Operazioni per la sicurezza per gli account con privilegi di Microsoft Entra ID
La sicurezza degli asset aziendali dipende dall'integrità degli account con privilegi usati per amministrare i sistemi IT. Gli utenti malintenzionati usano attacchi di furto di credenziali e altri mezzi per indirizzare gli account con privilegi e ottenere l'accesso ai dati sensibili.
Tradizionalmente la sicurezza aziendale si concentrava sui punti di ingresso e di uscita di una rete visti come perimetro di sicurezza. Tuttavia, le applicazioni Software as a Service (SaaS) e i dispositivi personali su Internet hanno reso questo approccio meno efficace.
Microsoft Entra ID usa la gestione delle identità e degli accessi (IAM) come piano di controllo. Nel livello di identità dell'organizzazione, gli utenti assegnati ai ruoli amministrativi con privilegi sono in controllo. Gli account usati per l'accesso devono essere protetti, indipendentemente dal fatto che l'ambiente sia locale, nel cloud o in un ambiente ibrido.
L'utente è interamente responsabile di tutti i livelli di sicurezza per l'ambiente IT locale. Quando si usano i servizi di Azure, la prevenzione e la risposta sono responsabilità comuni di Microsoft come provider di servizi cloud e dell'utente come cliente.
- Per altre informazioni sul modello di responsabilità condivisa, vedere Responsabilità condivisa nel cloud.
- Per altre informazioni sulla protezione dell'accesso per gli utenti con privilegi, vedere Protezione dell'accesso privilegiato per le distribuzioni ibride e cloud in Microsoft Entra ID.
- Per un'ampia gamma di video, guide pratiche e contenuti dei concetti chiave per l'identità con privilegi, vedere la documentazione di Privileged Identity Management.
Filtri log da monitorare
I file di log da usare per l'indagine e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel. Consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).
Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.
Monitoraggio di Azure. Consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.
Hub eventi di Azure integrato con una soluzione SIEM. Consente di eseguire il push dei log di Microsoft Entra in altri SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic tramite l'integrazione di Hub eventi di Azure. Per altre informazioni vedereTrasmettere i log di Microsoft Entra a un hub eventi di Azure.
Microsoft Defender for Cloud Apps. Consente di individuare e gestire le app, gestire le app e le risorse e controllare la conformità delle app cloud.
Microsoft Graph. Consente di esportare i dati e usare Microsoft Graph per eseguire altre analisi. Per altre informazioni, vedere Software Development Kit di Microsoft Graph PowerShell e Microsoft Entra ID Protection.
Microsoft Entra ID Protection. Genera tre report chiave che è possibile usare per facilitare l'indagine:
Utenti a rischio. Contiene informazioni su quali utenti sono a rischio, dettagli sui rilevamenti, sulla cronologia di tutti gli accessi a rischio e sulla cronologia dei rischi.
Accessi a rischio. Contiene informazioni su un accesso che potrebbe indicare circostanze sospette. Per altre informazioni sull'analisi delle informazioni di questo report, vedere Investigare i rischi.
Rilevamenti dei rischi. Contiene informazioni su altri rischi attivati quando viene rilevato un rischio e altre informazioni pertinenti, ad esempio la posizione di accesso e i dettagli di Microsoft Defender for Cloud Apps.
Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection. Consente di rilevare i rischi per le identità dei carichi di lavoro tra il comportamento di accesso e gli indicatori offline di compromissione.
Anche se si sconsiglia la pratica, gli account con privilegi possono avere diritti di amministrazione permanenti. Se si sceglie di usare privilegi permanenti e l'account viene compromesso, può avere un effetto fortemente negativo. È consigliabile classificare in ordine di priorità gli account con privilegi e includere gli account nella configurazione di Privileged Identity Management (PIM). Per altre informazioni, vedere Iniziare a usare Privileged Identity Management. È anche consigliabile convalidare gli account amministratore:
- Sono obbligatori.
- Disporre del privilegio minimo per eseguire le attività necessarie.
- Sono protetti con l'autenticazione a più fattori almeno.
- Vengono eseguiti da dispositivi workstation con accesso privilegiato (PAW) o workstation di amministrazione sicura (SAW).
Nella parte restante di questo articolo viene descritto il monitoraggio e l'avviso. L'articolo è organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite specifiche, è possibile collegarle seguendo la tabella. In caso contrario, è possibile compilare avvisi usando gli strumenti descritti in precedenza.
Questo articolo fornisce informazioni dettagliate sull'impostazione delle linee di base e sul controllo dell'accesso e dell'utilizzo degli account con privilegi. Vengono inoltre illustrati gli strumenti e le risorse che è possibile usare per contribuire a mantenere l'integrità degli account con privilegi. Il contenuto è organizzato negli argomenti seguenti:
- Account di emergenza "break-glass"
- Accesso con account con privilegi
- Modifiche all'account con privilegi
- Gruppi con privilegi
- Assegnazione e elevazione dei privilegi
Account di accesso di emergenza
È importante evitare di essere accidentalmente bloccati dal tenant di Microsoft Entra.
Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo amministratore globale. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Tali account sono limitati a scenari di emergenza o "break glass", in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo i consigli per l'account di accesso di emergenza.
Inviare un avviso ad alta priorità ogni volta che viene usato un account di accesso di emergenza.
Individuazione
Poiché gli account break-glass vengono usati solo se si verifica un'emergenza, il monitoraggio non individua alcuna attività dell'account. Inviare un avviso ad alta priorità ogni volta che viene usato o modificato un account di accesso di emergenza. Uno degli eventi seguenti potrebbe indicare che un attore non valido sta tentando di compromettere gli ambienti:
- Accesso.
- Modifica della password dell'account.
- Autorizzazione o ruoli dell'account modificati.
- Credenziale o metodo di autenticazione aggiunto o modificato.
Per altre informazioni sulla gestione degli account di accesso di emergenza, vedere Gestire gli account di amministratore di accesso di emergenza in Microsoft Entra ID. Per informazioni dettagliate sulla creazione di un avviso per un account di emergenza, vedere Creare una regola di avviso.
Accesso con account con privilegi
Monitorare tutte le attività di accesso con account con privilegi usando i log di accesso di Microsoft Entra come origine dati. Oltre alle informazioni sull'esito positivo e negativo dell'accesso, i log contengono i dettagli seguenti:
- Interrompe
- Dispositivo
- Località
- Rischio
- Applicazione
- Data e ora
- L'account è disabilitato
- Blocco
- Frode MFA
- Errore di Accesso condizionale
Elementi da monitorare
È possibile monitorare gli eventi di accesso con account con privilegi nei log di accesso di Microsoft Entra. Avvisare ed prendere in esame gli eventi seguenti per gli account con privilegi.
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Errore di accesso, soglia password non valida | Alto | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- codice errore: 50126 |
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare la generazione di falsi avvisi. Modello di Microsoft Sentinel Regole Sigma |
Errore a causa del requisito di Accesso condizionale | Alto | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- codice errore = 53003 -e- Motivo errore = Bloccato dall'Accesso condizionale |
Questo evento può essere un'indicazione che un utente malintenzionato sta tentando di accedere all'account. Modello di Microsoft Sentinel Regole Sigma |
Account con privilegi che non seguono i criteri di denominazione | Sottoscrizione di Azure | Elencare le assegnazioni di ruolo di Azure usando il portale di Azure | Elencare le assegnazioni di ruolo per le sottoscrizioni e gli avvisi in cui il nome di accesso non corrisponde al formato dell'organizzazione. Un esempio è l'uso di ADM_ come prefisso. | |
Interrompere | Alto, medio | Accessi a Microsoft Entra | Stato = Interrotto -e- codice errore: 50074 -e- Motivo dell'errore = Richiesta di autenticazione avanzata Stato = Interrotto -e- Codice errore: 500121 Motivo dell’errore = autenticazione non riuscita durante una richiesta di autenticazione avanzata |
Questo evento può essere un'indicazione che un utente malintenzionato ha la password per l'account, ma non può superare la richiesta di autenticazione a più fattori. Modello di Microsoft Sentinel Regole Sigma |
Account con privilegi che non seguono i criteri di denominazione | Alto | Directory Microsoft Entra | Elencare le assegnazioni di ruolo di Microsoft Entra | Elencare le assegnazioni di ruolo per i ruoli di Microsoft Entra e gli avvisi in cui l'UPN non corrisponde al formato dell'organizzazione. Un esempio è l'uso di ADM_ come prefisso. |
Individuare gli account con privilegi non registrati per l'autenticazione a più fattori | Alto | API di Microsoft Graph | Query per IsMFARegistered eq false per gli account amministratore. List credentialUserRegistrationDetails - Microsoft Graph beta | Controllare e analizzare per determinare se l'evento è intenzionale o una supervisione. |
Blocco dell'account | Alto | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- codice errore: 50053 |
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare la generazione di falsi avvisi. Modello di Microsoft Sentinel Regole Sigma |
Account disabilitato o bloccato per gli accessi | Basso | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- Target = UPN utente -e- codice errore: 50057 |
Questo evento potrebbe indicare che un utente sta tentando di ottenere l'accesso a un account dopo aver lasciato l'organizzazione. Anche se l'account è bloccato, è comunque importante registrare e inviare avvisi su questa attività. Modello di Microsoft Sentinel Regole Sigma |
Avviso o blocco di frodi nell’autenticazione a più fattori | Alto | Log di accesso di Microsoft Entra/Azure Log Analytics | Accessi>Dettagli dell'autenticazione Dettagli risultato = Autenticazione a più fattori negata, immesso codice illecito | L'utente con privilegi ha segnalato di non aver avviato la richiesta di autenticazione a più fattori, e ciò potrebbe indicare che un utente malintenzionato abbia la password dell'account. Modello di Microsoft Sentinel Regole Sigma |
Avviso o blocco di frodi nell’autenticazione a più fattori | Alto | Log di audit di Microsoft Entra/Azure Log Analytics | Tipo di attività = Frode segnalata - L'utente viene bloccato per l'autenticazione a più fattori o per le frodi segnalate - Nessuna azione eseguita (in base alle impostazioni a livello di tenant sul report illecito) | L'utente con privilegi ha segnalato di non aver avviato la richiesta di autenticazione a più fattori, e ciò potrebbe indicare che un utente malintenzionato abbia la password dell'account. Modello di Microsoft Sentinel Regole Sigma |
Accessi con account con privilegi al di fuori dei controlli previsti | Log di accesso di Microsoft Entra | Stato = Esito negativo UserPricipalName = <Account amministratore> Posizione = <posizione non approvata> Indirizzo IP = <IP non approvato> Informazioni sul dispositivo = <browser, sistema operativo non approvati> |
Monitorare e avvisare le voci definite come non approvati. Modello di Microsoft Sentinel Regole Sigma |
|
Al di fuori dei normali orari di accesso | Alto | Log di accesso di Microsoft Entra | Stato = Esito positivo -e- Percorso = -e- Tempo = Al di fuori delle ore lavorative |
Monitorare e creare avvisi se gli accessi si verificano al di fuori dei tempi previsti. È importante trovare il modello di lavoro normale per ogni account con privilegi e avvertire se sono presenti modifiche non pianificate al di fuori dei normali orari di lavoro. Gli accessi al di fuori delle normali ore lavorative potrebbero indicare una compromissione o possibili minacce interne. Modello di Microsoft Sentinel Regole Sigma |
Pannello Microsoft Entra ID Protection | Alto | Log di protezione ID | Stato di rischio = A rischio -e- Livello di rischio = Basso, medio, alto -e- Activity = Accesso non familiare/TOR e così via |
Questo evento indica che è stata rilevata un'anomalia con l'accesso per l'account e che deve essere segnalata. |
Modifica della password | Alto | Log di controllo di Microsoft Entra | Attore attività = Amministratore/Self-service -e- Target = Utente -e- Stato = Esito positivo o negativo |
Creare avvisi quando viene modificata una password dell'account amministratore. Scrivere una query per gli account con privilegi. Modello di Microsoft Sentinel Regole Sigma |
Modifica del protocollo di autenticazione legacy | Alto | Log di accesso di Microsoft Entra | App client = Altro client, IMAP, POP3, MAPI, SMTP e così via -e- Nome utente = UPN -e- Application = Exchange (esempio) |
Molti attacchi usano l'autenticazione legacy, quindi se si verifica una modifica del protocollo di autenticazione per l'utente, potrebbe essere un'indicazione di un attacco. Modello di Microsoft Sentinel Regole Sigma |
Nuovo dispositivo o posizione | Alto | Log di accesso di Microsoft Entra | Informazioni sul dispositivo = ID dispositivo -e- Browser -e- Sistema operativo -e- Conforme/Gestito -e- Target = Utente -e- Località |
La maggior parte delle attività amministrative deve provenire da dispositivi con accesso privilegiato, da un numero limitato di posizioni. Per questo motivo, avvisare su nuovi dispositivi o posizioni. Modello di Microsoft Sentinel Regole Sigma |
L'impostazione dell'avviso di controllo viene modificata | Alto | Log di controllo di Microsoft Entra | Servizio = PIM -e- Categoria = Gestione dei ruoli -e- Attività = Disabilita avviso PIM -e- Stato = Esito positivo |
Si deve avvisare in merito alle modifiche apportate a un avviso principale, se impreviste. Modello di Microsoft Sentinel Regole Sigma |
Amministratori che eseguono l'autenticazione in altri tenant di Microsoft Entra | Medio | Log di accesso di Microsoft Entra | Stato = esito positivo TenantID della risorsa != ID tenant principale |
Quando l'ambito è Utenti con privilegi, questo monitoraggio rileva quando un amministratore ha eseguito correttamente l'autenticazione a un altro tenant di Microsoft Entra con un'identità nel tenant dell'organizzazione. Generare un avviso se il TenantID della risorsa non è uguale all'ID tenant principale Modello di Microsoft Sentinel Regole Sigma |
Stato utente amministratore modificato da Guest a Member | Medio | Log di controllo di Microsoft Entra | Attività: aggiornare il flusso utente Categoria: UserManagement UserType è stato modificato da Guest a Membro |
Monitorare e avvisare in merito alla modifica del tipo di utente da Guest a Membro. Questa modifica era prevista? Modello di Microsoft Sentinel Regole Sigma |
Utenti Guest invitati al tenant da attori invitanti non approvati | Medio | Log di controllo di Microsoft Entra | Attività: invitare un utente esterno Categoria: UserManagement Avviato da (attore): Nome dell'entità utente |
Monitorare e avvisare in merito agli attori non approvati che invitano utenti esterni. Modello di Microsoft Sentinel Regole Sigma |
Modifiche in base agli account con privilegi
Monitorare tutte le modifiche completate e tentate da un account con privilegi. Questi dati consentono di stabilire le normali attività per ogni account con privilegi e di avviso per l'attività che devia dal previsto. I log di audit di Microsoft Entra vengono usati per registrare questo tipo di evento. Per altre informazioni sui log di audit di Microsoft Entra, vedere Log di audit in Microsoft Entra ID.
Microsoft Entra Domain Services
Gli account con privilegi a cui sono state assegnate le autorizzazioni in Microsoft Entra Domain Services possono eseguire attività per Microsoft Entra Domain Services che influiscono sulla postura di sicurezza delle macchine virtuali ospitate in Azure che usano Microsoft Entra Domain Services. Abilitare i controlli di sicurezza nelle macchine virtuali e monitorare i log. Per altre informazioni sull'abilitazione dei controlli di Microsoft Entra Domain Services e per un elenco di privilegi sensibili, vedere le risorse seguenti:
- Abilitare i controlli di sicurezza per Microsoft Entra Domain Services
- Controllo dell’uso dei privilegi sensibili
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Tentativi e modifiche completate | Alto | Log di controllo di Microsoft Entra | Data e ora -e- Servizio -e- Categoria e nome dell'attività (cosa) -e- Stato = Esito positivo o negativo -e- Destinazione -e- Iniziatore o attore (chi) |
Eventuali modifiche non pianificate devono essere segnalate immediatamente. Questi log devono essere conservati per facilitare qualsiasi indagine. Tutte le modifiche a livello di tenant devono essere esaminate immediatamente (link a Infra doc) che ridurrebbero la postura di sicurezza del tenant. Un esempio è l'esclusione degli account dall'autenticazione a più fattori o dall'Accesso condizionale. Invia un avviso per eventuali aggiunte o modifiche alle applicazioni. Vedere Guida alle operazioni per la sicurezza per le applicazioni di Microsoft Entra. |
Esempio Tentativo o completamento della modifica a app o servizi di alto valore |
Alto | Log di audit | Servizio -e- Categoria e nome dell'attività |
Data e ora, Servizio, Categoria e nome dell'attività, Stato = Esito positivo o negativo, Target, Iniziatore o attore (chi) |
Modifiche con privilegi in Microsoft Entra Domain Service | Alto | Microsoft Entra Domain Services | Cercare l'evento 4673 | Abilitare i controlli di sicurezza per Microsoft Entra Domain Services Per un elenco di tutti gli eventi con privilegi, vedere Controllare l'uso dei privilegi sensibili. |
Modifiche agli account con privilegi
Prendere in esame le modifiche apportate alle regole e ai privilegi di autenticazione degli account con privilegi, soprattutto se la modifica fornisce privilegi maggiori o la possibilità di eseguire attività nell'ambiente Microsoft Entra.
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Creazione di account con privilegi | Medio | Log di controllo di Microsoft Entra | Servizio = Core Directory -e- Categoria = Gestione utenti -e- Tipo di attività = Aggiungi utente -correlare con- Tipo di categoria = Gestione dei ruoli -e- Tipo di attività: aggiungere un membro al ruolo -e- Proprietà modificate = Role.DisplayName |
Monitorare la creazione di qualsiasi account con privilegi. Cercare la correlazione di un intervallo di tempo breve tra la creazione e l'eliminazione degli account. Modello di Microsoft Sentinel Regole Sigma |
Modifiche ai metodi di autenticazione | Alto | Log di controllo di Microsoft Entra | Service = Metodo di autenticazione -e- Tipo di attività = Informazioni di sicurezza registrate dall'utente -e- Categoria = Gestione utenti |
Questa modifica potrebbe essere un'indicazione di un utente malintenzionato che aggiunge un metodo di autenticazione all'account in modo che possa avere accesso continuo. Modello di Microsoft Sentinel Regole Sigma |
Avvisare le modifiche apportate alle autorizzazioni dell'account con privilegi | Alto | Log di controllo di Microsoft Entra | Categoria = Gestione dei ruoli -e- Tipo di attività = Aggiungere un membro idoneo (permanente) -oppure- Tipo di attività = Aggiungere un membro idoneo (idoneo) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
Questo avviso riguarda in particolare gli account a cui sono assegnati ruoli che non sono noti o non rientrano nelle normali responsabilità. Regole Sigma |
Account con privilegi inutilizzati | Medio | Verifiche di accesso di Microsoft Entra | Eseguire una verifica mensile per gli account utente con privilegi inattivi. Regole Sigma |
|
Account esenti dall'Accesso condizionale | Alto | Log di Monitoraggio di Azure -oppure- Verifiche di accesso |
Accesso condizionale = Insights e reporting | Qualsiasi account esente dall'Accesso condizionale è probabilmente ignorare i controlli di sicurezza ed è più vulnerabile alla compromissione. Gli account break-glass sono esenti. Vedere le informazioni su come monitorare gli account break-glass più avanti in questo articolo. |
Aggiunta di un passaggio di accesso temporaneo a un account con privilegi | Alto | Log di controllo di Microsoft Entra | Attività: informazioni di sicurezza registrate dall'amministratore Motivo dello stato: metodo pass di accesso temporaneo registrato dall'amministratore per l'utente Categoria: UserManagement Avviato da (attore): Nome dell'entità utente Target: nome dell'entità utente |
Monitorare e avvisare il passaggio di accesso temporaneo creato per un utente con privilegi. Modello di Microsoft Sentinel Regole Sigma |
Per altre informazioni su come monitorare le eccezioni ai criteri di Accesso condizionale, vedere Informazioni dettagliate e report sull'Accesso condizionale.
Per altre informazioni sull'individuazione degli account con privilegi inutilizzati, vedere Creare una revisione dell’accesso dei ruoli di Microsoft Entra in Privileged Identity Management.
Assegnazione ed elevazione dei privilegi
La presenza di account con privilegi con provisioning permanente con capacità elevate può aumentare la superficie di attacco e il rischio per il limite di sicurezza. Usare invece l'accesso just-in-time usando una procedura di elevazione dei privilegi. Questo tipo di sistema consente di assegnare l'idoneità per i ruoli con privilegi. Gli amministratori elevano i propri privilegi a tali ruoli solo quando eseguono attività che necessitano di tali privilegi. L'uso di un processo di elevazione dei privilegi consente di monitorare le elevazioni dei privilegi e l'uso di account senza privilegi.
Stabilire una baseline
Per monitorare le eccezioni, è prima necessario creare una linea di base. Determinare le informazioni seguenti per questi elementi
Account amministratore
- Strategia dell'account con privilegi
- Uso di account locali per amministrare le risorse locali
- Uso di account basati sul cloud per amministrare le risorse basate sul cloud
- Approccio alla separazione e al monitoraggio delle autorizzazioni amministrative per le risorse locali e basate sul cloud
Protezione dei ruoli con privilegi
- Strategia di protezione per i ruoli con privilegi amministrativi
- Criteri dell'organizzazione per l'uso di account con privilegi
- Strategia e principi per mantenere privilegi permanenti rispetto a fornire l'accesso a tempo e approvato
I concetti e le informazioni seguenti consentono di facilitare la determinazione dei criteri:
- Principi di amministratore just-in-time. Usare i log di Microsoft Entra per acquisire informazioni per l'esecuzione di attività amministrative comuni nell'ambiente in uso. Determinare la quantità di tempo tipica necessaria per completare le attività.
- Principi di amministratore just-enough. Determinare il ruolo con privilegi minimi, che potrebbe essere un ruolo personalizzato, necessario per le attività amministrative. Per altre informazioni vedere Ruoli con privilegi minimi per attività in Microsoft Entra ID.
- Stabilire un criterio di elevazione dei privilegi. Dopo aver ottenuto informazioni dettagliate sul tipo di privilegi elevati necessari e sul tempo necessario per ogni attività, creare criteri che riflettano l'utilizzo con privilegi elevati per l'ambiente in uso. Ad esempio, definire un criterio per limitare l'elevazione dei ruoli a un'ora.
Dopo aver stabilito la baseline e impostato i criteri, è possibile configurare il monitoraggio per rilevare e avvisare l'utilizzo al di fuori dei criteri.
Individuazione
Prestare particolare attenzione alle modifiche apportate all'assegnazione e all'elevazione dei privilegi.
Elementi da monitorare
È possibile monitorare le modifiche degli account con privilegi usando i log di audit di Microsoft Entra e i log di Monitoraggio di Azure. Includere le modifiche seguenti nel processo di monitoraggio.
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Aggiunta al ruolo con privilegi idonei | Alto | Log di controllo di Microsoft Entra | Servizio = PIM -e- Categoria = Gestione dei ruoli -e- Tipo di attività = Aggiungere un membro al ruolo completato (idoneo) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
A qualsiasi account idoneo per un ruolo viene assegnato l'accesso privilegiato. Se l'assegnazione è imprevista o in un ruolo che non è responsabilità del titolare dell'account, indagare. Modello di Microsoft Sentinel Regole Sigma |
Ruoli assegnati da PIM | Alto | Log di controllo di Microsoft Entra | Servizio = PIM -e- Categoria = Gestione dei ruoli -e- Tipo di attività = Aggiungi membro al ruolo (permanente) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
Questi ruoli devono essere monitorati attentamente e segnalati. Gli utenti non devono essere assegnati ruoli all'esterno di PIM, dove possibile. Modello di Microsoft Sentinel Regole Sigma |
Altitudini | Medio | Log di controllo di Microsoft Entra | Servizio = PIM -e- Categoria = Gestione dei ruoli -e- Tipo di attività = aggiungere un membro al ruolo completato (attivazione PIM) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
Dopo l'elevazione di un account con privilegi, è ora possibile apportare modifiche che potrebbero influire sulla sicurezza del tenant. Tutte le elevazioni dei privilegi devono essere registrate e, se si verifica al di fuori del modello standard per tale utente, devono essere segnalate e analizzate se non sono pianificate. |
Approvazioni e elevazione dei privilegi di rifiuto | Basso | Log di controllo di Microsoft Entra | Servizio = Revisione degli accessi -e- Categoria = UserManagement -e- Tipo di attività = Richiesta approvata o negata -e- Attore avviato = UPN |
Monitorare tutte le elevazioni perché potrebbe fornire un'indicazione chiara della sequenza temporale per un attacco. Modello di Microsoft Sentinel Regole Sigma |
Modifiche alle impostazioni di PIM | Alto | Log di controllo di Microsoft Entra | Servizio = PIM -e- Categoria = Gestione dei ruoli -e- Tipo di attività = Aggiornare l'impostazione del ruolo in PIM -e- Motivo dello stato = MFA all’attivazione disabilitata (esempio) |
Una di queste azioni potrebbe ridurre la sicurezza dell'elevazione di PIM e semplificare l'acquisizione di un account con privilegi da parte degli utenti malintenzionati. Modello di Microsoft Sentinel Regole Sigma |
L'elevazione non si verifica in SAW/PAW | Alto | Log di accesso Microsoft Entra | ID dispositivo -e- Browser -e- Sistema operativo -e- Conforme/Gestito Correlare con: Servizio = PIM -e- Categoria = Gestione dei ruoli -e- Tipo di attività = aggiungere un membro al ruolo completato (attivazione PIM) -e- Stato = Esito positivo o negativo -e- Proprietà modificate = Role.DisplayName |
Se questa modifica è configurata, qualsiasi tentativo di elevazione su un dispositivo non PAW/SAW deve essere esaminato immediatamente perché potrebbe indicare che un utente malintenzionato sta tentando di usare l'account. Regole Sigma |
Elevazione dei privilegi per gestire tutte le sottoscrizioni di Azure | Alto | Monitoraggio di Azure | Scheda Log attività Scheda Attività directory Nome operazioni = Assegna il chiamante all'amministratore di accesso utente -e- Categoria di eventi = Amministrativo -e- Stato = Esito positivo, avvio, esito negativo -e- Evento avviato da |
Questa modifica deve essere esaminata immediatamente se non è pianificata. Questa impostazione potrebbe consentire a un utente malintenzionato di accedere alle sottoscrizioni di Azure nell'ambiente in uso. |
Per altre informazioni sulla gestione dell’elevazione, vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Per informazioni sul monitoraggio delle elevazioni dei privilegi usando le informazioni disponibili nei log di Microsoft Entra, vedere Log attività di Azure, che fa parte della documentazione di Monitoraggio di Azure.
Per informazioni sulla configurazione degli avvisi per i ruoli di Azure, vedere Configurare gli avvisi di sicurezza per i ruoli delle risorse di Azure in Privileged Identity Management.
Passaggi successivi
Vedere gli articoli seguenti della Guida alle operazioni di sicurezza:
Panoramica delle operazioni per la sicurezza di Microsoft Entra
Operazioni per la sicurezza per gli account utente
Operazioni per la sicurezza per gli account consumer
Operazioni per la sicurezza per Privileged Identity Management
Operazioni per la sicurezza per le applicazioni