Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La presenza di solide funzionalità di monitoraggio dell'integrità e rilevamento delle minacce è uno dei sei pilastri dell'iniziativa Secure Future. Queste linee guida sono progettate per facilitare la configurazione di un sistema di registrazione completo per l'archiviazione e l'analisi. Sono incluse raccomandazioni correlate alla valutazione degli accessi a rischio, degli utenti rischiosi e dei metodi di autenticazione.
Il primo passaggio per allinearsi a questo pilastro consiste nel configurare le impostazioni di diagnostica per tutti i log di Microsoft Entra in modo che tutte le modifiche apportate nel tenant siano archiviate e accessibili per l'analisi. Altre raccomandazioni di questo pilastro sono incentrate sulla valutazione tempestiva degli avvisi di rischio e sulle raccomandazioni di Microsoft Entra. L'importante è sapere quali log, report e strumenti di monitoraggio della salute sono disponibili e monitorarli regolarmente.
Linee guida per la sicurezza
Le impostazioni di diagnostica sono configurate per tutti i log di Microsoft Entra
I log attività e i report in Microsoft Entra possono aiutare a rilevare tentativi di accesso non autorizzati o identificare quando cambia la configurazione del tenant. Quando i log vengono archiviati o integrati con gli strumenti SIEM (Security Information and Event Management), i team di sicurezza possono implementare potenti controlli di sicurezza di monitoraggio e rilevamento, ricerca proattiva delle minacce e processi di risposta agli eventi imprevisti. I log e le funzionalità di monitoraggio possono essere usati per valutare l'integrità del tenant e fornire prove per la conformità e i controlli.
Se i log non vengono archiviati regolarmente o inviati a uno strumento SIEM per l'esecuzione di query, è difficile analizzare i problemi di accesso. L'assenza di log cronologici significa che i team di sicurezza potrebbero perdere modelli di tentativi di accesso non riusciti, attività insolite e altri indicatori di compromissione. Questa mancanza di visibilità può impedire il rilevamento tempestivo delle violazioni, consentendo agli utenti malintenzionati di mantenere l'accesso non rilevato per periodi prolungati.
Azione di correzione
- Configurare le impostazioni di diagnostica di Microsoft Entra
- Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
- Stream Microsoft Entra registra a un hub eventi
Le attivazioni dei ruoli con privilegi hanno il monitoraggio e l'invio di avvisi configurati
Le organizzazioni senza avvisi di attivazione appropriati per i ruoli con privilegi elevati non hanno visibilità quando gli utenti accedono a queste autorizzazioni critiche. Gli attori delle minacce possono sfruttare questo gap di monitoraggio per eseguire l'escalation dei privilegi attivando ruoli con privilegi elevati senza rilevamento, quindi stabilire la persistenza tramite la creazione dell'account amministratore o le modifiche ai criteri di sicurezza. L'assenza di avvisi in tempo reale consente agli utenti malintenzionati di eseguire lo spostamento laterale, modificare le configurazioni di controllo e disabilitare i controlli di sicurezza senza attivare procedure di risposta immediate.
Azione di correzione
Gli utenti con privilegi accedono con metodi resistenti al phishing
Senza metodi di autenticazione resistenti al phishing, gli utenti con privilegi sono più vulnerabili agli attacchi di phishing. Questi tipi di attacchi ingannino gli utenti a rivelare le proprie credenziali per concedere l'accesso non autorizzato agli utenti malintenzionati. Se vengono usati metodi di autenticazione non resistenti al phishing, gli utenti malintenzionati potrebbero intercettare credenziali e token, tramite metodi come attacchi antagonisti in-the-middle, compromettendo la sicurezza dell'account con privilegi.
Una volta compromesso un account o una sessione con privilegi a causa di metodi di autenticazione deboli, gli utenti malintenzionati potrebbero modificare l'account per mantenere l'accesso a lungo termine, creare altre backdoor o modificare le autorizzazioni utente. Gli utenti malintenzionati possono anche usare l'account con privilegi compromessi per inoltrare ulteriormente l'accesso, ottenendo potenzialmente il controllo su sistemi più sensibili.
Azione di correzione
- Introduzione a una distribuzione di autenticazione senza password resistente al phishing
- Assicurarsi che gli account con privilegi registrino e usino metodi resistenti al phishing
- Distribuire criteri di accesso condizionale per gli account con privilegi di destinazione e richiedere credenziali resistenti al phishing
- Monitorare l'attività del metodo di autenticazione
Tutti gli utenti ad alto rischio vengono valutati
Gli utenti considerati ad alto rischio da Microsoft Entra ID Protection hanno una probabilità elevata di compromissione da parte degli attori delle minacce. Gli attori delle minacce possono ottenere l'accesso iniziale tramite account validi compromessi, in cui le attività sospette continuano nonostante l'attivazione di indicatori di rischio. Questa supervisione può abilitare la persistenza perché gli attori delle minacce eseguono attività che normalmente giustificano l'indagine, ad esempio modelli di accesso insoliti o manipolazione sospetta della posta in arrivo.
La mancanza di valutazione di questi utenti rischiosi consente di espandere le attività di ricognizione e lo spostamento laterale, con modelli di comportamento anomali che continuano a generare avvisi non investiti. Gli attori delle minacce diventano in rilievo man mano che i team di sicurezza mostrano che non rispondono attivamente agli indicatori di rischio.
Azione di correzione
- Analizzare gli utenti ad alto rischio in Microsoft Entra ID Protection
- Correggere gli utenti ad alto rischio e sbloccare in Microsoft Entra ID Protection
Tutti gli accessi ad alto rischio vengono valutati
Gli accessi a rischio contrassegnati da Microsoft Entra ID Protection indicano un'elevata probabilità di tentativi di accesso non autorizzati. Gli attori delle minacce usano questi accessi per ottenere un punto di accesso iniziale. Se questi accessi rimangono non investiti, gli avversari possono stabilire la persistenza eseguendo ripetutamente l'autenticazione sotto la forma di utenti legittimi.
Una mancanza di risposta consente agli utenti malintenzionati di eseguire ricognizioni, tentare di inoltrare l'accesso e fondersi in modelli normali. Quando gli accessi non registrati continuano a generare avvisi e non vi è alcun intervento, i gap di sicurezza si ampliano, semplificando lo spostamento laterale e l'evasione della difesa, in quanto gli avversari riconoscono l'assenza di una risposta di sicurezza attiva.
Azione di correzione
Tutte le identità del carico di lavoro rischiose vengono valutate
Le identità del carico di lavoro compromesse (entità servizio e applicazioni) consentono agli attori delle minacce di ottenere l'accesso permanente senza l'interazione dell'utente o l'autenticazione a più fattori. Microsoft Entra ID Protection monitora queste identità per attività sospette, ad esempio credenziali perse, traffico anomalo dell'API e applicazioni dannose. Le identità del carico di lavoro rischiose non gestite consentono l'escalation dei privilegi, lo spostamento laterale, l'esfiltrazione dei dati e le backdoor persistenti che ignorano i controlli di sicurezza tradizionali. Le organizzazioni devono analizzare e correggere sistematicamente questi rischi per impedire l'accesso non autorizzato.
Azione di correzione
- Esaminare e mitigare le identità associate ai carichi di lavoro rischiose
- Applicare criteri di accesso condizionale per le identità del carico di lavoro
Tutte le attività di accesso utente usano metodi di autenticazione avanzata
Gli utenti malintenzionati potrebbero ottenere l'accesso se l'autenticazione a più fattori (MFA) non viene applicata universalmente o se sono presenti eccezioni. Gli utenti malintenzionati potrebbero ottenere l'accesso sfruttando vulnerabilità di metodi MFA più deboli, ad esempio SMS e telefonate tramite tecniche di ingegneria sociale. Queste tecniche possono includere lo scambio sim o il phishing per intercettare i codici di autenticazione.
Gli utenti malintenzionati potrebbero usare questi account come punti di ingresso nel tenant. Usando sessioni utente intercettate, gli utenti malintenzionati possono mascherare le proprie attività come azioni legittime dell'utente, eludere il rilevamento e continuare l'attacco senza generare sospetti. Da qui, potrebbero tentare di modificare le impostazioni di MFA per stabilire persistenza, pianificare ed eseguire altri attacchi in base ai privilegi degli account compromessi.
Azione di correzione
- Distribuire l'autenticazione a più fattori
- Introduzione a una distribuzione di autenticazione senza password resistente al phishing
- Distribuire un criterio di accesso condizionale per richiedere l'autenticazione a più fattori resistente al phishing per tutti gli utenti
- Esaminare l'attività dei metodi di autenticazione
Le raccomandazioni di Microsoft Entra con priorità alta sono affrontate
Lasciare le raccomandazioni di Microsoft Entra senza priorità elevata può creare un divario nel comportamento di sicurezza di un'organizzazione, offrendo agli attori delle minacce opportunità di sfruttare i punti deboli noti. La mancata esecuzione di questi elementi potrebbe comportare un aumento della superficie di attacco, operazioni non ottimali o un'esperienza utente scarsa.
Azione di correzione
Notifiche di protezione ID abilitate
Se non si abilitano le notifiche di Protezione ID, l'organizzazione perde avvisi critici in tempo reale quando gli attori delle minacce comprometteno gli account utente o eseguono attività di ricognizione. Quando Microsoft Entra ID Protection rileva gli account a rischio, invia avvisi di posta elettronica con utenti a rischio rilevati come oggetto e collegamenti al report Utenti contrassegnati per il rischio . Senza queste notifiche, i team di sicurezza rimangono al corrente delle minacce attive, consentendo agli attori delle minacce di mantenere la persistenza negli account compromessi senza essere rilevati. È possibile inserire questi rischi in strumenti come l'accesso condizionale per prendere decisioni di accesso o inviarli a uno strumento SIEM (Security Information and Event Management) per l'analisi e la correlazione. Gli attori delle minacce possono usare questo gap di rilevamento per condurre attività di spostamento laterale, tentativi di escalation dei privilegi o operazioni di esfiltrazione dei dati, mentre gli amministratori rimangono a conoscenza della compromissione in corso. La risposta ritardata consente agli attori delle minacce di stabilire più meccanismi di persistenza, modificare le autorizzazioni utente o accedere a risorse sensibili prima di poter risolvere il problema. Senza la notifica proattiva dei rilevamenti dei rischi, le organizzazioni devono basarsi esclusivamente sul monitoraggio manuale dei report sui rischi, aumentando in modo significativo il tempo necessario per rilevare e rispondere agli attacchi basati sull'identità.
Azione di correzione
Nessuna attività di accesso all'autenticazione legacy
I protocolli di autenticazione legacy, ad esempio l'autenticazione di base per SMTP e IMAP, non supportano funzionalità di sicurezza moderne come l'autenticazione a più fattori (MFA), fondamentale per la protezione da accessi non autorizzati. Questa mancanza di protezione rende gli account che usano questi protocolli vulnerabili agli attacchi basati su password e fornisce agli utenti malintenzionati un mezzo per ottenere l'accesso iniziale usando credenziali rubate o indovinate.
Quando un utente malintenzionato ottiene correttamente l'accesso non autorizzato alle credenziali, può usarle per accedere ai servizi collegati, usando il metodo di autenticazione debole come punto di ingresso. Gli utenti malintenzionati che ottengono l'accesso tramite l'autenticazione legacy potrebbero apportare modifiche a Microsoft Exchange, ad esempio la configurazione delle regole di inoltro della posta o la modifica di altre impostazioni, consentendo loro di mantenere l'accesso continuo alle comunicazioni sensibili.
L'autenticazione legacy fornisce anche agli utenti malintenzionati un metodo coerente per reinserire un sistema usando credenziali compromesse senza attivare avvisi di sicurezza o richiedere la riautenticazione.
Da qui, gli utenti malintenzionati possono usare protocolli legacy per accedere ad altri sistemi accessibili tramite l'account compromesso, semplificando lo spostamento laterale. Gli utenti malintenzionati che usano protocolli legacy possono fondersi con attività utente legittime, rendendo difficile per i team di sicurezza distinguere tra l'utilizzo normale e il comportamento dannoso.
Azione di correzione
- protocolli exchange possono essere disattivati in Exchange
- I protocolli di autenticazione legacy possono essere bloccati con l'accesso condizionale
- accessi usando la cartella di lavoro di autenticazione legacy per determinare se è sicuro disattivare l'autenticazione legacy
Tutte le raccomandazioni di Microsoft Entra sono affrontate
Le raccomandazioni di Microsoft Entra offrono alle organizzazioni opportunità di implementare le procedure consigliate e ottimizzare il comportamento di sicurezza. La mancata esecuzione di questi elementi potrebbe comportare un aumento della superficie di attacco, operazioni non ottimali o un'esperienza utente scarsa.
Azione di correzione