限需要Microsoft Entra ID P1许可证。

    • 您需要为分配的应用程序权限授予管理员同意。

  3. 若要从 GravityZone XDR 事件直接强制重置Microsoft 365账户密码,必须将 用户管理员 角色分配给之前创建的应用程序。请按以下步骤操作:

    1. Microsoft Entra管理中心 中,导航至 身份 > 角色与管理员 > 角色与管理员 (位于左侧菜单)。

    2. 搜索 用户管理员 角色并选中。

    3. 选择 添加分配 .

    4. 点击 未选择成员 以打开 选择成员 弹出窗口。

    5. 搜索并选择您的应用程序。

    6. 点击 选择 ,然后 下一步 .

    7. 提供分配理由。

    8. 点击 分配 .

  4. 为了能对管理员用户执行响应操作,请将 全局管理员 角色分配给该应用程序。为此,请从第三步开始重复 全局管理员 角色的分配流程。

  5. 为应用程序生成客户端密钥(若尚未创建)。详情请参阅 添加客户端密钥 流程(位于 添加凭据 文档中)。

    请记录所添加客户端密钥的

配置Azure事件中心

若需通过Azure事件中心优化事件传递速度,还需完成以下步骤:

  1. Azure门户 中创建资源组(若尚未创建)。更多信息请参考 创建资源组 .

  2. 在资源组中创建事件中心命名空间。详情请参阅 创建事件中心命名空间 .

  3. 在命名空间内创建事件中心。更多信息请访问 创建事件中心 .

    重要提示

    • 分区数量 保留时间(小时) 需根据企业规模及活动级别设定。对于大型组织,若 GravityZone 无法及时处理所有事件数据,过短的保留期可能导致安全事件遗漏。增加分区数量可使 GravityZone 更高效处理安全事件。

      虽然无法提供精确数值,但我们建议设置4-8个分区和12小时保留期。这些设置能在性能、可靠性和成本效益间取得平衡。

      建议后续根据数据量和事件消费模式动态调整这些参数。

    • 在事件中心的 设置 部分,可查看事件中心名称及其关联的消费者组。若需传感器使用非默认消费者组,请点击 + 消费者组 创建新组。

  4. 为事件中心创建SAS策略并获取连接字符串。参考 命名空间中特定事件中心的连接字符串 .

    注意

    :建议为特定事件中心而非整个命名空间创建SAS策略。

  5. Microsoft Entra 管理中心 中,按照 将日志流式传输到事件中心 主题的前七个步骤操作,以启用日志路由至先前创建的事件中心。

    在第五步中,选择以下日志类别:

    • 审计日志

    • 登录日志

    • 配置日志

    • 高风险用户

    重要提示

    第七步必须选择先前创建的事件中心名称。

设置 Azure AD 传感器

要在 GravityZone 控制中心 配置 Azure AD 传感器,请按以下步骤操作:

  1. 前往 配置 > 传感器管理 页面(通过左侧菜单)。

  2. 选择 新增 以集成新传感器。

  3. 选择要部署传感器的公司。

  4. 选择 Azure AD 传感器并点击 集成 .

  5. 检查要求 页面,点击 确认 以证明先决条件步骤已完成。

  6. 为集成命名并提供 应用程序ID 客户端密钥 以及 租户ID (这些信息已在先决步骤中获取)。

  7. 如果在先决步骤中选择了使用Azure事件中心,请提供 事件中心连接字符串 事件中心名称 (这些信息已获取)。

    可选地,可指定非默认的消费者组。

  8. 如果在先决步骤中未选择使用Azure事件中心,请勾选 不使用Azure事件中心获取安全事件 选项。

  9. 点击 测试连接 .

  10. 点击 添加传感器 .

  11. 点击 完成 .

    新的集成将显示在 传感器管理 网格中。

本节内容 :