Operazioni per la sicurezza di Microsoft Entra per Privileged Identity Management
La sicurezza degli asset aziendali dipende dall'integrità degli account con privilegi usati per amministrare i sistemi IT. Gli utenti malintenzionati prendono di mira gli account amministratore e altri tipi di accesso privilegiato per provare ad accedere ai dati sensibili usando attacchi con furto di credenziali.
Per i servizi cloud, prevenzione e risposta sono responsabilità comuni del provider di servizi cloud e del cliente.
Tradizionalmente la sicurezza aziendale si concentrava sui punti di ingresso e di uscita di una rete visti come perimetro di sicurezza. Tuttavia, le app SaaS e i dispositivi personali hanno reso questo approccio meno efficace. In Microsoft Entra ID sostituire il perimetro di sicurezza di rete con l'autenticazione nel livello di identità dell'organizzazione. Quando gli utenti vengono assegnati ai ruoli amministrativi con privilegi, l'accesso deve essere protetto in ambienti locali, cloud e ibridi.
L'utente è interamente responsabile di tutti i livelli di sicurezza per l'ambiente IT locale. Quando si usano i servizi cloud di Azure, la prevenzione e la risposta sono responsabilità comuni di Microsoft come provider di servizi cloud e come cliente.
Per altre informazioni sul modello di responsabilità condivisa, vedere Responsabilità condivisa nel cloud.
Per altre informazioni sulla protezione dell'accesso per gli utenti con privilegi, vedere Protezione dell'accesso privilegiato per le distribuzioni ibride e cloud in Microsoft Entra ID.
Per un'ampia gamma di video, guide pratiche e contenuti dei concetti chiave per l'identità con privilegi, vedere la documentazione di Privileged Identity Management.
Privileged Identity Management (PIM) è un servizio di Microsoft Entra che permette di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione. Tali risorse includono quelle in Microsoft Entra ID, Azure e altri servizi Microsoft online, come ad esempio Microsoft 365 o Microsoft Intune. È possibile usare PIM per contribuire a ridurre i rischi seguenti:
Identificare e ridurre al minimo il numero di utenti che hanno accesso a informazioni e risorse protette.
Rilevare autorizzazioni di accesso eccessive, non necessarie o improprie per le risorse sensibili.
Ridurre le probabilità che un attore malintenzionato ottenga l'accesso a informazioni o risorse protette.
Ridurre la possibilità che un utente non autorizzato influisca inavvertitamente sulle risorse sensibili.
Usare questo articolo fornisce indicazioni per impostare linee di base, accessi di controllo e utilizzo degli account con privilegi. Usare l'origine del log di audit di origine per contribuire a mantenere l'integrità dell'account con privilegi.
Dove cercare
I file di log da usare per l'indagine e il monitoraggio sono:
Nel portale di Azure visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti per automatizzare il monitoraggio e gli avvisi:
Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).
Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.
Monitoraggio di Azure: consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.
Hub eventi di Azure integrato con un sistema SIEM- Microsoft Entra è possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure.
Microsoft Defender for Cloud Apps: consente di individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.
Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection: consente di rilevare i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.
Nella parte restante di questo articolo sono disponibili raccomandazioni per impostare una baseline su cui monitorare e inviare avvisi, con un modello di livello. I collegamenti alle soluzioni predefinite vengono visualizzati dopo la tabella. È possibile creare avvisi usando gli strumenti precedenti. Il contenuto è organizzato nelle aree seguenti:
Basi di riferimento
Assegnazione di ruolo Microsoft Entra
Impostazioni di avviso del ruolo Microsoft Entra
Assegnazione di ruolo delle risorse di Azure
Gestione degli accessi per le risorse di Azure
Accesso con privilegi elevati per gestire le sottoscrizioni di Azure
Basi di riferimento
Di seguito sono riportate le impostazioni di base consigliate:
| Cosa monitorare | Livello di rischio | Consiglio | Ruoli | Note |
|---|---|---|---|---|
| Assegnazione di ruolo di Microsoft Entra | Alto | Richiedere la giustificazione all'attivazione. Richiedi l'approvazione per l'attivazione. Impostare il processo di approvazione a due livelli. All'attivazione, richiedere l'autenticazione a più fattori di Microsoft Entra. Impostare la durata massima dell'elevazione su 8 ore. | Amministratore della sicurezza, Amministratore ruolo con privilegi, Amministratore globale | Un amministratore di ruoli con privilegi può personalizzare PIM nell'organizzazione Microsoft Entra, inclusa la modifica dell'esperienza per gli utenti che attivano un'assegnazione di ruolo idonea. |
| Configurazione del ruolo delle risorse di Azure | Alto | Richiedere la giustificazione all'attivazione. Richiedi l'approvazione per l'attivazione. Impostare il processo di approvazione a due livelli. All'attivazione, richiedere l'autenticazione a più fattori di Microsoft Entra. Impostare la durata massima dell'elevazione su 8 ore. | Proprietario, amministratore accesso utente | Investigare immediatamente se non è stata apportata una modifica pianificata. Questa impostazione potrebbe consentire agli utenti malintenzionati di accedere alle sottoscrizioni di Azure nell'ambiente in uso. |
Avvisi di Privileged Identity Management
Azure AD Privileged Identity Management (PIM) genera avvisi quando si verificano attività sospette o non sicure in Microsoft Entra. Quando viene generato un avviso, viene visualizzato nel dashboard Privileged Identity Management. È anche possibile configurare una notifica tramite e-mail o inviare al sistema SIEM tramite GraphAPI. Poiché questi avvisi si concentrano in modo specifico sui ruoli amministrativi, è consigliabile monitorare attentamente gli avvisi.
Assegnazione di ruolo di Microsoft Entra
Un amministratore del ruolo con privilegi può personalizzare PIM nell'organizzazione Microsoft Entra, che include la modifica dell'esperienza utente dell'attivazione di un'assegnazione di ruolo idonea:
Impedire agli attori non validi di rimuovere i requisiti di autenticazione a più fattori di Microsoft Entra per attivare l'accesso privilegiato.
Impedire agli utenti malintenzionati di ignorare la giustificazione e l'approvazione dell'attivazione dell'accesso privilegiato.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Avviso per l'aggiunta di modifiche alle autorizzazioni dell'account con privilegi | Alto | Log di controllo di Microsoft Entra | Categoria = Gestione dei ruoli -e- Tipo di attività: aggiungere un membro idoneo (permanente) -e- Tipo di attività: aggiungere un membro idoneo (idoneo) -e- Stato = Esito positivo/negativo -e- Proprietà modificate = Role.DisplayName |
Monitorare e avvisare sempre in merito alle modifiche apportate a Amministratore ruolo con privilegi e Amministratore globale. Può essere un'indicazione che un utente malintenzionato sta tentando di ottenere i privilegi per modificare le impostazioni di assegnazione di ruolo. Se non si ha una soglia definita, avvisare su 4 in 60 minuti per gli utenti e 2 in 60 minuti per gli account con privilegi. Regole Sigma |
| Avviso per l'eliminazione in blocco delle modifiche apportate alle autorizzazioni dell'account con privilegi | Alto | Log di controllo di Microsoft Entra | Categoria = Gestione dei ruoli -e- Tipo di attività: rimuovere un membro idoneo (permanente) -e- Tipo di attività: rimuovere un membro idoneo (idoneo) -e- Stato = Esito positivo/negativo -e- Proprietà modificate = Role.DisplayName |
Investigare immediatamente se non è stata apportata una modifica pianificata. Questa impostazione potrebbe consentire a un utente malintenzionato di accedere alle sottoscrizioni di Azure nell'ambiente in uso. Modello di Microsoft Sentinel Regole Sigma |
| Modifiche alle impostazioni di PIM | Alto | Log di audit di Microsoft Entra | Servizio = PIM -e- Categoria = Gestione dei ruoli -e- Tipo di attività = Aggiornare l'impostazione del ruolo in PIM -e- Motivo dello stato = MFA all’attivazione disabilitata (esempio) |
Monitorare e avvisare sempre in merito alle modifiche apportate a Amministratore ruolo con privilegi e Amministratore globale. Può essere un'indicazione che un utente malintenzionato può accedere per modificare le impostazioni di assegnazione di ruolo. Una di queste azioni potrebbe ridurre la sicurezza dell'elevazione di PIM e semplificare l'acquisizione di un account con privilegi da parte degli utenti malintenzionati. Modello di Microsoft Sentinel Regole Sigma |
| Approvazioni e elevazione dei privilegi di rifiuto | Alto | Log di audit di Microsoft Entra | Servizio = Revisione degli accessi -e- Categoria = UserManagement -e- Tipo di attività = Richiesta approvata/negata -e- Attore avviato = UPN |
Tutte le elevazioni devono essere monitorate. Registrare tutte le elevazioni per fornire un'indicazione chiara della sequenza temporale per un attacco. Modello di Microsoft Sentinel Regole Sigma |
| L'impostazione dell'avviso cambia in disabilitata. | Alto | Log di controllo di Microsoft Entra | Servizio = PIM -e- Categoria = Gestione dei ruoli -e- Tipo di attività = Disabilita avviso PIM -e- Stato = Esito positivo/negativo |
Avvisare sempre. Consente di rilevare gli avvisi non validi associati ai requisiti di autenticazione a più fattori di Microsoft Entra per attivare l'accesso privilegiato. Consente di rilevare attività sospette o non sicure. Modello di Microsoft Sentinel Regole Sigma |
Per altre informazioni sull'identificazione delle modifiche delle impostazioni dei ruoli nel log di audit di Microsoft Entra, vedere Visualizzare la cronologia degli audit per i ruoli di Microsoft Entra in Privileged Identity Management.
Assegnazione di ruolo delle risorse di Azure
Il monitoraggio delle assegnazioni di ruolo delle risorse di Azure consente la visibilità delle attività e delle attivazioni per i ruoli delle risorse. Queste assegnazioni potrebbero essere usate in modo improprio per creare una superficie di attacco a una risorsa. Quando si monitora questo tipo di attività, si sta provando a rilevare:
Eseguire query sulle assegnazioni di ruolo in risorse specifiche
Assegnazioni di ruolo per tutte le risorse figlio
Tutte le modifiche all'assegnazione di ruolo attiva e idonea
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Controllare il log di audit delle risorse degli avvisi per le attività dell'account con privilegi | Alto | In PIM, in Risorse di Azure, Controllo risorse | Azione: aggiungere un membro idoneo al ruolo in PIM è stata completata (con limite di tempo) -e- Destinazione primaria -e- Digitare Utente -e- Stato = Esito positivo |
Avvisare sempre. Consente di rilevare l'aggiunta di ruoli idonei per l'aggiunta di ruoli idonei per gestire tutte le risorse in Azure. |
| Verifica risorsa avviso - Verifica per la disattivazione dell’avviso | Medio | In PIM, in Risorse di Azure, Controllo risorse | Azione: disabilitare l’avviso -e- Destinazione primaria: troppi proprietari assegnati a una risorsa -e- Stato = Esito positivo |
Consente di rilevare un attore non valido che disabilita gli avvisi, nel riquadro Avvisi, che può ignorare le attività dannose analizzate |
| Verifica risorsa avviso - Verifica per la disattivazione dell’avviso | Medio | In PIM, in Risorse di Azure, Controllo risorse | Azione: disabilitare l’avviso -e- Target primario: troppi proprietari permanenti assegnati a una risorsa -e- Stato = Esito positivo |
Impedire all'attore non valido di disabilitare gli avvisi, nel riquadro Avvisi, che può ignorare l'analisi delle attività dannose |
| Verifica risorsa avviso - Verifica per la disattivazione dell’avviso | Medio | In PIM, in Risorse di Azure, Controllo risorse | Azione: disabilitare l’avviso -e- Ruolo duplicato di destinazione primario creato -e- Stato = Esito positivo |
Impedire all'attore non valido di disabilitare gli avvisi dal riquadro Avvisi, che può ignorare le attività dannose da analizzare |
Per altre informazioni sulla configurazione degli avvisi e sul controllo dei ruoli delle risorse di Azure, vedere:
Gestione degli accessi per le risorse e le sottoscrizioni di Azure
Gli utenti o i membri di un gruppo assegnati ai ruoli di sottoscrizione Proprietario o Amministratore accessi utenti e gli Amministratori globali di Microsoft Entra che abilitano la gestione delle sottoscrizioni in Microsoft Entra ID dispongono delle autorizzazioni di amministratore delle risorse per impostazione predefinita. Gli amministratori assegnano ruoli, configurano le impostazioni dei ruoli ed esaminano l'accesso usando Azure AD Privileged Identity Management (PIM) per le risorse di Azure.
Un utente con autorizzazioni di amministratore risorse può gestire PIM per le risorse. Monitorare e attenuare questo rischio introdotto: la funzionalità può essere usata per consentire agli attori malintenzionati l'accesso privilegiato alle risorse della sottoscrizione di Azure, ad esempio macchine virtuali (VM) o account di archiviazione.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Altitudini | Alto | MICROSOFT Entra ID, in Gestisci, Proprietà | Rivedere periodicamente l'impostazione. Gestione degli accessi per le risorse di Azure |
Gli amministratori globali possono elevare i privilegi abilitando la gestione degli accessi per le risorse di Azure. Verificare che non siano state ottenute autorizzazioni per assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati ad Active Directory. |
Per altre informazioni vedere Assegnare i ruoli delle risorse di Azure in Azure AD Privileged Identity Management
Passaggi successivi
Panoramica delle operazioni per la sicurezza di Microsoft Entra
Operazioni per la sicurezza per gli account utente
Operazioni per la sicurezza per gli account consumer
Operazioni per la sicurezza per gli account con privilegi
Operazioni per la sicurezza per le applicazioni