Condividi tramite


Operazioni per la sicurezza per l'infrastruttura

L'infrastruttura include molti componenti in cui possono verificarsi vulnerabilità se non configurate correttamente. Nell'ambito della strategia di monitoraggio e avviso per l'infrastruttura, monitorare e avvisare gli eventi nelle aree seguenti:

  • Autenticazione e autorizzazione

  • Componenti di autenticazione ibrida inclusi. Server federativi

  • Criteri

  • Sottoscrizioni

Il monitoraggio e l'invio di avvisi ai componenti dell'infrastruttura di autenticazione è fondamentale. Qualsiasi compromesso può portare a un compromesso completo dell'intero ambiente. Molte aziende che usano Microsoft Entra ID operano in un ambiente di autenticazione ibrida. I componenti cloud e locali devono essere inclusi nella strategia di monitoraggio e avviso. La presenza di un ambiente di autenticazione ibrida introduce anche un altro vettore di attacco per l'ambiente.

È consigliabile considerare tutti i componenti asset piano di controllo/livello 0 e gli account usati per gestirli. Per indicazioni sulla progettazione e sull'implementazione dell'ambiente, vedere Protezione degli asset con privilegi (SPA). Queste indicazioni includono raccomandazioni per ognuno dei componenti di autenticazione ibrida che potrebbero essere usati per un tenant di Microsoft Entra.

Un primo passaggio per rilevare eventi imprevisti e potenziali attacchi consiste nel stabilire una baseline. Per tutti i componenti locali elencati in questo articolo, vedere Distribuzione dell'accesso privilegiato, che fa parte della guida Protezione degli asset con privilegi (SPA).

Dove cercare

I file di log da usare per l'indagine e il monitoraggio sono:

Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:

  • Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).

  • Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.

  • Monitoraggio di Azure: consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.

  • Hub eventi di Azure integrato con un sistema SIEM: è possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure.

  • Microsoft Defender for Cloud Apps: consente di individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.

  • Protezione delle identità dei carichi di lavoro con Identity Protection Preview: consente di rilevare i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.

Nella parte restante di questo articolo viene descritto cosa monitorare e inviare avvisi. È organizzato in base al tipo di minaccia. Dove sono disponibili soluzioni predefinite, dopo la tabella sono disponibili link. In caso contrario, è possibile creare avvisi usando gli strumenti precedenti.

Infrastruttura di autenticazione

Negli ambienti ibridi che contengono risorse e account locali e basati sul cloud, l'infrastruttura di Active Directory è una parte fondamentale dello stack di autenticazione. Lo stack è anche un obiettivo per gli attacchi, quindi deve essere configurato per mantenere un ambiente sicuro e deve essere monitorato correttamente. Esempi di tipi correnti di attacchi usati dall'infrastruttura di autenticazione usano tecniche Password Spray e Solorigate. Di seguito sono riportati i link ad articoli consigliati:

Di seguito sono riportati link a articoli specifici incentrati sul monitoraggio e sull'invio di avvisi all'infrastruttura di autenticazione:

Di seguito sono riportati alcuni aspetti specifici da cercare:

Cosa monitorare Livello di rischio Dove Note
Tendenze del blocco Extranet Alto Microsoft Entra Connect Health Vedere Monitorare Active Directory Federation Services usando Microsoft Entra Connect Health per strumenti e tecniche che contribuiscono a rilevare le tendenze sul blocco extranet.
Accessi non riusciti Alto Connettere Connect Health Esportare o scaricare il report IP rischioso e seguire le indicazioni contenute in Report IP rischioso (anteprima pubblica) per conoscere i passaggi successivi.
Conformità alla privacy Basso Microsoft Entra Connect Health Configurare Microsoft Entra Connect Health per disabilitare le raccolte dati e il monitoraggio usando l'articolo Privacy utente e Microsoft Entra Connect Health. .
Potenziale attacco di forza bruta su LDAP Medio Microsoft Defender per identità Usare il sensore per contribuire a rilevare potenziali attacchi di forza bruta contro LDAP.
Ricognizione con enumerazione degli account Medio Microsoft Defender per identità Usare il sensore per contribuire a eseguire l'enumerazione dell'account per la ricognizione.
Correlazione generale tra Microsoft Entra ID e Azure AD FS Medio Microsoft Defender per identità Usare le funzionalità per correlare le attività tra Microsoft Entra ID e gli ambienti Azure AD FS.

Monitoraggio dell'autenticazione pass-through

L’autenticazione pass-through di Microsoft Entra esegue l'accesso degli utenti tramite la convalida delle password direttamente in Active Directory locale.

Di seguito sono riportati alcuni aspetti specifici da cercare:

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Errori di autenticazione pass-through di Microsoft Entra Medio Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80001: Impossibile connettersi ad Active Directory Verificare che i server degli agenti siano membri della stessa foresta AD degli utenti le cui password devono essere convalidate e siano in grado di connettersi ad Active Directory.
Errori di autenticazione pass-through di Microsoft Entra Medio Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS8002: si è verificato un timeout di connessione ad Active Directory Verificare che Active Directory sia disponibile e risponda alle richieste degli agenti.
Errori di autenticazione pass-through di Microsoft Entra Medio Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80004: il nome utente passato all'agente non era valido Assicurarsi che l'utente stia tentando di accedere con il nome utente corretto.
Errori di autenticazione pass-through di Microsoft Entra Medio Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80005: la convalida ha rilevato un errore WebException imprevedibile Errore temporaneo. ripetere la richiesta. Se il problema persiste, contattare il supporto Microsoft.
Errori di autenticazione pass-through di Microsoft Entra Medio Registri applicazioni e servizi\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80007: errore durante la comunicazione con Active Directory Controllare i log dell'agente per altre informazioni e verificare che Active Directory funzioni come previsto.
Errori di autenticazione pass-through di Microsoft Entra Alto API funzione Win32 LogonUserA Eventi di accesso 4624: un account è stato connesso correttamente
- correlare con –
4625(F): un account non è riuscito ad accedere
Usare con i nomi utente sospetti nel controller di dominio che esegue l'autenticazione delle richieste. Indicazioni sulla funzione LogonUserA (winbase.h)
Errori di autenticazione pass-through di Microsoft Entra Medio Script di PowerShell del controller di dominio Vedere la query dopo la tabella. Per indicazioni, usare le informazioni contenute in Microsoft Entra Connect: risolvere i problemi di autenticazione pass-through.

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>

</Query>

</QueryList>

Monitoraggio per la creazione di nuovi tenant di Microsoft Entra

Le organizzazioni potrebbero dover monitorare e avvisare la creazione di nuovi tenant di Microsoft Entra quando l'azione viene avviata dalle identità dal tenant dell'organizzazione. Il monitoraggio di questo scenario offre visibilità sul numero di tenant creati e accessibili dagli utenti finali.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Creazione di un nuovo tenant di Microsoft Entra, usando un'identità dal tenant. Medio Log di controllo di Microsoft Entra Categoria: Gestione directory

Attività: creare un'azienda
La destinazione mostra l'ID tenant creato

Connettore di rete privata

Microsoft Entra ID e Microsoft Entra Application Proxy offrono agli utenti remoti un'esperienza single sign-on (SSO). Gli utenti possono connettersi in modo sicuro alle app locali senza una rete privata virtuale (VPN) o server dual-homed e regole del firewall. Se il server del connettore di rete privata Microsoft Entra è compromesso, gli utenti malintenzionati potrebbero modificare l'esperienza SSO o modificare l'accesso alle applicazioni pubblicate.

Per configurare il monitoraggio per Application Proxy, vedere Risolvere i problemi e i messaggi di errore di Application Proxy. Il file di dati che registra le informazioni è disponibile in Registri applicazioni e servizi\Microsoft\Microsoft Entra private network\Connector\Admin. Per una guida di riferimento completa all'attività di controllo, vedere Informazioni di riferimento sulle attività di controllo di Microsoft Entra. Aspetti specifici da monitorare:

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Errori di Kerberos Medio Vari strumenti Medio Indicazioni sugli errori di autenticazione Kerberos all’interno di Errori Kerberos in Risolvere i problemi e i messaggi di errore di Application Proxy.
Problemi di sicurezza di DC Alto Log di audit di sicurezza DC ID evento 4742(S): un account computer è stato modificato
-e-
Flag: attendibile per la delega
oppure
Flag: attendibile per l'autenticazione per la delega
Prendere in esame eventuali modifiche al flag.
Attacchi come pass-the-ticket Alto Seguire le indicazioni in:
Ricognizione delle entità di sicurezza (LDAP) (ID esterno 2038)
Esercitazione: avvisi sulle credenziali compromesse
Comprendere e usare i percorsi di spostamento laterale con Microsoft Defender per identità
Informazioni sui profili di entità

Impostazioni di autenticazione legacy

Perché l'autenticazione a più fattori (MFA) sia efficace, è anche necessario bloccare l'autenticazione legacy. È quindi necessario monitorare l'ambiente e avvisare l'uso dell'autenticazione legacy. I protocolli di autenticazione legacy, ad esempio POP, SMTP, IMAP e MAPI, non possono applicare l'autenticazione a più fattori. In questo modo questi protocolli sono i punti di ingresso preferiti per gli utenti malintenzionati. Per altre informazioni sugli strumenti che è possibile usare per bloccare l'autenticazione legacy, vedere Nuovi strumenti per bloccare l'autenticazione legacy nell'organizzazione.

L'autenticazione legacy viene acquisita nel log di accesso di Microsoft Entra come parte dei dettagli dell'evento. È possibile usare la cartella di lavoro di Monitoraggio di Azure per contribuire a identificare l'utilizzo dell'autenticazione legacy. Per altre informazioni, vedere Accessi con l'autenticazione legacy, che fa parte di Come usare cartelle di lavoro di Monitoraggio di Azure per i report di Microsoft Entra. È anche possibile usare la cartella di lavoro Protocolli non sicuri per Microsoft Sentinel. Per altre informazioni, vedere Guida all'implementazione della cartella di lavoro Protocolli non sicuri di Microsoft Sentinel. Le attività specifiche da monitorare includono:

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Autenticazioni legacy Alto Log di accesso di Microsoft Entra ClientApp : POP
ClientApp : IMAP
ClientApp : MAPI
ClientApp: SMTP
ClientApp: ActiveSync passa a EXO
Altri client = SharePoint ed EWS
Negli ambienti di dominio federati, le autenticazioni non riuscite non vengono registrate e non vengono visualizzate nel log.

Microsoft Entra Connect

Microsoft Entra Connect offre una posizione centralizzata che consente la sincronizzazione degli account e degli attributi tra l'ambiente Microsoft Entra locale e quello basato sul cloud. Microsoft Entra Connect è lo strumento di Microsoft progettato per soddisfare e raggiungere gli obiettivi relativi alla soluzione ibrida di gestione delle identità. Offre le funzionalità seguenti:

  • Sincronizzazione dell'hash delle password: metodo di accesso che consente di sincronizzare un hash di una password utente AD locale con Microsoft Entra ID.

  • Sincronizzazione: è responsabile della creazione di utenti, gruppi e altri oggetti. Deve anche garantire che le informazioni sulle identità per utenti e gruppi locali corrispondano a quelle nel cloud. Questa sincronizzazione include anche gli hash delle password.

  • Monitoraggio dell'integrità: Microsoft Entra Connect Health può offrire un monitoraggio affidabile e una posizione centralizzata nel portale di Azure per visualizzare questa attività.

La sincronizzazione dell'identità tra l'ambiente locale e l'ambiente cloud introduce una nuova superficie di attacco per l'ambiente locale e basato sul cloud. Consigliamo:

  • I server primari e di gestione temporanea di Microsoft Entra Connect sono considerati sistemi di livello 0 nel piano di controllo.

  • Si segue un set standard di criteri che regolano ogni tipo di account e il relativo utilizzo nell'ambiente.

  • Installare Microsoft Entra Connect e Connect Health. Questi forniscono principalmente dati operativi per l'ambiente.

La registrazione delle operazioni di Microsoft Entra Connect avviene in modi diversi:

  • La procedura guidata Microsoft Entra Connect registra i dati in \ProgramData\AADConnect. Ogni volta che viene richiamata la procedura guidata, viene creato un file di log di traccia con timestamp. È possibile importare il log di traccia in Sentinel o in altri strumenti di informazioni di sicurezza e gestione degli eventi (SIEM) di terze parti per l'analisi.

  • Alcune operazioni avviano uno script di PowerShell per acquisire informazioni di registrazione. Per raccogliere questi dati, è necessario assicurarsi che la registrazione dei blocchi di script sia abilitata.

Monitoraggio delle modifiche alla configurazione

Microsoft Entra ID usa il motore di dati di Microsoft SQL Server o SQL per archiviare le informazioni di configurazione di Microsoft Entra Connect. Pertanto, il monitoraggio e il controllo dei file di log associati alla configurazione devono essere inclusi nella strategia di monitoraggio e controllo. In particolare, includere le tabelle seguenti nella strategia di monitoraggio e avviso.

Cosa monitorare Dove Note
mms_management_agent Record di controllo del servizio SQL Vedere Record di controllo di SQL Server
mms_partition Record di controllo del servizio SQL Vedere Record di controllo di SQL Server
mms_run_profile Record di controllo del servizio SQL Vedere Record di controllo di SQL Server
mms_server_configuration Record di controllo del servizio SQL Vedere Record di controllo di SQL Server
mms_synchronization_rule Record di controllo del servizio SQL Vedere Record di controllo di SQL Server

Per informazioni su cosa e su come monitorare le informazioni di configurazione, vedere:

Monitoraggio e risoluzione dei problemi di sincronizzazione

Una funzione di Microsoft Entra Connect consiste nel sincronizzare la sincronizzazione hash tra la password locale di un utente e Microsoft Entra ID. Se le password non vengono sincronizzate come previsto, la sincronizzazione potrebbe influire su un subset di utenti o tutti gli utenti. Usare quanto segue per contribuire a verificare il corretto funzionamento o risolvere i problemi:

Risorse importanti sul monitoraggio

Cosa monitorare Risorse
Convalida della sincronizzazione hash Vedere Implementazione della sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync
Modifiche agli spazi del connettore vedere Risoluzione dei problemi relativi a oggetti e attributi di Microsoft Entra Connect
Modifiche alle regole configurate Monitorare le modifiche apportate a: filtro, dominio e unità organizzativa, attributi e modifiche basate su gruppo
Modifiche a SQL e MSDE Modifiche ai parametri di registrazione e all'aggiunta di funzioni personalizzate

Monitorare quanto segue:

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Modifiche dell'utilità di pianificazione Alto PowerShell Set-ADSyncScheduler Cercare modifiche alla pianificazione
Modifiche alle attività pianificate Alto Log di controllo di Microsoft Entra Attività = 4699(S): un'attività pianificata è stata eliminata
oppure
Attività = 4701: un'attività pianificata è stata disabilitata
oppure
Attività = 4702: un'attività pianificata è stata aggiornata
Monitorare tutti

Monitoraggio dell'accesso Single Sign-On facile

L'accesso Single Sign-On facile (SSO facile) di Microsoft Entra consente l'accesso automatico degli utenti dai desktop collegati alla rete aziendale. Grazie a questa funzionalità, gli utenti possono accedere facilmente alle applicazioni basate sul cloud senza altri componenti a livello locale. SSO usa le funzionalità di autenticazione pass-through e sincronizzazione dell'hash delle password fornite da Microsoft Entra Connect.

Il monitoraggio dell'accesso Single Sign-On e dell'attività Kerberos può contribuire a rilevare i modelli di attacco di furto di credenziali generali. Monitorare usando le informazioni seguenti:

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Errori associati a errori di convalida SSO e Kerberos Medio Log di accesso di Microsoft Entra Elenco di codici di errore per l'accesso Single Sign-On in Accesso Single Sign-On.
Eseguire una query per la risoluzione degli errori Medio PowerShell Vedere la tabella seguente. controllare ogni foresta con SSO abilitato. Controllare ogni foresta con SSO abilitato.
Eventi correlati a Kerberos Alto Monitoraggio di Microsoft Defender per identità Prendere in esame le indicazioni disponibili in Percorsi di spostamento laterale (LMP) di Microsoft Defender per identità
<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>

</Query>

</QueryList>

Criteri di protezione password

Se si distribuisce la protezione password di Microsoft Entra, il monitoraggio e la creazione di report sono attività essenziali. I seguenti link spiegano nel dettaglio varie tecniche di monitoraggio, indicando i percorsi in cui ogni servizio registra le informazioni e illustrando come creare report sull'uso di Protezione password di Microsoft Entra.

L'agente controller di dominio e i servizi proxy registrano entrambi i messaggi del registro eventi. Tutti i cmdlet di PowerShell descritti di seguito sono disponibili solo nel server proxy (vedere il modulo AzureADPasswordProtection di PowerShell). Il software agente del controller di dominio non installa un modulo di PowerShell.

Informazioni dettagliate per la pianificazione e l'implementazione della protezione password locale sono disponibili in Pianificare e distribuire la protezione password di Microsoft Entra locale. Per informazioni dettagliate sul monitoraggio, vedere Monitoraggio della Password di protezione di Microsoft Entra. In ogni controller di dominio il software del servizio agente del controller di dominio scrive i risultati di ogni singola operazione di convalida delle password (e altri stati) in il seguente log eventi locale:

  • \Registri applicazioni e servizi\Microsoft\AzureADPasswordProtection\DCAgent\Admin

  • \Registri applicazioni e servizi\Microsoft\AzureADPasswordProtection\DCAgent\Operational

  • \Registri applicazioni e servizi\Microsoft\AzureADPasswordProtection\DCAgent\Trace

Il log degli eventi di amministrazione dell'agente del controller di dominio è la principale fonte di informazioni sul comportamento del software. Per impostazione predefinita, il log di traccia è disattivato e deve essere abilitato prima della registrazione dei dati. Per risolvere i problemi e i messaggi di errore di Application Proxy, informazioni dettagliate sono disponibili in Risolvere i problemi e i messaggi di errore di Microsoft Entra Application Proxy. Le informazioni per questi eventi vengono registrate:

  • Registri applicazioni e servizi\Microsoft\Microsoft Entra private network\Connector\Admin

  • Log di audit di Microsoft Entra, Proxy applicazione categoria

Informazioni di riferimento complete sulle attività di controllo di Microsoft Entra sono disponibili nelle Informazioni di riferimento sulle attività di controllo di Microsoft Entra.

Accesso condizionale

In Microsoft Entra ID è possibile proteggere l'accesso alle risorse configurando i criteri di Accesso condizionale. Gli amministratori IT vogliono assicurarsi che i criteri di Accesso condizionale funzionino come previsto per assicurarsi che le risorse siano protette. Il monitoraggio e l'invio di avvisi sulle modifiche apportate al servizio di Accesso condizionale garantisce che vengano applicati i criteri definiti dall'organizzazione per l'accesso ai dati. Microsoft Entra registra quando vengono apportate modifiche all'Accesso condizionale e fornisce anche cartelle di lavoro per garantire che i criteri forniscano la copertura prevista.

Link alle cartelle di lavoro

Monitorare le modifiche ai criteri di Accesso condizionale usando le informazioni seguenti:

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Nuovi criteri di Accesso condizionale creati da attori non approvati Medio Log di controllo di Microsoft Entra Attività: aggiungere criteri di Accesso condizionale

Categoria: criteri

Avviato da (attore): Nome dell'entità utente
Monitorare le modifiche all'Accesso condizionale e creare avvisi. È avviato da (attore): approvato per apportare modifiche all'Accesso condizionale?
Modello di Microsoft Sentinel

Regole Sigma
Criteri di Accesso condizionale rimossi da attori non approvati Medio Log di controllo di Microsoft Entra Attività: eliminare i criteri di Accesso condizionale

Categoria: criteri

Avviato da (attore): Nome dell'entità utente
Monitorare le modifiche all'Accesso condizionale e creare avvisi. È avviato da (attore): approvato per apportare modifiche all'Accesso condizionale?
Modello di Microsoft Sentinel

Regole Sigma
Criteri di Accesso condizionale aggiornati da attori non approvati Medio Log di controllo di Microsoft Entra Attività: aggiornare i criteri di Accesso condizionale

Categoria: criteri

Avviato da (attore): Nome dell'entità utente
Monitorare le modifiche all'Accesso condizionale e creare avvisi. È avviato da (attore): approvato per apportare modifiche all'Accesso condizionale?

Prendere in esame le proprietà modificate e confrontare il valore “old” con quello “new”
Modello di Microsoft Sentinel

Regole Sigma
Rimozione di un utente da un gruppo usato per definire l'ambito dei criteri di Accesso condizionale critici Medio Log di controllo di Microsoft Entra Attività: rimuovere un membro dal gruppo

Categoria = GroupManagement

Target: nome dell'entità utente
Monitoraggio e avvisi per i gruppi usati per definire i Criteri di Accesso condizionale critici.

"Target" è l'utente che è stato rimosso.

Regole Sigma
Aggiunta di un utente a un gruppo usato per definire l'ambito dei criteri di Accesso condizionale critici Basso Log di controllo di Microsoft Entra Attività: aggiungere un membro a un gruppo

Categoria = GroupManagement

Target: nome dell'entità utente
Monitoraggio e avvisi per i gruppi usati per definire i Criteri di Accesso condizionale critici.

"Target" è l'utente che è stato aggiunto.

Regole Sigma

Passaggi successivi

Panoramica delle operazioni per la sicurezza di Microsoft Entra

Operazioni per la sicurezza per gli account utente

Operazioni per la sicurezza per gli account consumer

Operazioni per la sicurezza per gli account con privilegi

Operazioni per la sicurezza per Privileged Identity Management

Operazioni per la sicurezza per le applicazioni

Operazioni per la sicurezza per i dispositivi