Основы мониторинга M365 от TryHackMe | Полное руководство (2026)

Описание: Изучите важность Entra ID и M365 в современных средах SOC и проанализируйте их журналы.

🐹 Ссылка на комнату: https://tryhackme.com/room/m365monito...

🐯 Цели обучения 🐯

🍐 Понять риски, связанные с идентификационными данными, и почему злоумышленники выбирают их в качестве мишени в современных средах.

🍐 Понять, что Entra ID и M365 являются критически важными источниками журналов для современных расследований SOC.

🍐 Понять типы журналов Entra ID и M365 и их основную структуру.

🍐 Базовое понимание того, как использовать журналы для выявления атак с использованием Entra ID и M365.

[Временные метки]

[00:00:00] Задание 1: Введение
[00:02:35] Задание 2: Что такое поставщики идентификации
[00:06:14] Задание 3: Идентификаторы как цель
[00:09:35] Задание 4: Журналы входа в Entra ID
[00:19:35] Задание 5: Журналы аудита Entra ID
[00:27:25] Задание 6: Введение в M365
[00:28:42] Задание 7: Журналы аудита M365
[00:42:24] 8: Заключение

🐯 Задания в комнате: 🐯

🔐 Задание 1: Введение
💻 Задание 2: Что такое поставщики идентификации
К какому типу приложений относится Entra ID?

К какому типу идентификации относится учетная запись сервера?

🌸 Задание 3: Идентификаторы как цель

Какой ресурс аутентификации может предотвратить аутентификацию злоумышленников только с помощью украденного пароля?

Что может помочь нам обнаружить и отслеживать угрозы облачной идентификации?

🐴 Задание 4: Журналы входа в Entra ID

Какой адрес электронной почты у скомпрометированного пользователя?

Какой IP-адрес использовал злоумышленник?

Какой город у IP-адреса, использованного злоумышленником?

Когда был первый успешный вход в скомпрометированную учетную запись после неудачных попыток?

К какому первому приложению обратился злоумышленник после домашней страницы Office?

🦌 Задание 5: Журналы аудита Entra ID

Какое первое изменение внес злоумышленник в скомпрометированную учетную запись пользователя?

Что такое activityDisplayName, которое раскрывает все подробности измененных свойств пользователя?

Какое второе изменение было внесено в учетную запись?

🦙 Задание 6: Введение в M365
🐭 Задание 7: Журналы аудита M365

Какое приложение использовал злоумышленник?

Какие изменения были внесены злоумышленником в пользовательское приложение?

Какова тема электронного письма, отправленного злоумышленником?

Когда злоумышленник получил доступ к ответу на сообщение?

По какому пути был сохранен ответ?

🦣 Задание 8: Заключение

⚠️ Только для образовательных целей
Этот контент предназначен только для образовательных целей и авторизованного тестирования на проникновение. Всегда убедитесь, что у вас есть разрешение, прежде чем тестировать какие-либо системы.

Не забудьте поставить 👍 ЛАЙК и 🔔 ПОДПИСАТЬСЯ, чтобы получать больше уроков по кибербезопасности!

#tryhackme #m365 #splunk