Guida alle operazioni di sicurezza di Microsoft Entra

Microsoft ha un approccio efficace e collaudato alla sicurezza Zero Trust usando principi di difesa avanzata che usano l'identità come piano di controllo. Le organizzazioni continuano ad adottare un mondo di carico di lavoro ibrido per scalabilità, risparmi sui costi e sicurezza. Microsoft Entra ID svolge un ruolo fondamentale nella strategia di gestione delle identità. Recentemente, le notizie riguardanti la compromissione dell'identità e della sicurezza hanno richiesto all'IT aziendale di considerare il comportamento di sicurezza delle identità come misura del successo della sicurezza difensiva.

Sempre più spesso, le organizzazioni devono adottare una combinazione di applicazioni locali e cloud, a cui gli utenti accedono con account locali e solo cloud. La gestione di utenti, applicazioni e dispositivi sia in locale che nel cloud pone scenari complessi.

Identità ibrida

Microsoft Entra ID crea un'identità utente comune per l'autenticazione e l'autorizzazione per tutte le risorse, indipendentemente dalla posizione. Tale identità costituisce la cosiddetta identità ibrida.

Per ottenere l'identità ibrida con Microsoft Entra ID è possibile usare uno dei tre metodi di autenticazione disponibili, in base agli scenari. seguenti:

• Sincronizzazione dell'hash delle password
• Autenticazione pass-through
• Federazione (AD FS)

Quando si controllano le operazioni di sicurezza correnti o si stabiliscono operazioni di sicurezza per l'ambiente Azure, è consigliabile:

• Leggere parti specifiche delle linee guida sulla sicurezza Microsoft per stabilire una baseline di conoscenza sulla protezione dell'ambiente azure ibrido o basato sul cloud.
• Controllare i metodi di autenticazione e strategia dell'account e della password per scoraggiare i vettori di attacco più comuni.
• Creare una strategia per il monitoraggio continuo e l'invio di avvisi sulle attività che potrebbero indicare una minaccia per la sicurezza.

Destinatari

Microsoft Entra SecOps Guide è destinato ai team aziendali di gestione delle identità IT e delle operazioni di sicurezza e ai provider di servizi gestiti che devono contrastare le minacce tramite una migliore configurazione della sicurezza delle identità e profili di monitoraggio. Questa guida è particolarmente rilevante per gli amministratori IT e gli architetti delle identità che consigliano team di test difensivi e di penetrazione del Centro sicurezza (SOC) per migliorare e mantenere il comportamento di sicurezza delle identità.

Ambito

Questa introduzione fornisce le raccomandazioni consigliate per la prelettura e il controllo delle password e la strategia. Questo articolo offre anche una panoramica degli strumenti disponibili per gli ambienti Azure ibridi e gli ambienti Azure completamente basati sul cloud. Infine, viene fornito un elenco di origini dati che è possibile usare per il monitoraggio e l'invio di avvisi e la configurazione della strategia e dell'ambiente SIEM (Security Information and Event Management). Il resto delle linee guida presenta strategie di monitoraggio e avviso nelle aree seguenti:

• Account utente. Linee guida specifiche per gli account utente senza privilegi amministrativi, tra cui la creazione e l'utilizzo di account anomali e accessi insoliti.

• Account con privilegi. Indicazioni specifiche per gli account utente con privilegi con autorizzazioni elevate per eseguire attività amministrative. Le attività includono assegnazioni di ruolo Microsoft Entra, assegnazioni di ruolo delle risorse di Azure e gestione degli accessi per le risorse e le sottoscrizioni di Azure.

• Privileged Identity Management (PIM). Linee guida specifiche per l'uso di PIM per gestire, controllare e monitorare l'accesso alle risorse.

• Applicazioni. Indicazioni specifiche per gli account usati per fornire l'autenticazione per le applicazioni.

• Dispositivi. Indicazioni specifiche per il monitoraggio e l'invio di avvisi per i dispositivi registrati o aggiunti all'esterno di criteri, utilizzo non conforme, gestione dei ruoli di amministrazione dei dispositivi e accessi alle macchine virtuali.

• Infrastruttura. Linee guida specifiche per il monitoraggio e l'invio di avvisi sulle minacce per gli ambienti ibridi e puramente basati sul cloud.

Contenuto di riferimento importante

Microsoft offre numerosi prodotti e servizi che consentono di personalizzare l'ambiente IT in base alle proprie esigenze. È consigliabile esaminare le indicazioni seguenti per l'ambiente operativo:

• Sistemi operativi Windows

  • Baseline di sicurezza (FINAL) per Windows 10 v1909 e Windows Server v1909
  • Baseline di sicurezza per Windows 11
  • Baseline di sicurezza per Windows Server 2022

• Ambienti locali

  • Architettura Microsoft Defender per identità
  • Avvio rapido per Connessione Microsoft Defender per identità ad Active Directory
  • Baseline di sicurezza di Azure per Microsoft Defender per identità
  • Monitoraggio dei segnali di compromissione di Active Directory

• Ambienti Azure basati sul cloud

  • Monitorare gli accessi con il log di accesso di Microsoft Entra
  • Report attività di controllo nel portale di Azure
  • Analizzare i rischi con Microsoft Entra ID Protection
  • Connessione dati di Microsoft Entra ID Protection in Microsoft Sentinel

• Active Directory Domain Services (AD DS)

  • Suggerimenti per i criteri di controllo

• Active Directory Federation Services (AD FS)

  • Risoluzione dei problemi di AD FS - Controllo di eventi e registrazione

Origini dati

I file di log usati per l'analisi e il monitoraggio sono:

• Log di controllo di Microsoft Entra
• Log di accesso
• Log di controllo di Microsoft 365
• Log di Azure Key Vault

Dal portale di Azure è possibile visualizzare i log di controllo di Microsoft Entra. Scaricare i log come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:

• Microsoft Sentinel : consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità di gestione degli eventi e delle informazioni di sicurezza (SIEM).

• Regole Sigma : Sigma è uno standard aperto in continua evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzati possono usare per analizzare i file di log. Dove esistono modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un collegamento al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono invece creati e raccolti dalla community di sicurezza IT in tutto il mondo.

• Monitoraggio di Azure: consente il monitoraggio automatizzato e l'invio di avvisi di varie condizioni. Può creare o usare cartelle di lavoro per combinare dati di origini diverse.

• Hub eventi di Azure integrato con siem. I log di Microsoft Entra possono essere integrati in altri SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic tramite l'integrazione Hub eventi di Azure. Per altre informazioni, vedere Trasmettere i log di Microsoft Entra a un hub eventi di Azure.

• app Microsoft Defender per il cloud - Consente di individuare e gestire le app, gestire le app e le risorse e controllare la conformità delle app cloud.

• Protezione delle identità del carico di lavoro con l'anteprima di Identity Protection: usata per rilevare i rischi sulle identità del carico di lavoro tra comportamenti di accesso e indicatori offline di compromissione.

Gran parte degli elementi che verranno monitorati e avvisati sono gli effetti dei criteri di accesso condizionale. È possibile usare le informazioni dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report per esaminare gli effetti di uno o più criteri di accesso condizionale sugli accessi e sui risultati dei criteri, incluso lo stato del dispositivo. Questa cartella di lavoro consente di visualizzare un riepilogo dell'impatto e di identificare l'impatto in un periodo di tempo specifico. È anche possibile usare la cartella di lavoro per esaminare gli accessi di un utente specifico. Per altre informazioni, vedere Informazioni dettagliate e creazione di report per l'accesso condizionale.

Nella parte restante di questo articolo viene descritto cosa monitorare e inviare avvisi. Dove sono presenti soluzioni predefinite specifiche collegate o vengono forniti esempi che seguono la tabella. In caso contrario, è possibile compilare avvisi usando gli strumenti precedenti.

• Identity Protection genera tre report chiave che è possibile usare per facilitare l'indagine:

• Gli utenti a rischio contengono informazioni su quali utenti sono a rischio, dettagli sui rilevamenti, sulla cronologia di tutti gli accessi a rischio e sulla cronologia dei rischi.

• Gli accessi a rischio contengono informazioni che circondano la circostanza di un accesso che potrebbe indicare circostanze sospette. Per altre informazioni sull'analisi delle informazioni di questo report, vedere Procedura: Analizzare i rischi.

• I rilevamenti dei rischi contengono informazioni sui segnali di rischio rilevati da Microsoft Entra ID Protection che informano l'accesso e il rischio utente. Per altre informazioni, vedere la Guida alle operazioni di sicurezza di Microsoft Entra per gli account utente.

Per altre informazioni, vedere Informazioni su Identity Protection.

Origini dati per il monitoraggio del controller di dominio

Per ottenere risultati ottimali, è consigliabile monitorare i controller di dominio usando Microsoft Defender per identità. Questo approccio consente le migliori funzionalità di rilevamento e automazione. Seguire le indicazioni fornite da queste risorse:

• Architettura Microsoft Defender per identità
• Avvio rapido per Connessione Microsoft Defender per identità ad Active Directory

Se non si prevede di usare Microsoft Defender per identità, monitorare i controller di dominio in base a uno di questi approcci:

• Messaggi del registro eventi. Vedere Monitoraggio di Active Directory per i segni di compromissione.
• Cmdlet di PowerShell. Vedere Risoluzione dei problemi relativi alla distribuzione del controller di dominio.

Componenti dell'autenticazione ibrida

Nell'ambito di un ambiente ibrido di Azure, gli elementi seguenti devono essere previsti e inclusi nella strategia di monitoraggio e avviso.

• Agente PTA: l'agente di autenticazione pass-through viene usato per abilitare l'autenticazione pass-through ed è installato in locale. Per informazioni sulla verifica della versione e sui passaggi successivi, vedere Microsoft Entra pass-through authentication agent: Cronologia delle versioni.

• AD FS/WAP - Active Directory Federation Services (Azure AD FS) e Web Application Proxy (WAP) consentono la condivisione sicura di identità digitali e diritti di diritti attraverso i limiti di sicurezza e organizzazione. Per informazioni sulle procedure consigliate per la sicurezza, vedere Procedure consigliate per la protezione di Active Directory Federation Services.

• Microsoft Entra Connessione Health Agent : agente usato per fornire un collegamento di comunicazione per Microsoft Entra Connessione Health. Per informazioni sull'installazione dell'agente, vedere Installazione dell'agente di Integrità di Microsoft Entra Connessione.

• Motore di sincronizzazione di Microsoft Entra Connessione: il componente locale, detto anche motore di sincronizzazione. Per informazioni sulla funzionalità, vedere Funzionalità del servizio Microsoft Entra Connessione Sync.

• Agente del controller di dominio di protezione password: l'agente del controller di dominio di protezione password di Azure viene usato per monitorare e segnalare i messaggi del registro eventi. Per informazioni, vedere Applicare la protezione password di Microsoft Entra locale per i servizi di Dominio di Active Directory.

• DLL filtro password: la DLL del filtro password dell'agente del controller di dominio riceve le richieste di convalida delle password utente dal sistema operativo. Il filtro le inoltra al servizio agente del controller di dominio in esecuzione localmente nel controller di dominio. Per informazioni sull'uso della DLL, vedere Applicare la protezione password di Microsoft Entra locale per i servizi di Dominio di Active Directory.

• Agente di writeback delle password: il writeback delle password è una funzionalità abilitata con Microsoft Entra Connessione che consente il writeback delle modifiche delle password nel cloud in una directory locale esistente in tempo reale. Per altre informazioni su questa funzionalità, vedere Funzionamento del writeback della reimpostazione della password self-service in Microsoft Entra ID.

• Connettore di rete privata Microsoft Entra: agenti leggeri che si trovano in locale e facilitano la connessione in uscita al servizio Proxy di applicazione. Per altre informazioni, vedere Informazioni sui connettori di rete privata di Microsoft Entra.

Componenti dell'autenticazione basata sul cloud

Nell'ambito di un ambiente basato sul cloud di Azure, gli elementi seguenti devono essere previsti e inclusi nella strategia di monitoraggio e avviso.

• Proxy dell'applicazione Microsoft Entra: questo servizio cloud fornisce accesso remoto sicuro alle applicazioni Web locali. Per altre informazioni, vedere Accesso remoto alle applicazioni locali tramite il proxy dell'applicazione Microsoft Entra.

• Microsoft Entra Connessione - Servizi usati per una soluzione microsoft Entra Connessione. Per altre informazioni, vedere Che cos'è Microsoft Entra Connessione.

• Microsoft Entra Connessione Health - Integrità dei servizi offre un dashboard personalizzabile che tiene traccia dell'integrità dei servizi di Azure nelle aree in cui vengono usate. Per altre informazioni, vedere Microsoft Entra Connessione Health.

• Autenticazione a più fattori Microsoft Entra: l'autenticazione a più fattori richiede a un utente di fornire più di una forma di prova per l'autenticazione. Questo approccio può fornire un primo passaggio proattivo per proteggere l'ambiente. Per altre informazioni, vedere Autenticazione a più fattori Di Microsoft Entra.

• Gruppi dinamici: la configurazione dinamica dell'appartenenza ai gruppi di sicurezza per Microsoft Entra Amministrazione istrators può impostare regole per popolare i gruppi creati in Microsoft Entra ID in base agli attributi utente. Per altre informazioni, vedere Gruppi dinamici e Collaborazione B2B di Microsoft Entra.

• Accesso condizionale: l'accesso condizionale è lo strumento usato da Microsoft Entra ID per riunire i segnali, prendere decisioni e applicare i criteri dell'organizzazione. L'accesso condizionale è la base del nuovo piano di controllo basato su identità. Per altre informazioni, vedere Informazioni sull'accesso condizionale.

• Identity Protection : strumento che consente alle organizzazioni di automatizzare il rilevamento e la correzione dei rischi basati sull'identità, analizzare i rischi usando i dati nel portale ed esportare i dati di rilevamento dei rischi nel sistema SIEM. Per altre informazioni, vedere Informazioni su Identity Protection.

• Licenze basate su gruppo: le licenze possono essere assegnate a gruppi anziché direttamente agli utenti. Microsoft Entra ID archivia le informazioni relative agli stati di assegnazione delle licenze per gli utenti.

• Servizio di provisioning: il provisioning si riferisce alla creazione di identità utente e ruoli nelle applicazioni cloud a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Per altre informazioni, vedere Funzionamento del provisioning delle applicazioni in Microsoft Entra ID.

• API Graph: l'API Microsoft Graph è un'API Web RESTful che consente di accedere alle risorse del servizio Microsoft Cloud. Dopo aver registrato l'app e aver acquisito i token di autenticazione per un utente o un servizio, è possibile effettuare richieste all'API Microsoft Graph. Per altre informazioni, vedere Panoramica di Microsoft Graph.

• Servizio di dominio: Microsoft Entra Domain Services (AD DS) fornisce servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, criteri di gruppo. Per altre informazioni, vedere Che cos'è Microsoft Entra Domain Services.

• Azure Resource Manager : Azure Resource Manager è il servizio di distribuzione e gestione per Azure. Fornisce un livello di gestione che consente di creare, aggiornate ed eliminare risorse nell'account Azure. Per altre informazioni, vedere Informazioni su Azure Resource Manager.

• Identità gestita: le identità gestite eliminano la necessità per gli sviluppatori di gestire le credenziali. Le identità gestite forniscono un'identità per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure.

• Privileged Identity Management : PIM è un servizio in Microsoft Entra ID che consente di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione. Per altre informazioni, vedere Che cos'è Microsoft Entra Privileged Identity Management.

• Verifiche di accesso: le verifiche di accesso di Microsoft Entra consentono alle organizzazioni di gestire in modo efficiente le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo. È possibile verificare l'accesso dell'utente regolarmente per assicurarsi che solo gli utenti corretti possano continuare ad accedere. Per altre informazioni, vedere Che cosa sono le verifiche di accesso di Microsoft Entra.

• Gestione entitlement: la gestione entitlement di Microsoft Entra è una funzionalità di governance delle identità. Le organizzazioni possono gestire il ciclo di vita delle identità e degli accessi su larga scala, automatizzando i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le verifiche e la scadenza. Per altre informazioni, vedere Informazioni sulla gestione entitlement di Microsoft Entra.

• Log attività: il log attività è un log della piattaforma Azure che fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione. Questo log include informazioni come quando una risorsa viene modificata o quando viene avviata una macchina virtuale. Per altre informazioni, vedere Log attività di Azure.

• Servizio di reimpostazione password self-service: Microsoft Entra self-service password reset (SSPR) offre agli utenti la possibilità di modificare o reimpostare la password. L'amministratore o l'help desk non è obbligatorio. Per altre informazioni, vedere Funzionamento: Reimpostazione della password self-service di Microsoft Entra.

• Servizi dispositivo: la gestione delle identità dei dispositivi è la base per l'accesso condizionale basato su dispositivo. Con i criteri di accesso condizionale basato su dispositivo, è possibile assicurarsi che l'accesso alle risorse nell'ambiente in uso sia possibile solo con dispositivi gestiti. Per altre informazioni, vedere Che cos'è un'identità del dispositivo.

• Gestione dei gruppi self-service: è possibile consentire agli utenti di creare e gestire i propri gruppi di sicurezza o i gruppi di Microsoft 365 in Microsoft Entra ID. Il proprietario del gruppo può approvare o negare le richieste di appartenenza e può delegare il controllo dell'appartenenza al gruppo. Le funzionalità di gestione dei gruppi self-service non sono disponibili per i gruppi di sicurezza abilitati alla posta elettronica o per le liste di distribuzione. Per altre informazioni, vedere Configurare la gestione dei gruppi self-service in Microsoft Entra ID.

• Rilevamenti dei rischi: contiene informazioni su altri rischi attivati quando viene rilevato un rischio e altre informazioni pertinenti, ad esempio la posizione di accesso e i dettagli di Microsoft Defender per il cloud App.

Passaggi successivi

Vedere gli articoli della Guida alle operazioni di sicurezza seguenti:

Operazioni di sicurezza per gli account utente

Operazioni di sicurezza per gli account consumer

Operazioni di sicurezza per gli account con privilegi

Operazioni di sicurezza per Privileged Identity Management

Operazioni di sicurezza per le applicazioni

Operazioni di sicurezza per i dispositivi

Operazioni di sicurezza per l'infrastruttura