Operazioni di sicurezza di Microsoft Entra per Privileged Identity Management
La sicurezza degli asset aziendali dipende dall'integrità degli account con privilegi usati per amministrare i sistemi IT. Gli utenti malintenzionati usano attacchi di furto di credenziali per indirizzare gli account amministratore e altri account di accesso con privilegi per provare ad accedere ai dati sensibili.
Per i servizi cloud, prevenzione e risposta sono responsabilità comuni del provider di servizi cloud e del cliente.
Tradizionalmente, la sicurezza organizzativa si è concentrata sui punti di ingresso e uscita di una rete come perimetro di sicurezza. Tuttavia, le app SaaS e i dispositivi personali hanno reso questo approccio meno efficace. In Microsoft Entra ID sostituire il perimetro di sicurezza di rete con l'autenticazione nel livello di identità dell'organizzazione. Quando gli utenti vengono assegnati ai ruoli amministrativi con privilegi, l'accesso deve essere protetto in ambienti locali, cloud e ibridi.
L'utente è interamente responsabile di tutti i livelli di sicurezza per l'ambiente IT locale. Quando si usano i servizi cloud di Azure, la prevenzione e la risposta sono responsabilità comuni di Microsoft come provider di servizi cloud e come cliente.
Per altre informazioni sul modello di responsabilità condivisa, vedere Responsabilità condivisa nel cloud.
Per altre informazioni sulla protezione dell'accesso per gli utenti con privilegi, vedere Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID.
Per un'ampia gamma di video, guide pratiche e contenuto dei concetti chiave per l'identità con privilegi, vedere la documentazione di Privileged Identity Management.
Privileged Identity Management (PIM) è un servizio Microsoft Entra che consente di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione. Tali risorse includono quelle in Microsoft Entra ID, Azure e altri servizi Microsoft online, come ad esempio Microsoft 365 o Microsoft Intune. È possibile usare PIM per ridurre i rischi seguenti:
Identificare e ridurre al minimo il numero di persone che hanno accesso a informazioni e risorse sicure.
Rilevare autorizzazioni di accesso eccessive, non necessarie o improprie per le risorse sensibili.
Ridurre le probabilità che un attore malintenzionato ottenga l'accesso a informazioni o risorse protette.
Ridurre la possibilità che un utente non autorizzato influisca inavvertitamente sulle risorse sensibili.
Usare questo articolo fornisce indicazioni per impostare linee di base, accessi di controllo e utilizzo degli account con privilegi. Usare l'origine del log di controllo di origine per mantenere l'integrità dell'account con privilegi.
Dove guardare
I file di log usati per l'analisi e il monitoraggio sono:
Nella portale di Azure visualizzare i log di controllo di Microsoft Entra e scaricarli come file CSV (Comma-Separated Value) o JavaScript Object Notation (JSON). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti per automatizzare il monitoraggio e gli avvisi:
Microsoft Sentinel : consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità di gestione delle informazioni sulla sicurezza e degli eventi (SIEM).
Regole Sigma : Sigma è uno standard aperto in continua evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzati possono usare per analizzare i file di log. Dove esistono modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un collegamento al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono invece creati e raccolti dalla community di sicurezza IT in tutto il mondo.
Monitoraggio di Azure: consente il monitoraggio automatizzato e l'invio di avvisi di varie condizioni. Può creare o usare cartelle di lavoro per combinare dati di origini diverse.
Hub eventi di Azure integrato con i log siem- di Microsoft Entra può essere integrato in altri SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic tramite l'integrazione di Hub eventi di Azure.
app Microsoft Defender per il cloud : consente di individuare e gestire le app, gestire le app e le risorse e controllare la conformità delle app cloud.
Protezione delle identità del carico di lavoro con l'anteprima di Identity Protection: usata per rilevare i rischi sulle identità del carico di lavoro tra comportamenti di accesso e indicatori offline di compromissione.
Nella parte restante di questo articolo sono disponibili raccomandazioni per impostare una baseline su cui monitorare e inviare avvisi, con un modello di livello. I collegamenti alle soluzioni predefinite vengono visualizzati dopo la tabella. È possibile compilare avvisi usando gli strumenti precedenti. Il contenuto è organizzato nelle aree seguenti:
Previsioni
Assegnazione di ruolo Microsoft Entra
Impostazioni di avviso del ruolo Microsoft Entra
Assegnazione di ruolo delle risorse di Azure
Gestione degli accessi per le risorse di Azure
Accesso con privilegi elevati per gestire le sottoscrizioni di Azure
Previsioni
Di seguito sono riportate le impostazioni di base consigliate:
| Cosa monitorare | Livello di rischio | Elemento consigliato | ruoli | Note |
|---|---|---|---|---|
| Assegnazione dei ruoli di Microsoft Entra | Alto | Richiedi giustificazione per l'attivazione. Richiedi l'approvazione per l'attivazione. Impostare il processo di approvazione a due livelli. All'attivazione, richiedere l'autenticazione a più fattori di Microsoft Entra. Impostare la durata massima dell'elevazione su 8 ore. | Amministrazione istration del ruolo con privilegi, Global Amministrazione istrator | Un amministratore di ruoli con privilegi può personalizzare PIM nell'organizzazione Microsoft Entra, inclusa la modifica dell'esperienza per gli utenti che attivano un'assegnazione di ruolo idonea. |
| Configurazione del ruolo delle risorse di Azure | Alto | Richiedi giustificazione per l'attivazione. Richiedi l'approvazione per l'attivazione. Impostare il processo di approvazione a due livelli. All'attivazione, richiedere l'autenticazione a più fattori di Microsoft Entra. Impostare la durata massima dell'elevazione su 8 ore. | Proprietario, Resource Amministrazione istrator, User Access Amministrazione istrator, Global Amministrazione istrator, Security Amministrazione istrator | Analizzare immediatamente se non è stata apportata una modifica pianificata. Questa impostazione potrebbe consentire agli utenti malintenzionati di accedere alle sottoscrizioni di Azure nell'ambiente in uso. |
Avvisi di Privileged Identity Management
Privileged Identity Management (PIM) genera avvisi in caso di attività sospette o non sicure nell'organizzazione Microsoft Entra. Quando viene generato un avviso, viene visualizzato nel dashboard Privileged Identity Management. È anche possibile configurare una notifica tramite posta elettronica o inviare al sistema SIEM tramite GraphAPI. Poiché questi avvisi si concentrano in modo specifico sui ruoli amministrativi, è consigliabile monitorare attentamente gli avvisi.
Assegnazione dei ruoli di Microsoft Entra
Un amministratore del ruolo con privilegi può personalizzare PIM nell'organizzazione Microsoft Entra, che include la modifica dell'esperienza utente dell'attivazione di un'assegnazione di ruolo idonea:
Impedire agli attori non validi di rimuovere i requisiti di autenticazione a più fattori di Microsoft Entra per attivare l'accesso con privilegi.
Impedire agli utenti malintenzionati di ignorare la giustificazione e l'approvazione dell'attivazione dell'accesso con privilegi.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Avviso per l'aggiunta di modifiche alle autorizzazioni dell'account con privilegi | Alto | Log di controllo di Microsoft Entra | Category = Role Management -e- Tipo di attività: aggiungere un membro idoneo (permanente) -e- Tipo di attività: aggiungere un membro idoneo (idoneo) -e- Stato = Esito positivo/negativo -e- Proprietà modificate = Role.DisplayName |
Monitorare e inviare sempre avvisi per eventuali modifiche apportate all'amministratore del ruolo con privilegi e all'amministratore globale. Può essere un'indicazione che un utente malintenzionato sta tentando di ottenere i privilegi per modificare le impostazioni di assegnazione di ruolo. Se non si ha una soglia definita, avvisare su 4 in 60 minuti per gli utenti e 2 in 60 minuti per gli account con privilegi. Regole Sigma |
| Avviso per l'eliminazione in blocco delle modifiche apportate alle autorizzazioni dell'account con privilegi | Alto | Log di controllo di Microsoft Entra | Category = Role Management -e- Tipo di attività: rimuovere un membro idoneo (permanente) -e- Tipo di attività: rimuovere un membro idoneo (idoneo) -e- Stato = Esito positivo/negativo -e- Proprietà modificate = Role.DisplayName |
Analizzare immediatamente se non è stata apportata una modifica pianificata. Questa impostazione potrebbe consentire a un utente malintenzionato di accedere alle sottoscrizioni di Azure nell'ambiente in uso. Modello di Microsoft Sentinel Regole Sigma |
| Modifiche alle impostazioni di PIM | Alto | Log di controllo di Microsoft Entra | Service = PIM -e- Category = Role Management -e- Tipo di attività = Aggiornare l'impostazione del ruolo in PIM -e- Status Reason = MFA on activation disabled (esempio) |
Monitorare e avvisare sempre le modifiche apportate al ruolo con privilegi Amministrazione istrator e all'Amministrazione istrator globale. Può essere un'indicazione che un utente malintenzionato può accedere per modificare le impostazioni di assegnazione di ruolo. Una di queste azioni potrebbe ridurre la sicurezza dell'elevazione di PIM e semplificare l'acquisizione di un account con privilegi da parte degli utenti malintenzionati. Modello di Microsoft Sentinel Regole Sigma |
| Approvazioni e negare l'elevazione dei privilegi | Alto | Log di controllo di Microsoft Entra | Service = Access Review -e- Category = UserManagement -e- Tipo di attività = Richiesta approvata/negata -e- Attore avviato = UPN |
Tutte le elevazioni devono essere monitorate. Registrare tutte le elevazioni per fornire un'indicazione chiara della sequenza temporale per un attacco. Modello di Microsoft Sentinel Regole Sigma |
| L'impostazione dell'avviso cambia in disabilitata. | Alto | Log di controllo di Microsoft Entra | Service =PIM -e- Category = Role Management -e- Tipo di attività = Disabilita avviso PIM -e- Stato = Operazione riuscita /Errore |
Avvisa sempre. Consente di rilevare gli avvisi non validi associati ai requisiti di autenticazione a più fattori di Microsoft Entra per attivare l'accesso con privilegi. Consente di rilevare attività sospette o non sicure. Modello di Microsoft Sentinel Regole Sigma |
Per altre informazioni sull'identificazione delle modifiche delle impostazioni dei ruoli nel log di controllo di Microsoft Entra, vedere Visualizzare la cronologia di controllo per i ruoli di Microsoft Entra in Privileged Identity Management.
Assegnazione di ruolo delle risorse di Azure
Il monitoraggio delle assegnazioni di ruolo delle risorse di Azure consente la visibilità delle attività e delle attivazioni per i ruoli delle risorse. Queste assegnazioni potrebbero essere usate in modo improprio per creare una superficie di attacco a una risorsa. Quando si monitora questo tipo di attività, si sta provando a rilevare:
Eseguire query sulle assegnazioni di ruolo in risorse specifiche
Assegnazioni di ruolo per tutte le risorse figlio
Tutte le modifiche all'assegnazione di ruolo attiva e idonea
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Controllare il log di controllo delle risorse degli avvisi per le attività dell'account con privilegi | Alto | In PIM, in Risorse di Azure, Controllo risorse | Azione: aggiungere un membro idoneo al ruolo in PIM completato (limite di tempo) -e- Destinazione primaria -e- Tipo utente -e- Status = Succeeded |
Avvisa sempre. Consente di rilevare l'aggiunta di ruoli idonei per l'aggiunta di ruoli idonei per gestire tutte le risorse in Azure. |
| Controlla controllo risorsa avviso per disabilitare l'avviso | Medio | In PIM, in Risorse di Azure, Controllo risorse | Azione: Disabilita avviso -e- Destinazione primaria: troppi proprietari assegnati a una risorsa -e- Status = Succeeded |
Consente di rilevare un attore non valido che disabilita gli avvisi, nel riquadro Avvisi, che può ignorare le attività dannose analizzate |
| Controlla controllo risorsa avviso per disabilitare l'avviso | Medio | In PIM, in Risorse di Azure, Controllo risorse | Azione: Disabilita avviso -e- Destinazione primaria: troppi proprietari permanenti assegnati a una risorsa -e- Status = Succeeded |
Impedire all'attore non valido di disabilitare gli avvisi, nel riquadro Avvisi, che può ignorare l'analisi delle attività dannose |
| Controlla controllo risorsa avviso per disabilitare l'avviso | Medio | In PIM, in Risorse di Azure, Controllo risorse | Azione: Disabilita avviso -e- Ruolo duplicato di destinazione primario creato -e- Status = Succeeded |
Impedire all'attore non valido di disabilitare gli avvisi dal riquadro Avvisi, che può ignorare le attività dannose da analizzare |
Per altre informazioni sulla configurazione degli avvisi e sul controllo dei ruoli delle risorse di Azure, vedere:
Gestione degli accessi per le risorse e le sottoscrizioni di Azure
Per impostazione predefinita, gli utenti o i membri del gruppo hanno assegnato i ruoli di sottoscrizione di Proprietario o Accesso utenti Amministrazione istrator e microsoft Entra Global Amministrazione istrators che hanno abilitato la gestione delle sottoscrizioni in Microsoft Entra ID, dispongono delle autorizzazioni di Resource Amministrazione istrator per impostazione predefinita. Gli amministratori assegnano ruoli, configurano le impostazioni dei ruoli ed esaminano l'accesso usando Privileged Identity Management (PIM) per le risorse di Azure.
Un utente con autorizzazioni di amministratore risorse può gestire PIM per le risorse. Monitorare e attenuare questo rischio introdotto: la funzionalità può essere usata per consentire agli attori malintenzionati l'accesso con privilegi alle risorse della sottoscrizione di Azure, ad esempio macchine virtuali (VM) o account di archiviazione.
| Cosa monitorare | Livello di rischio | Where | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Altitudini | Alto | MICROSOFT Entra ID, in Gestisci, Proprietà | Rivedere periodicamente l'impostazione. Gestione degli accessi per le risorse di Azure |
Gli amministratori globali possono elevare i privilegi abilitando la gestione degli accessi per le risorse di Azure. Verificare che non siano state ottenute autorizzazioni per assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati ad Active Directory. |
Per altre informazioni, vedere Assegnare ruoli delle risorse di Azure in Privileged Identity Management
Passaggi successivi
Panoramica delle operazioni di sicurezza di Microsoft Entra
Operazioni di sicurezza per gli account utente
Operazioni di sicurezza per gli account consumer
Operazioni di sicurezza per gli account con privilegi
Operazioni di sicurezza per le applicazioni