Operazioni di sicurezza per gli account con privilegi in Microsoft Entra ID
La sicurezza degli asset aziendali dipende dall'integrità degli account con privilegi usati per amministrare i sistemi IT. Gli utenti malintenzionati usano attacchi di furto di credenziali e altri mezzi per indirizzare gli account con privilegi e ottenere l'accesso ai dati sensibili.
Tradizionalmente, la sicurezza organizzativa si è concentrata sui punti di ingresso e uscita di una rete come perimetro di sicurezza. Tuttavia, le applicazioni SaaS (Software as a Service) e i dispositivi personali su Internet hanno reso questo approccio meno efficace.
Microsoft Entra ID usa la gestione delle identità e degli accessi (IAM) come piano di controllo. Nel livello di identità dell'organizzazione, gli utenti assegnati ai ruoli amministrativi con privilegi sono in controllo. Gli account usati per l'accesso devono essere protetti, indipendentemente dal fatto che l'ambiente sia locale, nel cloud o in un ambiente ibrido.
L'utente è interamente responsabile di tutti i livelli di sicurezza per l'ambiente IT locale. Quando si usano i servizi di Azure, la prevenzione e la risposta sono responsabilità comuni di Microsoft come provider di servizi cloud e dell'utente come cliente.
- Per altre informazioni sul modello di responsabilità condivisa, vedere Responsabilità condivisa nel cloud.
- Per altre informazioni sulla protezione dell'accesso per gli utenti con privilegi, vedere Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID.
- Per un'ampia gamma di video, guide pratiche e contenuto dei concetti chiave per l'identità con privilegi, vedere la documentazione di Privileged Identity Management.
File di log da monitorare
I file di log usati per l'analisi e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di controllo di Microsoft Entra e scaricare come file CON VALORI delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel. Abilita l'analisi della sicurezza intelligente a livello aziendale fornendo funzionalità di gestione degli eventi e delle informazioni di sicurezza (SIEM).
Regole Sigma : Sigma è uno standard aperto in continua evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzati possono usare per analizzare i file di log. Dove esistono modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un collegamento al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono invece creati e raccolti dalla community di sicurezza IT in tutto il mondo.
Monitoraggio di Azure. Abilita il monitoraggio automatizzato e l'invio di avvisi di varie condizioni. Può creare o usare cartelle di lavoro per combinare dati di origini diverse.
Hub eventi di Azure integrato con siem. Consente di eseguire il push dei log di Microsoft Entra in altri SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic tramite l'integrazione Hub eventi di Azure. Per altre informazioni, vedere Trasmettere i log di Microsoft Entra a un hub eventi di Azure.
Microsoft Defender per il cloud App. Consente di individuare e gestire le app, gestire le app e le risorse e controllare la conformità delle app cloud.
Microsoft Graph. Consente di esportare i dati e usare Microsoft Graph per eseguire altre analisi. Per altre informazioni, vedere Microsoft Graph PowerShell SDK e Microsoft Entra ID Protection.
Identity Protection. Genera tre report chiave che è possibile usare per facilitare l'indagine:
Utenti rischiosi. Contiene informazioni su quali utenti sono a rischio, dettagli sui rilevamenti, sulla cronologia di tutti gli accessi a rischio e sulla cronologia dei rischi.
Accessi a rischio. Contiene informazioni su un accesso che potrebbe indicare circostanze sospette. Per altre informazioni sull'analisi delle informazioni di questo report, vedere Analizzare il rischio.
Rilevamenti dei rischi. Contiene informazioni su altri rischi generati quando viene rilevato un rischio e altre informazioni pertinenti, ad esempio la posizione di accesso e i dettagli di Microsoft Defender per il cloud App.
Protezione delle identità del carico di lavoro con l'anteprima di Identity Protection. Usare per rilevare i rischi sulle identità del carico di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.
Anche se si sconsiglia la pratica, gli account con privilegi possono avere diritti di amministrazione permanenti. Se si sceglie di usare privilegi permanenti e l'account viene compromesso, può avere un effetto fortemente negativo. È consigliabile classificare in ordine di priorità gli account con privilegi e includere gli account nella configurazione di Privileged Identity Management (PIM). Per altre informazioni su PIM, vedere Iniziare a usare Privileged Identity Management. È anche consigliabile convalidare gli account amministratore:
- Sono obbligatori.
- Disporre del privilegio minimo per eseguire le attività necessarie.
- Sono protetti con l'autenticazione a più fattori almeno.
- Vengono eseguiti da dispositivi workstation con accesso con privilegi (PAW) o workstation di amministrazione sicura (SAW).
Nella parte restante di questo articolo viene descritto il monitoraggio e l'avviso. L'articolo è organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite specifiche, è possibile collegarle seguendo la tabella. In caso contrario, è possibile compilare avvisi usando gli strumenti descritti in precedenza.
Questo articolo fornisce informazioni dettagliate sull'impostazione delle linee di base e sul controllo dell'accesso e dell'utilizzo degli account con privilegi. Vengono inoltre illustrati gli strumenti e le risorse che è possibile usare per mantenere l'integrità degli account con privilegi. Il contenuto è organizzato negli argomenti seguenti:
- Account di emergenza "break-glass"
- Accesso con account con privilegi
- Modifiche all'account con privilegi
- Gruppi con privilegi
- Assegnazione e elevazione dei privilegi
Account di accesso di emergenza
È importante evitare di essere accidentalmente bloccati dal tenant di Microsoft Entra. È possibile attenuare l'effetto di un blocco accidentale creando account di accesso di emergenza nell'organizzazione. Gli account di accesso di emergenza sono noti anche come account break-glass, come nei messaggi "break glass in caso di emergenza" trovati su apparecchiature di sicurezza fisica come allarmi antincendio.
Gli account di accesso di emergenza hanno privilegi elevati e non sono assegnati a utenti specifici. Gli account di accesso di emergenza sono limitati a scenari di emergenza o di emergenza in cui non è possibile usare gli account con privilegi normali. Un esempio è quando un criterio di accesso condizionale non è configurato correttamente e blocca tutti gli account amministrativi normali. Limitare l'uso dell'account di emergenza solo quando è assolutamente necessario.
Per indicazioni sulle operazioni da eseguire in caso di emergenza, vedere Procedure di accesso sicuro per gli amministratori in Microsoft Entra ID.
Inviare un avviso ad alta priorità ogni volta che viene usato un account di accesso di emergenza.
Individuazione
Poiché gli account break-glass vengono usati solo se si verifica un'emergenza, il monitoraggio non individua alcuna attività dell'account. Inviare un avviso ad alta priorità ogni volta che viene usato o modificato un account di accesso di emergenza. Uno degli eventi seguenti potrebbe indicare che un attore non valido sta tentando di compromettere gli ambienti:
- Accesso.
- Modifica della password dell'account.
- Autorizzazione o ruoli dell'account modificati.
- Credenziale o metodo di autenticazione aggiunto o modificato.
Per altre informazioni sulla gestione degli account di accesso di emergenza, vedere Gestire gli account di amministratore di accesso di emergenza in Microsoft Entra ID. Per informazioni dettagliate sulla creazione di un avviso per un account di emergenza, vedere Creare una regola di avviso.
Accesso con account con privilegi
Monitorare tutte le attività di accesso con account con privilegi usando i log di accesso di Microsoft Entra come origine dati. Oltre alle informazioni sull'esito positivo e negativo dell'accesso, i log contengono i dettagli seguenti:
- Interrompe
- Dispositivo
- Ubicazione
- Rischio
- Applicazione
- Data e ora
- L'account è disabilitato
- Blocco
- Frode MFA
- Errore di accesso condizionale
Elementi da monitorare
È possibile monitorare gli eventi di accesso con account con privilegi nei log di accesso di Microsoft Entra. Avvisare ed esaminare gli eventi seguenti per gli account con privilegi.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Errore di accesso, soglia password non valida | Alto | Log di accesso di Microsoft Entra | Stato = Errore -e- codice errore = 50126 |
Definire una soglia di base e quindi monitorare e modificare in base ai comportamenti dell'organizzazione e limitare i falsi avvisi dalla generazione. Modello di Microsoft Sentinel Regole Sigma |
| Errore a causa del requisito di accesso condizionale | Alto | Log di accesso di Microsoft Entra | Stato = Errore -e- codice errore = 53003 -e- Motivo errore = Bloccato dall'accesso condizionale |
Questo evento può essere un'indicazione che un utente malintenzionato sta tentando di accedere all'account. Modello di Microsoft Sentinel Regole Sigma |
| Account con privilegi che non seguono i criteri di denominazione | Sottoscrizione di Azure | Elencare le assegnazioni di ruolo di Azure usando il portale di Azure | Elencare le assegnazioni di ruolo per le sottoscrizioni e gli avvisi in cui il nome di accesso non corrisponde al formato dell'organizzazione. Un esempio è l'uso di ADM_ come prefisso. | |
| Interrompere | Alto, medio | Accessi a Microsoft Entra | Stato = Interrotto -e- codice errore = 50074 -e- Motivo dell'errore = Richiesta di autenticazione avanzata Stato = Interrotto -e- Codice errore = 500121 Motivo errore = Autenticazione non riuscita durante la richiesta di autenticazione avanzata |
Questo evento può essere un'indicazione che un utente malintenzionato ha la password per l'account, ma non può superare la richiesta di autenticazione a più fattori. Modello di Microsoft Sentinel Regole Sigma |
| Account con privilegi che non seguono i criteri di denominazione | Alto | Directory Microsoft Entra | Elencare le assegnazioni di ruolo di Microsoft Entra | Elencare le assegnazioni di ruolo per i ruoli di Microsoft Entra e gli avvisi in cui l'UPN non corrisponde al formato dell'organizzazione. Un esempio è l'uso di ADM_ come prefisso. |
| Individuare gli account con privilegi non registrati per l'autenticazione a più fattori | Alto | API di Microsoft Graph | Query per IsMFARegistered eq false per gli account amministratore. List credentialUserRegistrationDetails - Microsoft Graph beta | Controllare e analizzare per determinare se l'evento è intenzionale o una supervisione. |
| Blocco dell'account | Alto | Log di accesso di Microsoft Entra | Stato = Errore -e- codice errore = 50053 |
Definire una soglia di base e quindi monitorare e modificare in base ai comportamenti dell'organizzazione e limitare gli avvisi falsi dall'essere generati. Modello di Microsoft Sentinel Regole Sigma |
| Account disabilitato o bloccato per gli accessi | Bassa | Log di accesso di Microsoft Entra | Stato = Errore -e- Target = UPN utente -e- codice errore = 50057 |
Questo evento potrebbe indicare che un utente sta tentando di ottenere l'accesso a un account dopo aver lasciato l'organizzazione. Anche se l'account è bloccato, è comunque importante registrare e inviare avvisi su questa attività. Modello di Microsoft Sentinel Regole Sigma |
| Avviso o blocco di frodi MFA | Alto | Log di accesso di Microsoft Entra/Azure Log Analytics | >Dettagli dell'autenticazione di accesso Dettagli risultato = MFA negata, codice illecito immesso | L'utente con privilegi ha indicato di non aver avviato la richiesta di autenticazione a più fattori, che potrebbe indicare che un utente malintenzionato ha la password per l'account. Modello di Microsoft Sentinel Regole Sigma |
| Avviso o blocco di frodi MFA | Alto | Log di controllo di Microsoft Entra/Azure Log Analytics | Tipo di attività = Frode segnalata - L'utente viene bloccato per l'autenticazione a più fattori o le frodi segnalate - Nessuna azione eseguita (in base alle impostazioni a livello di tenant per il report sulle frodi) | L'utente con privilegi ha indicato di non aver avviato la richiesta di autenticazione a più fattori, che potrebbe indicare che un utente malintenzionato ha la password per l'account. Modello di Microsoft Sentinel Regole Sigma |
| Accessi con account con privilegi al di fuori dei controlli previsti | Log di accesso di Microsoft Entra | Stato = Errore UserPricipalName = <Amministrazione account> Location = <percorso non approvato> Indirizzo IP = <IP non approvato> Informazioni sul dispositivo = <browser non approvato, sistema operativo> |
Monitorare e avvisare le voci definite come non approvati. Modello di Microsoft Sentinel Regole Sigma |
|
| Al di fuori dei normali orari di accesso | Alto | Log di accesso di Microsoft Entra | Stato = Operazione riuscita -e- Percorso = -e- Tempo = Fuori orario lavorativo |
Monitorare e avvisare se gli accessi si verificano al di fuori dei tempi previsti. È importante trovare il modello di lavoro normale per ogni account con privilegi e avvisare se sono presenti modifiche non pianificate al di fuori dei normali orari di lavoro. Gli accessi al di fuori delle normali ore lavorative potrebbero indicare un compromesso o possibili minacce interne. Modello di Microsoft Sentinel Regole Sigma |
| Rischio di protezione delle identità | Alto | Log di Identity Protection | Stato di rischio = A rischio -e- Livello di rischio = Basso, medio, alto -e- Activity = Accesso non familiare/TOR e così via |
Questo evento indica che è stata rilevata un'anomalia con l'accesso per l'account e deve essere avvisata. |
| Modifica della password | Alto | Log di controllo di Microsoft Entra | Attore attività = Amministrazione/self-service -e- Target = User -e- Stato = Esito positivo o negativo |
Avvisare le modifiche apportate alle password dell'account amministratore, in particolare per amministratori globali, amministratori utente, amministratori delle sottoscrizioni e account di accesso di emergenza. Scrivere una query destinata a tutti gli account con privilegi. Modello di Microsoft Sentinel Regole Sigma |
| Modifica del protocollo di autenticazione legacy | Alto | Log di accesso di Microsoft Entra | App client = Altro client, IMAP, POP3, MAPI, SMTP e così via -e- Nome utente = UPN -e- Application = Exchange (esempio) |
Molti attacchi usano l'autenticazione legacy, quindi se si verifica una modifica del protocollo di autenticazione per l'utente, potrebbe essere un'indicazione di un attacco. Modello di Microsoft Sentinel Regole Sigma |
| Nuovo dispositivo o posizione | Alto | Log di accesso di Microsoft Entra | Informazioni sul dispositivo = ID dispositivo -e- Browser -e- Sistema operativo -e- Conforme/gestito -e- Target = User -e- Ubicazione |
La maggior parte delle attività amministrative deve essere proveniente da dispositivi con accesso con privilegi, da un numero limitato di posizioni. Per questo motivo, avvisare su nuovi dispositivi o posizioni. Modello di Microsoft Sentinel Regole Sigma |
| L'impostazione dell'avviso di controllo viene modificata | Alto | Log di controllo di Microsoft Entra | Service = PIM -e- Category = Gestione dei ruoli -e- Activity = Disable PIM alert (Attività = Disabilita avviso PIM) -e- Stato = Operazione riuscita |
Le modifiche apportate a un avviso principale devono essere avvisate se impreviste. Modello di Microsoft Sentinel Regole Sigma |
| Amministrazione istrators che eseguono l'autenticazione ad altri tenant di Microsoft Entra | Medio | Log di accesso di Microsoft Entra | Stato = esito positivo ID tenant della risorsa != ID tenant principale |
Quando l'ambito è Utenti con privilegi, questo monitoraggio rileva quando un amministratore ha eseguito correttamente l'autenticazione a un altro tenant di Microsoft Entra con un'identità nel tenant dell'organizzazione. Generare un avviso se l'ID tenant della risorsa non è uguale all'ID tenant principale Modello di Microsoft Sentinel Regole Sigma |
| Amministrazione Stato utente modificato da Guest a Member | Medio | Log di controllo di Microsoft Entra | Attività: Aggiornare l'utente Categoria: UserManagement UserType è stato modificato da Guest a Member |
Monitorare e avvisare la modifica del tipo di utente da Guest a Member. Questa modifica era prevista? Modello di Microsoft Sentinel Regole Sigma |
| Utenti guest invitati al tenant da invitati non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Invitare un utente esterno Categoria: UserManagement Avviato da (attore): Nome entità utente |
Monitorare e avvisare gli attori non approvati che invitano utenti esterni. Modello di Microsoft Sentinel Regole Sigma |
Modifiche in base agli account con privilegi
Monitorare tutte le modifiche completate e tentate da un account con privilegi. Questi dati consentono di stabilire le normali attività per ogni account con privilegi e di avviso per l'attività che devia dal previsto. I log di controllo di Microsoft Entra vengono usati per registrare questo tipo di evento. Per altre informazioni sui log di controllo di Microsoft Entra, vedere Log di controllo in Microsoft Entra ID.
Servizi di dominio Microsoft Entra
Gli account con privilegi a cui sono state assegnate le autorizzazioni in Microsoft Entra Domain Services possono eseguire attività per Microsoft Entra Domain Services che influiscono sul comportamento di sicurezza delle macchine virtuali ospitate in Azure che usano Microsoft Entra Domain Services. Abilitare i controlli di sicurezza nelle macchine virtuali e monitorare i log. Per altre informazioni sull'abilitazione dei controlli di Microsoft Entra Domain Services e per un elenco di privilegi sensibili, vedere le risorse seguenti:
- Abilitare i controlli di sicurezza per Microsoft Entra Domain Services
- Controlla uso dei privilegi sensibili
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Tentativi e modifiche completate | Alto | Log di controllo di Microsoft Entra | Data e ora -e- Servizioo -e- Categoria e nome dell'attività (cosa) -e- Stato = Esito positivo o negativo -e- Destinazione -e- Iniziatore o attore (chi) |
Eventuali modifiche non pianificate devono essere avvisate immediatamente. Questi log devono essere conservati per facilitare qualsiasi indagine. Tutte le modifiche a livello di tenant devono essere esaminate immediatamente (collegamento a Infra doc) che ridurrebbero il comportamento di sicurezza del tenant. Un esempio è l'esclusione degli account dall'autenticazione a più fattori o dall'accesso condizionale. Invia un avviso per eventuali aggiunte o modifiche alle applicazioni. Vedere Guida alle operazioni di sicurezza di Microsoft Entra per le applicazioni. |
| Esempio Tentativo o completamento della modifica a app o servizi di alto valore |
Alto | Log di audit | Servizioo -e- Categoria e nome dell'attività |
Data e ora, Servizio, Categoria e nome dell'attività, Status = Success or failure, Target, Initiator o Actor (chi) |
| Modifiche con privilegi in Servizi di dominio Microsoft Entra | Alto | Servizi di dominio Microsoft Entra | Cercare l'evento 4673 | Abilitare i controlli di sicurezza per Microsoft Entra Domain Services Per un elenco di tutti gli eventi con privilegi, vedere Controllare l'uso dei privilegi sensibili. |
Modifiche agli account con privilegi
Esaminare le modifiche apportate alle regole e ai privilegi di autenticazione degli account con privilegi, soprattutto se la modifica fornisce privilegi maggiori o la possibilità di eseguire attività nell'ambiente Microsoft Entra.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Creazione di account con privilegi | Medio | Log di controllo di Microsoft Entra | Service = Core Directory -e- Category = Gestione utenti -e- Tipo di attività = Aggiungi utente -correlare con- Tipo di categoria = Gestione dei ruoli -e- Tipo di attività = Aggiungi membro al ruolo -e- Proprietà modificate = Role.DisplayName |
Monitorare la creazione di qualsiasi account con privilegi. Cercare la correlazione di un intervallo di tempo breve tra la creazione e l'eliminazione degli account. Modello di Microsoft Sentinel Regole Sigma |
| Modifiche ai metodi di autenticazione | Alto | Log di controllo di Microsoft Entra | Service = Metodo di autenticazione -e- Tipo di attività = Informazioni di sicurezza registrate dall'utente -e- Category = Gestione utenti |
Questa modifica potrebbe essere un'indicazione di un utente malintenzionato che aggiunge un metodo di autenticazione all'account in modo che possa avere accesso continuo. Modello di Microsoft Sentinel Regole Sigma |
| Avvisare le modifiche apportate alle autorizzazioni dell'account con privilegi | Alto | Log di controllo di Microsoft Entra | Category = Gestione dei ruoli -e- Tipo di attività = Aggiungere un membro idoneo (permanente) -Oppure- Tipo di attività = Aggiungere un membro idoneo (idoneo) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
Questo avviso riguarda in particolare gli account a cui sono assegnati ruoli che non sono noti o non rientrano nelle normali responsabilità. Regole Sigma |
| Account con privilegi inutilizzati | Medio | Verifiche di accesso di Microsoft Entra | Eseguire una verifica mensile per gli account utente con privilegi inattivi. Regole Sigma |
|
| Account esenti dall'accesso condizionale | Alto | Log di Monitoraggio di Azure -Oppure- Verifiche di accesso |
Accesso condizionale = Informazioni dettagliate e report | Qualsiasi account esente dall'accesso condizionale è probabilmente ignorare i controlli di sicurezza ed è più vulnerabile alla compromissione. Gli account break-glass sono esenti. Vedere le informazioni su come monitorare gli account break-glass più avanti in questo articolo. |
| Aggiunta di un passaggio di accesso temporaneo a un account con privilegi | Alto | Log di controllo di Microsoft Entra | Attività: Amministrazione informazioni di sicurezza registrate Motivo dello stato: Amministrazione metodo pass di accesso temporaneo registrato per l'utente Categoria: UserManagement Avviato da (attore): Nome entità utente Destinazione: Nome entità utente |
Monitorare e avvisare il passaggio di accesso temporaneo creato per un utente con privilegi. Modello di Microsoft Sentinel Regole Sigma |
Per altre informazioni su come monitorare le eccezioni ai criteri di accesso condizionale, vedere Informazioni dettagliate e report sull'accesso condizionale.
Per altre informazioni sull'individuazione degli account con privilegi inutilizzati, vedere Creare una verifica di accesso dei ruoli di Microsoft Entra in Privileged Identity Management.
Assegnazione ed elevazione dei privilegi
La presenza di account con privilegi con provisioning permanente con capacità elevate può aumentare la superficie di attacco e il rischio per il limite di sicurezza. Usare invece l'accesso JUST-In-Time usando una procedura di elevazione dei privilegi. Questo tipo di sistema consente di assegnare l'idoneità per i ruoli con privilegi. Amministrazione elevare i propri privilegi a tali ruoli solo quando eseguono attività che necessitano di tali privilegi. L'uso di un processo di elevazione dei privilegi consente di monitorare le elevazioni dei privilegi e l'uso di account senza privilegi.
Stabilire una linea di base
Per monitorare le eccezioni, è prima necessario creare una linea di base. Determinare le informazioni seguenti per questi elementi
account Amministrazione
- Strategia dell'account con privilegi
- Uso di account locali per amministrare le risorse locali
- Uso di account basati sul cloud per amministrare le risorse basate sul cloud
- Approccio alla separazione e al monitoraggio delle autorizzazioni amministrative per le risorse locali e basate sul cloud
Protezione dei ruoli con privilegi
- Strategia di protezione per i ruoli con privilegi amministrativi
- Criteri dell'organizzazione per l'uso di account con privilegi
- Strategia e principi per mantenere privilegi permanenti rispetto a fornire l'accesso a tempo e approvato
I concetti e le informazioni seguenti consentono di determinare i criteri:
- Principi di amministratore JUST-in-time. Usare i log di Microsoft Entra per acquisire informazioni per l'esecuzione di attività amministrative comuni nell'ambiente in uso. Determinare la quantità di tempo tipica necessaria per completare le attività.
- Principi di amministratore just-enough. Determinare il ruolo con privilegi minimi, che potrebbe essere un ruolo personalizzato, necessario per le attività amministrative. Per altre informazioni, vedere Ruoli con privilegi minimi per attività in Microsoft Entra ID.
- Stabilire un criterio di elevazione dei privilegi. Dopo aver ottenuto informazioni dettagliate sul tipo di privilegi elevati necessari e sul tempo necessario per ogni attività, creare criteri che riflettano l'utilizzo con privilegi elevati per l'ambiente in uso. Ad esempio, definire un criterio per limitare l'accesso Amministrazione istrator globale a un'ora.
Dopo aver stabilito la baseline e impostato i criteri, è possibile configurare il monitoraggio per rilevare e avvisare l'utilizzo al di fuori dei criteri.
Individuazione
Prestare particolare attenzione alle modifiche apportate all'assegnazione e all'elevazione dei privilegi.
Elementi da monitorare
È possibile monitorare le modifiche degli account con privilegi usando i log di controllo di Microsoft Entra e i log di Monitoraggio di Azure. Includere le modifiche seguenti nel processo di monitoraggio.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Aggiunta al ruolo con privilegi idonei | Alto | Log di controllo di Microsoft Entra | Service = PIM -e- Category = Gestione dei ruoli -e- Tipo di attività = Aggiungere un membro al ruolo completato (idoneo) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
A qualsiasi account idoneo per un ruolo viene assegnato l'accesso con privilegi. Se l'assegnazione è imprevista o in un ruolo che non è responsabilità del titolare dell'account, indagare. Modello di Microsoft Sentinel Regole Sigma |
| Ruoli assegnati da PIM | Alto | Log di controllo di Microsoft Entra | Service = PIM -e- Category = Gestione dei ruoli -e- Tipo di attività = Aggiungi membro al ruolo (permanente) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
Questi ruoli devono essere monitorati attentamente e avvisati. Gli utenti non devono essere assegnati ruoli all'esterno di PIM, dove possibile. Modello di Microsoft Sentinel Regole Sigma |
| Altitudini | Medio | Log di controllo di Microsoft Entra | Service = PIM -e- Category = Gestione dei ruoli -e- Tipo di attività = Aggiungi membro al ruolo completato (attivazione PIM) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
Dopo l'elevazione di un account con privilegi, è ora possibile apportare modifiche che potrebbero influire sulla sicurezza del tenant. Tutte le elevazioni dei privilegi devono essere registrate e, se si verifica al di fuori del modello standard per tale utente, devono essere avvisate e analizzate se non sono pianificate. |
| Approvazioni e negare l'elevazione dei privilegi | Bassa | Log di controllo di Microsoft Entra | Service = Access Review -e- Category = UserManagement -e- Tipo di attività = Richiesta approvata o negata -e- Attore avviato = UPN |
Monitorare tutte le elevazioni perché potrebbe fornire un'indicazione chiara della sequenza temporale per un attacco. Modello di Microsoft Sentinel Regole Sigma |
| Modifiche alle impostazioni di PIM | Alto | Log di controllo di Microsoft Entra | Service = PIM -e- Category = Gestione dei ruoli -e- Tipo di attività = Aggiornare l'impostazione del ruolo in PIM -e- Motivo dello stato = MFA all'attivazione disabilitata (esempio) |
Una di queste azioni potrebbe ridurre la sicurezza dell'elevazione di PIM e semplificare l'acquisizione di un account con privilegi da parte degli utenti malintenzionati. Modello di Microsoft Sentinel Regole Sigma |
| L'elevazione non si verifica in SAW/PAW | Alto | Log di accesso Microsoft Entra | ID dispositivo -e- Browser -e- Sistema operativo -e- Conforme/gestito Correlare con: Service = PIM -e- Category = Gestione dei ruoli -e- Tipo di attività = Aggiungi membro al ruolo completato (attivazione PIM) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
Se questa modifica è configurata, qualsiasi tentativo di elevazione su un dispositivo non PAW/SAW deve essere esaminato immediatamente perché potrebbe indicare che un utente malintenzionato sta tentando di usare l'account. Regole Sigma |
| Elevazione dei privilegi per gestire tutte le sottoscrizioni di Azure | Alto | Monitoraggio di Azure | Scheda Log attività Scheda Attività directory Nome operazioni = Assegna il chiamante all'amministratore di accesso utente -E- Categoria di eventi = Amministrazione istrative -e- Status = Succeeded, start, fail -e- Evento avviato da |
Questa modifica deve essere esaminata immediatamente se non è pianificata. Questa impostazione potrebbe consentire a un utente malintenzionato di accedere alle sottoscrizioni di Azure nell'ambiente in uso. |
Per altre informazioni sulla gestione dell'elevazione dei privilegi, vedere Elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Per informazioni sul monitoraggio delle elevazioni dei privilegi usando le informazioni disponibili nei log di Microsoft Entra, vedere Log attività di Azure, che fa parte della documentazione di Monitoraggio di Azure.
Per informazioni sulla configurazione degli avvisi per i ruoli di Azure, vedere Configurare gli avvisi di sicurezza per i ruoli delle risorse di Azure in Privileged Identity Management.
Passaggi successivi
Vedere gli articoli della Guida alle operazioni di sicurezza seguenti:
Panoramica delle operazioni di sicurezza di Microsoft Entra
Operazioni di sicurezza per gli account utente
Operazioni di sicurezza per gli account consumer
Operazioni di sicurezza per Privileged Identity Management
Operazioni di sicurezza per le applicazioni