Operazioni di sicurezza di Microsoft Entra per gli account consumer
Le attività di identità dei consumer sono un'area importante per l'organizzazione per proteggere e monitorare. Questo articolo riguarda i tenant di Azure Active Directory B2C (Azure AD B2C) e offre indicazioni per il monitoraggio delle attività degli account consumer. Le attività sono:
- Account consumer
- Account con privilegi
- Applicazione
- Infrastruttura
Operazioni preliminari
Prima di usare le indicazioni contenute in questo articolo, è consigliabile leggere la Guida alle operazioni di sicurezza di Microsoft Entra.
Definire una linea di base
Per individuare un comportamento anomalo, definire il comportamento normale e previsto. La definizione del comportamento previsto per l'organizzazione consente di individuare comportamenti imprevisti. Usare la definizione per ridurre i falsi positivi durante il monitoraggio e l'invio di avvisi.
Con il comportamento previsto definito, eseguire il monitoraggio di base per convalidare le aspettative. Monitorare quindi i log per individuare gli elementi che non rientrano nella tolleranza.
Per gli account creati al di fuori dei normali processi, usare i log di controllo di Microsoft Entra, i log di accesso di Microsoft Entra e gli attributi di directory come origini dati. I suggerimenti seguenti consentono di definire la normale.
Creazione di account consumer
Valutare l'elenco seguente:
- Strategia e principi per strumenti e processi per creare e gestire gli account consumer
- Ad esempio, attributi e formati standard applicati agli attributi dell'account consumer
- Origini approvate per la creazione di account.
- Ad esempio, l'onboarding di criteri personalizzati, il provisioning dei clienti o lo strumento di migrazione
- Strategia di avviso per gli account creati all'esterno delle origini approvate.
- Creare un elenco controllato di organizzazioni con cui collabora l'organizzazione
- Parametri di strategia e avviso per gli account creati, modificati o disabilitati da un amministratore dell'account consumer non approvato
- Strategia di monitoraggio e avviso per gli account consumer mancanti attributi standard, ad esempio il numero del cliente o non seguendo le convenzioni di denominazione dell'organizzazione
- Strategia, principi e processo per l'eliminazione e la conservazione degli account
Dove guardare
Usare i file di log per analizzare e monitorare. Per altre informazioni, vedere gli articoli seguenti:
- Log di controllo in Microsoft Entra ID
- Log di accesso in Microsoft Entra ID (anteprima)
- Procedura: Analizzare i rischi
Log di controllo e strumenti di automazione
Dal portale di Azure è possibile visualizzare i log di controllo di Microsoft Entra e scaricare come file CON VALORI delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Usare il portale di Azure per integrare i log di Microsoft Entra con altri strumenti per automatizzare il monitoraggio e gli avvisi:
- Microsoft Sentinel : analisi della sicurezza con funzionalità siem (Security Information and Event Management)
- Regole Sigma: uno standard aperto per la scrittura di regole e modelli che gli strumenti di gestione automatizzati possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un collegamento al repository Sigma. Microsoft non scrive, testa o gestisce i modelli Sigma. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT.
- Monitoraggio di Azure: monitoraggio automatizzato e avvisi di varie condizioni. Creare o usare cartelle di lavoro per combinare i dati di origini diverse.
- Hub eventi di Azure integrato con un sistema SIEM: integrare i log di Microsoft Entra con SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic con Hub eventi di Azure
- app Microsoft Defender per il cloud: individuare e gestire le app, gestire le app e le risorse e conformità alle app cloud
- Identity Protection : rilevare i rischi per le identità del carico di lavoro tra il comportamento di accesso e gli indicatori offline di compromissione
Usare la parte restante dell'articolo per consigli su cosa monitorare e avvisare. Fare riferimento alle tabelle, organizzate in base al tipo di minaccia. Vedere i collegamenti a soluzioni o esempi predefiniti che seguono la tabella. Creare avvisi usando gli strumenti indicati in precedenza.
Account consumer
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Numero elevato di creazioni o eliminazioni di account | Alto | Log di controllo di Microsoft Entra | Attività: Aggiungere un utente Stato = esito positivo Avviato da (attore) = Servizio CPIM -e- Attività: Eliminare l'utente Stato = esito positivo Avviato da (attore) = Servizio CPIM |
Definire una soglia di base e quindi monitorare e regolare i comportamenti dell'organizzazione. Limitare gli avvisi falsi. |
| Account creati ed eliminati da utenti o processi non approvati | Medio | Log di controllo di Microsoft Entra | Avviato da (attore) - U edizione Standard R PRINCIPAL NAME -e- Attività: Aggiungere un utente Stato = esito positivo Avviato da (attore) != Servizio CPIM e-o Attività: Eliminare l'utente Stato = esito positivo Avviato da (attore) != Servizio CPIM |
Se gli attori non sono utenti non approvati, configurare per inviare un avviso. |
| Account assegnati a un ruolo con privilegi | Alto | Log di controllo di Microsoft Entra | Attività: Aggiungere un utente Stato = esito positivo Avviato da (attore) == Servizio CPIM -e- Attività: Aggiungere un membro al ruolo Stato = esito positivo |
Se l'account viene assegnato a un ruolo Di Microsoft Entra, a un ruolo di Azure o a un'appartenenza a gruppi con privilegi, avvisare e classificare in ordine di priorità l'indagine. |
| Tentativi di accesso non riusciti | Medio - se evento imprevisto isolato Elevato: se molti account riscontrano lo stesso modello |
Log di accesso di Microsoft Entra | Stato = non riuscito -e- Codice di errore di accesso 50126 - Errore durante la convalida delle credenziali a causa di nome utente o password non validi. -e- Application == "CPIM PowerShell Client" -Oppure- Application == "ProxyIdentityExperienceFramework" |
Definire una soglia di base e quindi monitorare e modificare in base ai comportamenti dell'organizzazione e limitare gli avvisi falsi dall'essere generati. |
| Eventi di blocco intelligente | Medio - se evento imprevisto isolato Alto: se molti account riscontrano lo stesso modello o un indirizzo VIP |
Log di accesso di Microsoft Entra | Stato = non riuscito -e- Codice di errore di accesso = 50053 - IdsLocked -e- Application == "CPIM PowerShell Client" -Oppure- Application =="ProxyIdentityExperienceFramework" |
Definire una soglia di base e quindi monitorare e modificare in base ai comportamenti dell'organizzazione e limitare gli avvisi falsi. |
| Autenticazioni non riuscite da paesi o aree geografiche da cui non si opera | Medio | Log di accesso di Microsoft Entra | Stato = non riuscito -e- Location = <percorso non approvato> -e- Application == "CPIM PowerShell Client" -Oppure- Application == "ProxyIdentityExperienceFramework" |
Monitorare le voci non uguali ai nomi delle città specificati. |
| Aumento delle autenticazioni non riuscite di qualsiasi tipo | Medio | Log di accesso di Microsoft Entra | Stato = non riuscito -e- Application == "CPIM PowerShell Client" -Oppure- Application == "ProxyIdentityExperienceFramework" |
Se non è disponibile una soglia, monitorare e avvisare se gli errori aumentano del 10%o superiore. |
| Account disabilitato/bloccato per gli accessi | Bassa | Log di accesso di Microsoft Entra | Stato = Errore -e- codice errore = 50057, L'account utente è disabilitato. |
Questo scenario potrebbe indicare a un utente che prova ad accedere a un account dopo che ha lasciato un'organizzazione. L'account è bloccato, ma è importante registrare e avvisare questa attività. |
| Aumento misurabile degli accessi riusciti | Bassa | Log di accesso di Microsoft Entra | Stato = Operazione riuscita -e- Application == "CPIM PowerShell Client" -Oppure- Application == "ProxyIdentityExperienceFramework" |
Se non si dispone di una soglia, monitorare e avvisare se le autenticazioni riuscite aumentano del 10%o superiore. |
Account con privilegi
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Errore di accesso, soglia password non valida | Alto | Log di accesso di Microsoft Entra | Stato = Errore -e- codice errore = 50126 |
Definire una soglia di base e monitorare e adattarsi ai comportamenti dell'organizzazione. Limitare gli avvisi falsi. |
| Errore a causa del requisito di accesso condizionale | Alto | Log di accesso di Microsoft Entra | Stato = Errore -e- codice errore = 53003 -e- Motivo errore = Bloccato dall'accesso condizionale |
L'evento può indicare che un utente malintenzionato sta tentando di accedere all'account. |
| Interrompere | Alto, medio | Log di accesso di Microsoft Entra | Stato = Errore -e- codice errore = 53003 -e- Motivo errore = Bloccato dall'accesso condizionale |
L'evento può indicare che un utente malintenzionato ha la password dell'account, ma non può superare la richiesta di autenticazione a più fattori. |
| Blocco dell'account | Alto | Log di accesso di Microsoft Entra | Stato = Errore -e- codice errore = 50053 |
Definire una soglia di base, quindi monitorare e modificare in base ai comportamenti dell'organizzazione. Limitare gli avvisi falsi. |
| Account disabilitato o bloccato per gli accessi | low | Log di accesso di Microsoft Entra | Stato = Errore -e- Target = UPN utente -e- codice errore = 50057 |
L'evento potrebbe indicare a un utente che tenta di ottenere l'accesso all'account dopo aver lasciato l'organizzazione. Anche se l'account è bloccato, registrare e avvisare questa attività. |
| Avviso o blocco di frodi MFA | Alto | Log di accesso di Microsoft Entra/Azure Log Analytics | Dettagli dell'autenticazione di>accesso Dettagli dei risultati = MFA negata, codice illecito immesso |
L'utente con privilegi indica che non ha avviato la richiesta di autenticazione a più fattori, che potrebbe indicare che un utente malintenzionato ha la password dell'account. |
| Avviso o blocco di frodi MFA | Alto | Log di accesso di Microsoft Entra/Azure Log Analytics | Tipo di attività = Frode segnalata - L'utente viene bloccato per L'autenticazione a più fattori o per le frodi segnalate - Nessuna azione eseguita, in base alle impostazioni a livello di tenant del report illecito | L'utente con privilegi non ha indicato alcuna richiesta di autenticazione a più fattori. Lo scenario può indicare che un utente malintenzionato ha la password dell'account. |
| Accessi con account con privilegi al di fuori dei controlli previsti | Alto | Log di accesso di Microsoft Entra | Stato = Errore UserPricipalName = <Amministrazione account> Location = <percorso non approvato> Indirizzo IP = <IP non approvato> Informazioni sul dispositivo = <browser non approvato, sistema operativo> |
Monitorare e avvisare le voci definite come non approvati. |
| Al di fuori dei normali orari di accesso | Alto | Log di accesso di Microsoft Entra | Stato = Operazione riuscita -e- Percorso = -e- Tempo = Fuori orario lavorativo |
Monitorare e avvisare se gli accessi si verificano al di fuori dei tempi previsti. Trovare il modello di lavoro normale per ogni account con privilegi e avvisare se sono presenti modifiche non pianificate al di fuori dei normali orari di lavoro. Gli accessi al di fuori delle normali ore lavorative potrebbero indicare un compromesso o una possibile minaccia insider. |
| Modifica della password | Alto | Log di controllo di Microsoft Entra | Attore attività = Amministrazione/self-service -e- Target = User -e- Stato = Esito positivo o negativo |
Avvisa tutte le modifiche della password dell'account amministratore, in particolare per amministratori globali, amministratori utente, amministratori delle sottoscrizioni e account di accesso di emergenza. Scrivere una query per gli account con privilegi. |
| Modifiche ai metodi di autenticazione | Alto | Log di controllo di Microsoft Entra | Attività: Creare un provider di identità Categoria: ResourceManagement Destinazione: Nome entità utente |
La modifica potrebbe indicare che un utente malintenzionato aggiunge un metodo di autenticazione all'account per avere accesso continuo. |
| Provider di identità aggiornato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Aggiornare il provider di identità Categoria: ResourceManagement Destinazione: Nome entità utente |
La modifica potrebbe indicare che un utente malintenzionato aggiunge un metodo di autenticazione all'account per avere accesso continuo. |
| Provider di identità eliminato da attori non approvati | Alto | Verifiche di accesso di Microsoft Entra | Attività: Eliminare il provider di identità Categoria: ResourceManagement Destinazione: Nome entità utente |
La modifica potrebbe indicare che un utente malintenzionato aggiunge un metodo di autenticazione all'account per avere accesso continuo. |
Applicazioni
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Aggiunta di credenziali alle applicazioni | Alto | Log di controllo di Microsoft Entra | Directory Service-Core, Category-ApplicationManagement Attività: aggiornare la gestione di certificati e segreti dell'applicazione -e- Attività: Aggiornare l'entità servizio/Aggiornare l'applicazione |
Avviso quando le credenziali vengono aggiunte al di fuori delle normali ore lavorative o flussi di lavoro, tipi non usati nell'ambiente o aggiunti a un'entità servizio non SAML che supporta l'entità servizio. |
| App assegnata a un ruolo controllo degli accessi in base al ruolo di Azure o a un ruolo Microsoft Entra | Da alto a medio | Log di controllo di Microsoft Entra | Tipo: entità servizio Attività: "Aggiungi membro al ruolo" o "Aggiungere un membro idoneo al ruolo" -Oppure- "Aggiungi membro con ambito al ruolo". |
N/D |
| All'app sono concesse autorizzazioni con privilegi elevati, ad esempio le autorizzazioni con ". All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.) | Alto | Log di controllo di Microsoft Entra | N/D | Le app hanno concesso autorizzazioni generali, ad esempio ". All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.) |
| Amministrazione istrator che concede autorizzazioni dell'applicazione (ruoli dell'app) o autorizzazioni delegate con privilegi elevati | Alto | Portale Microsoft 365 | "Aggiungere l'assegnazione di ruolo dell'app all'entità servizio" -Dove- Le entità di destinazione identificano un'API con dati sensibili (ad esempio Microsoft Graph) "Aggiungi concessione di autorizzazioni delegate" -Dove- Le entità di destinazione identificano un'API con dati sensibili (ad esempio Microsoft Graph) -e- DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati. |
Avvisa quando un amministratore globale, di un'applicazione o di un'applicazione cloud acconsente a un'applicazione. In particolare cercare il consenso all'esterno delle normali attività e delle procedure di modifica. |
| All'applicazione vengono concesse le autorizzazioni per Microsoft Graph, Exchange, SharePoint o Microsoft Entra ID. | Alto | Log di controllo di Microsoft Entra | "Aggiungi concessione di autorizzazioni delegate" -Oppure- "Aggiungere l'assegnazione di ruolo dell'app all'entità servizio" -Dove- Le entità di destinazione identificano un'API con dati sensibili (ad esempio Microsoft Graph, Exchange Online e così via) |
Usare l'avviso nella riga precedente. |
| Autorizzazioni delegate con privilegi elevati concesse per conto di tutti gli utenti | Alto | Log di controllo di Microsoft Entra | "Aggiungi concessione di autorizzazioni delegate" dove Le entità di destinazione identificano un'API con dati sensibili (ad esempio Microsoft Graph) DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati -e- DelegatedPermissionGrant.ConsentType è "AllPrincipals". |
Usare l'avviso nella riga precedente. |
| Applicazioni che usano il flusso di autenticazione ROPC | Medio | Log di accesso di Microsoft Entra | Status=Success Protocollo di autenticazione -ROPC |
L'elevato livello di attendibilità viene inserito in questa applicazione perché le credenziali possono essere memorizzate o memorizzate nella cache. Se possibile, passare a un flusso di autenticazione più sicuro. Usare il processo solo nei test automatizzati delle applicazioni, se mai. |
| Dangling URI | Alto | Log di Microsoft Entra e registrazione dell'applicazione | Service-Core Directory Category-ApplicationManagement Attività: Aggiornare l'applicazione Success - Nome proprietà AppAddress |
Ad esempio, cercare URI incerti che puntano a un nome di dominio che non è più presente o che non si è proprietari. |
| Modifiche alla configurazione dell'URI di reindirizzamento | Alto | Log di Microsoft Entra | Service-Core Directory Category-ApplicationManagement Attività: Aggiornare l'applicazione Success - Nome proprietà AppAddress |
Cercare gli URI che non usano HTTPS*, URI con caratteri jolly alla fine o il dominio dell'URL, URI non univoci per l'applicazione, URI che puntano a un dominio non controllato. |
| Modifiche all'URI AppID | Alto | Log di Microsoft Entra | Service-Core Directory Category-ApplicationManagement Attività: Aggiornare l'applicazione Attività: Aggiornare l'entità servizio |
Cercare le modifiche dell'URI AppID, ad esempio l'aggiunta, la modifica o la rimozione dell'URI. |
| Modifiche alla proprietà dell'applicazione | Medio | Log di Microsoft Entra | Service-Core Directory Category-ApplicationManagement Attività: Aggiungere il proprietario all'applicazione |
Cercare le istanze degli utenti aggiunte come proprietari di applicazioni al di fuori delle normali attività di gestione delle modifiche. |
| Modifiche all'URL di disconnessione | Bassa | Log di Microsoft Entra | Service-Core Directory Category-ApplicationManagement Attività: Aggiornare l'applicazione -e- Attività: Aggiornare l'entità servizio |
Cercare le modifiche apportate a un URL di disconnessione. Le voci o le voci vuote in posizioni inesistenti impediscono a un utente di terminare una sessione. |
Infrastruttura
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Nuovi criteri di accesso condizionale creati da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Aggiungere criteri di accesso condizionale Categoria: Criteri Avviato da (attore): Nome entità utente |
Monitorare e avvisare le modifiche all'accesso condizionale. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale? |
| Criteri di accesso condizionale rimossi da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Eliminare i criteri di accesso condizionale Categoria: Criteri Avviato da (attore): Nome entità utente |
Monitorare e avvisare le modifiche all'accesso condizionale. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale? |
| Criteri di accesso condizionale aggiornati da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Aggiornare i criteri di accesso condizionale Categoria: Criteri Avviato da (attore): Nome entità utente |
Monitorare e avvisare le modifiche all'accesso condizionale. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale? Esaminare Le proprietà modificate e confrontare il vecchio e il nuovo valore |
| Criteri personalizzati B2C creati da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Creare criteri personalizzati Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche dei criteri personalizzati. Avviato da (attore): approvato per apportare modifiche ai criteri personalizzati? |
| Criteri personalizzati B2C aggiornati da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Ottenere criteri personalizzati Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche dei criteri personalizzati. Avviato da (attore): approvato per apportare modifiche ai criteri personalizzati? |
| Criteri personalizzati B2C eliminati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Eliminare criteri personalizzati Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche dei criteri personalizzati. Avviato da (attore): approvato per apportare modifiche ai criteri personalizzati? |
| Flusso utente creato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Creare un flusso utente Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche apportate al flusso utente. Avviato da (attore): approvato per apportare modifiche ai flussi utente? |
| Flusso utente aggiornato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: aggiornare il flusso utente Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche apportate al flusso utente. Avviato da (attore): approvato per apportare modifiche ai flussi utente? |
| Flusso utente eliminato da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Eliminare il flusso utente Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche apportate al flusso utente. Avviato da (attore): approvato per apportare modifiche ai flussi utente? |
| Connettori API creati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Creare un connettore API Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche del connettore API. Avviato da (attore): approvato per apportare modifiche ai connettori API? |
| Connettori API aggiornati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Aggiornare il connettore API Categoria: ResourceManagement Destinazione: Nome entità utente: ResourceManagement |
Monitorare e avvisare le modifiche del connettore API. Avviato da (attore): approvato per apportare modifiche ai connettori API? |
| Connettori API eliminati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Aggiornare il connettore API Categoria: ResourceManagment Destinazione: Nome entità utente: ResourceManagment |
Monitorare e avvisare le modifiche del connettore API. Avviato da (attore): approvato per apportare modifiche ai connettori API? |
| Provider di identità (IdP) creato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Creare un provider di identità Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche del provider di identità. Avviato da (attore): approvato per apportare modifiche alla configurazione di IdP? |
| IdP aggiornato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Aggiornare il provider di identità Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche del provider di identità. Avviato da (attore): approvato per apportare modifiche alla configurazione di IdP? |
| IdP eliminato da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Eliminare il provider di identità Categoria: ResourceManagement Destinazione: Nome entità utente |
Monitorare e avvisare le modifiche del provider di identità. Avviato da (attore): approvato per apportare modifiche alla configurazione di IdP? |
Passaggi successivi
Per altre informazioni, vedere gli articoli sulle operazioni di sicurezza seguenti:
- Guida alle operazioni di sicurezza di Microsoft Entra
- Operazioni di sicurezza di Microsoft Entra per gli account utente
- Operazioni di sicurezza per gli account con privilegi in Microsoft Entra ID
- Operazioni di sicurezza di Microsoft Entra per Privileged Identity Management
- Guida alle operazioni di sicurezza di Microsoft Entra per le applicazioni
- Operazioni di sicurezza di Microsoft Entra per i dispositivi
- Operazioni di sicurezza per l'infrastruttura