Guida alle operazioni di sicurezza di Microsoft Entra per le applicazioni
Le applicazioni hanno una superficie di attacco per le violazioni della sicurezza e devono essere monitorate. Anche se non è destinato a quanto avviene con gli account utente, possono verificarsi violazioni. Poiché le applicazioni vengono spesso eseguite senza intervento umano, gli attacchi possono essere più difficili da rilevare.
Questo articolo fornisce indicazioni per monitorare e avvisare gli eventi dell'applicazione. Viene aggiornato regolarmente per assicurarsi di:
Impedire alle applicazioni dannose di ottenere l'accesso non autorizzato ai dati
Impedire che le applicazioni vengano compromesse da attori malintenzionati
Raccogliere informazioni dettagliate che consentono di compilare e configurare nuove applicazioni in modo più sicuro
Se non si ha familiarità con il funzionamento delle applicazioni in Microsoft Entra ID, vedere App e entità servizio in Microsoft Entra ID.
Nota
Se non è ancora stata esaminata la panoramica delle operazioni di sicurezza di Microsoft Entra, provare a farlo ora.
Cosa cercare
Quando si monitorano i log dell'applicazione per individuare gli eventi imprevisti di sicurezza, esaminare l'elenco seguente per distinguere le normali attività dalle attività dannose. Gli eventi seguenti potrebbero indicare problemi di sicurezza. Ognuno di essi è trattato nell'articolo.
Eventuali modifiche che si verificano al di fuori dei normali processi aziendali e delle pianificazioni
Modifiche delle credenziali dell'applicazione
Autorizzazioni dell'applicazione
Entità servizio assegnata a un ID Microsoft Entra o a un ruolo di controllo degli accessi in base al ruolo di Azure
Le applicazioni hanno concesso autorizzazioni con privilegi elevati
Modifiche di Azure Key Vault
L'utente finale concede il consenso alle applicazioni
Consenso dell'utente finale arrestato in base al livello di rischio
Modifiche alla configurazione dell'applicazione
URI (Universal Resource Identifier) modificato o non standard
Modifiche ai proprietari dell'applicazione
URL di disconnesso modificati
Dove guardare
I file di log usati per l'analisi e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di controllo di Microsoft Entra e scaricare come file CON VALORI delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti, che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel : consente l'analisi intelligente della sicurezza a livello aziendale con funzionalità siem (Security Information and Event Management).
Regole Sigma : Sigma è uno standard aperto in continua evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzati possono usare per analizzare i file di log. Dove sono disponibili modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un collegamento al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono invece creati e raccolti dalla community di sicurezza IT in tutto il mondo.
Monitoraggio di Azure: monitoraggio automatizzato e avvisi di varie condizioni. Può creare o usare cartelle di lavoro per combinare dati di origini diverse.
Hub eventi di Azure integrati con i log siem- di Microsoft Entra possono essere integrati in altri SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic tramite l'integrazione Hub eventi di Azure.
app Microsoft Defender per il cloud : individuare e gestire le app, gestire le app e le risorse e controllare la conformità delle app cloud.
Protezione delle identità del carico di lavoro con l'anteprima di Identity Protection: rileva il rischio per le identità del carico di lavoro tra comportamenti di accesso e indicatori offline di compromissione.
Gran parte di ciò che si monitora e genera un avviso sono gli effetti dei criteri di accesso condizionale. È possibile usare le informazioni dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report per esaminare gli effetti di uno o più criteri di accesso condizionale sugli accessi e i risultati dei criteri, incluso lo stato del dispositivo. Usare la cartella di lavoro per visualizzare un riepilogo e identificare gli effetti in un periodo di tempo. È possibile usare la cartella di lavoro per esaminare gli accessi di un utente specifico.
Nella parte restante di questo articolo è consigliabile monitorare e inviare avvisi. È organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite, è possibile collegarle o fornire esempi dopo la tabella. In caso contrario, è possibile compilare avvisi usando gli strumenti precedenti.
Credenziali dell'applicazione
Molte applicazioni usano le credenziali per l'autenticazione in Microsoft Entra ID. Qualsiasi altra credenziale aggiunta all'esterno dei processi previsti potrebbe essere un attore malintenzionato usando tali credenziali. È consigliabile usare certificati X509 emessi da autorità attendibili o identità gestite anziché usare segreti client. Tuttavia, se è necessario usare segreti client, seguire le procedure di igiene consigliate per mantenere al sicuro le applicazioni. Si noti che gli aggiornamenti dell'applicazione e dell'entità servizio vengono registrati come due voci nel log di controllo.
Monitorare le applicazioni per identificare i tempi di scadenza delle credenziali lunghi.
Sostituire le credenziali di lunga durata con un breve intervallo di vita. Assicurarsi che le credenziali non vengano sottoposte a commit nei repository di codice e vengano archiviate in modo sicuro.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Aggiunta di credenziali alle applicazioni esistenti | Alto | Log di controllo di Microsoft Entra | Directory Service-Core, Category-ApplicationManagement Attività: aggiornare la gestione di certificati e segreti dell'applicazione -e- Attività: Aggiornare l'entità servizio/Aggiornare l'applicazione |
Avviso quando le credenziali vengono aggiunte al di fuori delle normali ore lavorative o flussi di lavoro, di tipi non usati nell'ambiente o aggiunti a un flusso non SAML che supporta l'entità servizio. Modello di Microsoft Sentinel Regole Sigma |
| Credenziali con durata superiore a quella consentita dai criteri. | Medio | Microsoft Graph | Stato e data di fine delle credenziali della chiave dell'applicazione -e- Credenziali della password dell'applicazione |
È possibile usare l'API Microsoft Graph per trovare la data di inizio e di fine delle credenziali e valutare durate superiori a quelle consentite. Vedere Script di PowerShell seguendo questa tabella. |
Sono disponibili i seguenti avvisi e monitoraggio predefiniti:
Microsoft Sentinel: avvisa quando sono state aggiunte nuove credenziali per app o principi di servizio
Monitoraggio di Azure : cartella di lavoro di Microsoft Entra per valutare il rischio Solorigate - Microsoft Tech Community
app Defender per il cloud : guida all'analisi degli avvisi di rilevamento anomalie delle app Defender per il cloud
PowerShell: script di PowerShell di esempio per trovare la durata delle credenziali.
Autorizzazioni dell'applicazione
Come un account amministratore, alle applicazioni possono essere assegnati ruoli con privilegi. Alle app possono essere assegnati ruoli di Microsoft Entra, ad esempio Global Amministrazione istrator o ruoli di Controllo degli accessi in base al ruolo di Azure, ad esempio Proprietario della sottoscrizione. Poiché possono essere eseguiti senza un utente e come servizio in background, monitorare attentamente quando a un'applicazione viene concesso un ruolo o un'autorizzazione con privilegi elevati.
Entità servizio assegnata a un ruolo
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| App assegnata al ruolo Controllo degli accessi in base al ruolo di Azure o al ruolo Microsoft Entra | Da alta a media | Log di controllo di Microsoft Entra | Tipo: entità servizio Attività: "Aggiungi membro al ruolo" o "Aggiungi membro idoneo al ruolo" oppure "Aggiungi membro con ambito al ruolo". |
Per i ruoli con privilegi elevati, ad esempio Global Amministrazione istrator, il rischio è elevato. Per i ruoli con privilegi più bassi il rischio è medio. Invia un avviso ogni volta che un'applicazione viene assegnata a un ruolo di Azure o a un ruolo Microsoft Entra al di fuori delle normali procedure di gestione delle modifiche o di configurazione. Modello di Microsoft Sentinel Regole Sigma |
L'applicazione ha concesso autorizzazioni con privilegi elevati
Le applicazioni devono seguire il principio dei privilegi minimi. Esaminare le autorizzazioni dell'applicazione per assicurarsi che siano necessarie. È possibile creare un report di concessione del consenso dell'app per identificare le applicazioni ed evidenziare le autorizzazioni con privilegi.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| All'app sono concesse autorizzazioni con privilegi elevati, ad esempio le autorizzazioni con ". All" (Directory.ReadWrite.All) o autorizzazioni wide (Mail.) | Alto | Log di controllo di Microsoft Entra | "Aggiungere l'assegnazione di ruolo dell'app all'entità servizio" -Dove- Le entità di destinazione identificano un'API con dati sensibili (ad esempio Microsoft Graph) -e- AppRole.Value identifica un'autorizzazione dell'applicazione con privilegi elevati (ruolo app). |
Le app hanno concesso autorizzazioni generali, ad esempio ". All" (Directory.ReadWrite.All) o autorizzazioni wide (Mail.) Modello di Microsoft Sentinel Regole Sigma |
| Amministrazione istrator che concede autorizzazioni dell'applicazione (ruoli dell'app) o autorizzazioni con privilegi elevati | Alto | Portale Microsoft 365 | "Aggiungere l'assegnazione di ruolo dell'app all'entità servizio" -Dove- Le entità di destinazione identificano un'API con dati sensibili (ad esempio Microsoft Graph) "Aggiungi concessione di autorizzazioni delegate", -Dove- Le entità di destinazione identificano un'API con dati sensibili (ad esempio Microsoft Graph) -e- DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati. |
Avvisa quando un amministratore globale, un amministratore dell'applicazione o un amministratore di applicazioni cloud acconsente a un'applicazione. In particolare cercare il consenso al di fuori delle normali attività e procedure di modifica. Modello di Microsoft Sentinel Modello di Microsoft Sentinel Modello di Microsoft Sentinel Regole Sigma |
| All'applicazione vengono concesse le autorizzazioni per Microsoft Graph, Exchange, SharePoint o Microsoft Entra ID. | Alto | Log di controllo di Microsoft Entra | "Aggiungi concessione di autorizzazioni delegate" oppure "Aggiungere l'assegnazione di ruolo dell'app all'entità servizio" -Dove- Le entità di destinazione identificano un'API con dati sensibili (ad esempio Microsoft Graph, Exchange Online e così via) |
Avviso come nella riga precedente. Modello di Microsoft Sentinel Regole Sigma |
| Vengono concesse le autorizzazioni dell'applicazione (ruoli dell'app) per altre API | Medio | Log di controllo di Microsoft Entra | "Aggiungere l'assegnazione di ruolo dell'app all'entità servizio" -Dove- La destinazione identifica qualsiasi altra API. |
Avviso come nella riga precedente. Regole Sigma |
| Le autorizzazioni delegate con privilegi elevati vengono concesse per conto di tutti gli utenti | Alto | Log di controllo di Microsoft Entra | "Aggiungi concessione di autorizzazioni delegate", dove Target identifica un'API con dati sensibili (ad esempio Microsoft Graph), DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati, -e- DelegatedPermissionGrant.ConsentType è "AllPrincipals". |
Avviso come nella riga precedente. Modello di Microsoft Sentinel Modello di Microsoft Sentinel Modello di Microsoft Sentinel Regole Sigma |
Per altre informazioni sul monitoraggio delle autorizzazioni delle app, vedere questa esercitazione: Analizzare e correggere le app OAuth rischiose.
Azure Key Vault
Usare Azure Key Vault per archiviare i segreti del tenant. È consigliabile prestare attenzione alle modifiche apportate alla configurazione e alle attività di Key Vault.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Come e quando gli insiemi di credenziali delle chiavi sono accessibili e da chi | Medio | Log di Azure Key Vault | Tipo di risorsa: Insiemi di credenziali delle chiavi | Cercare: qualsiasi accesso a Key Vault al di fuori dei normali processi e ore, tutte le modifiche apportate all'ACL di Key Vault. Modello di Microsoft Sentinel Regole Sigma |
Dopo aver configurato Azure Key Vault, abilitare la registrazione. Vedere come e quando si accede agli insiemi di credenziali delle chiavi e configurare gli avvisi in Key Vault per notificare agli utenti assegnati o alle liste di distribuzione tramite posta elettronica, telefono, testo o notifica di Griglia di eventi, se l'integrità è interessata. Inoltre, la configurazione del monitoraggio con le informazioni dettagliate di Key Vault offre uno snapshot delle richieste, delle prestazioni, degli errori e della latenza di Key Vault. Log Analytics include anche alcune query di esempio per Azure Key Vault a cui è possibile accedere dopo aver selezionato l'insieme di credenziali delle chiavi e quindi in "Monitoraggio" selezionando "Log".
Consenso dell'utente finale
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Consenso dell'utente finale all'applicazione | Basso | Log di controllo di Microsoft Entra | Attività: Consenso all'applicazione/ConsentContext.Is Amministrazione Consent = false | Cercare: account ad alto profilo o con privilegi elevati, app che richiede autorizzazioni ad alto rischio, app con nomi sospetti, ad esempio generici, con errori di ortografia e così via. Modello di Microsoft Sentinel Regole Sigma |
L'atto di fornire il consenso a un'applicazione non è dannoso. Tuttavia, esaminare le nuove concessioni di consenso dell'utente finale alla ricerca di applicazioni sospette. È possibile limitare le operazioni di consenso utente.
Per altre informazioni sulle operazioni di consenso, vedere le risorse seguenti:
Rilevare e correggere le concessioni di consenso illecite - Office 365
Playbook di risposta agli eventi imprevisti - Indagine sulla concessione del consenso dell'app
L'utente finale è stato arrestato a causa del consenso basato sul rischio
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Il consenso dell'utente finale è stato arrestato a causa del consenso basato sul rischio | Medio | Log di controllo di Microsoft Entra | Directory principale/ApplicationManagement/Consenso all'applicazione Motivo dello stato di errore = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Monitorare e analizzare eventuali interruzioni del consenso a causa del rischio. Cercare: account ad alto profilo o con privilegi elevati, app che richiede autorizzazioni ad alto rischio o app con nomi sospetti, ad esempio generici, con errori di ortografia e così via. Modello di Microsoft Sentinel Regole Sigma |
Flussi di autenticazione dell'applicazione
Esistono diversi flussi nel protocollo OAuth 2.0. Il flusso consigliato per un'applicazione dipende dal tipo di applicazione in fase di compilazione. In alcuni casi, è disponibile una scelta di flussi per l'applicazione. In questo caso, alcuni flussi di autenticazione sono consigliati rispetto ad altri. In particolare, evitare le credenziali della password del proprietario della risorsa (ROPC) perché richiedono all'utente di esporre le credenziali della password correnti all'applicazione. L'applicazione usa quindi le credenziali per autenticare l'utente nel provider di identità. La maggior parte delle applicazioni deve usare il flusso del codice di autenticazione o il flusso del codice di autenticazione con la chiave di prova per Code Exchange (PKCE), perché questo flusso è consigliato.
L'unico scenario in cui è consigliato ROPC è per i test automatizzati delle applicazioni. Per informazioni dettagliate, vedere Eseguire test di integrazione automatizzati.
Il flusso di codice del dispositivo è un altro flusso di protocollo OAuth 2.0 per i dispositivi vincolati di input e non viene usato in tutti gli ambienti. Quando il flusso del codice del dispositivo viene visualizzato nell'ambiente e non viene usato in uno scenario di dispositivo vincolato di input. Altre indagini sono giustificate per un'applicazione non configurata correttamente o potenzialmente qualcosa di dannoso. Il flusso del codice del dispositivo può anche essere bloccato o consentito nell'accesso condizionale. Per informazioni dettagliate, vedere Flussi di autenticazione dell'accesso condizionale.
Monitorare l'autenticazione dell'applicazione usando la formazione seguente:
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Applicazioni che usano il flusso di autenticazione ROPC | Medio | Log di accesso di Microsoft Entra | Status=Success Protocollo di autenticazione -ROPC |
L'elevato livello di attendibilità viene inserito in questa applicazione perché le credenziali possono essere memorizzate o memorizzate nella cache. Spostarsi se possibile in un flusso di autenticazione più sicuro. Questa operazione deve essere usata solo nei test automatizzati delle applicazioni, se necessario. Per altre informazioni, vedere Microsoft Identity Platform e Credenziali della password del proprietario della risorsa OAuth 2.0 Regole Sigma |
| Applicazioni che usano il flusso di codice del dispositivo | Da basso a medio | Log di accesso di Microsoft Entra | Status=Success Authentication Protocol-Device Code |
I flussi di codice del dispositivo vengono usati per i dispositivi vincolati di input, che potrebbero non trovarsi in tutti gli ambienti. Se vengono visualizzati flussi di codice del dispositivo con esito positivo, senza bisogno di tali flussi, esaminare la validità. Per altre informazioni, vedere Microsoft Identity Platform e il flusso di concessione delle autorizzazioni per dispositivi OAuth 2.0 Regole Sigma |
Modifiche alla configurazione dell'applicazione
Monitorare le modifiche apportate alla configurazione dell'applicazione. In particolare, le modifiche alla configurazione vengono apportate all'URI (Uniform Resource Identifier), alla proprietà e all'URL di disconnessione.
Modifiche all'URI di reindirizzamento e all'URI di reindirizzamento
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Dangling URI | Alto | Log di Microsoft Entra e registrazione dell'applicazione | Directory Service-Core, Category-ApplicationManagement Attività: Aggiornare l'applicazione Success - Nome proprietà AppAddress |
Ad esempio, cercare URI incerti che puntano a un nome di dominio che non esiste più o che non si è proprietari in modo esplicito. Modello di Microsoft Sentinel Regole Sigma |
| Modifiche alla configurazione dell'URI di reindirizzamento | Alto | Log di Microsoft Entra | Directory Service-Core, Category-ApplicationManagement Attività: Aggiornare l'applicazione Success - Nome proprietà AppAddress |
Cercare gli URI che non usano HTTPS*, URI con caratteri jolly alla fine o il dominio dell'URL, URI non univoci per l'applicazione, URI che puntano a un dominio non controllato. Modello di Microsoft Sentinel Regole Sigma |
Avvisa quando vengono rilevate queste modifiche.
URI AppID aggiunto, modificato o rimosso
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Modifiche all'URI AppID | Alto | Log di Microsoft Entra | Directory Service-Core, Category-ApplicationManagement Attività: Aggiornamento Applicazione Attività: Aggiornare l'entità servizio |
Cercare eventuali modifiche dell'URI AppID, ad esempio l'aggiunta, la modifica o la rimozione dell'URI. Modello di Microsoft Sentinel Regole Sigma |
Avvisa quando queste modifiche vengono rilevate all'esterno delle procedure approvate per la gestione delle modifiche.
Nuovo proprietario
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Modifiche alla proprietà dell'applicazione | Medio | Log di Microsoft Entra | Directory Service-Core, Category-ApplicationManagement Attività: Aggiungere il proprietario all'applicazione |
Cercare qualsiasi istanza di un utente da aggiungere come proprietario dell'applicazione al di fuori delle normali attività di gestione delle modifiche. Modello di Microsoft Sentinel Regole Sigma |
URL di disconnessione modificato o rimosso
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Modifiche all'URL di disconnessione | Basso | Log di Microsoft Entra | Directory Service-Core, Category-ApplicationManagement Attività: Aggiornare l'applicazione -e- Attività: Aggiornare l'entità servizio |
Cercare eventuali modifiche a un URL di disconnessione. Le voci o le voci vuote in posizioni inesistenti impediscono a un utente di terminare una sessione. Modello di Microsoft Sentinel Regole Sigma |
Risorse
GitHub Microsoft Entra Toolkit - https://github.com/microsoft/AzureADToolkit
Panoramica della sicurezza di Azure Key Vault e linee guida sulla sicurezza - Panoramica della sicurezza di Azure Key Vault
Informazioni e strumenti sui rischi di Solorgate - Cartella di lavoro di Microsoft Entra per consentire l'accesso al rischio Solorigate
Linee guida per il rilevamento degli attacchi OAuth - Aggiunta insolita di credenziali a un'app OAuth
Informazioni di configurazione di monitoraggio di Microsoft Entra per SIEM - Strumenti per i partner con l'integrazione di Monitoraggio di Azure
Passaggi successivi
Panoramica delle operazioni di sicurezza di Microsoft Entra
Operazioni di sicurezza per gli account utente
Operazioni di sicurezza per gli account consumer
Operazioni di sicurezza per gli account con privilegi
Operazioni di sicurezza per Privileged Identity Management