Tipp: Benutzeranmeldungen im Azure AD auf Weltkarte anzeigen - zwei Methoden

Im Rahmen eines Kundenprojekts kam der Wunsch auf, dass bei allen Anmeldungen in der Geschäftsumgebung der Ort der Anmeldung angezeigt werden sollte. Idealerweise als Punkt auf einer Weltkarte. Dabei kamen zwei Varianten ins Spiel: Zum einen jene Funktionen, die in den Microsoft-Cloud-Lösungen unmittelbar zur Verfügung steht. Da diese eine besondere Lizenz erfordert, haben wir uns für eine Alternative Methode entschieden, die im Folgenden beschrieben wird.

Variante 1: Ortsangaben über Azure AD Sign-In-Logs

Bekanntlich lassen sich über die Azure AD-Sign-In-Logs sowohl die sich IP-Adresse als auch der Ort einer jeden Benutzeranmeldung tabellarisch anzeigen:

In einem Projekt kam nun der Wunsch, diese Log-ins nicht nur tabellarisch sondern auch visuell auf einer Weltkarte darzustellen. Tatsächlich existiert eine solche Funktion, und zwar im Dashboard der Cloud App Security als Standardfunktion, unter https://portal.cloudappsecurity.com/#/dashboard

Das Cloud App Security-Dashboard mit Weltkarte:

Problem: Extra-Lizenz erforderlich

Dieses Feature der Cloud App Security ist nicht in allen Lizenzpaketen verfügbar, außerdem kann die Anzeige im Dashboard nur nach den genutzten Apps gefiltert werden.

Variante 2: Workbook-Templates im Azure Sentinel anpassen

Die Azure AD Sign-in Logs stehen in Azure Sentinel zur Verfügung, und zwar in Form eines Workbook Template. Und dieses Workbook Template kann angepasst beziehungsweise erweitert werden.

Damit das Standard Workbook zusätzlich noch eine Weltkarte mit den Regionen erhält, aus denen die Zugriffe stattfinden, sind folgenden Schritte durchzuführen:

1. Azure Sentinel -> Workbooks -> Azure AD Sign-in logs -> View saved Workbook (Siehe Screenshot oben)
2. Im oberen linken Bereich „Edit auswählen“ und dann auf dem Report „Sign-ins by Location“ die Option „Edit“ für diesen Report auswählen:
3. Im Edit Modus steht dann die Funktion „Add -> Add Query“ zur Verfügung. In der neuen Abfrage, die damit erzeugt wird, kopiert man die Querry aus der Abfrage „Sign-ins by Location“ und wählt als Visualisierung „Map“:
4. Die Werte für „Location Info using“ und „Country/Region field“ in den Map Settings müssen mindestens definiert werden:
5. Ergebnis:

Das Workbook und damit die Karte kann nun nach den folgenden Werten gefiltert werden:

• TimeRange
• Apps
• Users
• Category (Sign-in Logs / Non interactive sign-in logs)

Weiterführende Informationen:

• Azure AD Activity Logs (nicht Azure AD Sign-in logs) können im Azure Monitor genutzt werden, um die Daten zum Beispiel in Splunk oder QRadar zu verwenden https://docs.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-activity-logs-azure-monitor / | https://docs.microsoft.com/en-us/azure/active-directory/reports-monitoring/howto-integrate-activity-logs-with-log-analytics
• Wenn es um den Zugriff auf Azure Ressourcen geht, kann auf der Basis von Azure Network Security Group mit dem Azure Network Watcher nicht nur überwacht, sondern auch festgelegt werden, welche Zugriffe erlaubt sind und welche blockiert werden. Details dazu:
  • https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/azure-network-security-hygiene-with-traffic-analytics/ba-p/2282377
  • https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-ip-flow-verify-overview
  • Die Funktion Traffic Analytics fokussiert dabei auf folgenden Szenarien: https://docs.microsoft.com/en-us/azure/network-watcher/traffic-analytics
    • Visualisieren Sie die Netzwerkaktivität über Ihre Azure-Abonnements hinweg und identifizieren Sie Hotspots.
    • Identifizieren Sie Sicherheitsbedrohungen und sichern Sie Ihr Netzwerk mit Informationen wie offenen Ports, Anwendungen, die versuchen, auf das Internet zuzugreifen, und virtuellen Maschinen (VM), auf die aus unbekannten Netzwerken zugegriffen wird.
    • Verstehen Sie Datenflussmuster über Azure-Regionen und das Internet, um Ihre Netzwerkarchitektur hinsichtlich Leistung und Kapazität zu optimieren.
    • Ermitteln Sie Netzwerkfehler, die zu fehlgeschlagenen Verbindungen in Ihrem Netzwerk führen.

• About
• Latest Posts

Nicki Borell

Nicki Borell ist Microsoft Regional Director, MVP für Office Apps & Services, Mitgründer von Experts Inside, Gründer des Labels „Xperts at Work“ und Partner der atwork GmbH. Als Team setzen wir erfolgreich IT- und Strategieprojekte im gehobenen Mittelstand und Großkundensegment um. Profitieren Sie von unserer Expertise, unserer Kompetenz und unserem Fachwissen, das wir zusammen mit starken Partnern in jedes unserer Projekte mit einbringen. Kontakt: nb@expertsinside.com | nb@atwork-it.com

Latest posts by Nicki Borell (see all)

• Mit dem Security Copilot führt Microsoft einen KI-Assistenten für IT-Sicherheit ein - 30. März 2023
• Mehr Datenschutz für Microsoft 365-Berichte: So anonymisieren sie persönliche Benutzerdaten - 2. März 2023
• Wie datenschutzwidrig ist Microsoft 365? Eine Analyse der aktuellen Vorwürfe – und wie es weitergeht - 3. Januar 2023