Condividi tramite

Esercitazione: Configurare l'analisi della sicurezza per i dati di Azure Active Directory B2C con Microsoft Sentinel

Importante

A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.

Aumenta la sicurezza dell'ambiente Azure Active Directory B2C (Azure AD B2C) instradando i log e le informazioni di controllo a Microsoft Sentinel. Microsoft Sentinel scalabile è una soluzione nativa del cloud per la gestione delle informazioni e degli eventi di sicurezza (SIEM) e per l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR). Usa la soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce per Azure AD B2C.

Ulteriori informazioni:

Altri usi di Microsoft Sentinel, con Azure AD B2C, sono:

  • Rileva le minacce non rilevate in precedenza e riduci al minimo i falsi positivi con le funzionalità di analisi e intelligence sulle minacce
  • Indaga sulle minacce con l'intelligenza artificiale (AI)
    • Cerca attività sospette su larga scala e sfrutta l'esperienza di anni di lavoro nella sicurezza informatica in Microsoft
  • Rispondi rapidamente agli incidenti con l'orchestrazione e l'automazione delle attività comuni
  • Soddisfa i requisiti di sicurezza e conformità della tua organizzazione

Questa esercitazione illustra come:

  • Trasferire i log di Azure AD B2C in un'area di lavoro Log Analytics
  • Abilitare Microsoft Sentinel in un'area di lavoro Log Analytics
  • Creare una regola di esempio in Microsoft Sentinel per attivare un evento imprevisto
  • Configurare una risposta automatica

Configurare Azure AD B2C con Log Analytics di Monitoraggio di Azure

Per definire la posizione in cui vengono inviati i log e le metriche per una risorsa,

  1. Abilitare le impostazioni di diagnostica nell'ID Microsoft Entra, nel tenant di Azure AD B2C.
  2. Configurare Azure AD B2C per l'invio di log a Monitoraggio di Azure.

Per altre informazioni, vedere Monitorare Azure AD B2C con Monitoraggio di Azure.

Distribuire un'istanza di Microsoft Sentinel

Dopo aver configurato l'istanza di Azure AD B2C per l'invio di log a Monitoraggio di Azure, abilitare un'istanza di Microsoft Sentinel.

Importante

Per abilitare Microsoft Sentinel, ottenere le autorizzazioni di collaboratore per la sottoscrizione in cui risiede l'area di lavoro di Microsoft Sentinel. Per usare Microsoft Sentinel, usare le autorizzazioni Collaboratore o Lettore per il gruppo di risorse a cui appartiene l'area di lavoro.

  1. Accedi al portale di Azure.

  2. Selezionare la sottoscrizione in cui viene creata l'area di lavoro Log Analytics.

  3. Cercare e selezionare Microsoft Sentinel.

    Screenshot di Azure Sentinel immesso nel campo di ricerca e nell'opzione Azure Sentinel visualizzata.

  4. Seleziona Aggiungi.

  5. Nel campo Cerca aree di lavoro , seleziona la nuova area di lavoro.

    Screenshot del campo delle aree di lavoro di ricerca in Scegliere un'area di lavoro da aggiungere ad Azure Sentinel.

  6. Selezionare Aggiungi Microsoft Sentinel.

    Annotazioni

    È possibile eseguire Microsoft Sentinel in più aree di lavoro, tuttavia i dati sono isolati in una singola area di lavoro.
    Consulta Guida rapida: Come configurare Microsoft Sentinel

Creare una regola di Microsoft Sentinel

Dopo aver abilitato Microsoft Sentinel, ricevere una notifica quando si verifica un problema sospetto nel tenant di Azure AD B2C.

È possibile creare regole di analisi personalizzate per individuare minacce e comportamenti anomali nell'ambiente. Queste regole cercano eventi specifici, o set di eventi, e avvisano l'utente quando vengono soddisfatte le soglie o le condizioni degli eventi. Vengono quindi generati incidenti per l'investigazione.

Vedere Creare regole di analisi personalizzate per rilevare le minacce

Annotazioni

Microsoft Sentinel include modelli per creare regole di rilevamento delle minacce che cercano nei dati attività sospette. Per questa esercitazione, viene creata una regola.

Regola di notifica per l'accesso forzato non riuscito

Usare la procedura seguente per ricevere una notifica relativa a due o più tentativi di accesso forzato non riusciti nell'ambiente. Un esempio è l'attacco di forza bruta.

  1. In Microsoft Sentinel, dal menu a sinistra, selezionare Analisi.

  2. Nella barra superiore selezionare + Crea>regola di query pianificata.

    Screenshot dell'opzione Crea in Analytics.

  3. Nella procedura guidata Regola di analisi, vai a Generale.

  4. In Nome immettere un nome per gli accessi non riusciti.

  5. Per Descrizione, indicare che la regola invia una notifica per due o più accessi non riusciti, entro 60 secondi.

  6. Per Tattiche, seleziona una categoria. Ad esempio, selezionare PreAttack.

  7. Per Gravità, selezionare un livello di gravità.

  8. Lo stato è Abilitato per impostazione predefinita. Per modificare una regola, vai alla scheda Regole attive .

    Screenshot di Crea nuova regola con opzioni e selezioni.

  9. Selezionare la scheda Imposta logica delle regole.

  10. Immettere una query nel campo Query regola . Nell'esempio di query gli accessi vengono organizzati in base a UserPrincipalName.

    Screenshot del testo della query nel campo Query regola in Imposta logica regola.

  11. Vai a Pianificazione query.

  12. Per Esegui query ogni, immettere 5 e Minuti.

  13. Per ricerca dati dagli ultimi, immettere 5 e minuti.

  14. Per Genera avviso quando il numero di risultati della query selezionare È maggiore di e 0.

  15. Per Raggruppamento eventi selezionare Raggruppa tutti gli eventi in un unico avviso.

  16. Per Interrompi l'esecuzione della query dopo la generazione dell'avviso, seleziona Disattivato.

  17. Selezionare Avanti: Impostazioni incidente (anteprima).

Screenshot delle selezioni e delle opzioni di pianificazione delle query.

  1. Vai alla scheda Rivedi e crea per rivedere le impostazioni delle regole.

  2. Quando viene visualizzato il banner Convalida superata , selezionare Crea.

    Screenshot delle impostazioni selezionate, il banner Validazione completata e l'opzione Crea.

Visualizzare la regola e gli eventi imprevisti che genera. Trova la regola personalizzata appena creata di tipo Pianificato nella tabella nella scheda Regole attive nella pagina principale

  1. Vai alla schermata Analytics .
  2. Selezionare la scheda Regole attive .
  3. Nella tabella, in Pianificato, trovare la regola.

È possibile modificare, abilitare, disabilitare o eliminare la regola.

Screenshot delle regole attive con le opzioni Abilita, Disabilita, Elimina e Modifica.

Valutare, analizzare e correggere gli incidenti

Un evento imprevisto può includere più avvisi ed è un'aggregazione di prove rilevanti per un'indagine. A livello di evento imprevisto, è possibile impostare proprietà quali Gravità e Stato.

Altre informazioni: Analizzare gli eventi imprevisti con Microsoft Sentinel.

  1. Andare alla pagina Incidenti .

  2. Selezionare un evento imprevisto.

  3. A destra vengono visualizzate informazioni dettagliate sull'incidente, tra cui la gravità, le entità, gli eventi e l'ID dell'incidente.

    Screenshot che mostra le informazioni sull'incidente.

  4. Nel riquadro Eventi imprevisti selezionare Visualizza dettagli completi.

  5. Esaminare le schede che riepilogano l'evento imprevisto.

    Screenshot di un elenco di incidenti.

  6. Seleziona Evidence>Eventi>Collega a Log Analytics.

  7. Nei risultati vedere il valore identity UserPrincipalName che tenta l'accesso.

    Screenshot dei dettagli dell'incidente.

Risposta automatica

Microsoft Sentinel include funzioni di orchestrazione, automazione e risposta della sicurezza (SOAR). Associa azioni automatizzate, o un playbook, alle regole di analisi.

Vedi, Che cos'è il SOAR?

Notifica tramite posta elettronica per un evento imprevisto

Per questa attività, usare un playbook dal repository GitHub di Microsoft Sentinel.

  1. Vai a un playbook configurato.
  2. Modifica la regola.
  3. Nella scheda Risposta automatica, seleziona il playbook.

Per saperne di più: Incident-Email-Notification

Schermata acquisita delle opzioni di risposta automatica per una regola.

Risorse

Per altre informazioni su Microsoft Sentinel e Azure AD B2C, vedere:

Passo successivo

Gestire i falsi positivi in Microsoft Sentinel