Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.
Aumenta la sicurezza dell'ambiente Azure Active Directory B2C (Azure AD B2C) instradando i log e le informazioni di controllo a Microsoft Sentinel. Microsoft Sentinel scalabile è una soluzione nativa del cloud per la gestione delle informazioni e degli eventi di sicurezza (SIEM) e per l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR). Usa la soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce per Azure AD B2C.
Ulteriori informazioni:
Altri usi di Microsoft Sentinel, con Azure AD B2C, sono:
- Rileva le minacce non rilevate in precedenza e riduci al minimo i falsi positivi con le funzionalità di analisi e intelligence sulle minacce
- Indaga sulle minacce con l'intelligenza artificiale (AI)
- Cerca attività sospette su larga scala e sfrutta l'esperienza di anni di lavoro nella sicurezza informatica in Microsoft
- Rispondi rapidamente agli incidenti con l'orchestrazione e l'automazione delle attività comuni
- Soddisfa i requisiti di sicurezza e conformità della tua organizzazione
Questa esercitazione illustra come:
- Trasferire i log di Azure AD B2C in un'area di lavoro Log Analytics
- Abilitare Microsoft Sentinel in un'area di lavoro Log Analytics
- Creare una regola di esempio in Microsoft Sentinel per attivare un evento imprevisto
- Configurare una risposta automatica
Configurare Azure AD B2C con Log Analytics di Monitoraggio di Azure
Per definire la posizione in cui vengono inviati i log e le metriche per una risorsa,
- Abilitare le impostazioni di diagnostica nell'ID Microsoft Entra, nel tenant di Azure AD B2C.
- Configurare Azure AD B2C per l'invio di log a Monitoraggio di Azure.
Per altre informazioni, vedere Monitorare Azure AD B2C con Monitoraggio di Azure.
Distribuire un'istanza di Microsoft Sentinel
Dopo aver configurato l'istanza di Azure AD B2C per l'invio di log a Monitoraggio di Azure, abilitare un'istanza di Microsoft Sentinel.
Importante
Per abilitare Microsoft Sentinel, ottenere le autorizzazioni di collaboratore per la sottoscrizione in cui risiede l'area di lavoro di Microsoft Sentinel. Per usare Microsoft Sentinel, usare le autorizzazioni Collaboratore o Lettore per il gruppo di risorse a cui appartiene l'area di lavoro.
Accedi al portale di Azure.
Selezionare la sottoscrizione in cui viene creata l'area di lavoro Log Analytics.
Cercare e selezionare Microsoft Sentinel.
Seleziona Aggiungi.
Nel campo Cerca aree di lavoro , seleziona la nuova area di lavoro.
Selezionare Aggiungi Microsoft Sentinel.
Annotazioni
È possibile eseguire Microsoft Sentinel in più aree di lavoro, tuttavia i dati sono isolati in una singola area di lavoro.
Consulta Guida rapida: Come configurare Microsoft Sentinel
Creare una regola di Microsoft Sentinel
Dopo aver abilitato Microsoft Sentinel, ricevere una notifica quando si verifica un problema sospetto nel tenant di Azure AD B2C.
È possibile creare regole di analisi personalizzate per individuare minacce e comportamenti anomali nell'ambiente. Queste regole cercano eventi specifici, o set di eventi, e avvisano l'utente quando vengono soddisfatte le soglie o le condizioni degli eventi. Vengono quindi generati incidenti per l'investigazione.
Vedere Creare regole di analisi personalizzate per rilevare le minacce
Annotazioni
Microsoft Sentinel include modelli per creare regole di rilevamento delle minacce che cercano nei dati attività sospette. Per questa esercitazione, viene creata una regola.
Regola di notifica per l'accesso forzato non riuscito
Usare la procedura seguente per ricevere una notifica relativa a due o più tentativi di accesso forzato non riusciti nell'ambiente. Un esempio è l'attacco di forza bruta.
In Microsoft Sentinel, dal menu a sinistra, selezionare Analisi.
Nella barra superiore selezionare + Crea>regola di query pianificata.
Nella procedura guidata Regola di analisi, vai a Generale.
In Nome immettere un nome per gli accessi non riusciti.
Per Descrizione, indicare che la regola invia una notifica per due o più accessi non riusciti, entro 60 secondi.
Per Tattiche, seleziona una categoria. Ad esempio, selezionare PreAttack.
Per Gravità, selezionare un livello di gravità.
Lo stato è Abilitato per impostazione predefinita. Per modificare una regola, vai alla scheda Regole attive .
Selezionare la scheda Imposta logica delle regole.
Immettere una query nel campo Query regola . Nell'esempio di query gli accessi vengono organizzati in base a
UserPrincipalName
.Vai a Pianificazione query.
Per Esegui query ogni, immettere 5 e Minuti.
Per ricerca dati dagli ultimi, immettere 5 e minuti.
Per Genera avviso quando il numero di risultati della query selezionare È maggiore di e 0.
Per Raggruppamento eventi selezionare Raggruppa tutti gli eventi in un unico avviso.
Per Interrompi l'esecuzione della query dopo la generazione dell'avviso, seleziona Disattivato.
Selezionare Avanti: Impostazioni incidente (anteprima).
Vai alla scheda Rivedi e crea per rivedere le impostazioni delle regole.
Quando viene visualizzato il banner Convalida superata , selezionare Crea.
Visualizzare una regola e gli eventi imprevisti correlati
Visualizzare la regola e gli eventi imprevisti che genera. Trova la regola personalizzata appena creata di tipo Pianificato nella tabella nella scheda Regole attive nella pagina principale
- Vai alla schermata Analytics .
- Selezionare la scheda Regole attive .
- Nella tabella, in Pianificato, trovare la regola.
È possibile modificare, abilitare, disabilitare o eliminare la regola.
Valutare, analizzare e correggere gli incidenti
Un evento imprevisto può includere più avvisi ed è un'aggregazione di prove rilevanti per un'indagine. A livello di evento imprevisto, è possibile impostare proprietà quali Gravità e Stato.
Altre informazioni: Analizzare gli eventi imprevisti con Microsoft Sentinel.
Andare alla pagina Incidenti .
Selezionare un evento imprevisto.
A destra vengono visualizzate informazioni dettagliate sull'incidente, tra cui la gravità, le entità, gli eventi e l'ID dell'incidente.
Nel riquadro Eventi imprevisti selezionare Visualizza dettagli completi.
Esaminare le schede che riepilogano l'evento imprevisto.
Seleziona Evidence>Eventi>Collega a Log Analytics.
Nei risultati vedere il valore identity
UserPrincipalName
che tenta l'accesso.
Risposta automatica
Microsoft Sentinel include funzioni di orchestrazione, automazione e risposta della sicurezza (SOAR). Associa azioni automatizzate, o un playbook, alle regole di analisi.
Vedi, Che cos'è il SOAR?
Notifica tramite posta elettronica per un evento imprevisto
Per questa attività, usare un playbook dal repository GitHub di Microsoft Sentinel.
- Vai a un playbook configurato.
- Modifica la regola.
- Nella scheda Risposta automatica, seleziona il playbook.
Per saperne di più: Incident-Email-Notification
Risorse
Per altre informazioni su Microsoft Sentinel e Azure AD B2C, vedere: