ActiveDirectory和云平台权限变更监控数据集
数据来源:互联网公开数据
标签:Active Directory, Entra ID, AWS, 权限监控, 安全事件, 访问控制, 威胁检测, 安全审计
数据概述:
本数据集旨在提供一个全面的视角,用于监控Active Directory(AD)、Entra ID(Azure AD)和AWS(Amazon Web Services)等关键基础设施中的权限变更,以帮助用户检测未经授权的访问尝试和潜在的安全威胁。该数据集整合了来自不同来源的日志数据,并提供了相应的 Splunk 查询示例,以便于用户进行安全分析和事件响应。
数据包含以下三个主要组成部分:
-
Active Directory 权限变更监控: 该部分基于Windows安全事件日志,重点关注对特权AD组的修改。通过监控特定的安全事件ID(例如4727、4728、4731等),可以检测到对关键AD组的创建、修改、成员添加或删除等操作。数据集提供了基于组SID和组名的Splunk搜索示例,方便用户快速识别潜在的恶意活动。
-
AWS IAM 角色分配监控: 该部分基于AWS CloudTrail日志,用于检测IAM(Identity and Access Management)角色相关的关键操作。通过监控如AttachRolePolicy、CreateRole、AddRoleToInstanceProfile等事件,可以跟踪角色策略的变更、新角色的创建以及角色与实例配置文件的关联,从而帮助用户识别潜在的权限提升和未授权访问风险。
-
Entra ID 角色分配监控: 该部分基于Entra ID审计日志,用于监控用户在Entra ID中角色分配情况。通过分析category="RoleManagement"、activityDisplayName="Add member to role"、operationType="Assign"等事件,可以检测到用户被添加到特定角色的行为。数据集提供了关键字段的定义,例如initiatedBy(发起者信息)和targetResources(目标资源信息),以帮助用户深入分析角色分配事件。此外,还提供了可用于检索特权角色的Microsoft Graph API查询,从而增强了对特权角色变更的监控能力。
数据用途概述:
该数据集主要用于以下场景:
- 安全事件检测与响应: 通过监控权限变更事件,及时发现未经授权的访问尝试和恶意活动,并采取相应的响应措施。
- 安全审计与合规: 记录和分析权限变更历史,满足安全审计和合规性要求。
- 威胁情报分析: 结合威胁情报,分析权限变更事件与已知威胁之间的关联,提升安全防护能力。
- 安全态势评估: 评估当前权限配置的安全风险,并提出改进建议。
- 安全自动化: 基于权限变更事件,实现自动化告警和响应,提高安全运营效率。
