Condividi tramite

Abilitare i controlli di sicurezza e DNS per Microsoft Entra Domain Services

La sicurezza e i controlli DNS di Microsoft Entra consentono ad Azure di trasmettere gli eventi alle risorse di destinazione. Queste risorse includono Archiviazione di Azure, spazi di lavoro di Azure Log Analytics o Event Hubs di Azure. Dopo aver abilitato gli eventi di controllo di sicurezza, Domain Services invia tutti gli eventi controllati per la categoria selezionata alla risorsa di destinazione.

È possibile archiviare gli eventi in Archiviazione di Azure e trasmettere eventi al software di informazioni di sicurezza e gestione degli eventi (SIEM) (o ad altro software equivalente) tramite Hub eventi di Azure, oppure eseguire analisi personalizzate e usare le aree di lavoro di Azure Log Analytics dall'Interfaccia di amministrazione di Microsoft Entra.

Destinazioni di controllo di sicurezza

È possibile utilizzare Archiviazione di Azure, Hub eventi di Azure o aree di lavoro di Azure Log Analytics come risorsa di destinazione per le verifiche di sicurezza dei Servizi di dominio. Queste destinazioni possono essere combinate. È possibile, ad esempio, utilizzare Azure Storage per archiviare gli eventi di controllo della sicurezza, ma un'area di lavoro di Azure Log Analytics per analizzare e segnalare le informazioni a breve termine.

La tabella seguente illustra gli scenari per ogni tipo di risorsa di destinazione.

Importante

È necessario creare la risorsa di destinazione prima di abilitare i controlli di sicurezza di Domain Services. È possibile creare queste risorse usando l'Interfaccia di amministrazione di Microsoft Entra, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Risorsa di destinazione Sceneggiatura
Archiviazione di Azure Questa destinazione deve essere usata quando è necessario archiviare gli eventi di controllo di sicurezza. Altre destinazioni possono essere usate per scopi di archiviazione, ma tali destinazioni offrono funzionalità aggiuntive rispetto alla necessità primaria di archiviazione.

Prima di abilitare gli eventi di controllo di sicurezza di Domain Services, creare prima di tutto un account di archiviazione di Azure.
Hub eventi di Azure Questa destinazione deve essere usata quando l’esigenza primaria è quella di condividere eventi di controllo di sicurezza con software aggiuntivi, ad esempio software di analisi dei dati o software di informazioni di sicurezza e gestione degli eventi (SIEM).

Prima di abilitare gli eventi di controllo di sicurezza di Domain Services, creare un hub eventi usando l'Interfaccia di amministrazione di Microsoft Entra
Area di lavoro Azure Log Analytics Questa destinazione deve essere usata quando l’esigenza primaria è quella di analizzare ed esaminare direttamente i controlli sicuri dall'Interfaccia di amministrazione di Microsoft Entra.

Prima di abilitare gli eventi di controllo di sicurezza di Domain Services, creare un’area di lavoro Log Analytics nell'Interfaccia di amministrazione di Microsoft Entra.

Abilitare gli eventi di controllo di sicurezza tramite l'Interfaccia di amministrazione di Microsoft Entra

Per abilitare gli eventi di controllo di sicurezza di Domain Services tramite l'Interfaccia di amministrazione di Microsoft Entra, completare i passaggi seguenti.

Importante

I controlli di sicurezza di Domain Services non sono retroattivi. Non è possibile recuperare o riprodurre eventi dal passato. Domain Services può inviare solo eventi che si verificano dopo l'abilitazione dei controlli di sicurezza.

  1. Accedere all’interfaccia di amministrazione di Microsoft Entra come amministratore globale.

  2. Cercare e selezionare Microsoft Entra Domain Services. Scegliere il dominio gestito, ad esempio aaddscontoso.com.

  3. Nella finestra Domain Services, selezionare Impostazioni di diagnostica sul lato sinistro.

  4. Per impostazione predefinita non è configurata nessuna diagnostica. Per iniziare, selezionare Aggiungere impostazione di diagnostica.

    Aggiungere un'impostazione di diagnostica per Microsoft Entra Domain Services

  5. Immettere un nome per la configurazione di diagnostica, ad esempio aadds-auditing.

    Selezionare la casella relativa alla destinazione di controllo DNS o di sicurezza desiderata. È possibile scegliere tra un'area di lavoro Log Analytics, un account di archiviazione di Azure, un hub eventi di Azure o una soluzione partner. Queste risorse di destinazione devono già esistere nella sottoscrizione di Azure. Non è possibile creare le risorse di destinazione in questa procedura guidata.

    • Aree di lavoro di Azure Log Analytics
      • Selezionare Invia a Log Analytics, quindi scegliere la sottoscrizione e l'area di lavoro Log Analytics da usare per archiviare gli eventi di controllo.
    • Archiviazione di Azure
      • Selezionare Archivia in un account di archiviazione, quindi selezionare Configurare.
      • Selezionare la sottoscrizione e l'account di archiviazione da usare per archiviare gli eventi di controllo.
      • Quando si è pronti, scegliere OK.
    • Hub eventi di Azure
      • Selezionare Invia a un hub eventi, quindi scegliere Configura.
      • Selezionare la sottoscrizione e lo spazio dei nomi dell'hub di eventi. Se necessario, scegliere anche un nome dell'hub eventi e quindi un nome della politica dell'hub eventi.
      • Quando si è pronti, scegliere OK.
    • Soluzione partner
      • Selezionare Invia a soluzione partner, quindi scegliere la sottoscrizione e ladestinazione da usare per archiviare gli eventi di controllo.

  6. Selezionare le categorie di log da includere per la risorsa di destinazione specifica. Se si inviano eventi di controllo a un account di archiviazione di Azure, è anche possibile configurare criteri di conservazione che definiscano il numero di giorni in cui mantenere dati. Un'impostazione predefinita di 0 mantiene tutti i dati e non ruota gli eventi dopo un periodo di tempo.

    È possibile selezionare diverse categorie di log per ogni risorsa di destinazione all'interno di una singola configurazione. Questa possibilità consente di scegliere le categorie di log da mantenere per Log Analytics e, ad esempio, le categorie di log da archiviare.

  7. Al termine, selezionare Salva per eseguire il commit delle modifiche. Le risorse di destinazione iniziano a ricevere eventi di controllo di Domain Services subito dopo il salvataggio della configurazione.

Abilitare gli eventi di controllo di sicurezza e DNS con Azure PowerShell

Per abilitare gli eventi di controllo di sicurezza e DNS di Domain Services tramite Azure PowerShell, completare i passaggi seguenti. Se necessario, per prima cosa installare il modulo Azure PowerShell e connettersi alla sottoscrizione di Azure.

Importante

I controlli di Domain Services non sono retroattivi. Non è possibile recuperare o riprodurre eventi dal passato. Domain Services può inviare solo eventi che si verificano dopo l'abilitazione dei controlli.

  1. Eseguire l’autenticazione alla sottoscrizione di Azure usando il cmdlet Connect-AzAccount. Quando richiesto, immettere le credenziali del proprio account.

    Connect-AzAccount

  2. Creare la risorsa destinata per gli eventi di audit.

  3. Ottenere l'ID risorsa per il dominio gestito di Domain Services usando il cmdlet Get-AzResource. Creare una variabile denominata $aadds. ResourceId che contenga il valore:

    $aadds = Get-AzResource -name aaddsDomainName

  4. Configurare le impostazioni di Diagnostica di Azure usando il cmdlet Set-AzDiagnosticSetting per usare la risorsa di destinazione per gli eventi di controllo di Microsoft Entra Domain Services. Negli esempi seguenti la variabile $aadds. ResourceId viene usata dal passaggio precedente.

    • Archiviazione di Azure - Sostituire storageAccountId con il nome dell'account di archiviazione:

      Set-AzDiagnosticSetting `
    -ResourceId $aadds.ResourceId `
    -StorageAccountId storageAccountId `
    -Enabled $true

    • Hub eventi di Azure - Sostituire eventHubName con il nome dell'hub eventi e eventHubRuleId con l'ID della regola di autorizzazione:

      Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId `
    -EventHubName eventHubName `
    -EventHubAuthorizationRuleId eventHubRuleId `
    -Enabled $true

    • Aree di lavoro di Log Analytics di Azure - Sostituire workspaceId con l'ID dell'area di lavoro Log Analytics:

      Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId `
    -WorkspaceID workspaceId `
    -Enabled $true

Eseguire query e visualizzare gli eventi di controllo di sicurezza e DNS con Monitoraggio di Azure

Le aree di lavoro di Log Analytics consentono di visualizzare e analizzare gli eventi di controllo di sicurezza e DNS usando Monitoraggio di Azure e il linguaggio di query Kusto. Questo linguaggio di query è progettato per l'uso in sola lettura e offre funzionalità di analisi avanzate con una sintassi facile da leggere. Per altre informazioni su come iniziare a usare i linguaggi di query Kusto, vedere gli articoli seguenti:

È possibile usare le query di esempio seguenti per avviare l'analisi degli eventi di controllo da Domain Services.

Query di esempio 1

Visualizzare tutti gli eventi di blocco account negli ultimi sette giorni:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Query di esempio 2

Visualizzare tutti gli eventi di blocco account (4740) compresi tra il 3 giugno 2020 alle ore 9:00 e il 10 giugno 2020 a mezzanotte, ordinati in ordine crescente per data e ora:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc

Query di esempio 3

Visualizzare gli eventi di accesso all'account degli ultimi sette giorni (a partire da ora) per l'account chiamato utente:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Query di esempio 4

Visualizzare gli eventi di accesso all'account di sette giorni fa a partire da adesso per l'account denominato utente che ha tentato di accedere usando una password non valida (0xC0000006a):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Query di esempio 5

Visualizzare gli eventi di accesso dell'account degli ultimi sette giorni per l'account con nome utente che ha tentato di accedere mentre l'account era bloccato (0xC0000234):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Query di esempio 6

Visualizzare il numero di eventi di accesso all'account di sette giorni fa a partire da adesso per tutti i tentativi di accesso che si sono verificati per tutti gli utenti bloccati:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()

Controllare le categorie di eventi di sicurezza e DNS

I controlli di sicurezza e DNS di Domain Services sono allineati al controllo tradizionale per i controller di dominio di Active Directory Domain Services tradizionali. Negli ambienti ibridi è possibile riutilizzare i modelli di controllo esistenti in modo che la stessa logica possa essere usata durante l'analisi degli eventi. A seconda dello scenario che è necessario risolvere o analizzare, è possibile impostare come destinazione le diverse categorie di eventi di controllo.

Sono disponibili le categorie di eventi di controllo seguenti:

Nome categoria di controllo Descrizione
Accesso account Le verifiche tentano di autenticare i dati dell'account su un controller di dominio o sul Security Accounts Manager (SAM) locale.
-Le impostazioni delle politiche di accesso e disconnessione e gli eventi tracciano i tentativi di accedere a un computer specifico. Impostazioni ed eventi in questa categoria sono incentrati sul database dell'account usato. Questa categoria include le sottocategorie seguenti:
- Convalida delle credenziali di audit
- Controllo del servizio di autenticazione Kerberos
- Controllo delle operazioni sui ticket di servizio Kerberos
- Controllo di altri eventi di accesso/disconnessione
Gestione degli account Controlla le modifiche apportate ad account utente e computer e ai gruppi. Questa categoria include le sottocategorie seguenti:
- Controllo della gestione di gruppi di applicazioni
- Verifica della gestione degli account del computer
- Controllo della gestione dei gruppi di distribuzione
- Controllo di altre operazioni di gestione degli account
- Controllo della gestione dei gruppi di sicurezza
- Controllo della gestione degli account utente
Server DNS. Controlla le modifiche apportate agli ambienti DNS. Questa categoria include le sottocategorie seguenti:
- DNSServerAuditsDynamicUpdates (anteprima)
- DNSServerAuditsGeneral (anteprima)
Tracciamento dettagliato Controlla le attività di singole applicazioni e utenti su tale computer, per comprendere come viene usato un computer. Questa categoria include le sottocategorie seguenti:
- Controllo delle attività DPAPI
- Controllo delle attività PNP
- Creazione del processo di audit
- Terminazione del processo di audit
- Controllo degli eventi RPC
Accesso ai servizi di directory Controlla i tentativi di accesso e modifica degli oggetti in Active Directory Domain Services (AD DS). Questi eventi di controllo vengono registrati solo nei controller di dominio. Questa categoria include le sottocategorie seguenti:
- Verifica della replicazione dettagliata del servizio directory
- Verifica dell'accesso al Servizio Directory
- Verifica delle modifiche al servizio directory
- Controllo della replica del servizio directory
Accesso-Disconnessione Gli audit controllano i tentativi di accesso a un computer in modo interattivo o in rete. Questi eventi sono utili per tenere traccia dell'attività dell'utente e identificare potenziali attacchi alle risorse di rete. Questa categoria include le sottocategorie seguenti:
- Verifica del blocco dell'account
- Controllo delle attestazioni utente/dispositivo
- Controllo della modalità estesa IPsec
- Controllo dell’appartenenza a gruppi
- Controllo della modalità principale IPsec
- Controllo della modalità rapida IPsec
- Registro di disconnessione
- Verifica dell'accesso
- Verifica Server dei criteri di rete
- Controllo di altri eventi di accesso/disconnessione
- Verifica Accesso Speciale
Accesso agli oggetti I controlli tentano di accedere a oggetti o tipi di oggetti specifici in una rete o in un computer. Questa categoria include le sottocategorie seguenti:
- Controllo dell’applicazione generata
- Controllo dei servizi di certificazione
- Controllo della condivisione file dettagliata
- Controllo della condivisione file
- Verifica del file system
- Verifica della connessione della piattaforma di filtraggio
- Controllo del rilascio del pacchetto della piattaforma filtro
- Manipolazione degli handle di controllo
- Controllo dell’oggetto kernel
- Controllo di altri eventi di accesso a oggetti
- Registro di Audit
- Controllo di archivi rimovibili
- Controllo SAM
- Audit delle politiche di accesso centrale in fase di pianificazione
Modifica della politica Controlla le modifiche apportate ai criteri di sicurezza importanti in un sistema locale o in una rete. I criteri vengono in genere stabiliti dagli amministratori per proteggere le risorse di rete. Il monitoraggio delle modifiche o dei tentativi di modifica di questi criteri può rappresentare un aspetto importante nella gestione della sicurezza di una rete. Questa categoria include le sottocategorie seguenti:
- Verifica della Modifica delle Politiche di Controllo
- Modifica ai criteri di autenticazione del controllo
- Modifica della politica di autorizzazione degli audit
- Modifica della politica della piattaforma di filtraggio per audit
- Controllo delle modifiche delle regole di MPSSVC a livello di criteri
- Controllo di altre modifiche ai criteri
Uso dei privilegi Controlla l'uso di determinate autorizzazioni in uno o più sistemi. Questa categoria include le sottocategorie seguenti:
- Controllo dell'uso dei privilegi non sensibili
- Controllo dell’uso dei privilegi sensibili
- Controllo di altri eventi di utilizzo dei privilegi
Sistema Controlla le modifiche a livello di sistema in un computer che non sono incluse in altre categorie e che presentano potenziali implicazioni per la sicurezza. Questa categoria include le sottocategorie seguenti:
- Verifica del driver IPsec
- Controllo di altri eventi di sistema
- Controllo della modifica allo stato di sicurezza
- Controllo dell’estensione del sistema di sicurezza
- Controllo dell’integrità del sistema

ID eventi per categoria

I controlli di sicurezza e DNS di Domain Services registrano gli ID evento seguenti quando l'azione specifica attiva un evento controllabile:

Nome della categoria evento ID evento
Sicurezza dell'accesso agli account 4767, 4774, 4775, 4776, 4777
Sicurezza della gestione degli account 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Sicurezza del rilevamento dei dettagli Nessuno
Server DNS. 513-523, 525-531, 533-537, 540-582
Sicurezza dell'accesso DS 5136, 5137, 5138, 5139, 5141
Sicurezza di accesso-disconnessione 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Sicurezza dell'accesso a oggetti Nessuno
Sicurezza delle modifiche ai criteri 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Sicurezza dell'uso dei privilegi 4985
Sicurezza del sistema 4612, 4621

Passaggi successivi

Per informazioni specifiche su Kusto, vedere gli articoli seguenti:

  • Last updated on