Altri settori di Zero Trust affrontati nel memorandum 22-09
Gli altri articoli di questa guida illustrano il pilastro dell'identità dei principi Zero Trust, come descritto nell'Ufficio degli Stati Uniti per la gestione e il budget (OMB) M 22-09 Memorandum per i capi dei dipartimenti esecutivi e delle agenzie. Questo articolo illustra le aree del modello di maturità Zero Trust oltre il pilastro dell'identità e tratta i temi seguenti:
- Visibilità
- Analisi
- Automazione e orchestrazione
- Governance
Visibilità
È importante monitorare il tenant di Microsoft Entra. Presupporre una mentalità di violazione e soddisfare gli standard di conformità nel memorandum 22-09 e il Memorandum 21-31. Per l'analisi della sicurezza e l'inserimento vengono usati tre tipi di log principali:
- Log di controllo di Azure per monitorare le attività operative della directory, ad esempio la creazione, l'eliminazione, l'aggiornamento di oggetti come utenti o gruppi
- Usare anche per apportare modifiche alle configurazioni di Microsoft Entra, ad esempio modifiche ai criteri di accesso condizionale
- Vedere Log di controllo in Microsoft Entra ID
- I log di provisioning hanno informazioni sugli oggetti sincronizzati da Microsoft Entra ID ad applicazioni come Service Now con Microsoft Identity Manager
- Vedere Log di provisioning in Microsoft Entra ID
- Log di accesso di Microsoft Entra per monitorare le attività di accesso associate a utenti, applicazioni ed entità servizio.
- I log di accesso hanno categorie per la differenziazione
- Gli accessi interattivi mostrano accessi riusciti e non riusciti, criteri applicati e altri metadati
- Gli accessi utente non interattivi non mostrano alcuna interazione durante l'accesso: i client che accedono per conto dell'utente, ad esempio applicazioni per dispositivi mobili o client di posta elettronica
- Gli accessi all'entità servizio mostrano l'accesso all'entità servizio o all'applicazione: servizi o applicazioni che accedono a servizi, applicazioni o la directory Microsoft Entra tramite l'API REST
- Identità gestite per l'accesso alle risorse di Azure: risorse di Azure o applicazioni che accedono alle risorse di Azure, ad esempio un servizio di applicazione Web che esegue l'autenticazione a un back-end sql di Azure.
- Vedere Log di accesso in Microsoft Entra ID (anteprima)
Nei tenant microsoft Entra ID gratuito le voci di log vengono archiviate per sette giorni. I tenant con licenza Microsoft Entra ID P1 o P2 mantengono le voci di log per 30 giorni.
Assicurarsi che uno strumento siem (Security Information and Event Management) inserisca i log. Usare gli eventi di accesso e controllo per correlare con i log di applicazione, infrastruttura, dati, dispositivo e rete.
È consigliabile integrare i log di Microsoft Entra con Microsoft Sentinel. Configurare un connettore per inserire i log del tenant di Microsoft Entra.
Altre informazioni:
Per il tenant di Microsoft Entra, è possibile configurare le impostazioni di diagnostica per inviare i dati a un account Archiviazione di Azure, Hub eventi di Azure o a un'area di lavoro Log Analytics. Usare queste opzioni di archiviazione per integrare altri strumenti SIEM per raccogliere dati.
Altre informazioni:
- Che cos'è il monitoraggio di Microsoft Entra?
- Dipendenze di distribuzione di report e monitoraggio di Microsoft Entra
Analisi
È possibile usare l'analisi negli strumenti seguenti per aggregare le informazioni da Microsoft Entra ID e mostrare le tendenze nel comportamento di sicurezza rispetto alla baseline. È anche possibile usare l'analisi per valutare e cercare modelli o minacce in Microsoft Entra ID.
- Microsoft Entra ID Protection analizza gli accessi e altre origini di telemetria per il comportamento rischioso
- Identity Protection assegna un punteggio di rischio agli eventi di accesso
- Impedire l'accesso o forzare un'autenticazione dettagliata per accedere a una risorsa o a un'applicazione in base al punteggio di rischio
- Vedere Che cos'è Identity Protection?
- I report sull'utilizzo e sulle informazioni dettagliate di Microsoft Entra hanno informazioni simili alle cartelle di lavoro di Azure Sentinel, incluse le applicazioni con tendenze di utilizzo o di accesso più elevate.
- Usare i report per comprendere le tendenze aggregate che potrebbero indicare un attacco o altri eventi
- Vedere Utilizzo e informazioni dettagliate in Microsoft Entra ID
- Microsoft Sentinel analizza le informazioni da Microsoft Entra ID:
- Microsoft Sentinel User and Entity Behavior Analytics (UEBA) offre informazioni sulle potenziali minacce da parte di utenti, host, indirizzi IP ed entità dell'applicazione.
- Usare i modelli di regola di analisi per cercare minacce e avvisi nei log di Microsoft Entra. L'analista della sicurezza o dell'operazione può valutare e correggere le minacce.
- Le cartelle di lavoro di Microsoft Sentinel consentono di visualizzare le origini dati di Microsoft Entra. Vedere accessi per paese/area geografica o applicazioni.
- Vedere cartelle di lavoro di Microsoft Sentinel comunemente usate
- Vedere Visualizzare i dati raccolti
- Vedere Identificare le minacce avanzate con UEBA in Microsoft Sentinel
Automazione e orchestrazione
L'automazione in Zero Trust consente di correggere gli avvisi a causa di minacce o modifiche alla sicurezza. In Microsoft Entra ID le integrazioni di automazione consentono di chiarire le azioni per migliorare il comportamento di sicurezza. L'automazione si basa sulle informazioni ricevute dal monitoraggio e dall'analisi.
Usare le chiamate REST dell'API Microsoft Graph per accedere a Microsoft Entra ID a livello di codice. Questo accesso richiede un'identità di Microsoft Entra con autorizzazioni e ambito. Con l'API Graph, integrare altri strumenti.
È consigliabile configurare una funzione di Azure o un'app per la logica di Azure per usare un'identità gestita assegnata dal sistema. L'app per la logica o la funzione include passaggi o codice per automatizzare le azioni. Assegnare le autorizzazioni all'identità gestita per concedere all'entità servizio le autorizzazioni della directory per eseguire azioni. Concedere diritti minimi alle identità gestite.
Altre informazioni: Che cosa sono le identità gestite per le risorse di Azure?
Un altro punto di integrazione di automazione è costituito dai moduli di PowerShell di Microsoft Graph. Usare Microsoft Graph PowerShell per eseguire attività o configurazioni comuni in Microsoft Entra ID o incorporare in funzioni di Azure o Automazione di Azure runbook.
Governance
Documentare i processi per il funzionamento dell'ambiente Microsoft Entra. Usare le funzionalità di Microsoft Entra per la governance applicate agli ambiti in Microsoft Entra ID.
Altre informazioni:
- Guida di riferimento alle operazioni di governance di Microsoft Entra ID
- Guida alle operazioni di sicurezza di Microsoft Entra
- Cos'è la governance di Microsoft Entra ID?
- Soddisfare i requisiti di autorizzazione del memorandum 22-09.
Passaggi successivi
- Soddisfare i requisiti di identità del memorandum 22-09 con Microsoft Entra ID
- Sistema di gestione delle identità a livello aziendale
- Soddisfare i requisiti di autenticazione a più fattori del memorandum 22-09
- Soddisfare i requisiti di autorizzazione del memorandum 22-09
- Protezione dell'identità con Zero Trust
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per