Operazioni di sicurezza di Microsoft Entra per gli account utente
L'identità utente è uno degli aspetti più importanti della protezione dell'organizzazione e dei dati. Questo articolo fornisce indicazioni per il monitoraggio della creazione, dell'eliminazione e dell'utilizzo dell'account. La prima parte illustra come monitorare la creazione e l'eliminazione di account insoliti. La seconda parte illustra come monitorare l'utilizzo insolito degli account.
Se non si è ancora letto la panoramica delle operazioni di sicurezza di Microsoft Entra, è consigliabile farlo prima di procedere.
Questo articolo illustra gli account utente generali. Per gli account con privilegi, vedere Operazioni di sicurezza : account con privilegi.
Definire una linea di base
Per individuare un comportamento anomalo, è prima necessario definire il comportamento normale e previsto. La definizione del comportamento previsto per l'organizzazione consente di determinare quando si verifica un comportamento imprevisto. La definizione consente anche di ridurre il livello di rumore dei falsi positivi durante il monitoraggio e l'invio di avvisi.
Dopo aver definito ciò che ci si aspetta, eseguire il monitoraggio di base per convalidare le aspettative. Con queste informazioni, è possibile monitorare i log per qualsiasi elemento che non rientra nelle tolleranze definite.
Usare i log di controllo di Microsoft Entra, i log di accesso di Microsoft Entra e gli attributi della directory come origini dati per gli account creati al di fuori dei normali processi. Di seguito sono riportati suggerimenti che consentono di considerare e definire la normale procedura per l'organizzazione.
Creazione di account degli utenti: valutare quanto segue:
Strategia e principi per strumenti e processi usati per la creazione e la gestione degli account utente. Ad esempio, sono presenti attributi standard, formati applicati agli attributi dell'account utente.
Origini approvate per la creazione di account. Ad esempio, originato in Active Directory (AD), Microsoft Entra ID o sistemi HR come Workday.
Strategia di avviso per gli account creati all'esterno delle origini approvate. Esiste un elenco controllato di organizzazioni con cui collabora l'organizzazione?
Provisioning di account guest e parametri di avviso per gli account creati al di fuori della gestione entitlement o di altri processi normali.
Parametri di strategia e avviso per gli account creati, modificati o disabilitati da un account che non è un amministratore utente approvato.
Strategia di monitoraggio e avviso per gli account che mancano attributi standard, ad esempio l'ID dipendente o non seguono le convenzioni di denominazione dell'organizzazione.
Strategia, principi e processo per l'eliminazione e la conservazione degli account.
Account utente locali: valutare quanto segue per gli account sincronizzati con Microsoft Entra Connessione:
Foreste, domini e unità organizzative nell'ambito della sincronizzazione. Chi sono gli amministratori approvati che possono modificare queste impostazioni e con quale frequenza viene controllato l'ambito?
Tipi di account sincronizzati. Ad esempio, account utente e account di servizio.
Il processo per la creazione di account locali con privilegi e il modo in cui viene controllata la sincronizzazione di questo tipo di account.
Processo di creazione di account utente locali e modalità di gestione della sincronizzazione di questo tipo di account.
Per altre informazioni sulla protezione e il monitoraggio degli account locali, vedere Protezione di Microsoft 365 da attacchi locali.
Account utente cloud : valutare quanto segue:
Processo di provisioning e gestione degli account cloud direttamente in Microsoft Entra ID.
Processo per determinare i tipi di utenti di cui è stato effettuato il provisioning come account cloud di Microsoft Entra. Ad esempio, si consentono solo gli account con privilegi o si consentono anche gli account utente?
Il processo per creare e gestire un elenco di utenti e processi attendibili previsti per creare e gestire gli account utente cloud.
Il processo per creare e gestire una strategia di avviso per gli account non approvati basati sul cloud.
Dove guardare
I file di log usati per l'analisi e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di controllo di Microsoft Entra e scaricare come file CSV (Comma Separated Value) o JavaScript Object Notation (JSON). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel : consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità di gestione delle informazioni sulla sicurezza e degli eventi (SIEM).
Regole Sigma : Sigma è uno standard aperto in continua evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzati possono usare per analizzare i file di log. Dove esistono modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un collegamento al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono invece creati e raccolti dalla community di sicurezza IT in tutto il mondo.
Monitoraggio di Azure: consente il monitoraggio automatizzato e l'invio di avvisi di varie condizioni. Può creare o usare cartelle di lavoro per combinare dati di origini diverse.
Hub eventi di Azure integrato con un sistema SIEM - I log di Microsoft Entra possono essere integrati in altri SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic tramite l'integrazione Hub eventi di Azure.
app Microsoft Defender per il cloud : consente di individuare e gestire le app, gestire le app e le risorse e controllare la conformità delle app cloud.
Protezione delle identità del carico di lavoro con l'anteprima di Identity Protection: usata per rilevare i rischi sulle identità del carico di lavoro tra comportamenti di accesso e indicatori offline di compromissione.
Gran parte degli elementi che verranno monitorati e avvisati sono gli effetti dei criteri di accesso condizionale. È possibile usare le informazioni dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report per esaminare gli effetti di uno o più criteri di accesso condizionale sugli accessi e i risultati dei criteri, incluso lo stato del dispositivo. Questa cartella di lavoro consente di visualizzare un riepilogo e di identificare gli effetti in un periodo di tempo specifico. È anche possibile usare la cartella di lavoro per esaminare gli accessi di un utente specifico.
Nella parte restante di questo articolo viene descritto ciò che è consigliabile monitorare e inviare avvisi ed è organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite specifiche collegate o vengono forniti esempi che seguono la tabella. In caso contrario, è possibile compilare avvisi usando gli strumenti precedenti.
Creazione account
La creazione di un account anomalo può indicare un problema di sicurezza. È consigliabile analizzare gli account di breve durata, gli account che non seguono gli standard di denominazione e gli account creati al di fuori dei processi normali.
Account di breve durata
La creazione e l'eliminazione di account al di fuori dei normali processi di gestione delle identità devono essere monitorati in Microsoft Entra ID. Gli account di breve durata sono account creati ed eliminati in un breve intervallo di tempo. Questo tipo di creazione e eliminazione rapida dell'account potrebbe significare che un attore malintenzionato sta tentando di evitare il rilevamento creando account, usandoli e quindi eliminando l'account.
I modelli di account di breve durata possono indicare persone o processi non approvati possono avere il diritto di creare ed eliminare account che non rientrano nei processi e nei criteri stabiliti. Questo tipo di comportamento rimuove i marcatori visibili dalla directory.
Se il percorso dati per la creazione e l'eliminazione dell'account non viene individuato rapidamente, le informazioni necessarie per analizzare un evento imprevisto potrebbero non esistere più. Ad esempio, gli account potrebbero essere eliminati e quindi eliminati dal Cestino. I log di controllo vengono conservati per 30 giorni. È tuttavia possibile esportare i log in Monitoraggio di Azure o in una soluzione SIEM (Security Information and Event Management) per la conservazione a lungo termine.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Eventi di creazione ed eliminazione dell'account entro un intervallo di tempo di chiusura. | Alto | Log di controllo di Microsoft Entra | Attività: Aggiungere un utente Stato = esito positivo -e- Attività: Eliminare l'utente Stato = esito positivo |
Cercare gli eventi UPN (User Principal Name). Cercare gli account creati e quindi eliminati in meno di 24 ore. Modello di Microsoft Sentinel |
| Account creati ed eliminati da utenti o processi non approvati. | Medio | Log di controllo di Microsoft Entra | Avviato da (attore) - U edizione Standard R PRINCIPAL NAME -e- Attività: Aggiungere un utente Stato = esito positivo e-o Attività: Eliminare l'utente Stato = esito positivo |
Se gli attori non sono utenti non approvati, configurare per inviare un avviso. Modello di Microsoft Sentinel |
| Account provenienti da origini non approvate. | Medio | Log di controllo di Microsoft Entra | Attività: Aggiungere un utente Stato = esito positivo Target(s) = U edizione Standard R PRINCIPAL NAME |
Se la voce non proviene da un dominio approvato o è un dominio bloccato noto, configurare per inviare un avviso. Modello di Microsoft Sentinel |
| Account assegnati a un ruolo con privilegi. | Alto | Log di controllo di Microsoft Entra | Attività: Aggiungere un utente Stato = esito positivo -e- Attività: Eliminare l'utente Stato = esito positivo -e- Attività: Aggiungere un membro al ruolo Stato = esito positivo |
Se l'account viene assegnato a un ruolo Di Microsoft Entra, a un ruolo di Azure o a un'appartenenza a gruppi con privilegi, avvisare e classificare in ordine di priorità l'indagine. Modello di Microsoft Sentinel Regole Sigma |
Gli account con privilegi e senza privilegi devono essere monitorati e avvisati. Tuttavia, poiché gli account con privilegi hanno autorizzazioni amministrative, devono avere una priorità più alta nei processi di monitoraggio, avviso e risposta.
Account che non seguono i criteri di denominazione
Gli account utente che non seguono i criteri di denominazione potrebbero essere stati creati al di fuori dei criteri dell'organizzazione.
Una procedura consigliata consiste nell'avere un criterio di denominazione per gli oggetti utente. La gestione dei criteri di denominazione semplifica la gestione e consente di garantire la coerenza. I criteri possono anche aiutare a individuare quando gli utenti sono stati creati all'esterno dei processi approvati. Un attore non valido potrebbe non essere a conoscenza degli standard di denominazione e potrebbe semplificare il rilevamento di un account di cui è stato effettuato il provisioning all'esterno dei processi dell'organizzazione.
Le organizzazioni tendono ad avere formati e attributi specifici usati per la creazione di account utente e o con privilegi. Ad esempio:
Amministrazione account UPN =ADM_firstname.lastname@tenant.onmicrosoft.com
UPN dell'account utente = Firstname.Lastname@contoso.com
Spesso gli account utente hanno un attributo che identifica un utente reale. Ad esempio, EMPID = XXXNNN. Usare i suggerimenti seguenti per definire la normale per l'organizzazione e quando si definisce una linea di base per le voci di log quando gli account non seguono la convenzione di denominazione:
Account che non seguono la convenzione di denominazione. Ad esempio,
nnnnnnn@contoso.comrispetto afirstname.lastname@contoso.com.Gli account che non hanno gli attributi standard popolati o non sono nel formato corretto. Ad esempio, non avere un ID dipendente valido.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Account utente che non hanno attributi previsti definiti. | Bassa | Log di controllo di Microsoft Entra | Attività: Aggiungere un utente Stato = esito positivo |
Cercare gli account con gli attributi standard null o nel formato errato. Ad esempio, EmployeeID Modello di Microsoft Sentinel |
| Account utente creati usando un formato di denominazione non corretto. | Bassa | Log di controllo di Microsoft Entra | Attività: Aggiungere un utente Stato = esito positivo |
Cercare gli account con un UPN che non segue i criteri di denominazione. Modello di Microsoft Sentinel |
| Account con privilegi che non seguono i criteri di denominazione. | Alto | Sottoscrizione di Azure | Elencare le assegnazioni di ruolo di Azure usando il portale di Azure - Controllo degli accessi in base al ruolo di Azure | Elencare le assegnazioni di ruolo per le sottoscrizioni e gli avvisi in cui il nome di accesso non corrisponde al formato dell'organizzazione. Ad esempio, ADM_ come prefisso. |
| Account con privilegi che non seguono i criteri di denominazione. | Alto | Directory Microsoft Entra | Elencare le assegnazioni di ruolo di Microsoft Entra | Elencare le assegnazioni dei ruoli per i ruoli di Microsoft Entra in cui UPN non corrisponde al formato delle organizzazioni. Ad esempio, ADM_ come prefisso. |
Per altre informazioni sull'analisi, vedere:
Log di controllo di Microsoft Entra - Analizzare i dati di testo nei log di Monitoraggio di Azure
Sottoscrizioni di Azure - Elencare le assegnazioni di ruolo di Azure con Azure PowerShell
Microsoft Entra ID - Elencare le assegnazioni di ruolo di Microsoft Entra
Account creati all'esterno dei processi normali
La creazione di account con privilegi e utenti standard è importante per poter controllare in modo sicuro il ciclo di vita delle identità. Se viene effettuato il provisioning e il deprovisioning degli utenti al di fuori dei processi stabiliti, può introdurre rischi per la sicurezza. L'uso al di fuori dei processi stabiliti può anche introdurre problemi di gestione delle identità. I potenziali rischi includono:
Gli account utente e con privilegi potrebbero non essere regolati per rispettare i criteri dell'organizzazione. Ciò può causare una superficie di attacco più ampia sugli account che non sono gestiti correttamente.
Diventa più difficile rilevare quando gli attori malintenzionati creano account per scopi dannosi. Avendo account validi creati al di fuori delle procedure stabilite, diventa più difficile rilevare quando vengono creati gli account o le autorizzazioni modificate per scopi dannosi.
È consigliabile creare account utente e con privilegi solo in base ai criteri dell'organizzazione. Ad esempio, è necessario creare un account con gli standard di denominazione corretti, le informazioni dell'organizzazione e l'ambito della governance delle identità appropriata. Le organizzazioni devono disporre di controlli rigorosi per chi ha i diritti per creare, gestire ed eliminare le identità. I ruoli per creare questi account devono essere strettamente gestiti e i diritti disponibili solo dopo aver seguito un flusso di lavoro stabilito per approvare e ottenere queste autorizzazioni.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Account utente creati o eliminati da utenti o processi non approvati. | Medio | Log di controllo di Microsoft Entra | Attività: Aggiungere un utente Stato = esito positivo and-or- Attività: Eliminare l'utente Stato = esito positivo -e- Avviato da (attore) = U edizione Standard R PRINCIPAL NAME |
Avviso per gli account creati da utenti o processi non approvati. Assegnare priorità agli account creati con privilegi più alti. Modello di Microsoft Sentinel |
| Account utente creati o eliminati da origini non approvate. | Medio | Log di controllo di Microsoft Entra | Attività: Aggiungere un utente Stato = esito positivo -Oppure- Attività: Eliminare l'utente Stato = esito positivo -e- Target(s) = U edizione Standard R PRINCIPAL NAME |
Avvisa quando il dominio non è approvato o è un dominio bloccato noto. |
Accessi insoliti
La visualizzazione degli errori per l'autenticazione utente è normale. Tuttavia, la visualizzazione di modelli o blocchi di errori può essere un indicatore che sta accadendo qualcosa con l'identità di un utente. Ad esempio, durante gli attacchi password spraying o forza bruta o quando un account utente viene compromesso. È fondamentale monitorare e avvisare quando emergono i modelli. In questo modo è possibile proteggere l'utente e i dati dell'organizzazione.
Il successo sembra dire che tutto è bene. Ma può significare che un attore non valido ha eseguito correttamente l'accesso a un servizio. Il monitoraggio degli accessi riusciti consente di rilevare gli account utente che ottengono l'accesso ma non sono account utente che devono avere accesso. Le operazioni riuscite per l'autenticazione utente sono voci normali nei log di accesso di Microsoft Entra. È consigliabile monitorare e avvisare per rilevare quando emergono i modelli. In questo modo è possibile proteggere gli account utente e i dati dell'organizzazione.
Durante la progettazione e l'operazionalizzazione di una strategia di monitoraggio e avviso dei log, prendere in considerazione gli strumenti disponibili tramite il portale di Azure. Identity Protection consente di automatizzare il rilevamento, la protezione e la correzione dei rischi basati sull'identità. Identity Protection usa sistemi di Machine Learning e euristica basati su intelligence per rilevare i rischi e assegnare un punteggio di rischio per gli utenti e gli accessi. I clienti possono configurare criteri in base a un livello di rischio per quando consentire o negare l'accesso o consentire all'utente di correggere in modo sicuro un rischio. I rilevamenti dei rischi di Identity Protection seguenti informano oggi i livelli di rischio:
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Rilevamento dei rischi utente delle credenziali perse | Alto | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: credenziali perse API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi utente di Microsoft Entra Threat Intelligence | Alto | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: Intelligence sulle minacce di Microsoft Entra API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso agli indirizzi IP anonimi | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: indirizzo IP anonimo API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso ai viaggi atipici | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: viaggio atipico API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Token anomalo | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: token anomalo API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso agli indirizzi IP collegati da malware | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: indirizzo IP collegato malware API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso al browser sospetto | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: browser sospetto API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso non noto alle proprietà di accesso | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: proprietà di accesso non note API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso a indirizzi IP dannosi | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: indirizzo IP dannoso API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso alle regole di modifica della posta in arrivo sospette | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: regole di manipolazione sospette delle cartelle posta in arrivo API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso di Password Spray | Alto | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: password spraying API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso ai viaggi impossibile | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: Spostamento impossibile API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento del rischio di accesso nuovo paese/area geografica | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: nuovo paese/area geografica API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Attività dal rilevamento dei rischi di accesso degli indirizzi IP anonimi | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: attività dall'indirizzo IP anonimo API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso alla posta in arrivo sospetto | Variabile | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: inoltro sospetto della posta in arrivo API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
| Rilevamento dei rischi di accesso di Microsoft Entra threat intelligence | Alto | Log di rilevamento dei rischi di Microsoft Entra | Esperienza utente: Intelligence sulle minacce di Microsoft Entra API: vedere il tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cos'è il rischio? Microsoft Entra ID Protection Regole Sigma |
Per altre informazioni, vedere Informazioni su Identity Protection.
Cosa cercare
Configurare il monitoraggio sui dati nei log di accesso di Microsoft Entra per assicurarsi che si verifichino avvisi e rispettino i criteri di sicurezza dell'organizzazione. Di seguito sono riportati alcuni esempi:
Autenticazioni non riuscite: tutti gli esseri umani ottengono tutte le password sbagliate di volta in volta. Tuttavia, molte autenticazioni non riuscite possono indicare che un attore non valido sta tentando di ottenere l'accesso. Gli attacchi differiscono in feroce, ma possono variare da alcuni tentativi all'ora a una frequenza molto più elevata. Ad esempio, Password Spray in genere prede sulle password più facili rispetto a molti account, mentre forza bruta tenta molte password contro gli account di destinazione.
Autenticazioni interrotte: un interrupt in Microsoft Entra ID rappresenta un'iniezione di un processo per soddisfare l'autenticazione, ad esempio quando si applica un controllo in un criterio di accesso condizionale. Si tratta di un evento normale e può verificarsi quando le applicazioni non sono configurate correttamente. Tuttavia, quando viene visualizzato un numero elevato di interrupt per un account utente, potrebbe indicare che si sta verificando qualcosa con tale account.
- Ad esempio, se è stato filtrato in base ai log di accesso di un utente e viene visualizzato un volume elevato di stato di accesso = Accesso interrotto e Accesso condizionale = Errore. L'analisi più approfondita può mostrare nei dettagli di autenticazione che la password è corretta, ma è necessaria l'autenticazione avanzata. Ciò potrebbe significare che l'utente non sta completando l'autenticazione a più fattori (MFA) che potrebbe indicare che la password dell'utente è compromessa e l'attore non è in grado di soddisfare l'autenticazione a più fattori.
Blocco intelligente: Microsoft Entra ID fornisce un servizio di blocco intelligente che introduce il concetto di posizioni familiari e non familiari al processo di autenticazione. Un account utente che visita una posizione familiare potrebbe eseguire correttamente l'autenticazione mentre un attore malintenzionato non ha familiarità con la stessa posizione viene bloccato dopo diversi tentativi. Cercare gli account che sono stati bloccati ed esaminare ulteriormente.
Modifiche IP: è normale vedere gli utenti provenienti da indirizzi IP diversi. Tuttavia, gli stati Zero Trust non considerano mai attendibili e verificano sempre. La visualizzazione di un volume elevato di indirizzi IP e accessi non riusciti può essere un indicatore di intrusione. Cercare un modello di molte autenticazioni non riuscite eseguite da più indirizzi IP. Si noti che le connessioni VPN (Virtual Private Network) possono causare falsi positivi. Indipendentemente dalle problematiche, è consigliabile monitorare le modifiche agli indirizzi IP e, se possibile, usare Microsoft Entra ID Protection per rilevare e attenuare automaticamente questi rischi.
Località: in genere, si prevede che un account utente si trovi nella stessa posizione geografica. Si prevedono anche accessi da località in cui si hanno dipendenti o relazioni commerciali. Quando l'account utente proviene da una posizione internazionale diversa in meno tempo rispetto a quanto sarebbe necessario per viaggiare lì, può indicare che l'account utente è stato abusato. Nota, le VPN possono causare falsi positivi, è consigliabile monitorare gli account utente che eseguono l'accesso da posizioni geograficamente distanti e, se possibile, usare Microsoft Entra ID Protection per rilevare e attenuare automaticamente questi rischi.
Per questa area di rischio, è consigliabile monitorare gli account utente standard e gli account con privilegi, ma assegnare priorità alle indagini sugli account con privilegi. Gli account con privilegi sono gli account più importanti in qualsiasi tenant di Microsoft Entra. Per indicazioni specifiche per gli account con privilegi, vedere Operazioni di sicurezza - account con privilegi.
Come rilevare il problema
Si usa Microsoft Entra ID Protection e i log di accesso di Microsoft Entra per individuare le minacce indicate da caratteristiche di accesso insolite. Le informazioni su Identity Protection sono disponibili in Informazioni su Identity Protection. È anche possibile replicare i dati in Monitoraggio di Azure o in un sistema SIEM per scopi di monitoraggio e avviso. Per definire il normale per l'ambiente e impostare una linea di base, determinare:
i parametri che si considerano normali per la base utente.
numero medio di tentativi di password per un periodo di tempo prima che l'utente chiami il service desk o esegua una reimpostazione della password self-service.
numero di tentativi non riusciti che si desidera consentire prima dell'invio di avvisi e se sarà diverso per gli account utente e gli account con privilegi.
quanti tentativi di autenticazione a più fattori si desidera consentire prima di inviare avvisi e, se sarà diverso per gli account utente e gli account con privilegi.
se l'autenticazione legacy è abilitata e la roadmap per interrompere l'utilizzo.
gli indirizzi IP in uscita noti sono destinati all'organizzazione.
i paesi o le aree geografiche da cui operano gli utenti.
se sono presenti gruppi di utenti che rimangono stazionari all'interno di una posizione di rete o di un paese/area geografica.
Identificare tutti gli altri indicatori per accessi insoliti specifici dell'organizzazione. Ad esempio, giorni o orari della settimana o dell'anno in cui l'organizzazione non funziona.
Dopo l'ambito di ciò che è normale per gli account nell'ambiente, prendere in considerazione l'elenco seguente per determinare gli scenari su cui si vuole monitorare e inviare avvisi e ottimizzare l'invio di avvisi.
È necessario monitorare e avvisare se Identity Protection è configurato?
Esistono condizioni più rigide applicate agli account con privilegi che è possibile usare per monitorare e inviare avvisi? Ad esempio, la richiesta di account con privilegi deve essere usata solo da indirizzi IP attendibili.
Le linee di base impostate sono troppo aggressive? La presenza di troppi avvisi potrebbe comportare la mancata o l'annullamento degli avvisi.
Configurare Identity Protection per garantire che la protezione sia attiva che supporti i criteri di base di sicurezza. Ad esempio, bloccando gli utenti se il rischio è elevato. Questo livello di rischio indica un elevato livello di attendibilità che un account utente venga compromesso. Per altre informazioni sulla configurazione dei criteri di rischio di accesso e dei criteri di rischio utente, vedere Criteri di Identity Protection. Per altre informazioni sulla configurazione dell'accesso condizionale, vedere Accesso condizionale: Accesso condizionale basato sul rischio di accesso.
Di seguito sono elencati in ordine di importanza in base all'effetto e alla gravità delle voci.
Monitoraggio degli accessi degli utenti esterni
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Utenti che eseguono l'autenticazione in altri tenant di Microsoft Entra. | Bassa | Log di accesso di Microsoft Entra | Stato = esito positivo ID tenant della risorsa != ID tenant principale |
Rileva quando un utente ha eseguito correttamente l'autenticazione in un altro tenant di Microsoft Entra con un'identità nel tenant dell'organizzazione. Generare un avviso se l'ID tenant della risorsa non è uguale all'ID tenant principale Modello di Microsoft Sentinel Regole Sigma |
| Stato utente modificato da Guest a Member | Medio | Log di controllo di Microsoft Entra | Attività: Aggiornare l'utente Categoria: UserManagement UserType è stato modificato da Guest a Member |
Monitorare e avvisare la modifica del tipo di utente da Guest a Member. Era previsto questo? Modello di Microsoft Sentinel Regole Sigma |
| Utenti guest invitati al tenant da invitati non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Invitare un utente esterno Categoria: UserManagement Avviato da (attore): Nome entità utente |
Monitorare e avvisare gli attori non approvati che invitano utenti esterni. Modello di Microsoft Sentinel Regole Sigma |
Monitoraggio degli accessi insoliti non riusciti
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Tentativi di accesso non riusciti. | Medio - se evento imprevisto isolato Alto: se molti account riscontrano lo stesso modello o un indirizzo VIP. |
Log di accesso di Microsoft Entra | Stato = non riuscito -e- Codice di errore di accesso 50126 - Errore durante la convalida delle credenziali a causa di nome utente o password non validi. |
Definire una soglia di base e quindi monitorare e regolare la suite dei comportamenti dell'organizzazione e limitare i falsi avvisi dalla generazione. Modello di Microsoft Sentinel Regole Sigma |
| Eventi di blocco intelligente. | Medio - se evento imprevisto isolato Alto: se molti account riscontrano lo stesso modello o un indirizzo VIP. |
Log di accesso di Microsoft Entra | Stato = non riuscito -e- Codice di errore di accesso = 50053 - IdsLocked |
Definire una soglia di base e quindi monitorare e regolare la suite dei comportamenti dell'organizzazione e limitare i falsi avvisi dalla generazione. Modello di Microsoft Sentinel Regole Sigma |
| Interrompe | Medio - se evento imprevisto isolato Alto: se molti account riscontrano lo stesso modello o un indirizzo VIP. |
Log di accesso di Microsoft Entra | 500121, l'autenticazione non è riuscita durante la richiesta di autenticazione avanzata. -Oppure- 50097, l'autenticazione del dispositivo è obbligatoria o 50074. È necessaria l'autenticazione avanzata. -Oppure- 50155, DeviceAuthenticationFailed -Oppure- 50158, ExternalSecurityChallenge - La sfida di sicurezza esterna non è stata soddisfatta -Oppure- 53003 e Motivo errore = bloccato dall'accesso condizionale |
Monitorare e avvisare gli interrupt. Definire una soglia di base e quindi monitorare e regolare la suite dei comportamenti dell'organizzazione e limitare i falsi avvisi dalla generazione. Modello di Microsoft Sentinel Regole Sigma |
Di seguito sono elencati in ordine di importanza in base all'effetto e alla gravità delle voci.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Avvisi di illecito di Autenticazione a più fattori (MFA). | Alto | Log di accesso di Microsoft Entra | Stato = non riuscito -e- Dettagli = Autenticazione a più fattori negata |
Monitorare e avvisare su qualsiasi voce. Modello di Microsoft Sentinel Regole Sigma |
| Le autenticazioni non riuscite da paesi o aree geografiche non eseguite. | Medio | Log di accesso di Microsoft Entra | Location = <percorso non approvato> | Monitorare e avvisare le voci. Modello di Microsoft Sentinel Regole Sigma |
| Autenticazioni non riuscite per protocolli o protocolli legacy non usati. | Medio | Log di accesso di Microsoft Entra | Stato = errore -e- App client = Altri client, POP, IMAP, MAPI, SMTP, ActiveSync |
Monitorare e avvisare le voci. Modello di Microsoft Sentinel Regole Sigma |
| Errori bloccati dall'accesso condizionale. | Medio | Log di accesso di Microsoft Entra | Codice errore = 53003 -e- Motivo errore = bloccato dall'accesso condizionale |
Monitorare e avvisare le voci. Modello di Microsoft Sentinel Regole Sigma |
| Aumento delle autenticazioni non riuscite di qualsiasi tipo. | Medio | Log di accesso di Microsoft Entra | L'acquisizione aumenta negli errori a livello di scheda. Ovvero, il totale degli errori per oggi è >il 10% nello stesso giorno, la settimana precedente. | Se non si dispone di una soglia impostata, monitorare e avvisare se gli errori aumentano del 10% o superiore. Modello di Microsoft Sentinel |
| L'autenticazione si verifica in orari e giorni della settimana in cui paesi/aree geografiche non eseguono normali operazioni aziendali. | Bassa | Log di accesso di Microsoft Entra | Acquisire l'autenticazione interattiva che si verifica al di fuori dei normali giorni operativi\ora. Stato = esito positivo -e- Location = <location> -e- Giorno\Ora = <non ore lavorative normali> |
Monitorare e avvisare le voci. Modello di Microsoft Sentinel |
| Account disabilitato/bloccato per gli accessi | Bassa | Log di accesso di Microsoft Entra | Stato = Errore -e- codice errore = 50057, L'account utente è disabilitato. |
Ciò potrebbe indicare che un utente sta tentando di ottenere l'accesso a un account dopo aver lasciato un'organizzazione. Anche se l'account è bloccato, è importante registrare e inviare avvisi su questa attività. Modello di Microsoft Sentinel Regole Sigma |
Monitoraggio per accessi insoliti riusciti
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Autenticazioni di account con privilegi al di fuori dei controlli previsti. | Alto | Log di accesso di Microsoft Entra | Stato = esito positivo -e- UserPricipalName = <Amministrazione account> -e- Location = <percorso non approvato> -e- Indirizzo IP = <IP non approvato> Informazioni sul dispositivo= <browser non approvato, sistema operativo> |
Monitorare e avvisare la corretta autenticazione per gli account con privilegi al di fuori dei controlli previsti. Sono elencati tre controlli comuni. Modello di Microsoft Sentinel Regole Sigma |
| Quando è necessaria solo l'autenticazione a fattore singolo. | Bassa | Log di accesso di Microsoft Entra | Stato = esito positivo Requisito di autenticazione = Autenticazione a fattore singolo |
Monitorare periodicamente e garantire il comportamento previsto. Regole Sigma |
| Individuare gli account con privilegi non registrati per l'autenticazione a più fattori. | Alto | Azure Graph API | Query per IsMFARegistered eq false per gli account amministratore. List credentialUserRegistrationDetails - Microsoft Graph beta |
Controllare e analizzare per determinare se intenzionalmente o una supervisione. |
| Le autenticazioni riuscite da paesi o aree geografiche dell'organizzazione non funzionano. | Medio | Log di accesso di Microsoft Entra | Stato = esito positivo Località = <paese/area geografica non approvata> |
Monitorare e avvisare tutte le voci non uguali ai nomi delle città specificati. Regole Sigma |
| Autenticazione riuscita, sessione bloccata dall'accesso condizionale. | Medio | Log di accesso di Microsoft Entra | Stato = esito positivo -e- codice errore = 53003 - Motivo errore, bloccato dall'accesso condizionale |
Monitorare e analizzare quando l'autenticazione ha esito positivo, ma la sessione viene bloccata dall'accesso condizionale. Modello di Microsoft Sentinel Regole Sigma |
| Autenticazione completata dopo aver disabilitato l'autenticazione legacy. | Medio | Log di accesso di Microsoft Entra | status = operazione riuscita -e- App client = Altri client, POP, IMAP, MAPI, SMTP, ActiveSync |
Se l'organizzazione ha disabilitato l'autenticazione legacy, monitorare e avvisare quando è stata eseguita l'autenticazione legacy. Modello di Microsoft Sentinel Regole Sigma |
È consigliabile esaminare periodicamente le autenticazioni a un impatto aziendale medio (MBI) e applicazioni ad alto impatto aziendale (HBI) in cui è necessaria solo l'autenticazione a singolo fattore. Per ognuno di essi, si vuole determinare se l'autenticazione a singolo fattore è prevista o meno. Inoltre, verificare se l'autenticazione ha esito positivo aumenta o in momenti imprevisti, in base alla posizione.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Autenticazioni per l'applicazione MBI e HBI tramite l'autenticazione a fattore singolo. | Bassa | Log di accesso di Microsoft Entra | status = operazione riuscita -e- ID applicazione = <app HBI> -e- Requisito di autenticazione = autenticazione a fattore singolo. |
Esaminare e convalidare questa configurazione è intenzionale. Regole Sigma |
| Le autenticazioni in giorni e orari della settimana o dell'anno in cui paesi/aree geografiche non eseguono normali operazioni aziendali. | Bassa | Log di accesso di Microsoft Entra | Acquisire l'autenticazione interattiva che si verifica al di fuori dei normali giorni operativi\ora. Stato = esito positivo Location = <location> Date\Time = <non ore lavorative normali> |
Monitorare e avvisare i giorni e gli orari delle autenticazioni della settimana o dell'anno in cui paesi/aree geografiche non eseguono normali operazioni aziendali. Regole Sigma |
| Aumento misurabile degli accessi riusciti. | Bassa | Log di accesso di Microsoft Entra | L'acquisizione aumenta l'autenticazione riuscita a livello di scheda. Vale a dire, i totali di successo per oggi sono >il 10% nello stesso giorno, la settimana precedente. | Se non si dispone di una soglia impostata, monitorare e avvisare se le autenticazioni riuscite aumentano del 10% o superiore. Modello di Microsoft Sentinel Regole Sigma |
Passaggi successivi
Vedere gli articoli della Guida alle operazioni di sicurezza seguenti:
Panoramica delle operazioni di sicurezza di Microsoft Entra
Operazioni di sicurezza per gli account consumer
Operazioni di sicurezza per gli account con privilegi
Operazioni di sicurezza per Privileged Identity Management
Operazioni di sicurezza per le applicazioni