Guida alle operazioni per la sicurezza per le applicazioni di Microsoft Entra
Le applicazioni hanno una superficie di attacco per le violazioni della sicurezza e devono essere monitorate. Anche se non è destinato a quanto avviene con gli account utente, possono verificarsi violazioni. Poiché le applicazioni vengono spesso eseguite senza intervento umano, gli attacchi possono essere più difficili da rilevare.
Questo articolo fornisce indicazioni per monitorare e avvisare gli eventi dell'applicazione. Viene aggiornato regolarmente per contribuire ad assicurarsi di:
Impedire alle applicazioni dannose di ottenere l'accesso non autorizzato ai dati
Impedire che le applicazioni vengano compromesse da attori malintenzionati
Raccogliere informazioni dettagliate che consentono di compilare e configurare nuove applicazioni in modo più sicuro
Se non si ha familiarità con il funzionamento delle applicazioni in Microsoft Entra ID, vedere App e entità servizio in Microsoft Entra ID.
Nota
Se non si ha ancora preso in esame la panoramica delle operazioni di sicurezza di Microsoft Entra, provare a farlo ora.
Cosa cercare
Quando si monitorano i log dell'applicazione per individuare gli incidenti di sicurezza, prendere in esame l'elenco seguente per contribuire a distinguere le normali attività dalle attività dannose. Gli eventi seguenti potrebbero indicare problemi di sicurezza. Ognuno di essi è trattato nell'articolo.
Eventuali modifiche che si verificano al di fuori dei normali processi aziendali e delle pianificazioni
Modifiche delle credenziali dell'applicazione
Autorizzazioni dell’applicazione
Entità servizio assegnata a un Microsoft Entra ID o a un ruolo di controllo degli accessi in base al ruolo (RBAC) di Azure
Le applicazioni hanno concesso autorizzazioni con privilegi elevati
Modifiche di Azure Key Vault
L'utente finale concede il consenso alle applicazioni
Consenso dell'utente finale arrestato in base al livello di rischio
Modifiche alla configurazione delle applicazioni
URI (Universal Resource Identifier) modificato o non standard
Modifiche ai proprietari dell'applicazione
URL di disconnesso modificati
Dove cercare
I file di log da usare per l'indagine e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale con funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).
Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Ove sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.
Monitoraggio di Azure: monitoraggio automatizzato e creazione di avvisi per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.
Hub eventi di Azure integrato con un sistema SIEM- : è possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure.
Microsoft Defender for Cloud Apps: individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.
Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection: rileva i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.
Gran parte degli elementi che sono monitorati e su cui si ricevono avvisi rappresentano l'effetto dei criteri di Accesso condizionale. È possibile usare la cartella di lavoro Informazioni dettagliate e report di Accesso condizionale per prendere in esame gli effetti di uno o più criteri di Accesso condizionale sugli accessi e i risultati dei criteri, incluso lo stato del dispositivo. Usare la cartella di lavoro per visualizzare un riepilogo e identificare gli effetti in un periodo di tempo. È possibile usare la cartella di lavoro per prendere in esame gli accessi di un particolare utente.
Nella parte restante di questo articolo è consigliabile monitorare e inviare avvisi. È organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite, è possibile collegarle o fornire esempi dopo la tabella. In caso contrario, è possibile creare avvisi usando gli strumenti precedenti.
Credenziali dell'applicazione
Molte applicazioni usano le credenziali per l'autenticazione in Microsoft Entra ID. Qualsiasi altra credenziale aggiunta all'esterno dei processi previsti potrebbe essere un attore malintenzionato usando tali credenziali. È consigliabile usare certificati X509 emessi da autorità attendibili o identità gestite anziché usare segreti client. Tuttavia, se è necessario usare segreti client, seguire le procedure di igiene consigliate per mantenere al sicuro le applicazioni. Si noti che gli aggiornamenti dell'applicazione e dell'entità servizio vengono registrati come due voci nel log di audit.
Monitorare le applicazioni per identificare i tempi di scadenza delle credenziali lunghi.
Sostituire le credenziali di lunga durata con un breve intervallo di vita. Assicurarsi che le credenziali non vengano sottoposte a commit nei repository di codice e vengano archiviate in modo sicuro.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Aggiunta di credenziali alle applicazioni esistenti | Alto | Log di controllo di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare applicazione-certificati e gestione dei segreti -e- Attività: aggiornare l'entità servizio/Aggiornare l'applicazione |
Creare un avviso quando le credenziali vengono: aggiunte al di fuori dei normali orari di ufficio o flussi di lavoro, tipi non usati nell'ambiente o aggiunti a un'entità servizio non SAML che supporta il flusso. Modello di Microsoft Sentinel Regole Sigma |
| Credenziali con durata superiore a quella consentita dai criteri. | Medio | Microsoft Graph | Stato e data di fine delle credenziali della chiave dell'applicazione -e- Credenziali della password dell'applicazione |
È possibile usare l'API Microsoft Graph per trovare la data di inizio e di fine delle credenziali e valutare durate superiori a quelle consentite. Vedere Script di PowerShell seguendo questa tabella. |
Sono disponibili i seguenti avvisi e monitoraggio predefiniti:
Microsoft Sentinel: avvisa quando sono state aggiunte nuove credenziali per app o entità servizio
Monitoraggio di Azure: cartella di lavoro di Microsoft Entra per contribuire a valutare il rischio Solorigate - Microsoft Tech Community
App di Defender per il cloud: guida alle indagini sugli avvisi di rilevamento delle anomalie delle App di Defender per il cloud
PowerShell: script di PowerShell di esempio per conoscere la durata delle credenziali.
Autorizzazioni dell’applicazione
Come un account amministratore, alle applicazioni possono essere assegnati ruoli con privilegi. Alle app è possibile assegnare qualsiasi ruolo di Microsoft Entra, ad esempio Amministratore utenti o Ruoli controllo degli accessi in base al ruolo di Azure,ad esempio Lettore fatturazione. Poiché possono essere eseguiti senza un utente e come servizio in background, monitorare attentamente quando a un'applicazione vengono concessi ruoli o autorizzazioni con privilegi.
Entità servizio assegnata a un ruolo
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| App assegnata al ruolo Controllo degli accessi in base al ruolo di Azure o al ruolo Microsoft Entra | Da elevato a medio | Log di controllo di Microsoft Entra | Tipo: entità servizio Attività: "Aggiungere un membro al ruolo" o "Aggiungere un membro idoneo al ruolo” oppure “Aggiungere un membro con ambito a un ruolo”. |
Per i ruoli con privilegi elevati il rischio è elevato. Per i ruoli con privilegi più bassi il rischio è medio. Invia un avviso ogni volta che un'applicazione viene assegnata a un ruolo di Azure o a un ruolo Microsoft Entra al di fuori delle normali procedure di gestione delle modifiche o di configurazione. Modello di Microsoft Sentinel Regole Sigma |
L'applicazione ha concesso autorizzazioni con privilegi elevati
Le applicazioni devono usare il principio dei privilegi minimi. Prendere in esame le autorizzazioni dell'applicazione per assicurarsi che siano necessarie. È possibile creare un report di concessione del consenso dell'app per contribuire a identificare le applicazioni ed evidenziare le autorizzazioni con privilegi.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| All'app sono concesse autorizzazioni con privilegi elevati, ad esempio le autorizzazioni con ".All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.) | Alto | Log di controllo di Microsoft Entra | “Aggiungere un'assegnazione di ruolo app a un'entità servizio”, - dove- Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph) -e- AppRole.Value identifica un'autorizzazione dell'applicazione con privilegi elevati (ruolo app). |
Alle app sono concesse autorizzazioni generali, ad esempio le autorizzazioni ".All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.) Modello di Microsoft Sentinel Regole Sigma |
| Amministratore che concede le autorizzazioni dell'applicazione (ruoli dell'app) o autorizzazioni delegate con privilegi elevati | Alto | Portale Microsoft 365 | “Aggiungere un'assegnazione di ruolo app a un'entità servizio”, -dove- Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph) “Aggiungere concessioni di autorizzazioni delegate”, -dove- Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph) -e- DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati. |
Avvisa quando un amministratore acconsente a un'applicazione. In particolare cercare il consenso all'esterno delle normali attività e delle procedure di modifica. Modello di Microsoft Sentinel Modello di Microsoft Sentinel Modello di Microsoft Sentinel Regole Sigma |
| All'applicazione vengono concesse le autorizzazioni per Microsoft Graph, Exchange, SharePoint o Microsoft Entra ID. | Alto | Log di controllo di Microsoft Entra | “Aggiungere concessioni di autorizzazioni delegate” oppure “Aggiungere un'assegnazione di ruolo app a un'entità servizio”, -dove- Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph, Exchange Online e così via) |
Avvisi come nella riga precedente. Modello di Microsoft Sentinel Regole Sigma |
| Vengono concesse le autorizzazioni dell'applicazione (ruoli dell'app) per altre API | Medio | Log di controllo di Microsoft Entra | “Aggiungere un'assegnazione di ruolo app a un'entità servizio”, -dove- La destinazione identifica qualsiasi altra API. |
Avvisi come nella riga precedente. Regole Sigma |
| Autorizzazioni delegate con privilegi elevati sono concesse per conto di tutti gli utenti | Alto | Log di controllo di Microsoft Entra | "Aggiungi concessione di autorizzazioni delegate", ove le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph), DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati, -e- DelegatedPermissionGrant.ConsentType è "AllPrincipals". |
Avvisi come nella riga precedente. Modello di Microsoft Sentinel Modello di Microsoft Sentinel Modello di Microsoft Sentinel Regole Sigma |
Per altre informazioni sul monitoraggio delle autorizzazioni delle app, vedere l’esercitazione: Analizzare e correggere le app OAuth rischiose.
Azure Key Vault
Usare Azure Key Vault per archiviare i segreti del tenant. È consigliabile prestare attenzione alle modifiche apportate alla configurazione e alle attività di Key Vault.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Monitorare la modalità e le tempistiche degli accessi agli Insiemi di credenziali delle chiavi e gli utenti che eseguono l'accesso | Medio | Log di Azure Key Vault | Tipo di risorsa: Insiemi di credenziali delle chiavi | Cercare: qualsiasi accesso a Key Vault al di fuori dei normali processi e ore, tutte le modifiche apportate all'ACL di Key Vault. Modello di Microsoft Sentinel Regole Sigma |
Dopo aver configurato Azure Key Vault, abilitare la registrazione. Vedere come e quando si accede ai Key Vault e configurare gli avvisi in Key Vault per notificare agli utenti assegnati o alle liste di distribuzione tramite e-mail, telefono, testo o notifica di Griglia di eventi, se l'integrità è interessata. Inoltre, la configurazione del monitoraggio con le informazioni dettagliate di Key Vault offre uno snapshot delle richieste, delle prestazioni, degli errori e della latenza di Key Vault. Log Analytics include anche alcune query di esempio per Azure Key Vault a cui è possibile accedere dopo aver selezionato il Key Vault e successivamente in "Monitoraggio" selezionando "Log".
Consenso dell'utente finale
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Consenso dell'utente finale all'applicazione | Basso | Log di controllo di Microsoft Entra | Attività: consentire all'applicazione / ConsentContext.IsAdminConsent = false | Cercare: account con profili elevati o con privilegi elevati, app che richiede autorizzazioni ad alto rischio, app con nomi sospetti, ad esempio generici, con errori di ortografia e così via. Modello di Microsoft Sentinel Regole Sigma |
L'atto di fornire il consenso a un'applicazione non è dannoso. Tuttavia, prendere in esame le nuove concessioni di consenso dell'utente finale alla ricerca di applicazioni sospette. È possibile limitare le operazioni di consenso utente.
Per altre informazioni sulle operazioni di consenso, vedere le risorse seguenti:
Rilevare e correggere le concessioni di consenso illecite - Office 365
Playbook di risposta agli eventi imprevisti - Indagine sulla concessione del consenso dell'app
L'utente finale è stato arrestato a causa del consenso basato sul rischio
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Il consenso dell'utente finale è stato arrestato a causa del consenso basato sul rischio | Medio | Log di controllo di Microsoft Entra | Directory principale/ApplicationManagement/Consenso all'applicazione Motivo dello stato di errore = Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Monitorare e analizzare eventuali interruzioni del consenso a causa del rischio. Cercare: account ad alto profilo o con privilegi elevati, app che richiede autorizzazioni ad alto rischio o app con nomi sospetti, ad esempio generici, con errori di ortografia e così via. Modello di Microsoft Sentinel Regole Sigma |
Flussi dell’autenticazione dell’applicazione
Esistono diversi flussi nel protocollo OAuth 2.0. Il flusso consigliato per un'applicazione dipende dal tipo di applicazione in fase di compilazione. In alcuni casi, è disponibile una scelta di flussi per l'applicazione. In questo caso, alcuni flussi di autenticazione sono consigliati rispetto ad altri. In particolare, evitare le credenziali della password del proprietario della risorsa (ROPC) perché richiedono all'utente di esporre le credenziali della password correnti all'applicazione. L'applicazione usa quindi le credenziali per autenticare l'utente nel provider di identità. La maggior parte delle applicazioni deve usare il flusso del codice di autenticazione o il flusso del codice di autenticazione con la chiave di prova per Code Exchange (PKCE), perché questo flusso è consigliato.
L'unico scenario in cui è consigliato ROPC è per i test automatizzati delle applicazioni. Per informazioni dettagliate, vedere Eseguire test di integrazione automatizzati.
Il flusso di codice del dispositivo è un altro flusso di protocollo OAuth 2.0 per i dispositivi vincolati di input e non viene usato in tutti gli ambienti. Quando il flusso del codice del dispositivo viene visualizzato nell'ambiente e non viene usato in uno scenario di dispositivo vincolato di input. Altre indagini sono giustificate per un'applicazione non configurata correttamente o potenzialmente qualcosa di dannoso. Il flusso del codice del dispositivo può anche essere bloccato o consentito nell'Accesso condizionale. Per informazioni dettagliate, vedere Flussi di autenticazione dell'Accesso condizionale.
Monitorare l'autenticazione dell'applicazione usando la formazione seguente:
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Applicazioni che usano il flusso di autenticazione ROPC | Medio | Log di accesso di Microsoft Entra | Stato=Esito positivo Protocollo di autenticazione-ROPC |
L'elevato livello di attendibilità viene inserito in questa applicazione perché le credenziali possono essere memorizzate nella cache o archiviate. Passare, se possibile, a un flusso di autenticazione più sicuro. Questa operazione deve essere usata solo nei test automatizzati delle applicazioni, se necessario. Per altre informazioni, vedere Microsoft Identity Platform e credenziali di tipo password del proprietario della risorsa OAuth 2.0 Regole Sigma |
| Applicazioni che usano il flusso di codice del dispositivo | Da basso a medio | Log di accesso di Microsoft Entra | Stato=Esito positivo Authentication Protocol-Device Code |
I flussi di codice del dispositivo vengono usati per i dispositivi vincolati di input, che potrebbero non trovarsi in tutti gli ambienti. Se vengono visualizzati flussi di codice del dispositivo con esito positivo, senza bisogno di tali flussi, prendere in esame la validità. Per altre informazioni, vedere Microsoft Identity Platform e il flusso di concessione delle autorizzazioni per dispositivi OAuth 2.0 Regole Sigma |
Modifiche alla configurazione delle applicazioni
Monitorare le modifiche apportate alla configurazione dell'applicazione. In particolare, le modifiche alla configurazione vengono apportate allo Uniform Resource Identifier (URI), alla proprietà e all'URL di disconnessione.
Modifiche all'URI di reindirizzamento e all'URI di reindirizzamento
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| URI finale | Alto | Log di Microsoft Entra e registrazione dell'applicazione | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare l'applicazione Esito positivo - Nome proprietà AppAddress |
Ad esempio, cercare URI incerti che puntano a un nome di dominio che non esiste più o che non si è proprietari in modo esplicito. Modello di Microsoft Sentinel Regole Sigma |
| Modifiche alla configurazione dell'URI di reindirizzamento | Alto | Log di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare l'applicazione Esito positivo - Nome proprietà AppAddress |
Cercare gli URI che non usano HTTPS*, gli URI con caratteri jolly alla fine o con il dominio dell'URL, gli URI NON univoci per l'applicazione, gli URI che puntano a un dominio non controllato. Modello di Microsoft Sentinel Regole Sigma |
Avvisa quando vengono rilevate queste modifiche.
URI AppID aggiunto, modificato o rimosso
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Modifiche all'URI AppID | Alto | Log di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare Applicazione Attività: aggiornare un'entità servizio |
Cercare qualsiasi modifica dell'URI AppID, ad esempio l'aggiunta, la modifica o la rimozione dell'URI. Modello di Microsoft Sentinel Regole Sigma |
Avvisa quando queste modifiche vengono rilevate all'esterno delle procedure approvate per la gestione delle modifiche.
Nuovo proprietario
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Modifiche alla proprietà dell'applicazione | Medio | Log di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiungere il proprietario all'applicazione |
Cercare qualsiasi istanza di un utente da aggiungere come proprietario dell'applicazione al di fuori delle normali attività di gestione delle modifiche. Modello di Microsoft Sentinel Regole Sigma |
URL di disconnessione modificato o rimosso
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Modifiche all'URL di disconnessione | Basso | Log di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare l'applicazione -e- Attività: aggiornare un'entità servizio |
Cercare eventuali modifiche apportate a un URL di disconnessione. Le voci vuote o in posizioni inesistenti impediscono all’utente di terminare una sessione. Modello di Microsoft Sentinel Regole Sigma |
Risorse
Toolikit GitHub Microsoft Entra - https://github.com/microsoft/AzureADToolkit
Panoramica della sicurezza e linee guida sulla sicurezza di Azure Key Vault - Panoramica della sicurezza di Azure Key Vault
Informazioni e strumenti sui rischi di Solorigate - Cartella di lavoro di Microsoft Entra per aiutare nell’individuazione del rischio nell’accesso a Solorigate
Linee guida per il rilevamento degli attacchi OAuth - Aggiunta insolita di credenziali a un'app OAuth
Informazioni di configurazione di monitoraggio di Microsoft Entra per SIEM - Strumenti per i partner con l'integrazione di Monitoraggio di Azure
Passaggi successivi
Panoramica delle operazioni per la sicurezza di Microsoft Entra
Operazioni per la sicurezza per gli account utente
Operazioni per la sicurezza per gli account consumer
Operazioni per la sicurezza per gli account con privilegi
Operazioni per la sicurezza per Privileged Identity Management