分析SSPR审核日志事件 [英] Analyze SSPR Audit Log Events

问题描述

实施SSPR之后，如何分析SSPR日志以获取Azure AD身份保护或Azure安全中心中的警报/风险，这是基于使用来自同一来源或用户的大量SSPR等情况，例如。 5个1小时，当看到这样的活动
时，创建一个警报和电子邮件通知并自动锁定帐户？

解决方案

您可以强制执行策略或使用某些内置策略。 

默认情况下，它们会在五次尝试后被阻止，并显示在日志事件中。  https://docs.microsoft.com/en-us/azure/active-directory/认证/ HOWTO-SSPR-报告

Having implemented SSPR, how can the SSPR logs be analyzed to get Alerts / Risks in Azure AD Identity Protection or Azure Security Center based on use a case like large number of SSPRs from the same source or user, eg. 5 in 1 hour, and when such activity is seen, to create an alert and e-mail notification and automatic locking of the account?

解决方案

You can enforce policies or use some of the inbuilt ones. 

By default they are blocked after five attempts and that shows up in the log events. https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-reporting

这篇关于分析SSPR审核日志事件的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！