Operazioni di sicurezza di Microsoft Entra per i dispositivi
I dispositivi non sono comunemente mirati ad attacchi basati sull'identità, ma possono essere usati per soddisfare e ingannare i controlli di sicurezza o per rappresentare gli utenti. I dispositivi possono avere una delle quattro relazioni con Microsoft Entra ID:
Non registrato
I dispositivi registrati e aggiunti vengono emessi un token di aggiornamento primario (PRT), che può essere usato come artefatto di autenticazione principale e in alcuni casi come artefatto di autenticazione a più fattori. Gli utenti malintenzionati possono provare a registrare i propri dispositivi, usare le richieste pull su dispositivi legittimi per accedere ai dati aziendali, rubare token basati su PRT da dispositivi utente legittimi o trovare configurazioni errate nei controlli basati su dispositivo in Microsoft Entra ID. Con i dispositivi aggiunti a Microsoft Entra ibrido, il processo di aggiunta viene avviato e controllato dagli amministratori, riducendo i metodi di attacco disponibili.
Per altre informazioni sui metodi di integrazione dei dispositivi, vedere Scegliere i metodi di integrazione nell'articolo Pianificare la distribuzione del dispositivo Microsoft Entra.
Per ridurre il rischio che gli attori malintenzionati attacchino l'infrastruttura tramite dispositivi, monitorare
Registrazione del dispositivo e aggiunta a Microsoft Entra
Dispositivi non conformi che accedono alle applicazioni
Recupero della chiave BitLocker
Ruoli di amministratore del dispositivo
Accessi alle macchine virtuali
Dove guardare
I file di log usati per l'analisi e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di controllo di Microsoft Entra e scaricare come file CON VALORI delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel : consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità di gestione delle informazioni sulla sicurezza e degli eventi (SIEM).
Regole Sigma : Sigma è uno standard aperto in continua evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzati possono usare per analizzare i file di log. Dove esistono modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un collegamento al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono invece creati e raccolti dalla community di sicurezza IT in tutto il mondo.
Monitoraggio di Azure: consente il monitoraggio automatizzato e l'invio di avvisi di varie condizioni. Può creare o usare cartelle di lavoro per combinare dati di origini diverse.
Hub eventi di Azure integrato con i log siem- di Microsoft Entra può essere integrato in altri SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic tramite l'integrazione Hub eventi di Azure.
app Microsoft Defender per il cloud : consente di individuare e gestire le app, gestire le app e le risorse e controllare la conformità delle app cloud.
Protezione delle identità del carico di lavoro con l'anteprima di Identity Protection: usata per rilevare i rischi sulle identità del carico di lavoro tra comportamenti di accesso e indicatori offline di compromissione.
Gran parte degli elementi che verranno monitorati e avvisati sono gli effetti dei criteri di accesso condizionale. È possibile usare le informazioni dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report per esaminare gli effetti di uno o più criteri di accesso condizionale negli accessi e i risultati dei criteri, incluso lo stato del dispositivo. Questa cartella di lavoro consente di visualizzare un riepilogo e di identificare gli effetti in un periodo di tempo specifico. È anche possibile usare la cartella di lavoro per esaminare gli accessi di un utente specifico.
Il resto di questo articolo descrive cosa è consigliabile monitorare e inviare avvisi ed è organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite specifiche collegate o vengono forniti esempi che seguono la tabella. In caso contrario, è possibile compilare avvisi usando gli strumenti precedenti.
Registrazioni e join dei dispositivi all'esterno dei criteri
I dispositivi Registrati da Microsoft Entra e Microsoft Entra sono dotati di token di aggiornamento primari (PRT), che sono equivalenti a un singolo fattore di autenticazione. Questi dispositivi possono talvolta contenere attestazioni di autenticazione avanzata. Per altre informazioni su quando le richieste pull contengono attestazioni di autenticazione avanzata, vedere Quando un token di aggiornamento primario ottiene un'attestazione MFA? Per impedire agli attori malintenzionati di registrare o aggiungere dispositivi, richiedere l'autenticazione a più fattori (MFA) per registrare o aggiungere dispositivi. Monitorare quindi i dispositivi registrati o aggiunti senza MFA. È anche necessario controllare le modifiche apportate alle impostazioni e ai criteri di autenticazione a più fattori e ai criteri di conformità dei dispositivi.
Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
---|---|---|---|---|
Registrazione o aggiunta del dispositivo completata senza autenticazione a più fattori | Medio | Log di accesso | Attività: autenticazione riuscita al servizio Registrazione dispositivi. And Nessuna autenticazione a più fattori richiesta |
Avvisa quando: qualsiasi dispositivo registrato o aggiunto senza autenticazione a più fattori Modello di Microsoft Sentinel Regole Sigma |
Modifiche all'interruttore MFA Registrazione dispositivo in Microsoft Entra ID | Alto | Log di audit | Attività: Impostare i criteri di registrazione dei dispositivi | Cerca: l'interruttore impostato su disattivato. Non è presente alcuna voce del log di controllo. Pianificare controlli periodici. Regole Sigma |
Modifiche ai criteri di accesso condizionale che richiedono l'aggiunta a un dominio o un dispositivo conforme. | Alto | Log di audit | Modifiche ai criteri di accesso condizionale |
Avviso quando: passare a qualsiasi criterio che richiede l'aggiunta a un dominio o conforme, modifiche a posizioni attendibili o account o dispositivi aggiunti alle eccezioni dei criteri di autenticazione a più fattori. |
È possibile creare un avviso che notifica agli amministratori appropriati quando un dispositivo viene registrato o aggiunto senza MFA usando Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
È anche possibile usare Microsoft Intune per impostare e monitorare i criteri di conformità dei dispositivi.
Accesso al dispositivo non conforme
Potrebbe non essere possibile bloccare l'accesso a tutte le applicazioni cloud e software-as-a-service con criteri di accesso condizionale che richiedono dispositivi conformi.
La gestione dei dispositivi mobili (MDM) consente di mantenere i dispositivi Windows 10 conformi. Con Windows versione 1809 è stata rilasciata una baseline di sicurezza dei criteri. Microsoft Entra ID può integrarsi con MDM per applicare la conformità dei dispositivi ai criteri aziendali e può segnalare lo stato di conformità di un dispositivo.
Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
---|---|---|---|---|
Accessi da dispositivi non conformi | Alto | Log di accesso | DeviceDetail.isCompliant == false | Se si richiede l'accesso da dispositivi conformi, avvisare quando: qualsiasi accesso da dispositivi non conformi o qualsiasi accesso senza autenticazione a più fattori o una posizione attendibile. Se si lavora per richiedere dispositivi, monitorare gli accessi sospetti. |
Accessi da dispositivi sconosciuti | Bassa | Log di accesso | DeviceDetail è vuoto, autenticazione a singolo fattore o da una posizione non attendibile | Cercare: qualsiasi accesso da dispositivi non conformi, qualsiasi accesso senza autenticazione a più fattori o posizione attendibile Modello di Microsoft Sentinel Regole Sigma |
Usare LogAnalytics per eseguire query
Accessi da dispositivi non conformi
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Accessi da dispositivi sconosciuti
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Dispositivi non aggiornati
I dispositivi non aggiornati includono i dispositivi che non hanno eseguito l'accesso per un periodo di tempo specificato. I dispositivi possono diventare obsoleti quando un utente ottiene un nuovo dispositivo o perde un dispositivo o quando un dispositivo aggiunto a Microsoft Entra viene cancellato o sottoposto a nuovo provisioning. I dispositivi possono anche rimanere registrati o aggiunti quando l'utente non è più associato al tenant. I dispositivi non aggiornati devono essere rimossi in modo che i token di aggiornamento primario (PRT) non possano essere usati.
Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
---|---|---|---|---|
Data ultimo accesso | Bassa | API Graph | approximateLastSignInDateTime | Usare l'API Graph o PowerShell per identificare e rimuovere i dispositivi non aggiornati. |
Recupero della chiave BitLocker
Gli utenti malintenzionati che hanno compromesso il dispositivo di un utente possono recuperare le chiavi BitLocker in Microsoft Entra ID. Non è raro che gli utenti recuperino le chiavi e debbano essere monitorate e analizzate.
Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
---|---|---|---|---|
Recupero delle chiavi | Medio | Log di audit | OperationName == "Read BitLocker key" | Cercare: recupero delle chiavi, altro comportamento anomalo da parte degli utenti che recuperano le chiavi. Modello di Microsoft Sentinel Regole Sigma |
In LogAnalytics creare una query, ad esempio
AuditLogs
| where OperationName == "Read BitLocker key"
Ruoli di amministratore del dispositivo
Gli amministratori globali e i dispositivi cloud Amministrazione istrator ottengono automaticamente i diritti di amministratore locale in tutti i dispositivi aggiunti a Microsoft Entra. È importante monitorare chi ha questi diritti per proteggere l'ambiente.
Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
---|---|---|---|---|
Utenti aggiunti ai ruoli di amministratore globale o del dispositivo | Alto | Log di audit | Tipo di attività = Aggiungi membro al ruolo. | Cerca: nuovi utenti aggiunti a questi ruoli di Microsoft Entra, comportamento anomalo successivo da parte di computer o utenti. Modello di Microsoft Sentinel Regole Sigma |
Accessi non di Azure AD alle macchine virtuali
Gli accessi alle macchine virtuali Windows o LINUX devono essere monitorati per gli accessi da account diversi dagli account Microsoft Entra.
Accesso a Microsoft Entra per LINUX
L'accesso a Microsoft Entra per LINUX consente alle organizzazioni di accedere alle macchine virtuali Linux di Azure usando gli account Microsoft Entra tramite il protocollo SSH (Secure Shell Protocol).
Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
---|---|---|---|---|
Accesso all'account non Azure AD, in particolare tramite SSH | Alto | Log di autenticazione locale | Ubuntu: monitor /var/log/auth.log per l'uso di SSH Redhat: monitor /var/log/sssd/ per l'uso di SSH |
Cercare: voci in cui gli account non Azure AD si connettono correttamente alle macchine virtuali. Vedere l'esempio seguente. |
Esempio di Ubuntu:
9 maggio 23:49:39 ubuntu1804 aad_certhandler[3915]: Versione: 1.0.015570001; user: localusertest01
9 maggio 23:49:39 ubuntu1804 aad_certhandler[3915]: l'utente 'localusertest01' non è un utente di Microsoft Entra; restituzione di risultati vuoti.
9 maggio 23:49:43 ubuntu1804 aad_certhandler[3916]: Versione: 1.0.015570001; user: localusertest01
9 maggio 23:49:43 ubuntu1804 aad_certhandler[3916]: l'utente 'localusertest01' non è un utente di Microsoft Entra; restituzione di risultati vuoti.
9 maggio 23:49:43 ubuntu1804 sshd[3909]: accettato pubblicamente per localusertest01 da 192.168.0.15 porta 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhWJEoXp4HMm9lvJAQ
9 maggio 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sessione aperta per l'utente localusertest01 by (uid=0).
È possibile impostare i criteri per gli accessi alle macchine virtuali LINUX e rilevare e contrassegnare le macchine virtuali Linux con account locali non approvati aggiunti. Per altre informazioni, vedere Uso di Criteri di Azure per garantire gli standard e valutare la conformità.
Accessi a Microsoft Entra per Windows Server
L'accesso a Microsoft Entra per Windows consente all'organizzazione di accedere alle macchine virtuali Windows 2019+ di Azure usando account Microsoft Entra tramite rdp (Remote Desktop Protocol).
Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
---|---|---|---|---|
Accesso all'account non Azure AD, soprattutto tramite RDP | Alto | Registri eventi di Windows Server | Accesso interattivo alla macchina virtuale Windows | Evento 528, tipo di accesso 10 (RemoteInteractive). Viene visualizzato quando un utente accede tramite Servizi terminal o Desktop remoto. |
Passaggi successivi
Panoramica delle operazioni di sicurezza di Microsoft Entra
Operazioni di sicurezza per gli account utente
Operazioni di sicurezza per gli account consumer
Operazioni di sicurezza per gli account con privilegi
Operazioni di sicurezza per Privileged Identity Management