Nachverfolgen und Untersuchen von Identitätsaktivitäten mit verlinkbaren Bezeichnern in Microsoft Entra

Microsoft bettet bestimmte Bezeichner in alle Zugriffstoken ein, die die Korrelation von Aktivitäten zurück zu einem einzelnen Stammauthentifizierungsereignis ermöglichen. Diese verlinkbaren Bezeichner werden in kundenorientierten Protokollen angezeigt, um Bedrohungssucher und Sicherheitsanalysten bei der Untersuchung und Verringerung von identitätsbasierten Angriffen zu unterstützen. Durch die Verwendung dieser Bezeichner können Sicherheitsexperten bösartige Aktivitäten über Sitzungen und Token hinweg effektiver nachverfolgen, analysieren und darauf reagieren, wodurch sowohl die Transparenz als auch die Sicherheit der Umgebung verbessert werden.

Typen von verlinkbaren Bezeichnern

Es gibt zwei Arten von verlinkbaren Bezeichnern, die zur Unterstützung erweiterter Identitätsuntersuchungs- und Bedrohungssucheszenarien verwendet werden: Sitzungs-ID-basierte Bezeichner und eindeutige Token-IDs.

Sitzungs-ID-basierte Kennungen

Ein Bezeichner basierend auf der Sitzungs-ID (SID-basierter Bezeichner) ermöglicht die Korrelation aller Authentifizierungsartefakte wie Zugriffstoken (AT),Aktualisierungstoken (RT) und Sitzungscookies, die aus einem einzigen Stammauthentifizierungsereignis ausgegeben wurden. Dieser Bezeichner ist besonders hilfreich für die Nachverfolgung von Aktivitäten in einer Sitzung.

Allgemeine SID-basierte Untersuchungsszenarien umfassen:

  • Aktivitäten über Dienste hinweg korrelieren: Beginnen Sie mit einer Sitzungs-ID aus Microsoft Entra Protokollen. Verbinden Sie sie mit Arbeitsauslastungsprotokollen, z. B. den Exchange Online Überwachungsprotokollen oder Microsoft Graph Aktivitätsprotokollen. Anschließend können Sie alle Aktionen identifizieren, die von Zugriffstoken ausgeführt werden, die dieselbe Sitzungs-ID verwenden.
  • Filtern nach Benutzer oder Gerät: Schmale Ergebnisse mithilfe von UserId oder DeviceId oder Filtern von Token, die innerhalb eines bestimmten Sitzungszeitrahmens ausgegeben wurden.
  • Aufzählen von Sitzungen: Bestimmen Sie, wie viele aktive Sitzungen für einen bestimmten Benutzer (UserId) oder ein Bestimmtes Gerät (DeviceId) vorhanden sind.
  • Link über Authentifizierungs-Artefakte: Der Anspruch auf die SID wird während der interaktiven Authentifizierung generiert und im Lieferumfang des primären Tokens (PRT), des Aktualisierungs-Tokens oder des Sitzungscookies enthalten. Alle von diesen Quellen ausgegebenen Zugriffstoken erben dieselbe SID und ermöglichen eine konsistente Verknüpfung über Authentifizierungsartefakte hinweg.

Eindeutige Token-IDs

Der eindeutige Tokenbezeichner (Unique Token Identifier, UTI) ist ein global eindeutiger Bezeichner (GUID), der in jedem Microsoft Entra Access-Token (AT) oder ID-Token eingebettet ist. Es identifiziert jedes Token oder jede Anforderung eindeutig und bietet eine differenzierte Rückverfolgbarkeit.

Ein gängiges UTI-basiertes Untersuchungsszenario ist die Ablaufverfolgung auf Tokenebene. Beginnen Sie mit einer UTI aus Microsoft Entra Anmeldeprotokollen, und korrelieren Sie sie mit Arbeitsauslastungsprotokollen, z. B. den Exchange Online Überwachungsprotokollen oder Microsoft Graph Aktivitätsprotokollen, um alle Aktionen zu verfolgen, die von einem bestimmten Zugriffstoken ausgeführt werden.

Der UTI ist für jedes Zugriffstoken und jede Sitzung einzigartig, was ihn ideal macht, um verdächtige oder kompromittierte Token während Untersuchungen zu identifizieren.

Verknüpfungsfähige Bezeichneransprüche

In dieser Tabelle werden alle verknüpfungsfähigen Bezeichneransprüche in den Entra-Token beschrieben.

Anspruch Format Beschreibung
oid Zeichenfolge, eine GUID Der unveränderliche Bezeichner für den Anforderer, d. h. die überprüfte Identität des Benutzers oder Dienstprinzipals. Mit dieser ID wird der Anforderer anwendungsübergreifend eindeutig identifiziert.
tid Zeichenfolge, eine GUID Stellt den Mandanten dar, bei dem sich der Benutzer anmeldet.
sid Zeichenfolge, eine GUID Stellt einen eindeutigen Bezeichner für eine gesamte Sitzung dar und wird generiert, wenn ein Benutzer die interaktive Authentifizierung durchführt. Diese ID hilft beim Verknüpfen aller Authentifizierungsartefakte, die aus einer einzigen Stammauthentifizierung ausgestellt wurden.
Geräte-ID Zeichenfolge, eine GUID Stellt einen eindeutigen Bezeichner für das Gerät dar, von dem ein Benutzer mit einer Anwendung interagiert.
uti Schnur Stellt den Token-Identifikatoranspruch dar. Bei dieser ID handelt es sich um einen eindeutigen Bezeichner für jedes Token, bei der die Groß-/Kleinschreibung beachtet wird.
iat Integer, ein UNIX-Zeitstempel Gibt an, wann die Authentifizierung für dieses Token erfolgt ist.

Protokollverfügbarkeit für verlinkbare Bezeichner

Derzeit werden verlinkbare Bezeichner in den folgenden Protokollquellen aufgezeichnet:

  • Microsoft Entra Anmeldeprotokolle
  • Microsoft Exchange Online Überwachungsprotokolle
  • Microsoft Graph Aktivitätsprotokolle
  • Microsoft Office SharePoint Online Überwachungsprotokolle
  • Microsoft Teams Überwachungsprotokolle

Diese Protokolle ermöglichen Sicherheitsanalysten das Korrelieren von Authentifizierungsereignissen und der Tokennutzung über Dienste hinweg und unterstützen umfassende Untersuchungen zu identitätsbezogenen Bedrohungen.

Verlinkbare Bezeichner in Microsoft Entra Anmeldeprotokollen

Alle Anmeldeprotokolleinträge weisen die linkbaren Bezeichneransprüche auf. Die folgende Tabelle zeigt die Zuordnung zwischen Ansprüchen verknüpfbarer Bezeichner und Attributen des Entra-Anmeldeprotokolls.

Anspruch Entra Anmelden, Protokollieren, Attributname
oid Benutzer-ID
tid Ressource Mieter ID
sid Sitzungs-ID
Geräte-ID Geräte-ID
uti Eindeutiger Tokenbezeichner
iat Datum

So zeigen Sie die Anmeldeprotokolle aus dem Microsoft Entra Admin Center an:

  1. Melden Sie sich mindestens als Reports Reader beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Microsoft Entra ID>Überwachung und Gesundheit>Sign-in-Protokolle.
  3. Filtern Sie nach Zeit oder nach bestimmten Benutzern, um die spezifischen Protokolleinträge anzuzeigen.
  4. Wählen Sie einen beliebigen Anmeldeprotokolleintrag aus.
  5. Grundlegende Informationen zeigen die Benutzer-ID, die Ressourcenmandanten-ID, die Sitzungs-ID, den eindeutigen Tokenbezeichner und das Datum an. Geräte zeigen die Geräte-ID für registrierte und domänenverbundene Geräte an.

Screenshot des Anmeldeprotokolleintrags im Microsoft Entra Admin Center.

Screenshot des Anmeldeprotokolleintrags mit verlinkbaren Bezeichnern.

Beginnen Sie mit dem Attribut "Benutzer-ID" in Microsoft Entra Anmeldeprotokollen, und durchsuchen Sie dann die Arbeitsauslastungsüberwachungsprotokolle, um alle Aktivitäten mithilfe eines bestimmten Zugriffstokens nachzuverfolgen. Verwenden Sie auch das Attribut "Session ID", um die Arbeitsauslastungsüberwachungsprotokolle zu durchsuchen und alle Aktivitäten innerhalb einer Sitzung nachzuverfolgen.

Verlinkbare Bezeichner in Microsoft Exchange Online Protokollen

Exchange Online Überwachungsprotokolle bieten Einblicke in kritische Benutzeraktivitäten und unterstützen eingehende Untersuchungen, indem detaillierte Überwachungsereignisse erfasst werden. Zu diesen Protokollen gehören verknüpfbare Bezeichner, die von Microsoft Entra-Token übertragen werden, was die Korrelation über Authentifizierungsartefakte und Workloads hinweg ermöglicht.

Unterstützte Untersuchungsszenarien

Für Szenarien wie Postfachaktualisierungen, Elementverschiebungen oder Löschungen können Sie folgende Aktionen ausführen:

  • Beginnen Sie mit verlinkbaren IDs aus Microsoft Entra Anmeldeprotokollen, z. B. Sitzungs-ID (SID) oder eindeutiger Tokenbezeichner (UTI).
  • Verwenden Sie diese Bezeichner, um Microsoft Purview Audit (Standard) oder Audit (Premium) Protokolle zu durchsuchen.
  • Verfolgen Sie alle Benutzeraktionen, die während einer bestimmten Sitzung oder durch ein bestimmtes Token für Postfachelemente ausgeführt werden.

Dieser Ansatz ermöglicht Es Sicherheitsanalysten, Aktivitäten über Dienste hinweg nachzuverfolgen und potenziellen Missbrauch oder Kompromittierungen zu identifizieren.

Ausführliche Anleitungen zum Durchsuchen von Exchange Online Überwachungsprotokollen finden Sie unter Suche des Überwachungsprotokolls.

Diese Tabelle zeigt die Zuordnung zwischen verknüpfbaren Bezeichneransprüchen und Audit-Log-Attribut von Exchange Online.

Anspruch Exchange Online Name des Überwachungsprotokoll-Attributs
oid TokenObjectId
tid TokenTenantId
sid SessionID / AADSessionId im Objekt App Zugriffskontext
Geräte-ID DeviceId (nur für registrierte/domänenverbundene Geräte verfügbar)
uti UniqueTokenId im Objekt App Zugriffskontext
iat IssuedAtTime innerhalb des Objekts App Access Context

Anzeigen von Exchange Online-Protokollen mithilfe des Microsoft Purview Portals

  1. Wechseln Sie zu Microsoft Purview-Portal.

  2. Suchen Sie nach Protokollen mit einem bestimmten Zeitrahmen und Datensatztypen, beginnend mit Exchange.

    Screenshot von Microsoft Purview-Portal mit der Suche nach Protokollen mit Exchange workload.

  3. Sie können nach einem bestimmten Benutzer oder einem UTI-Wert aus Microsoft Entra Anmeldeprotokollen weiter filtern. Sie können alle Aktivitätsprotokolle innerhalb einer Sitzung filtern mit SessionId.

  4. Die Ergebnisse zeigen alle verlinkbaren Bezeichner an.

    Screenshot von dem Microsoft Purview Portal, das ein Protokollelement mit verlinkbaren Bezeichnern zeigt.

    Screenshot des Microsoft Purview-Portals mit detailliertem Protokollelement.

  5. Exportieren Sie das Überwachungsprotokoll und untersuchen Sie spezifisch nach einem bestimmten SessionId oder UniqueTokenId für alle Aktivitäten in Exchange Online.

Anzeigen der Exchange Online Protokolle mithilfe von PowerShell-Cmdlets

  1. Führen Sie PowerShell als Administrator aus.

  2. Wenn das ExchangeOnlineManagement-Modul nicht installiert ist, führen Sie Folgendes aus:

    Install-Module -Name ExchangeOnlineManagement

  3. Herstellen einer Verbindung mit Exchange Online:

    Connect-ExchangeOnline -UserPrincipalName <user@4jkvzv.onmicrosoft.com>

  4. Führen Sie einige Postfachbefehle aus:

    Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 97MB

    Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 98MB

    Set-Mailbox user@4jkvzv.onmicrosoft.com -MaxSendSize 99MB

  5. Durchsuchen des einheitlichen Überwachungsprotokolls:

    Search-UnifiedAuditLog -StartDate 01/06/2025 -EndDate 01/08/2025 -RecordType ExchangeItem, ExchangeAdmin, ExchangeAggregatedOperation, ExchangeItemAggregated, ExchangeItemGroup, ExchangeSearch

  6. Die Ergebnisse weisen alle verlinkbaren Bezeichner auf.

Hinweis

Die verlinkbaren Bezeichner sind in den Exchange Online Überwachungsprotokollen für einige aggregierte Protokolleinträge oder aus Hintergrundprozessen generierte Protokolle nicht verfügbar.

Weitere Informationen finden Sie unter Exchange Online PowerShell.

Verknüpfungsfähige Bezeichner in Microsoft Graph Aktivitätsprotokollen

Microsoft Graph Aktivitätsprotokolle stellen einen Überwachungspfad aller HTTP-Anforderungen bereit, die vom Microsoft Graph Dienst für einen Mandanten empfangen und verarbeitet werden. Diese Protokolle werden in einem Log Analytics Arbeitsbereich gespeichert, wodurch erweiterte Analysen und Untersuchungen ermöglicht werden.

Wenn Sie Microsoft Graph Aktivitätsprotokolle so konfigurieren, dass sie an einen Log Analytics Arbeitsbereich gesendet werden, können Sie sie mit Kusto Query Language abfragen. Auf diese Weise können Sie detaillierte Untersuchungen zu Benutzer- und Anwendungsverhalten über Microsoft 365 Dienste hinweg durchführen.

Untersuchungsszenarien mit verlinkbaren Bezeichnern

Für Szenarien mit Microsoft Graph Aktivität können Sie folgende Aktionen ausführen:

  • Beginnen Sie mit verlinkbaren Bezeichnern aus Microsoft Entra Anmeldeprotokollen, z. B. SID oder UTI.
  • Verwenden Sie diese Bezeichner, um Benutzeraktionen in Microsoft Graph Aktivitätsprotokollen zu korrelieren und zu verfolgen.
  • Verfolgen Sie alle Vorgänge nach, die durch ein bestimmtes Token oder eine bestimmte Sitzung an Postfachelementen oder anderen Ressourcen ausgeführt werden, indem Sie die Microsoft Graph-Aktivitätsprotokolle einsehen.

Diese Tabelle zeigt die Zuordnung zwischen verknüpfungsfähigen Bezeichneransprüchen und Microsoft Graph Aktivitätsprotokoll-Attribut.

Anspruch Attribute-Name im Microsoft Graph Aktivitätsprotokoll
oid Benutzer-ID
tid Mieter-ID
sid Sitzung-ID
Geräte-ID DeviceId (nur für registrierte und domänenverbundene Geräte verfügbar)
uti SignInActivityId
iat TokenIssuedAt

Anmeldeprotokolle und Aktivitätsprotokolle von Microsoft Graph mit KQL verknüpfen

Sie können kusto Query Language (KQL) verwenden, um Microsoft Entra Anmeldeprotokolle und Microsoft Graph Aktivitätsprotokolle für erweiterte Untersuchungsszenarien zu verbinden.

Filtern nach verlinkbaren Bezeichnern

  • Filtern nach uti: Verwenden Sie das uti-Attribut, um alle Aktivitäten zu analysieren, die einem bestimmten Zugriffstoken zugeordnet sind. Dies ist nützlich, um das Verhalten eines einzelnen Tokens über Dienste hinweg nachzuverfolgen.
  • Filtern nach sid (Sitzungs-ID): Verwenden Sie den Anspruch sid, um alle Aktivitäten zu analysieren, die von Bedienungshilfen, die von einem aktualisierten Token ausgestellt wurden, der von einer interaktiven Stamm-Authentifizierung stammt. Auf diese Weise können Sie den vollständigen Sitzungslebenszyklus nachverfolgen.
  • Zusätzliche Filterung: Sie können Ihre Abfragen mithilfe von Attributen wie UserId, DeviceId und zeitbasierten Filtern weiter verfeinern, um den Umfang Ihrer Untersuchung einzuschränken.

Mit diesen Funktionen können Sicherheitsanalysten Authentifizierungsereignisse mit Workloadaktivitäten korrelieren, die Sichtbarkeit und Reaktion auf identitätsbezogene Bedrohungen verbessern.

MicrosoftGraphActivityLogs
| where TimeGenerated > ago(4d) and UserId == '4624cd8c-6c94-4593-b0d8-a4983d797ccb'
| join kind=leftouter (union
SigninLogs,
AADNonInteractiveUserSignInLogs,
AADServicePrincipalSignInLogs,
AADManagedIdentitySignInLogs,
ADFSSignInLogs
| where TimeGenerated > ago(4d))
on $left.SignInActivityId == $right.UniqueTokenIdentifier

Screenshot der Ergebnisse einer KQL-Abfrage, die zusammenhängende Protokolle zeigt.

Weitere Informationen zu Abfragen in Log Analytics Workspace finden Sie unter Analyze Microsoft Entra Aktivitätsprotokolle mit Log Analytics.

Beispielszenario: Nachverfolgen von Benutzeraktivitäten über Exchange Online und Microsoft Graph

In diesem Beispiel wird gezeigt, wie Die Aktionen eines Benutzers über Microsoft 365 Dienste hinweg mithilfe von verlinkbaren Bezeichnern und Überwachungsprotokollen nachverfolgt werden.

Szenarioübersicht

Ein Benutzer führt die folgende Abfolge von Aktionen aus:

  1. Meldet sich bei Office.com Der Benutzer initiiert eine interaktive Authentifizierung und generiert ein Stammtoken. Dieses Token enthält verlinkbare Bezeichner wie die Sitzungs-ID (SID) und den Eindeutigen Tokenbezeichner (Unique Token Identifier, UTI), die an nachfolgende Token weitergegeben werden.

  2. Greift auf Microsoft Graph Der Benutzer interagiert mit Microsoft Graph APIs, um Organisationsdaten abzurufen oder zu ändern. Jede Anforderung wird in den Microsoft Graph Aktivitätsprotokollen protokolliert, wobei die zugeordnete SID und UTI die Korrelation mit dem ursprünglichen Anmeldeereignis ermöglichen.

  3. Verwendet Exchange Online (Outlook) Der Benutzer öffnet Outlook über Exchange Online und führt Postfachvorgänge wie Lesen, Verschieben oder Löschen von E-Mails aus. Diese Aktionen werden in Exchange Online Überwachungsprotokollen erfasst, die auch dieselben verlinkbaren Bezeichner enthalten.

Mithilfe der SID können Analysten alle Aktivitäten über Dienste nachverfolgen, die von derselben Sitzung stammen. Alternativ kann die UTI zum Anheften von Aktionen verwendet werden, die an ein bestimmtes Zugriffstoken gebunden sind.

  1. Finden Sie die Leitung, Zeile des interaktiven Anmeldeprotokolls in den Anmeldeprotokollen und sammeln Sie das SessionId:

    Screenshot der interaktiven Anmeldeprotokollzeile mit Sitzungs-ID.

  2. Fügen Sie einen Filter nach SessionId. Sie können die SessionId für interaktive oder nicht interaktive Anmeldedaten erhalten.

    Interaktive Anmeldungen:

    Screenshot der interaktiven Anmeldungen, die nach Sitzungs-ID gefiltert werden.

    Nichtinteraktive Anmeldungen:

    Screenshot von nicht interaktiven Anmeldungen, die nach Sitzungs-ID gefiltert wurden.

  3. Um alle Aktivitäten des Benutzers innerhalb dieser spezifischen Sitzung bei der Microsoft Graph-Arbeitslast zu erfassen, wechseln Sie im Microsoft Entra Admin Center zu Log Analytics und führen Sie die Abfrage aus, um die Microsoft Entra Anmeldeprotokolle mit den Microsoft Graph Aktivitätsprotokollen zu verbinden. Diese Abfrage filtert nach UserId und SessionId.

    Screenshot von Microsoft Graph Aktivitäten gefiltert nach Benutzer-ID und Sitzungs-ID.

    Weitere Filter können auf ein SignInActivityId-Attribut (uti-Anforderung) angewendet werden, um mehr über den Zugriff bei einer bestimmten Anfrage zu erfahren.

  4. Um Exchange Online Aktivitäten zu erhalten, öffnen Sie die Microsoft Purview-Portal, und suchen Sie nach Benutzern oder Datensatztypen.

    Screenshot des Microsoft Purview Portals, das die Suche nach Benutzern oder Datensatztypen zeigt.

  5. Exportieren der Daten.

    Screenshot des Datenexports in Microsoft Purview-Portal.

  6. Der Protokolleintrag verfügt über alle verlinkbaren Bezeichner. Sie können nach UniqueTokenId jeder eindeutigen Aktivität suchen und nach AADSessionId allen Aktivitäten innerhalb der Sitzung suchen.

    Screenshot der Protokollzeile mit verlinkbaren Bezeichnern.

Verknüpfungsfähige Bezeichner in Microsoft Office SharePoint Online Überwachungsprotokollen

Microsoft Office SharePoint Online Überwachungsprotokolle bieten einen umfassenden Überwachungspfad aller Anforderungen, die vom SharePoint Onlinedienst für einen Mandanten verarbeitet werden. Diese Protokolle erfassen eine vielzahl von Benutzeraktivitäten, einschließlich Vorgängen wie Datei- und Ordnererstellung, Aktualisierungen, Löschungen und Listenänderungen. Eine detaillierte Übersicht über SharePoint Onlineüberwachungsprotokollierung finden Sie unter SharePoint Onlineüberwachungsprotokolle.

Untersuchungsszenarien mit verlinkbaren Bezeichnern

Für Szenarien mit SharePoint Onlineaktivität können Sie folgende Aktionen ausführen:

  • Beginnen Sie mit verlinkbaren Bezeichnern aus Microsoft Entra Anmeldeprotokollen, z. B. SID oder UTI.
  • Verwenden Sie diese Bezeichner, um Microsoft Purview Audit (Standard) oder Audit (Premium) Protokolle zu durchsuchen.
  • Verfolgen Sie alle Benutzeraktionen, die innerhalb SharePoint Online während einer bestimmten Sitzung oder durch ein bestimmtes Token ausgeführt werden.

Dieser Ansatz ermöglicht Es Sicherheitsanalysten, Authentifizierungsereignisse mit SharePoint Aktivität zu korrelieren, die effektive Untersuchung und Reaktion auf potenzielle Bedrohungen zu unterstützen.

Anleitungen zum Durchsuchen von SharePoint Onlineüberwachungsprotokollen finden Sie unter Suche des Überwachungsprotokolls | Microsoft Lernen.

Die folgende Tabelle zeigt die Zuordnung zwischen verknüpfungsfähigen Bezeichneransprüchen und Microsoft Office SharePoint Online Überwachungsprotokollattributen.

Anspruch Microsoft Office SharePoint Online Name des Überwachungsprotokoll-Attributs
oid Benutzerobjekt-ID
tid Organisations-ID
sid AADSessionId im Objekt App Zugriffskontext
Geräte-ID DeviceId (nur für registrierte/domänenverbundene Geräte verfügbar)
uti UniqueTokenId im Objekt App Zugriffskontext
iat IssuedAtTime innerhalb des Objekts App Access Context

Anzeigen der Microsoft Office SharePoint Online-Überwachungsprotokolle mithilfe des Microsoft Purview-Portals

  1. Wechseln Sie zu Microsoft Purview-Portal.

  2. Suchen Sie nach Protokollen mit einem bestimmten Zeitrahmen und einer bestimmten Arbeitsauslastung wie Microsoft Office SharePoint Online.

    Screenshot von Microsoft Purview-Portal mit der Suche nach SharePoint Onlineprotokollen.

  3. Um nach Datensatztypen zu filtern, können die unterstützten Datensatztypen nach Elementen gefunden werden, die mit SharePoint beginnen.

    Screenshot Microsoft Purview-Portal mit unterstützten Datensatztypen für SharePoint Online.

  4. Sie können nach einem bestimmten Benutzer oder einem UTI-Wert aus Microsoft Entra Anmeldeprotokollen weiter filtern. Sie können alle Aktivitätsprotokolle innerhalb einer Sitzung filtern mit AADSessionId.

  5. Die Überwachungssuchergebnisse zeigen alle Protokollzeilen aus den SharePoint Onlineaktivitäten an.

    Screenshot von Microsoft Purview-Portal mit Überwachungsprotokollergebnissen für SharePoint Online.

  6. Jedes Protokollelement zeigt alle verlinkbaren Bezeichner an.

    Screenshot des Microsoft Purview-Portals, das einen Protokolleintrag mit verlinkbaren Bezeichnern für SharePoint Online zeigt.

  7. Exportieren Sie das Überwachungsprotokoll, und untersuchen Sie nach einem bestimmten AADSessionId oder UniqueTokenId für alle Aktivitäten für Microsoft Office SharePoint Online.

Verknüpfungsfähige Bezeichner in Microsoft Teams Überwachungsprotokollen

Microsoft Teams Überwachungsprotokolle erfassen einen detaillierten Datensatz aller Anforderungen, die vom Teams-Dienst für einen Mandanten verarbeitet werden. Überwachte Aktivitäten umfassen die Teamerstellung und -löschung, Kanalzufügungen und Entfernungen sowie Änderungen an Kanaleinstellungen.

Eine vollständige Liste der überwachten Teams-Aktivitäten finden Sie unter "Teams-Aktivitäten" im Überwachungsprotokoll. Weitere Informationen zu Teams-Überwachungsprotokollen finden Sie unter Teams-Überwachungsprotokolle. Weitere Informationen zum Durchsuchen der Teams-Überwachungsprotokolle finden Sie unter Durchsuchen des Überwachungsprotokolls.

Untersuchungsszenarien mit verlinkbaren Bezeichnern

So untersuchen Sie Teams-Aktivitäten:

  • Beginnen Sie mit verlinkbaren Bezeichnern aus Microsoft Entra Anmeldeprotokollen, z. B. SID oder UTI.
  • Verwenden Sie diese Bezeichner, um Microsoft Purview Audit (Standard) oder Audit (Premium) Protokolle zu durchsuchen.
  • Verfolgen Sie Nutzeraktionen über Teams-Sitzungen hinweg, einschließlich der Vorgänge von Teams und Kanälen.

Die folgende Tabelle zeigt die Zuordnung zwischen verknüpfungsfähigen Bezeichneransprüchen und Teams-Überwachungsprotokollattributen.

Anspruch Name des Teams-Überwachungsprotokoll-Attributs
oid Benutzerschlüssel
tid Organisations-ID
sid AADSessionId im Objekt App Zugriffskontext
Geräte-ID DeviceId (nur für registrierte/domänenverbundene Geräte verfügbar)
uti UniqueTokenId im Objekt App Zugriffskontext
iat IssuedAtTime innerhalb des Objekts App Access Context

Untersuchen von Tokenmissbrauch über Microsoft Teams und SharePoint Online

Bei einem Sicherheitsvorfall, bei dem ein Zugriffstoken kompromittiert wird , z. B. durch Phishing, und anschließend von einem böswilligen Akteur verwendet wird, sollten Mandantenadministratoren sofortige Maßnahmen ergreifen, um die Bedrohung zu enthalten und ihre Auswirkungen zu untersuchen.

Nachdem alle aktiven Benutzersitzungen und Token widerrufen wurden, können Administratoren mit einer forensischen Untersuchung beginnen, um den Umfang nicht autorisierter Aktivitäten zu ermitteln. Insbesondere müssen sie aktionen identifizieren, die der Angreifer während des betroffenen Zeitraums über Microsoft Teams und SharePoint Online ausgeführt hat.

Mithilfe von verlinkbaren Bezeichnern wie der Sitzungs-ID (SID) und dem eindeutigen Tokenbezeichner (Unique Token Identifier, UTI) aus Microsoft Entra Anmeldeprotokollen können Administratoren Aktivitäten über Microsoft Purview Audit (Standard) und Überwachungsprotokolle (Premium) korrelieren und nachverfolgen. Dies ermöglicht Einblick in:

Teams-bezogene Aktionen wie Team- oder Kanalerstellung, Löschung oder Konfigurationsänderungen. SharePoint Onlinevorgänge, einschließlich Dateizugriff, Erstellung, Änderung oder Löschung.

  1. Beginnen Sie mit den Anmeldeprotokollen von Microsoft Entra, um die Sitzungs-ID dieses Zugriffstokens zu finden. Filtern Sie nach dem Zeitpunkt, an dem das Token gefischt wurde, und verwenden Sie dabei die Benutzerobjekt-ID.

    Screenshot von Microsoft Purview Portal mit verlinkbaren Bezeichnern für ein Teams-Szenario.

  2. Ermitteln Sie die verknüpfbaren Bezeichner aus Microsoft Entra-Anmeldeprotokollen, z. B. SID oder UTI, die als Filter für Teams und SharePoint Online-Überwachungsprotokolle verwendet werden sollen.

  3. Suchen Sie im Purview-Portal nach Protokollen mit einem bestimmten Zeitrahmen für Workloads wie Teams und SharePoint Online und nach dem jeweiligen Benutzer.

    Screenshot des Microsoft Purview-Portals mit der Suche von Protokollen für SharePoint- und Teams-Workload.

  4. Die Suche gibt alle Überwachungsprotokolleinträge innerhalb dieses Zeitfensters zurück, gefiltert nach dem Benutzer und nach Arbeitsauslastungen wie Teams und SharePoint Online.

    Screenshot von Microsoft Purview Portal mit Ergebnissen für SPO- und Teams-Protokolle.

  5. Der Administrator kann den vollständigen Überwachungspfad überprüfen, der zeigt, dass der Angreifer Benutzer zu einem Teams-Kanal hinzugefügt, eine Phishingnachricht gepostet und Dateien aus SharePoint gelöscht hat.

  6. Jedes Protokollelement kann geöffnet werden, um detaillierte Informationen zu verlinkbaren Bezeichnern zu erhalten. Das folgende Beispiel zeigt, dass ein Benutzer eine Nachricht veröffentlicht.

    Screenshot von Microsoft Purview Portal, das den Protokolleintrag für Teams und SPO zeigt.

  7. Das folgende Beispiel zeigt, dass ein Benutzer eine Datei aus SharePoint Online herunterladen kann.

    Screenshot von Microsoft Purview-Portal mit der Suche nach Protokollelementen für Teams und SPO.

  8. Exportieren Sie das protokollierte Audit und untersuchen Sie für ein bestimmtes SessionId oder UniqueTokenId bestimmte Aktivitäten. Die folgende Abbildung zeigt alle Vorgänge, die vom Angreifer ausgeführt werden.

    Screenshot von Microsoft Purview-Portal mit der Suche nach exportierten Protokollen.

Durch die Analyse der Protokolldateien mit verlinkbaren Bezeichnern können Mandantenadministratoren und Sicherheitsexperten bösartige Aktivitäten in Sitzungen und Token effektiv nachverfolgen, analysieren und darauf reagieren.

Verwandte Inhalte

  • Last updated on