Condividi tramite


Operazioni per la sicurezza per gli account consumer di Microsoft Entra

Le attività di identità dei consumer sono un'area importante che l'organizzazione deve proteggere e monitorare. Questo articolo riguarda i tenant di Azure Active Directory B2C (Azure AD B2C) e offre indicazioni per il monitoraggio delle attività degli account consumer. Le attività sono:

  • Account consumer
  • Account con privilegi
  • Applicazione
  • Infrastruttura

Operazioni preliminari

Prima di usare le indicazioni contenute in questo articolo, è consigliabile leggere la Guida alle operazioni per la sicurezza di Microsoft Entra.

Definire una linea di base

Per individuare un comportamento anomalo, definire il comportamento normale e previsto. La definizione del comportamento previsto per l'organizzazione consente di individuare comportamenti imprevisti. Usare la definizione per ridurre i falsi positivi durante il monitoraggio e l'invio di avvisi.

Dopo aver definito il comportamento previsto, eseguire il monitoraggio di base per convalidare le aspettative. Monitorare quindi i log per individuare gli elementi che non rientrano nella tolleranza.

Per gli account creati al di fuori dei normali processi, usare i log di controllo di Microsoft Entra, i log di accesso di Microsoft Entra e gli attributi della directory come origini dati. I suggerimenti seguenti consentono di definire la normalità.

Creazione di un account consumer

Valutare l’elenco seguente:

  • Strategia e principi di strumenti e processi per creare e gestire gli account consumer
    • Ad esempio, attributi e formati standard applicati agli attributi degli account consumer
  • Origini approvate per la creazione di account.
    • Ad esempio, l'onboarding di criteri personalizzati, il provisioning dei clienti o lo strumento di migrazione
  • Strategia di avviso per gli account creati al di fuori delle origini approvate.
    • Creare un elenco controllato di organizzazioni con cui collabora l'organizzazione
  • Parametri di strategia e avviso per gli account creati, modificati o disabilitati da un amministratore dell'account consumer non approvato
  • Strategia di monitoraggio e avviso per gli account consumer a cui mancano attributi standard, ad esempio il numero del cliente, o che non seguono le convenzioni di denominazione dell'organizzazione
  • Strategia, principi e processo per l'eliminazione e la conservazione degli account

Dove cercare

Usare i file di log per l’analisi e il monitoraggio. Per altre informazioni, vedere gli articoli seguenti:

Log di controllo e strumenti di automazione

Dal portale di Azure è possibile visualizzare i log di controllo di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Usare il portale di Azure per integrare i log di Microsoft Entra con altri strumenti per automatizzare il monitoraggio e gli avvisi:

Usare la parte restante dell'articolo per ricevere consigli su cosa monitorare e quando creare avvisi. Fare riferimento alle tabelle, organizzate in base al tipo di minaccia. Vedere i collegamenti a soluzioni predefinite o esempi secondo la tabella. Creare avvisi usando gli strumenti indicati in precedenza.

Account consumer

Cosa monitorare Livello di rischio Dove Filtro/filtro secondario Note
Numero elevato di creazioni o eliminazioni di account Alto Log di controllo di Microsoft Entra Attività: aggiungere un utente
Stato = esito positivo
Avviato da (attore) = Servizio CPIM
-e-
Attività: eliminare un utente
Stato = esito positivo
Avviato da (attore) = Servizio CPIM
Definire una soglia di base, quindi monitorare e adattarsi ai comportamenti dell'organizzazione. Limitare i falsi avvisi.
Account creati ed eliminati da utenti o processi non approvati Medio Log di controllo di Microsoft Entra Avviato da (attore) - NOME DELL'ENTITÀ UTENTE
-e-
Attività: aggiungere un utente
Stato = esito positivo
Avviato da (attore) != Servizio CPIM
and-or
Attività: eliminare un utente
Stato = esito positivo
Avviato da (attore) != Servizio CPIM
Se gli attori sono utenti non approvati, eseguire la configurazione per l’invio di un avviso.
Account assegnati a un ruolo con privilegi Alto Log di controllo di Microsoft Entra Attività: aggiungere un utente
Stato = esito positivo
Avviato da (attore) == Servizio CPIM
-e-
Attività: aggiungere un membro a un ruolo
Stato = Esito positivo
Se l'account viene assegnato a un ruolo di Microsoft Entra, a un ruolo di Azure o a un'appartenenza a gruppi con privilegi, creare avvisi e classificare l'indagine.
Tentativi di accesso non riusciti Medio: se evento imprevisto isolato
Elevato: se molti account riscontrano lo stesso modello
Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
Codice errore di accesso 50126: errore durante la convalida delle credenziali a causa di un nome utente o di una password non validi.
-e-
Applicazione == "CPIM PowerShell Client"
oppure
Applicazione == "ProxyIdentityExperienceFramework"
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare la generazione di falsi avvisi.
Eventi di blocco intelligente Medio: se evento imprevisto isolato
Elevato: se molti account riscontrano lo stesso modello, o un indirizzo VIP
Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
Codice errore di accesso = 50053 – IdsLocked
-e-
Applicazione == "CPIM PowerShell Client"
oppure
Applicazione =="ProxyIdentityExperienceFramework"
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare i falsi avvisi.
Autenticazioni non riuscite da Paesi o aree geografiche in cui non si è operativi Medio Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
Posizione = <posizione non approvata>
-e-
Applicazione == "CPIM PowerShell Client"
oppure
Applicazione == "ProxyIdentityExperienceFramework"
Monitorare le voci diverse dai nomi di città specificati.
Aumento delle autenticazioni non riuscite di qualsiasi tipo Medio Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
Applicazione == "CPIM PowerShell Client"
oppure
Applicazione == "ProxyIdentityExperienceFramework"
Se non è disponibile una soglia, monitorare e creare avvisi se gli errori aumentano dal 10% in su.
Account disabilitato/bloccato per gli accessi Basso Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
codice errore = 50057, L'account utente è disabilitato.
Questo scenario potrebbe indicare un utente che prova a ottenere l’accesso a un account dopo aver lasciato un'organizzazione. L'account è bloccato, ma è importante registrare questa attività e creare un avviso.
Aumento misurabile degli accessi riusciti Basso Log di accesso di Microsoft Entra Stato = Esito positivo
-e-
Applicazione == "CPIM PowerShell Client"
oppure
Applicazione == "ProxyIdentityExperienceFramework"
Se non si dispone di una soglia, monitorare e creare avvisi se le autenticazioni riuscite aumentano del 10% o superiore.

Account con privilegi

Cosa monitorare Livello di rischio Dove Filtro/filtro secondario Note
Errore di accesso, soglia password non valida Alto Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
codice errore = 50126
Definire una soglia di base e monitorare e adattarsi ai comportamenti dell'organizzazione. Limitare i falsi avvisi.
Errore a causa del requisito di accesso condizionale Alto Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
codice errore = 53003
-e-
Motivo errore = Bloccato dall'accesso condizionale
L'evento può indicare che un utente malintenzionato sta tentando di accedere all'account.
Interrompere Alto, medio Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
codice errore = 53003
-e-
Motivo errore = Bloccato dall'accesso condizionale
L'evento può indicare che un utente malintenzionato ha la password dell'account, ma non può superare la richiesta di autenticazione a più fattori.
Blocco dell'account Alto Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
codice errore = 50053
Definire una soglia di base, quindi monitorare e adattarsi ai comportamenti dell'organizzazione. Limitare i falsi avvisi.
Account disabilitato o bloccato per gli accessi low Log di accesso di Microsoft Entra Stato = Esito negativo
-e-
Target = UPN utente
-e-
codice errore = 50057
L’evento potrebbe indicare un utente che prova a ottenere l’accesso all’account dopo aver lasciato l'organizzazione. Anche se l'account è bloccato, registrare questa attività e creare un avviso.
Avviso o blocco di frodi nell’autenticazione a più fattori Alto Log di accesso di Microsoft Entra/Azure Log Analytics Dettagli dell'autenticazione>Accessi
Dettagli dei risultati = autenticazione a più fattori negata, codice illecito immesso
L'utente con privilegi segnala di non aver avviato la richiesta di autenticazione a più fattori, e ciò potrebbe indicare che un utente malintenzionato abbia la password dell'account.
Avviso o blocco di frodi nell’autenticazione a più fattori Alto Log di accesso di Microsoft Entra/Azure Log Analytics Tipo di attività = Frode segnalata - L'utente viene bloccato per l'autenticazione a più fattori o per le frodi segnalate - Nessuna azione eseguita, in base alle impostazioni a livello di tenant sul report illecito L'utente con privilegi non ha indicato alcuna richiesta di autenticazione a più fattori. Lo scenario può indicare che un utente malintenzionato ha la password dell'account.
Accessi con account con privilegi al di fuori dei controlli previsti Alto Log di accesso di Microsoft Entra Stato = Esito negativo
UserPricipalName = <Account amministratore>
Posizione = <posizione non approvata>
Indirizzo IP = <IP non approvato>
Informazioni sul dispositivo = <browser, sistema operativo non approvati>
Monitorare e creare avvisi per le voci definite come non approvate.
Al di fuori dei normali orari di accesso Alto Log di accesso di Microsoft Entra Stato = Esito positivo
-e-
Percorso =
-e-
Tempo = Al di fuori delle ore lavorative
Monitorare e creare avvisi se gli accessi si verificano al di fuori dei tempi previsti. Trovare il modello di lavoro normale per ogni account con privilegi e creare avvisi se sono presenti modifiche non pianificate al di fuori dei normali orari di lavoro. Gli accessi al di fuori delle normali ore lavorative potrebbero indicare una compromissione o una possibile minaccia interna.
Modifica della password Alto Log di controllo di Microsoft Entra Attore attività = Amministratore/Self-service
-e-
Target = Utente
-e-
Stato = Esito positivo o negativo
Creare avvisi quando viene modificata una password dell'account amministratore. Scrivere una query per gli account con privilegi.
Modifiche ai metodi di autenticazione Alto Log di controllo di Microsoft Entra Attività: Creare un provider di identità
Categoria: ResourceManagement
Target: Nome dell'entità utente
La modifica potrebbe indicare che un utente malintenzionato aggiunge un metodo di autenticazione all'account per avere accesso continuo.
Provider di identità aggiornato da attori non approvati Alto Log di controllo di Microsoft Entra Attività: Aggiornare il provider di identità
Categoria: ResourceManagement
Target: Nome dell'entità utente
La modifica potrebbe indicare che un utente malintenzionato aggiunge un metodo di autenticazione all'account per avere accesso continuo.
Provider di identità eliminato da attori non approvati Alto Verifiche di accesso di Microsoft Entra Attività: Eliminare il provider di identità
Categoria: ResourceManagement
Target: Nome dell'entità utente
La modifica potrebbe indicare che un utente malintenzionato aggiunge un metodo di autenticazione all'account per avere accesso continuo.

Applicazioni

Cosa monitorare Livello di rischio Dove Filtro/filtro secondario Note
Credenziali aggiunte alle applicazioni Alto Log di controllo di Microsoft Entra Service-Core Directory, Category-ApplicationManagement
Attività: Aggiornare applicazione-certificati e gestione dei segreti
-e-
Attività: Aggiornare l'entità servizio/Aggiornare l'applicazione
Creare un avviso quando le credenziali vengono: aggiunte al di fuori dei normali orari di ufficio o flussi di lavoro, tipi non usati nell'ambiente o aggiunti a un'entità servizio non SAML che supporta il flusso.
App assegnata a un ruolo di controllo degli accessi in base al ruolo di Azure o a un ruolo di Microsoft Entra Da elevato a medio Log di controllo di Microsoft Entra Tipo: entità servizio
Attività: “Aggiungere un membro a un ruolo”
or
“Aggiungere un membro idoneo al ruolo”
oppure
“Aggiungere un membro con ambito a un ruolo.”
N/D
All'app sono concesse autorizzazioni con privilegi elevati, ad esempio le autorizzazioni con ".All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.) Alto Log di controllo di Microsoft Entra N/D Alle app sono concesse autorizzazioni generali, ad esempio le autorizzazioni ".All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.)
Amministratore che concede le autorizzazioni dell'applicazione (ruoli dell'app) o autorizzazioni delegate con privilegi elevati Alto Portale Microsoft 365 “Aggiungere un'assegnazione di ruolo app a un'entità servizio”
-where-
Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph) "Aggiungi concessione di autorizzazioni delegate"
-where-
Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph)
-e-
DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati.
Creare un avviso quando un amministratore globale, di un'applicazione o di un'applicazione cloud dà il consenso per un'applicazione. In particolare cercare il consenso all'esterno delle normali attività e delle procedure di modifica.
All'applicazione vengono concesse le autorizzazioni per Microsoft Graph, Exchange, SharePoint o Microsoft Entra ID. Alto Log di controllo di Microsoft Entra “Aggiungere concessioni di autorizzazioni delegate”
oppure
“Aggiungere un'assegnazione di ruolo app a un'entità servizio”
-where-
Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph, Exchange Online e così via)
Usare l'avviso nella riga precedente.
Autorizzazioni delegate con privilegi elevati concesse per conto di tutti gli utenti Alto Log di controllo di Microsoft Entra “Aggiungere concessioni di autorizzazioni delegate”
where
Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph)
DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati
-e-
DelegatedPermissionGrant.ConsentType è "AllPrincipals".
Usare l'avviso nella riga precedente.
Applicazioni che usano il flusso di autenticazione ROPC Medio Log di accesso di Microsoft Entra Stato=Esito positivo
Protocollo di autenticazione-ROPC
L'elevato livello di attendibilità viene inserito in questa applicazione perché le credenziali possono essere memorizzate nella cache o archiviate. Se possibile, passare a un flusso di autenticazione più sicuro. Eventualmente, usare il processo solo nei test delle applicazioni automatizzati.
URI finale Alto Log di Microsoft Entra e registrazione dell'applicazione Service-Core Directory
Category-ApplicationManagement
Attività: Aggiornare l'applicazione
Esito positivo - Nome proprietà AppAddress
Ad esempio, cercare URI finali che puntano a un nome di dominio che non è più presente o di cui non si è proprietari.
Modifiche alla configurazione dell'URI di reindirizzamento Alto Log di Microsoft Entra Service-Core Directory
Category-ApplicationManagement
Attività: Aggiornare l'applicazione
Esito positivo - Nome proprietà AppAddress
Cercare gli URI che non usano HTTPS*, gli URI con caratteri jolly alla fine o con il dominio dell'URL, gli URI non univoci per l'applicazione, gli URI che puntano a un dominio non controllato.
Modifiche all'URI AppID Alto Log di Microsoft Entra Service-Core Directory
Category-ApplicationManagement
Attività: Aggiornare l'applicazione
Attività: Aggiornare un'entità servizio
Cercare le modifiche dell'URI AppID, ad esempio l'aggiunta, la modifica o la rimozione dell'URI.
Modifiche alla proprietà dell'applicazione Medio Log di Microsoft Entra Service-Core Directory
Category-ApplicationManagement
Attività: Aggiungere il proprietario all'applicazione
Cercare le istanze degli utenti aggiunte come proprietari di applicazioni al di fuori delle normali attività di gestione delle modifiche.
Modifiche all'URL di disconnessione Basso Log di Microsoft Entra Service-Core Directory
Category-ApplicationManagement
Attività: Aggiornare l'applicazione
-e-
Attività: Aggiornare un'entità servizio
Cercare le modifiche apportate a un URL di disconnessione. Le voci vuote o in posizioni inesistenti impediscono all’utente di terminare una sessione.

Infrastruttura

Cosa monitorare Livello di rischio Dove Filtro/filtro secondario Note
Nuovi criteri di accesso condizionale creati da attori non approvati Alto Log di controllo di Microsoft Entra Attività: aggiungere criteri di Accesso condizionale
Categoria: criteri
Avviato da (attore): Nome dell'entità utente
Monitorare le modifiche all'accesso condizionale e creare avvisi. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale?
Criteri di accesso condizionale rimossi da attori non approvati Medio Log di controllo di Microsoft Entra Attività: eliminare i criteri di Accesso condizionale
Categoria: criteri
Avviato da (attore): Nome dell'entità utente
Monitorare le modifiche all'accesso condizionale e creare avvisi. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale?
Criteri di accesso condizionale aggiornati da attori non approvati Alto Log di controllo di Microsoft Entra Attività: aggiornare i criteri di Accesso condizionale
Categoria: criteri
Avviato da (attore): Nome dell'entità utente
Monitorare le modifiche all'accesso condizionale e creare avvisi. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale?
Esaminare le proprietà modificate e confrontare il valore nuovo con quello vecchio
Criteri personalizzati B2C creati da attori non approvati Alto Log di controllo di Microsoft Entra Attività: Creare criteri personalizzati
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche ai criteri personalizzati e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai criteri personalizzati?
Criteri personalizzati B2C aggiornati da attori non approvati Alto Log di controllo di Microsoft Entra Attività: Ottenere criteri personalizzati
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche ai criteri personalizzati e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai criteri personalizzati?
Criteri personalizzati B2C eliminati da attori non approvati Medio Log di controllo di Microsoft Entra Attività: Eliminare criteri personalizzati
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche ai criteri personalizzati e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai criteri personalizzati?
Flusso utente creato da attori non approvati Alto Log di controllo di Microsoft Entra Attività: Creare un flusso utente
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche al flusso utente e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai flussi utente?
Flusso utente aggiornato da attori non approvati Alto Log di controllo di Microsoft Entra Attività: Aggiornare il flusso utente
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche al flusso utente e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai flussi utente?
Flusso utente eliminato da attori non approvati Medio Log di controllo di Microsoft Entra Attività: Eliminare il flusso utente
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche al flusso utente e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai flussi utente?
Connettori API creati da attori non approvati Medio Log di controllo di Microsoft Entra Attività: Creare un connettore API
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche al connettore API e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai connettori API?
Connettori API aggiornati da attori non approvati Medio Log di controllo di Microsoft Entra Attività: Aggiornare un connettore API
Categoria: ResourceManagement
Target: Nome dell'entità utente: ResourceManagement
Monitorare le modifiche al connettore API e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai connettori API?
Connettori API eliminati da attori non approvati Medio Log di controllo di Microsoft Entra Attività: Aggiornare un connettore API
Categoria: ResourceManagment
Target: Nome dell'entità utente: ResourceManagement
Monitorare le modifiche al connettore API e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai connettori API?
Provider di identità (IDP) creato da attori non approvati Alto Log di controllo di Microsoft Entra Attività: Creare un provider di identità
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche al provider di identità e creare avvisi. Avviato da (attore): approvato per apportare modifiche alla configurazione del provider di identità?
IDP aggiornato da attori non approvati Alto Log di controllo di Microsoft Entra Attività: Aggiornare il provider di identità
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche al provider di identità e creare avvisi. Avviato da (attore): approvato per apportare modifiche alla configurazione del provider di identità?
IDP eliminato da attori non approvati Medio Log di controllo di Microsoft Entra Attività: Eliminare il provider di identità
Categoria: ResourceManagement
Target: Nome dell'entità utente
Monitorare le modifiche al provider di identità e creare avvisi. Avviato da (attore): approvato per apportare modifiche alla configurazione del provider di identità?

Passaggi successivi

Per altre informazioni, vedere i seguenti articoli sulle operazioni per la sicurezza: