Condividi tramite


Operazioni per la sicurezza per gli account con privilegi di Microsoft Entra ID

La sicurezza degli asset aziendali dipende dall'integrità degli account con privilegi usati per amministrare i sistemi IT. Gli utenti malintenzionati usano attacchi di furto di credenziali e altri mezzi per indirizzare gli account con privilegi e ottenere l'accesso ai dati sensibili.

Tradizionalmente la sicurezza aziendale si concentrava sui punti di ingresso e di uscita di una rete visti come perimetro di sicurezza. Tuttavia, le applicazioni Software as a Service (SaaS) e i dispositivi personali su Internet hanno reso questo approccio meno efficace.

Microsoft Entra ID usa la gestione delle identità e degli accessi (IAM) come piano di controllo. Nel livello di identità dell'organizzazione, gli utenti assegnati ai ruoli amministrativi con privilegi sono in controllo. Gli account usati per l'accesso devono essere protetti, indipendentemente dal fatto che l'ambiente sia locale, nel cloud o in un ambiente ibrido.

L'utente è interamente responsabile di tutti i livelli di sicurezza per l'ambiente IT locale. Quando si usano i servizi di Azure, la prevenzione e la risposta sono responsabilità comuni di Microsoft come provider di servizi cloud e dell'utente come cliente.

Filtri log da monitorare

I file di log da usare per l'indagine e il monitoraggio sono:

Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:

  • Microsoft Sentinel. Consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).

  • Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.

  • Monitoraggio di Azure. Consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.

  • Hub eventi di Azure integrato con una soluzione SIEM. Consente di eseguire il push dei log di Microsoft Entra in altri SIEM, ad esempio Splunk, ArcSight, QRadar e Sumo Logic tramite l'integrazione di Hub eventi di Azure. Per altre informazioni vedereTrasmettere i log di Microsoft Entra a un hub eventi di Azure.

  • Microsoft Defender for Cloud Apps. Consente di individuare e gestire le app, gestire le app e le risorse e controllare la conformità delle app cloud.

  • Microsoft Graph. Consente di esportare i dati e usare Microsoft Graph per eseguire altre analisi. Per altre informazioni, vedere Software Development Kit di Microsoft Graph PowerShell e Microsoft Entra ID Protection.

  • Microsoft Entra ID Protection. Genera tre report chiave che è possibile usare per facilitare l'indagine:

    • Utenti a rischio. Contiene informazioni su quali utenti sono a rischio, dettagli sui rilevamenti, sulla cronologia di tutti gli accessi a rischio e sulla cronologia dei rischi.

    • Accessi a rischio. Contiene informazioni su un accesso che potrebbe indicare circostanze sospette. Per altre informazioni sull'analisi delle informazioni di questo report, vedere Investigare i rischi.

    • Rilevamenti dei rischi. Contiene informazioni su altri rischi attivati quando viene rilevato un rischio e altre informazioni pertinenti, ad esempio la posizione di accesso e i dettagli di Microsoft Defender for Cloud Apps.

  • Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection. Consente di rilevare i rischi per le identità dei carichi di lavoro tra il comportamento di accesso e gli indicatori offline di compromissione.

Anche se si sconsiglia la pratica, gli account con privilegi possono avere diritti di amministrazione permanenti. Se si sceglie di usare privilegi permanenti e l'account viene compromesso, può avere un effetto fortemente negativo. È consigliabile classificare in ordine di priorità gli account con privilegi e includere gli account nella configurazione di Privileged Identity Management (PIM). Per altre informazioni, vedere Iniziare a usare Privileged Identity Management. È anche consigliabile convalidare gli account amministratore:

  • Sono obbligatori.
  • Disporre del privilegio minimo per eseguire le attività necessarie.
  • Sono protetti con l'autenticazione a più fattori almeno.
  • Vengono eseguiti da dispositivi workstation con accesso privilegiato (PAW) o workstation di amministrazione sicura (SAW).

Nella parte restante di questo articolo viene descritto il monitoraggio e l'avviso. L'articolo è organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite specifiche, è possibile collegarle seguendo la tabella. In caso contrario, è possibile compilare avvisi usando gli strumenti descritti in precedenza.

Questo articolo fornisce informazioni dettagliate sull'impostazione delle linee di base e sul controllo dell'accesso e dell'utilizzo degli account con privilegi. Vengono inoltre illustrati gli strumenti e le risorse che è possibile usare per contribuire a mantenere l'integrità degli account con privilegi. Il contenuto è organizzato negli argomenti seguenti:

  • Account di emergenza "break-glass"
  • Accesso con account con privilegi
  • Modifiche all'account con privilegi
  • Gruppi con privilegi
  • Assegnazione e elevazione dei privilegi

Account di accesso di emergenza

È importante evitare di essere accidentalmente bloccati dal tenant di Microsoft Entra.

Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo amministratore globale. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Tali account sono limitati a scenari di emergenza o "break glass", in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo i consigli per l'account di accesso di emergenza.

Inviare un avviso ad alta priorità ogni volta che viene usato un account di accesso di emergenza.

Individuazione

Poiché gli account break-glass vengono usati solo se si verifica un'emergenza, il monitoraggio non individua alcuna attività dell'account. Inviare un avviso ad alta priorità ogni volta che viene usato o modificato un account di accesso di emergenza. Uno degli eventi seguenti potrebbe indicare che un attore non valido sta tentando di compromettere gli ambienti:

  • Accesso.
  • Modifica della password dell'account.
  • Autorizzazione o ruoli dell'account modificati.
  • Credenziale o metodo di autenticazione aggiunto o modificato.

Per altre informazioni sulla gestione degli account di accesso di emergenza, vedere Gestire gli account di amministratore di accesso di emergenza in Microsoft Entra ID. Per informazioni dettagliate sulla creazione di un avviso per un account di emergenza, vedere Creare una regola di avviso.

Accesso con account con privilegi

Monitorare tutte le attività di accesso con account con privilegi usando i log di accesso di Microsoft Entra come origine dati. Oltre alle informazioni sull'esito positivo e negativo dell'accesso, i log contengono i dettagli seguenti:

  • Interrompe
  • Dispositivo
  • Località
  • Rischio
  • Applicazione
  • Data e ora
  • L'account è disabilitato
  • Blocco
  • Frode MFA
  • Errore di Accesso condizionale

Elementi da monitorare

È possibile monitorare gli eventi di accesso con account con privilegi nei log di accesso di Microsoft Entra. Avvisare ed prendere in esame gli eventi seguenti per gli account con privilegi.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Errore di accesso, soglia password non valida Alto Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
codice errore: 50126
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare la generazione di falsi avvisi.
Modello di Microsoft Sentinel

Regole Sigma
Errore a causa del requisito di Accesso condizionale Alto Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
codice errore = 53003
-e-
Motivo errore = Bloccato dall'Accesso condizionale
Questo evento può essere un'indicazione che un utente malintenzionato sta tentando di accedere all'account.
Modello di Microsoft Sentinel

Regole Sigma
Account con privilegi che non seguono i criteri di denominazione Sottoscrizione di Azure Elencare le assegnazioni di ruolo di Azure usando il portale di Azure Elencare le assegnazioni di ruolo per le sottoscrizioni e gli avvisi in cui il nome di accesso non corrisponde al formato dell'organizzazione. Un esempio è l'uso di ADM_ come prefisso.
Interrompere Alto, medio Accessi a Microsoft Entra Stato = Interrotto
-e-
codice errore: 50074
-e-
Motivo dell'errore = Richiesta di autenticazione avanzata
Stato = Interrotto
-e-
Codice errore: 500121
Motivo dell’errore = autenticazione non riuscita durante una richiesta di autenticazione avanzata
Questo evento può essere un'indicazione che un utente malintenzionato ha la password per l'account, ma non può superare la richiesta di autenticazione a più fattori.
Modello di Microsoft Sentinel

Regole Sigma
Account con privilegi che non seguono i criteri di denominazione Alto Directory Microsoft Entra Elencare le assegnazioni di ruolo di Microsoft Entra Elencare le assegnazioni di ruolo per i ruoli di Microsoft Entra e gli avvisi in cui l'UPN non corrisponde al formato dell'organizzazione. Un esempio è l'uso di ADM_ come prefisso.
Individuare gli account con privilegi non registrati per l'autenticazione a più fattori Alto API di Microsoft Graph Query per IsMFARegistered eq false per gli account amministratore. List credentialUserRegistrationDetails - Microsoft Graph beta Controllare e analizzare per determinare se l'evento è intenzionale o una supervisione.
Blocco dell'account Alto Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
codice errore: 50053
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare la generazione di falsi avvisi.
Modello di Microsoft Sentinel

Regole Sigma
Account disabilitato o bloccato per gli accessi Basso Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
Target = UPN utente
-e-
codice errore: 50057
Questo evento potrebbe indicare che un utente sta tentando di ottenere l'accesso a un account dopo aver lasciato l'organizzazione. Anche se l'account è bloccato, è comunque importante registrare e inviare avvisi su questa attività.
Modello di Microsoft Sentinel

Regole Sigma
Avviso o blocco di frodi nell’autenticazione a più fattori Alto Log di accesso di Microsoft Entra/Azure Log Analytics Accessi>Dettagli dell'autenticazione Dettagli risultato = Autenticazione a più fattori negata, immesso codice illecito L'utente con privilegi ha segnalato di non aver avviato la richiesta di autenticazione a più fattori, e ciò potrebbe indicare che un utente malintenzionato abbia la password dell'account.
Modello di Microsoft Sentinel

Regole Sigma
Avviso o blocco di frodi nell’autenticazione a più fattori Alto Log di audit di Microsoft Entra/Azure Log Analytics Tipo di attività = Frode segnalata - L'utente viene bloccato per l'autenticazione a più fattori o per le frodi segnalate - Nessuna azione eseguita (in base alle impostazioni a livello di tenant sul report illecito) L'utente con privilegi ha segnalato di non aver avviato la richiesta di autenticazione a più fattori, e ciò potrebbe indicare che un utente malintenzionato abbia la password dell'account.
Modello di Microsoft Sentinel

Regole Sigma
Accessi con account con privilegi al di fuori dei controlli previsti Log di accesso di Microsoft Entra Stato = Esito negativo
UserPricipalName = <Account amministratore>
Posizione = <posizione non approvata>
Indirizzo IP = <IP non approvato>
Informazioni sul dispositivo = <browser, sistema operativo non approvati>
Monitorare e avvisare le voci definite come non approvati.
Modello di Microsoft Sentinel

Regole Sigma
Al di fuori dei normali orari di accesso Alto Log di accesso di Microsoft Entra Stato = Esito positivo
-e-
Percorso =
-e-
Tempo = Al di fuori delle ore lavorative
Monitorare e creare avvisi se gli accessi si verificano al di fuori dei tempi previsti. È importante trovare il modello di lavoro normale per ogni account con privilegi e avvertire se sono presenti modifiche non pianificate al di fuori dei normali orari di lavoro. Gli accessi al di fuori delle normali ore lavorative potrebbero indicare una compromissione o possibili minacce interne.
Modello di Microsoft Sentinel

Regole Sigma
Pannello Microsoft Entra ID Protection Alto Log di protezione ID Stato di rischio = A rischio
-e-
Livello di rischio = Basso, medio, alto
-e-
Activity = Accesso non familiare/TOR e così via
Questo evento indica che è stata rilevata un'anomalia con l'accesso per l'account e che deve essere segnalata.
Modifica della password Alto Log di controllo di Microsoft Entra Attore attività = Amministratore/Self-service
-e-
Target = Utente
-e-
Stato = Esito positivo o negativo
Creare avvisi quando viene modificata una password dell'account amministratore. Scrivere una query per gli account con privilegi.
Modello di Microsoft Sentinel

Regole Sigma
Modifica del protocollo di autenticazione legacy Alto Log di accesso di Microsoft Entra App client = Altro client, IMAP, POP3, MAPI, SMTP e così via
-e-
Nome utente = UPN
-e-
Application = Exchange (esempio)
Molti attacchi usano l'autenticazione legacy, quindi se si verifica una modifica del protocollo di autenticazione per l'utente, potrebbe essere un'indicazione di un attacco.
Modello di Microsoft Sentinel

Regole Sigma
Nuovo dispositivo o posizione Alto Log di accesso di Microsoft Entra Informazioni sul dispositivo = ID dispositivo
-e-
Browser
-e-
Sistema operativo
-e-
Conforme/Gestito
-e-
Target = Utente
-e-
Località
La maggior parte delle attività amministrative deve provenire da dispositivi con accesso privilegiato, da un numero limitato di posizioni. Per questo motivo, avvisare su nuovi dispositivi o posizioni.
Modello di Microsoft Sentinel

Regole Sigma
L'impostazione dell'avviso di controllo viene modificata Alto Log di controllo di Microsoft Entra Servizio = PIM
-e-
Categoria = Gestione dei ruoli
-e-
Attività = Disabilita avviso PIM
-e-
Stato = Esito positivo
Si deve avvisare in merito alle modifiche apportate a un avviso principale, se impreviste.
Modello di Microsoft Sentinel

Regole Sigma
Amministratori che eseguono l'autenticazione in altri tenant di Microsoft Entra Medio Log di accesso di Microsoft Entra Stato = esito positivo

TenantID della risorsa != ID tenant principale
Quando l'ambito è Utenti con privilegi, questo monitoraggio rileva quando un amministratore ha eseguito correttamente l'autenticazione a un altro tenant di Microsoft Entra con un'identità nel tenant dell'organizzazione.

Generare un avviso se il TenantID della risorsa non è uguale all'ID tenant principale
Modello di Microsoft Sentinel

Regole Sigma
Stato utente amministratore modificato da Guest a Member Medio Log di controllo di Microsoft Entra Attività: aggiornare il flusso utente

Categoria: UserManagement

UserType è stato modificato da Guest a Membro
Monitorare e avvisare in merito alla modifica del tipo di utente da Guest a Membro.

Questa modifica era prevista?
Modello di Microsoft Sentinel

Regole Sigma
Utenti Guest invitati al tenant da attori invitanti non approvati Medio Log di controllo di Microsoft Entra Attività: invitare un utente esterno

Categoria: UserManagement

Avviato da (attore): Nome dell'entità utente
Monitorare e avvisare in merito agli attori non approvati che invitano utenti esterni.
Modello di Microsoft Sentinel

Regole Sigma

Modifiche in base agli account con privilegi

Monitorare tutte le modifiche completate e tentate da un account con privilegi. Questi dati consentono di stabilire le normali attività per ogni account con privilegi e di avviso per l'attività che devia dal previsto. I log di audit di Microsoft Entra vengono usati per registrare questo tipo di evento. Per altre informazioni sui log di audit di Microsoft Entra, vedere Log di audit in Microsoft Entra ID.

Microsoft Entra Domain Services

Gli account con privilegi a cui sono state assegnate le autorizzazioni in Microsoft Entra Domain Services possono eseguire attività per Microsoft Entra Domain Services che influiscono sulla postura di sicurezza delle macchine virtuali ospitate in Azure che usano Microsoft Entra Domain Services. Abilitare i controlli di sicurezza nelle macchine virtuali e monitorare i log. Per altre informazioni sull'abilitazione dei controlli di Microsoft Entra Domain Services e per un elenco di privilegi sensibili, vedere le risorse seguenti:

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Tentativi e modifiche completate Alto Log di controllo di Microsoft Entra Data e ora
-e-
Servizio
-e-
Categoria e nome dell'attività (cosa)
-e-
Stato = Esito positivo o negativo
-e-
Destinazione
-e-
Iniziatore o attore (chi)
Eventuali modifiche non pianificate devono essere segnalate immediatamente. Questi log devono essere conservati per facilitare qualsiasi indagine. Tutte le modifiche a livello di tenant devono essere esaminate immediatamente (link a Infra doc) che ridurrebbero la postura di sicurezza del tenant. Un esempio è l'esclusione degli account dall'autenticazione a più fattori o dall'Accesso condizionale. Invia un avviso per eventuali aggiunte o modifiche alle applicazioni. Vedere Guida alle operazioni per la sicurezza per le applicazioni di Microsoft Entra.
Esempio
Tentativo o completamento della modifica a app o servizi di alto valore
Alto Log di audit Servizio
-e-
Categoria e nome dell'attività
Data e ora, Servizio, Categoria e nome dell'attività, Stato = Esito positivo o negativo, Target, Iniziatore o attore (chi)
Modifiche con privilegi in Microsoft Entra Domain Service Alto Microsoft Entra Domain Services Cercare l'evento 4673 Abilitare i controlli di sicurezza per Microsoft Entra Domain Services
Per un elenco di tutti gli eventi con privilegi, vedere Controllare l'uso dei privilegi sensibili.

Modifiche agli account con privilegi

Prendere in esame le modifiche apportate alle regole e ai privilegi di autenticazione degli account con privilegi, soprattutto se la modifica fornisce privilegi maggiori o la possibilità di eseguire attività nell'ambiente Microsoft Entra.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Creazione di account con privilegi Medio Log di controllo di Microsoft Entra Servizio = Core Directory
-e-
Categoria = Gestione utenti
-e-
Tipo di attività = Aggiungi utente
-correlare con-
Tipo di categoria = Gestione dei ruoli
-e-
Tipo di attività: aggiungere un membro al ruolo
-e-
Proprietà modificate = Role.DisplayName
Monitorare la creazione di qualsiasi account con privilegi. Cercare la correlazione di un intervallo di tempo breve tra la creazione e l'eliminazione degli account.
Modello di Microsoft Sentinel

Regole Sigma
Modifiche ai metodi di autenticazione Alto Log di controllo di Microsoft Entra Service = Metodo di autenticazione
-e-
Tipo di attività = Informazioni di sicurezza registrate dall'utente
-e-
Categoria = Gestione utenti
Questa modifica potrebbe essere un'indicazione di un utente malintenzionato che aggiunge un metodo di autenticazione all'account in modo che possa avere accesso continuo.
Modello di Microsoft Sentinel

Regole Sigma
Avvisare le modifiche apportate alle autorizzazioni dell'account con privilegi Alto Log di controllo di Microsoft Entra Categoria = Gestione dei ruoli
-e-
Tipo di attività = Aggiungere un membro idoneo (permanente)
-oppure-
Tipo di attività = Aggiungere un membro idoneo (idoneo)
-e-
Stato = Esito positivo o negativo
-e-
Proprietà modificate = Role.DisplayName
Questo avviso riguarda in particolare gli account a cui sono assegnati ruoli che non sono noti o non rientrano nelle normali responsabilità.

Regole Sigma
Account con privilegi inutilizzati Medio Verifiche di accesso di Microsoft Entra Eseguire una verifica mensile per gli account utente con privilegi inattivi.
Regole Sigma
Account esenti dall'Accesso condizionale Alto Log di Monitoraggio di Azure
-oppure-
Verifiche di accesso
Accesso condizionale = Insights e reporting Qualsiasi account esente dall'Accesso condizionale è probabilmente ignorare i controlli di sicurezza ed è più vulnerabile alla compromissione. Gli account break-glass sono esenti. Vedere le informazioni su come monitorare gli account break-glass più avanti in questo articolo.
Aggiunta di un passaggio di accesso temporaneo a un account con privilegi Alto Log di controllo di Microsoft Entra Attività: informazioni di sicurezza registrate dall'amministratore

Motivo dello stato: metodo pass di accesso temporaneo registrato dall'amministratore per l'utente

Categoria: UserManagement

Avviato da (attore): Nome dell'entità utente

Target: nome dell'entità utente
Monitorare e avvisare il passaggio di accesso temporaneo creato per un utente con privilegi.
Modello di Microsoft Sentinel

Regole Sigma

Per altre informazioni su come monitorare le eccezioni ai criteri di Accesso condizionale, vedere Informazioni dettagliate e report sull'Accesso condizionale.

Per altre informazioni sull'individuazione degli account con privilegi inutilizzati, vedere Creare una revisione dell’accesso dei ruoli di Microsoft Entra in Privileged Identity Management.

Assegnazione ed elevazione dei privilegi

La presenza di account con privilegi con provisioning permanente con capacità elevate può aumentare la superficie di attacco e il rischio per il limite di sicurezza. Usare invece l'accesso just-in-time usando una procedura di elevazione dei privilegi. Questo tipo di sistema consente di assegnare l'idoneità per i ruoli con privilegi. Gli amministratori elevano i propri privilegi a tali ruoli solo quando eseguono attività che necessitano di tali privilegi. L'uso di un processo di elevazione dei privilegi consente di monitorare le elevazioni dei privilegi e l'uso di account senza privilegi.

Stabilire una baseline

Per monitorare le eccezioni, è prima necessario creare una linea di base. Determinare le informazioni seguenti per questi elementi

  • Account amministratore

    • Strategia dell'account con privilegi
    • Uso di account locali per amministrare le risorse locali
    • Uso di account basati sul cloud per amministrare le risorse basate sul cloud
    • Approccio alla separazione e al monitoraggio delle autorizzazioni amministrative per le risorse locali e basate sul cloud
  • Protezione dei ruoli con privilegi

    • Strategia di protezione per i ruoli con privilegi amministrativi
    • Criteri dell'organizzazione per l'uso di account con privilegi
    • Strategia e principi per mantenere privilegi permanenti rispetto a fornire l'accesso a tempo e approvato

I concetti e le informazioni seguenti consentono di facilitare la determinazione dei criteri:

  • Principi di amministratore just-in-time. Usare i log di Microsoft Entra per acquisire informazioni per l'esecuzione di attività amministrative comuni nell'ambiente in uso. Determinare la quantità di tempo tipica necessaria per completare le attività.
  • Principi di amministratore just-enough. Determinare il ruolo con privilegi minimi, che potrebbe essere un ruolo personalizzato, necessario per le attività amministrative. Per altre informazioni vedere Ruoli con privilegi minimi per attività in Microsoft Entra ID.
  • Stabilire un criterio di elevazione dei privilegi. Dopo aver ottenuto informazioni dettagliate sul tipo di privilegi elevati necessari e sul tempo necessario per ogni attività, creare criteri che riflettano l'utilizzo con privilegi elevati per l'ambiente in uso. Ad esempio, definire un criterio per limitare l'elevazione dei ruoli a un'ora.

Dopo aver stabilito la baseline e impostato i criteri, è possibile configurare il monitoraggio per rilevare e avvisare l'utilizzo al di fuori dei criteri.

Individuazione

Prestare particolare attenzione alle modifiche apportate all'assegnazione e all'elevazione dei privilegi.

Elementi da monitorare

È possibile monitorare le modifiche degli account con privilegi usando i log di audit di Microsoft Entra e i log di Monitoraggio di Azure. Includere le modifiche seguenti nel processo di monitoraggio.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Aggiunta al ruolo con privilegi idonei Alto Log di controllo di Microsoft Entra Servizio = PIM
-e-
Categoria = Gestione dei ruoli
-e-
Tipo di attività = Aggiungere un membro al ruolo completato (idoneo)
-e-
Stato = Esito positivo o negativo
-e-
Proprietà modificate = Role.DisplayName
A qualsiasi account idoneo per un ruolo viene assegnato l'accesso privilegiato. Se l'assegnazione è imprevista o in un ruolo che non è responsabilità del titolare dell'account, indagare.
Modello di Microsoft Sentinel

Regole Sigma
Ruoli assegnati da PIM Alto Log di controllo di Microsoft Entra Servizio = PIM
-e-
Categoria = Gestione dei ruoli
-e-
Tipo di attività = Aggiungi membro al ruolo (permanente)
-e-
Stato = Esito positivo o negativo
-e-
Proprietà modificate = Role.DisplayName
Questi ruoli devono essere monitorati attentamente e segnalati. Gli utenti non devono essere assegnati ruoli all'esterno di PIM, dove possibile.
Modello di Microsoft Sentinel

Regole Sigma
Altitudini Medio Log di controllo di Microsoft Entra Servizio = PIM
-e-
Categoria = Gestione dei ruoli
-e-
Tipo di attività = aggiungere un membro al ruolo completato (attivazione PIM)
-e-
Stato = Esito positivo o negativo
-e-
Proprietà modificate = Role.DisplayName
Dopo l'elevazione di un account con privilegi, è ora possibile apportare modifiche che potrebbero influire sulla sicurezza del tenant. Tutte le elevazioni dei privilegi devono essere registrate e, se si verifica al di fuori del modello standard per tale utente, devono essere segnalate e analizzate se non sono pianificate.
Approvazioni e elevazione dei privilegi di rifiuto Basso Log di controllo di Microsoft Entra Servizio = Revisione degli accessi
-e-
Categoria = UserManagement
-e-
Tipo di attività = Richiesta approvata o negata
-e-
Attore avviato = UPN
Monitorare tutte le elevazioni perché potrebbe fornire un'indicazione chiara della sequenza temporale per un attacco.
Modello di Microsoft Sentinel

Regole Sigma
Modifiche alle impostazioni di PIM Alto Log di controllo di Microsoft Entra Servizio = PIM
-e-
Categoria = Gestione dei ruoli
-e-
Tipo di attività = Aggiornare l'impostazione del ruolo in PIM
-e-
Motivo dello stato = MFA all’attivazione disabilitata (esempio)
Una di queste azioni potrebbe ridurre la sicurezza dell'elevazione di PIM e semplificare l'acquisizione di un account con privilegi da parte degli utenti malintenzionati.
Modello di Microsoft Sentinel

Regole Sigma
L'elevazione non si verifica in SAW/PAW Alto Log di accesso Microsoft Entra ID dispositivo
-e-
Browser
-e-
Sistema operativo
-e-
Conforme/Gestito
Correlare con:
Servizio = PIM
-e-
Categoria = Gestione dei ruoli
-e-
Tipo di attività = aggiungere un membro al ruolo completato (attivazione PIM)
-e-
Stato = Esito positivo o negativo
-e-
Proprietà modificate = Role.DisplayName
Se questa modifica è configurata, qualsiasi tentativo di elevazione su un dispositivo non PAW/SAW deve essere esaminato immediatamente perché potrebbe indicare che un utente malintenzionato sta tentando di usare l'account.
Regole Sigma
Elevazione dei privilegi per gestire tutte le sottoscrizioni di Azure Alto Monitoraggio di Azure Scheda Log attività
Scheda Attività directory
Nome operazioni = Assegna il chiamante all'amministratore di accesso utente
-e-
Categoria di eventi = Amministrativo
-e-
Stato = Esito positivo, avvio, esito negativo
-e-
Evento avviato da
Questa modifica deve essere esaminata immediatamente se non è pianificata. Questa impostazione potrebbe consentire a un utente malintenzionato di accedere alle sottoscrizioni di Azure nell'ambiente in uso.

Per altre informazioni sulla gestione dell’elevazione, vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Per informazioni sul monitoraggio delle elevazioni dei privilegi usando le informazioni disponibili nei log di Microsoft Entra, vedere Log attività di Azure, che fa parte della documentazione di Monitoraggio di Azure.

Per informazioni sulla configurazione degli avvisi per i ruoli di Azure, vedere Configurare gli avvisi di sicurezza per i ruoli delle risorse di Azure in Privileged Identity Management.

Passaggi successivi

Vedere gli articoli seguenti della Guida alle operazioni di sicurezza:

Panoramica delle operazioni per la sicurezza di Microsoft Entra

Operazioni per la sicurezza per gli account utente

Operazioni per la sicurezza per gli account consumer

Operazioni per la sicurezza per Privileged Identity Management

Operazioni per la sicurezza per le applicazioni

Operazioni per la sicurezza per i dispositivi

Operazioni per la sicurezza per l'infrastruttura