Altri settori di Zero Trust affrontati nel memorandum 22-09

Gli altri articoli di questa guida illustrano il pilastro dell'identità dei principi Zero Trust, come descritto nell'Ufficio degli Stati Uniti per la gestione e il budget (OMB) M 22-09 Memorandum per i capi dei dipartimenti esecutivi e delle agenzie. Questo articolo illustra le aree del modello di maturità Zero Trust oltre il pilastro dell'identità e tratta i temi seguenti:

• Visibilità
• Analisi
• Automazione e orchestrazione
• Governance

Visibilità

È importante monitorare il tenant di Microsoft Entra. Presupporre una mentalità di violazione e soddisfare gli standard di conformità nel memorandum 22-09 e il Memorandum 21-31. Per l'analisi della sicurezza e l'inserimento vengono usati tre tipi di log principali:

• Log di controllo di Azure per monitorare le attività operative della directory, ad esempio la creazione, l'eliminazione, l'aggiornamento di oggetti come utenti o gruppi
  • Usare anche per apportare modifiche alle configurazioni di Microsoft Entra, ad esempio modifiche ai criteri di accesso condizionale
  • Vedere Log di controllo in Microsoft Entra ID
• I log di provisioning hanno informazioni sugli oggetti sincronizzati da Microsoft Entra ID ad applicazioni come Service Now con Microsoft Identity Manager
  • Vedere Log di provisioning in Microsoft Entra ID
• Log di accesso di Microsoft Entra per monitorare le attività di accesso associate a utenti, applicazioni ed entità servizio.
  • I log di accesso hanno categorie per la differenziazione
  • Gli accessi interattivi mostrano accessi riusciti e non riusciti, criteri applicati e altri metadati
  • Gli accessi utente non interattivi non mostrano alcuna interazione durante l'accesso: i client che accedono per conto dell'utente, ad esempio applicazioni per dispositivi mobili o client di posta elettronica
  • Gli accessi all'entità servizio mostrano l'accesso all'entità servizio o all'applicazione: servizi o applicazioni che accedono a servizi, applicazioni o la directory Microsoft Entra tramite l'API REST
  • Identità gestite per l'accesso alle risorse di Azure: risorse di Azure o applicazioni che accedono alle risorse di Azure, ad esempio un servizio di applicazione Web che esegue l'autenticazione a un back-end sql di Azure.
  • Vedere Log di accesso in Microsoft Entra ID (anteprima)

Nei tenant microsoft Entra ID gratuito le voci di log vengono archiviate per sette giorni. I tenant con licenza Microsoft Entra ID P1 o P2 mantengono le voci di log per 30 giorni.

Assicurarsi che uno strumento siem (Security Information and Event Management) inserisca i log. Usare gli eventi di accesso e controllo per correlare con i log di applicazione, infrastruttura, dati, dispositivo e rete.

È consigliabile integrare i log di Microsoft Entra con Microsoft Sentinel. Configurare un connettore per inserire i log del tenant di Microsoft Entra.

Altre informazioni:

• Che cos'è Microsoft Azure Sentinel?
• Connessione MICROSOFT Entra ID to Microsoft Sentinel

Per il tenant di Microsoft Entra, è possibile configurare le impostazioni di diagnostica per inviare i dati a un account Archiviazione di Azure, Hub eventi di Azure o a un'area di lavoro Log Analytics. Usare queste opzioni di archiviazione per integrare altri strumenti SIEM per raccogliere dati.

Altre informazioni:

• Che cos'è il monitoraggio di Microsoft Entra?
• Dipendenze di distribuzione di report e monitoraggio di Microsoft Entra

Analisi

È possibile usare l'analisi negli strumenti seguenti per aggregare le informazioni da Microsoft Entra ID e mostrare le tendenze nel comportamento di sicurezza rispetto alla baseline. È anche possibile usare l'analisi per valutare e cercare modelli o minacce in Microsoft Entra ID.

• Microsoft Entra ID Protection analizza gli accessi e altre origini di telemetria per il comportamento rischioso
  • Identity Protection assegna un punteggio di rischio agli eventi di accesso
  • Impedire l'accesso o forzare un'autenticazione dettagliata per accedere a una risorsa o a un'applicazione in base al punteggio di rischio
  • Vedere Che cos'è Identity Protection?
• I report sull'utilizzo e sulle informazioni dettagliate di Microsoft Entra hanno informazioni simili alle cartelle di lavoro di Azure Sentinel, incluse le applicazioni con tendenze di utilizzo o di accesso più elevate.
  • Usare i report per comprendere le tendenze aggregate che potrebbero indicare un attacco o altri eventi
  • Vedere Utilizzo e informazioni dettagliate in Microsoft Entra ID
• Microsoft Sentinel analizza le informazioni da Microsoft Entra ID:
  • Microsoft Sentinel User and Entity Behavior Analytics (UEBA) offre informazioni sulle potenziali minacce da parte di utenti, host, indirizzi IP ed entità dell'applicazione.
  • Usare i modelli di regola di analisi per cercare minacce e avvisi nei log di Microsoft Entra. L'analista della sicurezza o dell'operazione può valutare e correggere le minacce.
  • Le cartelle di lavoro di Microsoft Sentinel consentono di visualizzare le origini dati di Microsoft Entra. Vedere accessi per paese/area geografica o applicazioni.
  • Vedere cartelle di lavoro di Microsoft Sentinel comunemente usate
  • Vedere Visualizzare i dati raccolti
  • Vedere Identificare le minacce avanzate con UEBA in Microsoft Sentinel

Automazione e orchestrazione

L'automazione in Zero Trust consente di correggere gli avvisi a causa di minacce o modifiche alla sicurezza. In Microsoft Entra ID le integrazioni di automazione consentono di chiarire le azioni per migliorare il comportamento di sicurezza. L'automazione si basa sulle informazioni ricevute dal monitoraggio e dall'analisi.

Usare le chiamate REST dell'API Microsoft Graph per accedere a Microsoft Entra ID a livello di codice. Questo accesso richiede un'identità di Microsoft Entra con autorizzazioni e ambito. Con l'API Graph, integrare altri strumenti.

È consigliabile configurare una funzione di Azure o un'app per la logica di Azure per usare un'identità gestita assegnata dal sistema. L'app per la logica o la funzione include passaggi o codice per automatizzare le azioni. Assegnare le autorizzazioni all'identità gestita per concedere all'entità servizio le autorizzazioni della directory per eseguire azioni. Concedere diritti minimi alle identità gestite.

Altre informazioni: Che cosa sono le identità gestite per le risorse di Azure?

Un altro punto di integrazione di automazione è costituito dai moduli di PowerShell di Microsoft Graph. Usare Microsoft Graph PowerShell per eseguire attività o configurazioni comuni in Microsoft Entra ID o incorporare in funzioni di Azure o Automazione di Azure runbook.

Governance

Documentare i processi per il funzionamento dell'ambiente Microsoft Entra. Usare le funzionalità di Microsoft Entra per la governance applicate agli ambiti in Microsoft Entra ID.

Altre informazioni:

• Guida di riferimento alle operazioni di governance di Microsoft Entra ID
• Guida alle operazioni di sicurezza di Microsoft Entra
• Cos'è la governance di Microsoft Entra ID?
• Soddisfare i requisiti di autorizzazione del memorandum 22-09.

Passaggi successivi

• Soddisfare i requisiti di identità del memorandum 22-09 con Microsoft Entra ID
• Sistema di gestione delle identità a livello aziendale
• Soddisfare i requisiti di autenticazione a più fattori del memorandum 22-09
• Soddisfare i requisiti di autorizzazione del memorandum 22-09
• Protezione dell'identità con Zero Trust