Operazioni per la sicurezza per l'infrastruttura
L'infrastruttura include molti componenti in cui possono verificarsi vulnerabilità se non configurate correttamente. Nell'ambito della strategia di monitoraggio e avviso per l'infrastruttura, monitorare e avvisare gli eventi nelle aree seguenti:
Autenticazione e autorizzazione
Componenti di autenticazione ibrida inclusi. Server federativi
Criteri
Sottoscrizioni
Il monitoraggio e l'invio di avvisi ai componenti dell'infrastruttura di autenticazione è fondamentale. Qualsiasi compromesso può portare a un compromesso completo dell'intero ambiente. Molte aziende che usano Microsoft Entra ID operano in un ambiente di autenticazione ibrida. I componenti cloud e locali devono essere inclusi nella strategia di monitoraggio e avviso. La presenza di un ambiente di autenticazione ibrida introduce anche un altro vettore di attacco per l'ambiente.
È consigliabile considerare tutti i componenti asset piano di controllo/livello 0 e gli account usati per gestirli. Per indicazioni sulla progettazione e sull'implementazione dell'ambiente, vedere Protezione degli asset con privilegi (SPA). Queste indicazioni includono raccomandazioni per ognuno dei componenti di autenticazione ibrida che potrebbero essere usati per un tenant di Microsoft Entra.
Un primo passaggio per rilevare eventi imprevisti e potenziali attacchi consiste nel stabilire una baseline. Per tutti i componenti locali elencati in questo articolo, vedere Distribuzione dell'accesso privilegiato, che fa parte della guida Protezione degli asset con privilegi (SPA).
Dove cercare
I file di log da usare per l'indagine e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).
Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.
Monitoraggio di Azure: consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.
Hub eventi di Azure integrato con un sistema SIEM: è possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure.
Microsoft Defender for Cloud Apps: consente di individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.
Protezione delle identità dei carichi di lavoro con Identity Protection Preview: consente di rilevare i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.
Nella parte restante di questo articolo viene descritto cosa monitorare e inviare avvisi. È organizzato in base al tipo di minaccia. Dove sono disponibili soluzioni predefinite, dopo la tabella sono disponibili link. In caso contrario, è possibile creare avvisi usando gli strumenti precedenti.
Infrastruttura di autenticazione
Negli ambienti ibridi che contengono risorse e account locali e basati sul cloud, l'infrastruttura di Active Directory è una parte fondamentale dello stack di autenticazione. Lo stack è anche un obiettivo per gli attacchi, quindi deve essere configurato per mantenere un ambiente sicuro e deve essere monitorato correttamente. Esempi di tipi correnti di attacchi usati dall'infrastruttura di autenticazione usano tecniche Password Spray e Solorigate. Di seguito sono riportati i link ad articoli consigliati:
Panoramica della protezione dell'accesso privilegiato: questo articolo offre una panoramica delle tecniche correnti che usano approcci Zero Trust per creare e mantenere l'accesso privilegiato sicuro.
Attività di dominio monitorate da Microsoft Defender per identità: questo articolo fornisce un elenco completo delle attività per il monitoraggio e l'impostazione degli avvisi.
Esercitazione sugli avvisi di sicurezza di Microsoft Defender per identità: questo articolo fornisce indicazioni sulla creazione e sull'implementazione di una strategia di avviso di sicurezza.
Di seguito sono riportati link a articoli specifici incentrati sul monitoraggio e sull'invio di avvisi all'infrastruttura di autenticazione:
Comprendere e usare i percorsi di spostamento laterale con Microsoft Defender per identità: tecniche di rilevamento per contribuire a identificare quando vengono usati account non sensibili per ottenere l'accesso agli account di rete sensibili.
Uso degli avvisi di sicurezza in Microsoft Defender per identità: questo articolo descrive come prendere in esame e gestire gli avvisi una volta registrati.
Di seguito sono riportati alcuni aspetti specifici da cercare:
| Cosa monitorare | Livello di rischio | Dove | Note |
|---|---|---|---|
| Tendenze del blocco Extranet | Alto | Microsoft Entra Connect Health | Vedere Monitorare Active Directory Federation Services usando Microsoft Entra Connect Health per strumenti e tecniche che contribuiscono a rilevare le tendenze sul blocco extranet. |
| Accessi non riusciti | Alto | Connettere Connect Health | Esportare o scaricare il report IP rischioso e seguire le indicazioni contenute in Report IP rischioso (anteprima pubblica) per conoscere i passaggi successivi. |
| Conformità alla privacy | Basso | Microsoft Entra Connect Health | Configurare Microsoft Entra Connect Health per disabilitare le raccolte dati e il monitoraggio usando l'articolo Privacy utente e Microsoft Entra Connect Health. . |
| Potenziale attacco di forza bruta su LDAP | Medio | Microsoft Defender per identità | Usare il sensore per contribuire a rilevare potenziali attacchi di forza bruta contro LDAP. |
| Ricognizione con enumerazione degli account | Medio | Microsoft Defender per identità | Usare il sensore per contribuire a eseguire l'enumerazione dell'account per la ricognizione. |
| Correlazione generale tra Microsoft Entra ID e Azure AD FS | Medio | Microsoft Defender per identità | Usare le funzionalità per correlare le attività tra Microsoft Entra ID e gli ambienti Azure AD FS. |
Monitoraggio dell'autenticazione pass-through
L’autenticazione pass-through di Microsoft Entra esegue l'accesso degli utenti tramite la convalida delle password direttamente in Active Directory locale.
Di seguito sono riportati alcuni aspetti specifici da cercare:
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80001: Impossibile connettersi ad Active Directory | Verificare che i server degli agenti siano membri della stessa foresta AD degli utenti le cui password devono essere convalidate e siano in grado di connettersi ad Active Directory. |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS8002: si è verificato un timeout di connessione ad Active Directory | Verificare che Active Directory sia disponibile e risponda alle richieste degli agenti. |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80004: il nome utente passato all'agente non era valido | Assicurarsi che l'utente stia tentando di accedere con il nome utente corretto. |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80005: la convalida ha rilevato un errore WebException imprevedibile | Errore temporaneo. ripetere la richiesta. Se il problema persiste, contattare il supporto Microsoft. |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin | AADSTS80007: errore durante la comunicazione con Active Directory | Controllare i log dell'agente per altre informazioni e verificare che Active Directory funzioni come previsto. |
| Errori di autenticazione pass-through di Microsoft Entra | Alto | API funzione Win32 LogonUserA | Eventi di accesso 4624: un account è stato connesso correttamente - correlare con – 4625(F): un account non è riuscito ad accedere |
Usare con i nomi utente sospetti nel controller di dominio che esegue l'autenticazione delle richieste. Indicazioni sulla funzione LogonUserA (winbase.h) |
| Errori di autenticazione pass-through di Microsoft Entra | Medio | Script di PowerShell del controller di dominio | Vedere la query dopo la tabella. | Per indicazioni, usare le informazioni contenute in Microsoft Entra Connect: risolvere i problemi di autenticazione pass-through. |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Monitoraggio per la creazione di nuovi tenant di Microsoft Entra
Le organizzazioni potrebbero dover monitorare e avvisare la creazione di nuovi tenant di Microsoft Entra quando l'azione viene avviata dalle identità dal tenant dell'organizzazione. Il monitoraggio di questo scenario offre visibilità sul numero di tenant creati e accessibili dagli utenti finali.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Creazione di un nuovo tenant di Microsoft Entra, usando un'identità dal tenant. | Medio | Log di controllo di Microsoft Entra | Categoria: Gestione directory Attività: creare un'azienda |
La destinazione mostra l'ID tenant creato |
Connettore di rete privata
Microsoft Entra ID e Microsoft Entra Application Proxy offrono agli utenti remoti un'esperienza single sign-on (SSO). Gli utenti possono connettersi in modo sicuro alle app locali senza una rete privata virtuale (VPN) o server dual-homed e regole del firewall. Se il server del connettore di rete privata Microsoft Entra è compromesso, gli utenti malintenzionati potrebbero modificare l'esperienza SSO o modificare l'accesso alle applicazioni pubblicate.
Per configurare il monitoraggio per Application Proxy, vedere Risolvere i problemi e i messaggi di errore di Application Proxy. Il file di dati che registra le informazioni è disponibile in Registri applicazioni e servizi\Microsoft\Microsoft Entra private network\Connector\Admin. Per una guida di riferimento completa all'attività di controllo, vedere Informazioni di riferimento sulle attività di controllo di Microsoft Entra. Aspetti specifici da monitorare:
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Errori di Kerberos | Medio | Vari strumenti | Medio | Indicazioni sugli errori di autenticazione Kerberos all’interno di Errori Kerberos in Risolvere i problemi e i messaggi di errore di Application Proxy. |
| Problemi di sicurezza di DC | Alto | Log di audit di sicurezza DC | ID evento 4742(S): un account computer è stato modificato -e- Flag: attendibile per la delega oppure Flag: attendibile per l'autenticazione per la delega |
Prendere in esame eventuali modifiche al flag. |
| Attacchi come pass-the-ticket | Alto | Seguire le indicazioni in: Ricognizione delle entità di sicurezza (LDAP) (ID esterno 2038) Esercitazione: avvisi sulle credenziali compromesse Comprendere e usare i percorsi di spostamento laterale con Microsoft Defender per identità Informazioni sui profili di entità |
Impostazioni di autenticazione legacy
Perché l'autenticazione a più fattori (MFA) sia efficace, è anche necessario bloccare l'autenticazione legacy. È quindi necessario monitorare l'ambiente e avvisare l'uso dell'autenticazione legacy. I protocolli di autenticazione legacy, ad esempio POP, SMTP, IMAP e MAPI, non possono applicare l'autenticazione a più fattori. In questo modo questi protocolli sono i punti di ingresso preferiti per gli utenti malintenzionati. Per altre informazioni sugli strumenti che è possibile usare per bloccare l'autenticazione legacy, vedere Nuovi strumenti per bloccare l'autenticazione legacy nell'organizzazione.
L'autenticazione legacy viene acquisita nel log di accesso di Microsoft Entra come parte dei dettagli dell'evento. È possibile usare la cartella di lavoro di Monitoraggio di Azure per contribuire a identificare l'utilizzo dell'autenticazione legacy. Per altre informazioni, vedere Accessi con l'autenticazione legacy, che fa parte di Come usare cartelle di lavoro di Monitoraggio di Azure per i report di Microsoft Entra. È anche possibile usare la cartella di lavoro Protocolli non sicuri per Microsoft Sentinel. Per altre informazioni, vedere Guida all'implementazione della cartella di lavoro Protocolli non sicuri di Microsoft Sentinel. Le attività specifiche da monitorare includono:
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Autenticazioni legacy | Alto | Log di accesso di Microsoft Entra | ClientApp : POP ClientApp : IMAP ClientApp : MAPI ClientApp: SMTP ClientApp: ActiveSync passa a EXO Altri client = SharePoint ed EWS |
Negli ambienti di dominio federati, le autenticazioni non riuscite non vengono registrate e non vengono visualizzate nel log. |
Microsoft Entra Connect
Microsoft Entra Connect offre una posizione centralizzata che consente la sincronizzazione degli account e degli attributi tra l'ambiente Microsoft Entra locale e quello basato sul cloud. Microsoft Entra Connect è lo strumento di Microsoft progettato per soddisfare e raggiungere gli obiettivi relativi alla soluzione ibrida di gestione delle identità. Offre le funzionalità seguenti:
Sincronizzazione dell'hash delle password: metodo di accesso che consente di sincronizzare un hash di una password utente AD locale con Microsoft Entra ID.
Sincronizzazione: è responsabile della creazione di utenti, gruppi e altri oggetti. Deve anche garantire che le informazioni sulle identità per utenti e gruppi locali corrispondano a quelle nel cloud. Questa sincronizzazione include anche gli hash delle password.
Monitoraggio dell'integrità: Microsoft Entra Connect Health può offrire un monitoraggio affidabile e una posizione centralizzata nel portale di Azure per visualizzare questa attività.
La sincronizzazione dell'identità tra l'ambiente locale e l'ambiente cloud introduce una nuova superficie di attacco per l'ambiente locale e basato sul cloud. Consigliamo:
I server primari e di gestione temporanea di Microsoft Entra Connect sono considerati sistemi di livello 0 nel piano di controllo.
Si segue un set standard di criteri che regolano ogni tipo di account e il relativo utilizzo nell'ambiente.
Installare Microsoft Entra Connect e Connect Health. Questi forniscono principalmente dati operativi per l'ambiente.
La registrazione delle operazioni di Microsoft Entra Connect avviene in modi diversi:
La procedura guidata Microsoft Entra Connect registra i dati in
\ProgramData\AADConnect. Ogni volta che viene richiamata la procedura guidata, viene creato un file di log di traccia con timestamp. È possibile importare il log di traccia in Sentinel o in altri strumenti di informazioni di sicurezza e gestione degli eventi (SIEM) di terze parti per l'analisi.Alcune operazioni avviano uno script di PowerShell per acquisire informazioni di registrazione. Per raccogliere questi dati, è necessario assicurarsi che la registrazione dei blocchi di script sia abilitata.
Monitoraggio delle modifiche alla configurazione
Microsoft Entra ID usa il motore di dati di Microsoft SQL Server o SQL per archiviare le informazioni di configurazione di Microsoft Entra Connect. Pertanto, il monitoraggio e il controllo dei file di log associati alla configurazione devono essere inclusi nella strategia di monitoraggio e controllo. In particolare, includere le tabelle seguenti nella strategia di monitoraggio e avviso.
| Cosa monitorare | Dove | Note |
|---|---|---|
| mms_management_agent | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
| mms_partition | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
| mms_run_profile | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
| mms_server_configuration | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
| mms_synchronization_rule | Record di controllo del servizio SQL | Vedere Record di controllo di SQL Server |
Per informazioni su cosa e su come monitorare le informazioni di configurazione, vedere:
Per SQL Server, vedere Record di controllo di SQL Server.
Per Microsoft Sentinel, vedere Connettersi ai server Windows per raccogliere gli eventi di sicurezza.
Per informazioni sulla configurazione e sull'uso di Microsoft Entra Connect, vedere Che cos'è Microsoft Entra Connect?
Monitoraggio e risoluzione dei problemi di sincronizzazione
Una funzione di Microsoft Entra Connect consiste nel sincronizzare la sincronizzazione hash tra la password locale di un utente e Microsoft Entra ID. Se le password non vengono sincronizzate come previsto, la sincronizzazione potrebbe influire su un subset di utenti o tutti gli utenti. Usare quanto segue per contribuire a verificare il corretto funzionamento o risolvere i problemi:
Informazioni per il controllo e la risoluzione dei problemi di sincronizzazione dell'hash, vedere Risolvere i problemi di sincronizzazione dell’hash delle password con Microsoft Entra Connect Sync.
Modifiche agli spazi connettore, vedere Risolvere i problemi relativi a oggetti e attributi di Microsoft Entra Connect.
Risorse importanti sul monitoraggio
| Cosa monitorare | Risorse |
|---|---|
| Convalida della sincronizzazione hash | Vedere Implementazione della sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync |
| Modifiche agli spazi del connettore | vedere Risoluzione dei problemi relativi a oggetti e attributi di Microsoft Entra Connect |
| Modifiche alle regole configurate | Monitorare le modifiche apportate a: filtro, dominio e unità organizzativa, attributi e modifiche basate su gruppo |
| Modifiche a SQL e MSDE | Modifiche ai parametri di registrazione e all'aggiunta di funzioni personalizzate |
Monitorare quanto segue:
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Modifiche dell'utilità di pianificazione | Alto | PowerShell | Set-ADSyncScheduler | Cercare modifiche alla pianificazione |
| Modifiche alle attività pianificate | Alto | Log di controllo di Microsoft Entra | Attività = 4699(S): un'attività pianificata è stata eliminata oppure Attività = 4701: un'attività pianificata è stata disabilitata oppure Attività = 4702: un'attività pianificata è stata aggiornata |
Monitorare tutti |
Per altre informazioni sulla registrazione delle operazioni di script di PowerShell, vedere Abilitazione della registrazione di blocchi di script, che fa parte della documentazione di riferimento di PowerShell.
Per altre informazioni sulla configurazione della registrazione di PowerShell per l'analisi di Splunk, vedere Ottenere dati nell’analisi del comportamento degli utenti Splunk).
Monitoraggio dell'accesso Single Sign-On facile
L'accesso Single Sign-On facile (SSO facile) di Microsoft Entra consente l'accesso automatico degli utenti dai desktop collegati alla rete aziendale. Grazie a questa funzionalità, gli utenti possono accedere facilmente alle applicazioni basate sul cloud senza altri componenti a livello locale. SSO usa le funzionalità di autenticazione pass-through e sincronizzazione dell'hash delle password fornite da Microsoft Entra Connect.
Il monitoraggio dell'accesso Single Sign-On e dell'attività Kerberos può contribuire a rilevare i modelli di attacco di furto di credenziali generali. Monitorare usando le informazioni seguenti:
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Errori associati a errori di convalida SSO e Kerberos | Medio | Log di accesso di Microsoft Entra | Elenco di codici di errore per l'accesso Single Sign-On in Accesso Single Sign-On. | |
| Eseguire una query per la risoluzione degli errori | Medio | PowerShell | Vedere la tabella seguente. controllare ogni foresta con SSO abilitato. | Controllare ogni foresta con SSO abilitato. |
| Eventi correlati a Kerberos | Alto | Monitoraggio di Microsoft Defender per identità | Prendere in esame le indicazioni disponibili in Percorsi di spostamento laterale (LMP) di Microsoft Defender per identità |
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Criteri di protezione password
Se si distribuisce la protezione password di Microsoft Entra, il monitoraggio e la creazione di report sono attività essenziali. I seguenti link spiegano nel dettaglio varie tecniche di monitoraggio, indicando i percorsi in cui ogni servizio registra le informazioni e illustrando come creare report sull'uso di Protezione password di Microsoft Entra.
L'agente controller di dominio e i servizi proxy registrano entrambi i messaggi del registro eventi. Tutti i cmdlet di PowerShell descritti di seguito sono disponibili solo nel server proxy (vedere il modulo AzureADPasswordProtection di PowerShell). Il software agente del controller di dominio non installa un modulo di PowerShell.
Informazioni dettagliate per la pianificazione e l'implementazione della protezione password locale sono disponibili in Pianificare e distribuire la protezione password di Microsoft Entra locale. Per informazioni dettagliate sul monitoraggio, vedere Monitoraggio della Password di protezione di Microsoft Entra. In ogni controller di dominio il software del servizio agente del controller di dominio scrive i risultati di ogni singola operazione di convalida delle password (e altri stati) in il seguente log eventi locale:
\Registri applicazioni e servizi\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Registri applicazioni e servizi\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Registri applicazioni e servizi\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Il log degli eventi di amministrazione dell'agente del controller di dominio è la principale fonte di informazioni sul comportamento del software. Per impostazione predefinita, il log di traccia è disattivato e deve essere abilitato prima della registrazione dei dati. Per risolvere i problemi e i messaggi di errore di Application Proxy, informazioni dettagliate sono disponibili in Risolvere i problemi e i messaggi di errore di Microsoft Entra Application Proxy. Le informazioni per questi eventi vengono registrate:
Registri applicazioni e servizi\Microsoft\Microsoft Entra private network\Connector\Admin
Log di audit di Microsoft Entra, Proxy applicazione categoria
Informazioni di riferimento complete sulle attività di controllo di Microsoft Entra sono disponibili nelle Informazioni di riferimento sulle attività di controllo di Microsoft Entra.
Accesso condizionale
In Microsoft Entra ID è possibile proteggere l'accesso alle risorse configurando i criteri di Accesso condizionale. Gli amministratori IT vogliono assicurarsi che i criteri di Accesso condizionale funzionino come previsto per assicurarsi che le risorse siano protette. Il monitoraggio e l'invio di avvisi sulle modifiche apportate al servizio di Accesso condizionale garantisce che vengano applicati i criteri definiti dall'organizzazione per l'accesso ai dati. Microsoft Entra registra quando vengono apportate modifiche all'Accesso condizionale e fornisce anche cartelle di lavoro per garantire che i criteri forniscano la copertura prevista.
Link alle cartelle di lavoro
Monitorare le modifiche ai criteri di Accesso condizionale usando le informazioni seguenti:
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Nuovi criteri di Accesso condizionale creati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: aggiungere criteri di Accesso condizionale Categoria: criteri Avviato da (attore): Nome dell'entità utente |
Monitorare le modifiche all'Accesso condizionale e creare avvisi. È avviato da (attore): approvato per apportare modifiche all'Accesso condizionale? Modello di Microsoft Sentinel Regole Sigma |
| Criteri di Accesso condizionale rimossi da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: eliminare i criteri di Accesso condizionale Categoria: criteri Avviato da (attore): Nome dell'entità utente |
Monitorare le modifiche all'Accesso condizionale e creare avvisi. È avviato da (attore): approvato per apportare modifiche all'Accesso condizionale? Modello di Microsoft Sentinel Regole Sigma |
| Criteri di Accesso condizionale aggiornati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: aggiornare i criteri di Accesso condizionale Categoria: criteri Avviato da (attore): Nome dell'entità utente |
Monitorare le modifiche all'Accesso condizionale e creare avvisi. È avviato da (attore): approvato per apportare modifiche all'Accesso condizionale? Prendere in esame le proprietà modificate e confrontare il valore “old” con quello “new” Modello di Microsoft Sentinel Regole Sigma |
| Rimozione di un utente da un gruppo usato per definire l'ambito dei criteri di Accesso condizionale critici | Medio | Log di controllo di Microsoft Entra | Attività: rimuovere un membro dal gruppo Categoria = GroupManagement Target: nome dell'entità utente |
Monitoraggio e avvisi per i gruppi usati per definire i Criteri di Accesso condizionale critici. "Target" è l'utente che è stato rimosso. Regole Sigma |
| Aggiunta di un utente a un gruppo usato per definire l'ambito dei criteri di Accesso condizionale critici | Basso | Log di controllo di Microsoft Entra | Attività: aggiungere un membro a un gruppo Categoria = GroupManagement Target: nome dell'entità utente |
Monitoraggio e avvisi per i gruppi usati per definire i Criteri di Accesso condizionale critici. "Target" è l'utente che è stato aggiunto. Regole Sigma |
Passaggi successivi
Panoramica delle operazioni per la sicurezza di Microsoft Entra
Operazioni per la sicurezza per gli account utente
Operazioni per la sicurezza per gli account consumer
Operazioni per la sicurezza per gli account con privilegi
Operazioni per la sicurezza per Privileged Identity Management
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per