Operazioni di sicurezza per l'infrastruttura
L'infrastruttura include molti componenti in cui possono verificarsi vulnerabilità se non configurate correttamente. Nell'ambito della strategia di monitoraggio e avviso per l'infrastruttura, monitorare e avvisare gli eventi nelle aree seguenti:
Autenticazione e autorizzazione
Componenti di autenticazione ibrida inclusi. Server federativi
Criteri
Sottoscrizioni
Il monitoraggio e l'invio di avvisi ai componenti dell'infrastruttura di autenticazione è fondamentale. Qualsiasi compromesso può portare a un compromesso completo dell'intero ambiente. Molte aziende che usano Microsoft Entra ID operano in un ambiente di autenticazione ibrida. I componenti cloud e locali devono essere inclusi nella strategia di monitoraggio e avviso. La presenza di un ambiente di autenticazione ibrida introduce anche un altro vettore di attacco per l'ambiente.
È consigliabile considerare tutti i componenti asset piano di controllo/livello 0 e gli account usati per gestirli. Per indicazioni sulla progettazione e l'implementazione dell'ambiente, vedere Protezione degli asset con privilegi (SPA). Queste indicazioni includono raccomandazioni per ognuno dei componenti di autenticazione ibrida che potrebbero essere usati per un tenant di Microsoft Entra.
Un primo passaggio per rilevare eventi imprevisti e potenziali attacchi consiste nel stabilire una baseline. Per tutti i componenti locali elencati in questo articolo, vedere Distribuzione dell'accesso con privilegi, che fa parte della guida Protezione degli asset con privilegi (SPA).
Dove guardare
I file di log usati per l'analisi e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di controllo di Microsoft Entra e scaricare come file CSV (Comma Separated Value) o JavaScript Object Notation (JSON). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel : consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità di gestione degli eventi e delle informazioni di sicurezza (SIEM).
Regole Sigma : Sigma è uno standard aperto in continua evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzati possono usare per analizzare i file di log. Dove esistono modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un collegamento al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono invece creati e raccolti dalla community di sicurezza IT in tutto il mondo.
Monitoraggio di Azure: consente il monitoraggio automatizzato e l'invio di avvisi di varie condizioni. Può creare o usare cartelle di lavoro per combinare dati di origini diverse.
Hub eventi di Azure integrato con un sistema SIEM - I log di Microsoft Entra possono essere integrati in altri SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic tramite l'integrazione Hub eventi di Azure.
app Microsoft Defender per il cloud : consente di individuare e gestire le app, gestire le app e le risorse e controllare la conformità delle app cloud.
Protezione delle identità del carico di lavoro con l'anteprima di Identity Protection: usata per rilevare i rischi sulle identità del carico di lavoro tra comportamenti di accesso e indicatori offline di compromissione.
Nella parte restante di questo articolo viene descritto cosa monitorare e inviare avvisi. È organizzato in base al tipo di minaccia. Dove sono disponibili soluzioni predefinite, dopo la tabella sono disponibili collegamenti. In caso contrario, è possibile compilare avvisi usando gli strumenti precedenti.
Infrastruttura di autenticazione
Negli ambienti ibridi che contengono risorse e account locali e basati sul cloud, l'infrastruttura di Active Directory è una parte fondamentale dello stack di autenticazione. Lo stack è anche un obiettivo per gli attacchi, quindi deve essere configurato per mantenere un ambiente sicuro e deve essere monitorato correttamente. Esempi di tipi correnti di attacchi usati dall'infrastruttura di autenticazione usano tecniche Password Spray e Solorigate. Di seguito sono riportati i collegamenti ad articoli consigliati:
Panoramica della protezione dell'accesso con privilegi : questo articolo offre una panoramica delle tecniche correnti che usano tecniche Zero Trust per creare e mantenere l'accesso con privilegi sicuri.
Microsoft Defender per identità attività di dominio monitorate: questo articolo fornisce un elenco completo delle attività per il monitoraggio e l'impostazione degli avvisi.
Microsoft Defender per identità'esercitazione sugli avvisi di sicurezza: questo articolo fornisce indicazioni sulla creazione e l'implementazione di una strategia di avviso di sicurezza.
Di seguito sono riportati collegamenti a articoli specifici incentrati sul monitoraggio e sull'invio di avvisi all'infrastruttura di autenticazione:
Comprendere e usare i percorsi di spostamento laterale con Microsoft Defender per identità: tecniche di rilevamento per identificare quando vengono usati account non sensibili per ottenere l'accesso agli account di rete sensibili.
Uso degli avvisi di sicurezza in Microsoft Defender per identità: questo articolo descrive come esaminare e gestire gli avvisi dopo la registrazione.
Di seguito sono riportati alcuni aspetti specifici da cercare:
| Cosa monitorare | Livello di rischio | Where | Note |
|---|---|---|---|
| Tendenze del blocco Extranet | Alto | Microsoft Entra Connect Health | Vedere Monitorare AD FS usando Microsoft Entra Connessione Health per strumenti e tecniche per rilevare le tendenze di blocco extranet. |
| Accessi non riusciti | Alto | Portale di integrità di Connessione | Esportare o scaricare il report IP rischioso e seguire le indicazioni riportate in Report IP rischioso (anteprima pubblica) per i passaggi successivi. |
| Conformità alla privacy | Basso | Microsoft Entra Connect Health | Configurare Microsoft Entra Connessione Health per disabilitare le raccolte dati e il monitoraggio usando l'articolo Privacy utente e Microsoft Entra Connessione Health. |
| Potenziale attacco di forza bruta su LDAP | Medio | Microsoft Defender per identità | Usare il sensore per rilevare potenziali attacchi di forza bruta contro LDAP. |
| Ricognizione dell'enumerazione account | Medio | Microsoft Defender per identità | Usare il sensore per eseguire l'enumerazione dell'account per la ricognizione. |
| Correlazione generale tra Microsoft Entra ID e Azure AD FS | Medio | Microsoft Defender per identità | Usare le funzionalità per correlare le attività tra l'ID Microsoft Entra e gli ambienti Azure AD FS. |
Monitoraggio dell'autenticazione pass-through
L'autenticazione pass-through di Microsoft Entra consente agli utenti di accedere convalidando le password direttamente rispetto alle Active Directory locale.
Di seguito sono riportati alcuni aspetti specifici da cercare:
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAd Connessione\AuthenticationAgent\Amministrazione | AADSTS80001: impossibile connettersi ad Active Directory | Assicurarsi che i server agente siano membri della stessa foresta di Active Directory degli utenti le cui password devono essere convalidate e che possano connettersi ad Active Directory. |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAd Connessione\AuthenticationAgent\Amministrazione | AADSTS8002 - Si è verificato un timeout durante la connessione ad Active Directory | Verificare che Active Directory sia disponibile e risponda alle richieste degli agenti. |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAd Connessione\AuthenticationAgent\Amministrazione | AADSTS80004 : nome utente passato all'agente non valido | Assicurarsi che l'utente stia tentando di accedere con il nome utente corretto. |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAd Connessione\AuthenticationAgent\Amministrazione | AADSTS80005 - La convalida ha rilevato un'eccezione WebException imprevedibile | Errore temporaneo. ripetere la richiesta. Se il problema persiste, contattare il supporto Microsoft. |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAd Connessione\AuthenticationAgent\Amministrazione | AADSTS80007 - Si è verificato un errore durante la comunicazione con Active Directory | Controllare i log dell'agente per altre informazioni e verificare che Active Directory funzioni come previsto. |
| Errori di autenticazione pass-through di Microsoft Entra | Alto | API funzione Win32 LogonUserA | Eventi di accesso 4624: un account è stato connesso correttamente - correlare con – 4625(F): un account non è riuscito ad accedere |
Usare con i nomi utente sospetti nel controller di dominio che esegue l'autenticazione delle richieste. Indicazioni sulla funzione LogonUserA (winbase.h) |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Script di PowerShell del controller di dominio | Vedere la query dopo la tabella. | Usare le informazioni in Microsoft Entra Connessione: Risolvere i problemi di autenticazionepass-through per indicazioni. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Monitoraggio per la creazione di nuovi tenant di Microsoft Entra
Le organizzazioni potrebbero dover monitorare e avvisare la creazione di nuovi tenant di Microsoft Entra quando l'azione viene avviata dalle identità dal tenant dell'organizzazione. Il monitoraggio di questo scenario offre visibilità sul numero di tenant creati e accessibili dagli utenti finali.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Creazione di un nuovo tenant di Microsoft Entra, usando un'identità dal tenant. | Medio | Log di controllo di Microsoft Entra | Categoria: Gestione directory Attività: Creare un'azienda |
La destinazione mostra l'ID tenant creato |
Connettore di rete privata
Microsoft Entra ID e Microsoft Entra application proxy offrono agli utenti remoti un'esperienza single sign-on (SSO). Gli utenti si connettono in modo sicuro alle app locali senza una rete privata virtuale (VPN) o server dual-homed e regole del firewall. Se il server del connettore di rete privata Microsoft Entra è compromesso, gli utenti malintenzionati potrebbero modificare l'esperienza SSO o modificare l'accesso alle applicazioni pubblicate.
Per configurare il monitoraggio per il proxy di applicazione, vedere Risolvere i problemi del proxy di applicazione e i messaggi di errore. Il file di dati che registra le informazioni è disponibile in Registri applicazioni e servizi\Microsoft\Microsoft Entra private network\Connessione or\Amministrazione. Per una guida di riferimento completa all'attività di controllo, vedere Informazioni di riferimento sulle attività di controllo di Microsoft Entra. Aspetti specifici da monitorare:
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Errori di Kerberos | Medio | Vari strumenti | Medio | Linee guida per gli errori di autenticazione Kerberos in Risolvere i problemi del proxy di applicazione e i messaggi di errore. |
| Problemi di sicurezza del controller di dominio | Alto | Log di controllo della sicurezza del controller di dominio | ID evento 4742(S): un account computer è stato modificato -e- Contrassegno : attendibile per la delega oppure Flag: attendibile per l'autenticazione per la delega |
Esaminare eventuali modifiche al flag. |
| Attacchi come pass-the-ticket | Alto | Seguire le indicazioni in: Ricognizione dell'entità di sicurezza (LDAP) (ID esterno 2038) Esercitazione: Avvisi delle credenziali compromesse Comprendere e usare i percorsi di spostamento laterale con Microsoft Defender per identità Informazioni sui profili di entità |
Impostazioni di autenticazione legacy
Perché l'autenticazione a più fattori (MFA) sia efficace, è anche necessario bloccare l'autenticazione legacy. È quindi necessario monitorare l'ambiente e avvisare l'uso dell'autenticazione legacy. I protocolli di autenticazione legacy, ad esempio POP, SMTP, IMAP e MAPI, non possono applicare l'autenticazione a più fattori. In questo modo questi protocolli sono i punti di ingresso preferiti per gli utenti malintenzionati. Per altre informazioni sugli strumenti che è possibile usare per bloccare l'autenticazione legacy, vedere Nuovi strumenti per bloccare l'autenticazione legacy nell'organizzazione.
L'autenticazione legacy viene acquisita nel log di accesso di Microsoft Entra come parte dei dettagli dell'evento. È possibile usare la cartella di lavoro di Monitoraggio di Azure per identificare l'utilizzo dell'autenticazione legacy. Per altre informazioni, vedere Accessi con l'autenticazione legacy, che fa parte di Come usare cartelle di lavoro di Monitoraggio di Azure per i report di Microsoft Entra. È anche possibile usare la cartella di lavoro Protocolli non sicuri per Microsoft Sentinel. Per altre informazioni, vedere Guida all'implementazione della cartella di lavoro protocolli non sicuri di Microsoft Sentinel. Le attività specifiche da monitorare includono:
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Autenticazioni legacy | Alto | Log di accesso di Microsoft Entra | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp: ActiveSync passa a EXO Altri client = SharePoint ed EWS |
Negli ambienti di dominio federati, le autenticazioni non riuscite non vengono registrate e non vengono visualizzate nel log. |
Microsoft Entra Connect
Microsoft Entra Connessione fornisce una posizione centralizzata che consente la sincronizzazione degli account e degli attributi tra l'ambiente Microsoft Entra locale e quello basato sul cloud. Microsoft Entra Connect è lo strumento di Microsoft progettato per soddisfare e raggiungere gli obiettivi relativi alla soluzione ibrida di gestione delle identità. Offre le funzionalità seguenti:
Sincronizzazione dell'hash delle password: metodo di accesso che sincronizza un hash della password di AD locale di un utente con l'ID Microsoft Entra.
Sincronizzazione: è responsabile della creazione di utenti, gruppi e altri oggetti. Assicurarsi inoltre che le informazioni sull'identità per gli utenti e i gruppi locali corrispondano al cloud. Questa sincronizzazione include anche gli hash delle password.
Monitoraggio dell'integrità: Microsoft Entra Connect Health può offrire un monitoraggio affidabile e una posizione centralizzata nel portale di Azure per visualizzare questa attività.
La sincronizzazione dell'identità tra l'ambiente locale e l'ambiente cloud introduce una nuova superficie di attacco per l'ambiente locale e basato sul cloud. Consigliamo:
Microsoft Entra Connessione server primari e di gestione temporanea come sistemi di livello 0 nel piano di controllo.
Si segue un set standard di criteri che regolano ogni tipo di account e il relativo utilizzo nell'ambiente.
Installare Microsoft Entra Connessione e Connessione Health. Questi forniscono principalmente dati operativi per l'ambiente.
La registrazione delle operazioni di Connessione Microsoft Entra si verifica in modi diversi:
La procedura guidata di Microsoft Entra Connessione registra i dati in
\ProgramData\AADConnect. Ogni volta che viene richiamata la procedura guidata, viene creato un file di log di traccia con timestamp. Il log di traccia può essere importato in Sentinel o in altri strumenti SIEM (Rd Party Security Information and Event Management) di 3parti per l'analisi.Alcune operazioni avviano uno script di PowerShell per acquisire informazioni di registrazione. Per raccogliere questi dati, è necessario assicurarsi che la registrazione dei blocchi di script sia abilitata.
Monitoraggio delle modifiche alla configurazione
Microsoft Entra ID usa il motore di dati di Microsoft SQL Server o SQL per archiviare le informazioni di configurazione di Microsoft Entra Connessione. Pertanto, il monitoraggio e il controllo dei file di log associati alla configurazione devono essere inclusi nella strategia di monitoraggio e controllo. In particolare, includere le tabelle seguenti nella strategia di monitoraggio e avviso.
| Cosa monitorare | Where | Note |
|---|---|---|
| mms_management_agent | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
| mms_partition | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
| mms_run_profile | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
| mms_server_configuration | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
| mms_synchronization_rule | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
Per informazioni su cosa e su come monitorare le informazioni di configurazione, vedere:
Per SQL Server, vedere Record di controllo di SQL Server.
Per Microsoft Sentinel, vedere Connessione ai server Windows per raccogliere eventi di sicurezza.
Per informazioni sulla configurazione e l'uso di Microsoft Entra Connessione, vedere Che cos'è Microsoft Entra Connessione?
Monitoraggio e risoluzione dei problemi di sincronizzazione
Una funzione di Microsoft Entra Connessione consiste nel sincronizzare la sincronizzazione dell'hash tra la password locale di un utente e l'ID Microsoft Entra. Se le password non vengono sincronizzate come previsto, la sincronizzazione potrebbe influire su un subset di utenti o tutti gli utenti. Usare quanto segue per verificare il corretto funzionamento o risolvere i problemi:
Informazioni per il controllo e la risoluzione dei problemi di sincronizzazione degli hash, vedere Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync.
Modifiche agli spazi connettore, vedere Risolvere i problemi relativi a oggetti e attributi di Microsoft Entra Connessione.
Risorse importanti sul monitoraggio
| Cosa monitorare | Risorse |
|---|---|
| Convalida della sincronizzazione hash | Vedere Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync |
| Modifiche agli spazi del connettore | vedere Risolvere i problemi relativi a oggetti e attributi di Microsoft Entra Connessione |
| Modifiche alle regole configurate | Monitorare le modifiche apportate a: filtro, dominio e unità organizzativa, attributi e modifiche basate su gruppo |
| Modifiche a SQL e MSDE | Modifiche ai parametri di registrazione e all'aggiunta di funzioni personalizzate |
Monitorare quanto segue:
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Modifiche dell'utilità di pianificazione | Alto | PowerShell | Set-ADSyncScheduler | Cercare modifiche alla pianificazione |
| Modifiche alle attività pianificate | Alto | Log di controllo di Microsoft Entra | Attività = 4699(S): un'attività pianificata è stata eliminata oppure Attività = 4701: un'attività pianificata è stata disabilitata oppure Attività = 4702: un'attività pianificata è stata aggiornata |
Monitorare tutti |
Per altre informazioni sulla registrazione delle operazioni di script di PowerShell, vedere Abilitazione della registrazione di blocchi di script, che fa parte della documentazione di riferimento di PowerShell.
Per altre informazioni sulla configurazione della registrazione di PowerShell per l'analisi di Splunk, vedere Get Data into Splunk User Behavior Analytics (Recupera dati in Splunk User Behavior Analytics).
Monitoraggio dell'accesso Single Sign-On facile
L'accesso Single Sign-On facile (Seamless SSO) di Microsoft Entra accede automaticamente agli utenti quando si trovano nei desktop aziendali connessi alla rete aziendale. L'accesso Single Sign-On facile consente agli utenti di accedere facilmente alle applicazioni basate sul cloud senza altri componenti locali. SSO usa le funzionalità di autenticazione pass-through e sincronizzazione dell'hash delle password fornite da Microsoft Entra Connessione.
Il monitoraggio dell'accesso Single Sign-On e dell'attività Kerberos consente di rilevare i modelli di attacco di furto di credenziali generali. Monitorare usando le informazioni seguenti:
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Errori associati a errori di convalida SSO e Kerberos | Medio | Log di accesso di Microsoft Entra | Elenco di codici di errore per l'accesso Single Sign-On in Single Sign-On. | |
| Eseguire una query per la risoluzione degli errori | Medio | PowerShell | Vedere la tabella seguente. controllare ogni foresta con SSO abilitato. | Controllare ogni foresta con SSO abilitato. |
| Eventi correlati a Kerberos | Alto | monitoraggio Microsoft Defender per identità | Esaminare le linee guida disponibili in percorsi di spostamento laterale Microsoft Defender per identità (LMP) |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Criteri di protezione password
Se si distribuisce Microsoft Entra Password Protection, il monitoraggio e la creazione di report sono attività essenziali. I collegamenti seguenti forniscono informazioni dettagliate che consentono di comprendere varie tecniche di monitoraggio, tra cui dove ogni servizio registra informazioni e come segnalare l'uso di Microsoft Entra Password Protection.
L'agente controller di dominio e i servizi proxy registrano entrambi i messaggi del registro eventi. Tutti i cmdlet di PowerShell descritti di seguito sono disponibili solo nel server proxy (vedere il modulo AzureADPasswordProtection di PowerShell). Il software agente del controller di dominio non installa un modulo di PowerShell.
Informazioni dettagliate per la pianificazione e l'implementazione della protezione password locale sono disponibili in Pianificare e distribuire la protezione password di Microsoft Entra locale. Per informazioni dettagliate sul monitoraggio, vedere Monitorare la protezione password di Microsoft Entra locale. In ogni controller di dominio il software del servizio agente del controller di dominio scrive i risultati di ogni singola operazione di convalida della password (e altro stato) nel registro eventi locale seguente:
\Registri applicazioni e servizi\Microsoft\AzureADPasswordProtection\DCAgent\Amministrazione
\Registri applicazioni e servizi\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Registri applicazioni e servizi\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Il log degli eventi di amministrazione dell'agente del controller di dominio è la principale fonte di informazioni sul comportamento del software. Per impostazione predefinita, il log di traccia è disattivato e deve essere abilitato prima della registrazione dei dati. Per risolvere i problemi del proxy dell'applicazione e i messaggi di errore, le informazioni dettagliate sono disponibili in Risolvere i problemi relativi al proxy dell'applicazione Microsoft Entra. Le informazioni per questi eventi vengono registrate:
Registri applicazioni e servizi\Microsoft\Microsoft Entra private network\Connessione or\Amministrazione
Log di controllo di Microsoft Entra, Proxy applicazione categoria
Informazioni di riferimento complete sulle attività di controllo di Microsoft Entra sono disponibili nelle informazioni di riferimento sulle attività di controllo di Microsoft Entra.
Accesso condizionale
In Microsoft Entra ID è possibile proteggere l'accesso alle risorse configurando i criteri di accesso condizionale. Gli amministratori IT vogliono assicurarsi che i criteri di accesso condizionale funzionino come previsto per assicurarsi che le risorse siano protette. Il monitoraggio e l'invio di avvisi sulle modifiche apportate al servizio di accesso condizionale garantisce che vengano applicati i criteri definiti dall'organizzazione per l'accesso ai dati. Microsoft Entra registra quando vengono apportate modifiche all'accesso condizionale e fornisce anche cartelle di lavoro per garantire che i criteri forniscano la copertura prevista.
Collegamenti alla cartella di lavoro
Informazioni dettagliate e report per l'accesso condizionale
Cartella di lavoro di analisi dei gap di accesso condizionale
Monitorare le modifiche ai criteri di accesso condizionale usando le informazioni seguenti:
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Nuovi criteri di accesso condizionale creati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Aggiungere criteri di accesso condizionale Categoria: Criteri Avviato da (attore): Nome entità utente |
Monitorare e avvisare le modifiche all'accesso condizionale. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale? Modello di Microsoft Sentinel Regole Sigma |
| Criteri di accesso condizionale rimossi da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Eliminare i criteri di accesso condizionale Categoria: Criteri Avviato da (attore): Nome entità utente |
Monitorare e avvisare le modifiche all'accesso condizionale. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale? Modello di Microsoft Sentinel Regole Sigma |
| Criteri di accesso condizionale aggiornati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Aggiornare i criteri di accesso condizionale Categoria: Criteri Avviato da (attore): Nome entità utente |
Monitorare e avvisare le modifiche all'accesso condizionale. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale? Esaminare le proprietà modificate e confrontare il valore "old" e "new" Modello di Microsoft Sentinel Regole Sigma |
| Rimozione di un utente da un gruppo usato per definire l'ambito dei criteri di accesso condizionale critici | Medio | Log di controllo di Microsoft Entra | Attività: Rimuovere un membro dal gruppo Categoria: GroupManagement Destinazione: Nome entità utente |
Montior e Alert per i gruppi usati per definire l'ambito dei criteri di accesso condizionale critici. "Target" è l'utente che è stato rimosso. Regole Sigma |
| Aggiunta di un utente a un gruppo usato per definire l'ambito dei criteri di accesso condizionale critici | Basso | Log di controllo di Microsoft Entra | Attività: Aggiungere un membro al gruppo Categoria: GroupManagement Destinazione: Nome entità utente |
Montior e Alert per i gruppi usati per definire l'ambito dei criteri di accesso condizionale critici. "Target" è l'utente che è stato aggiunto. Regole Sigma |
Passaggi successivi
Panoramica delle operazioni di sicurezza di Microsoft Entra
Operazioni di sicurezza per gli account utente
Operazioni di sicurezza per gli account consumer
Operazioni di sicurezza per gli account con privilegi
Operazioni di sicurezza per Privileged Identity Management