Condividi tramite


Operazioni per la sicurezza per i dispositivi di Microsoft Entra

In genere i dispositivi non sono bersagli degli attacchi basati sull'identità, ma possono essere usati per superare e ingannare i controlli di sicurezza o per rappresentare gli utenti. I dispositivi possono avere una di quattro relazioni con Microsoft Entra ID:

I dispositivi registrati e aggiunti ricevono un token di aggiornamento primario (Primary Refresh Token, PRT), che può essere usato come artefatto di autenticazione primario e in alcuni casi come artefatto di autenticazione a più fattori. Gli utenti malintenzionati possono provare a registrare i propri dispositivi, usare PRT su dispositivi legittimi per accedere ai dati aziendali, rubare token basati su PRT da dispositivi utente legittimi o trovare configurazioni errate nei controlli basati su dispositivo in Microsoft Entra ID. Con i dispositivi aggiunti a Microsoft Entra ibrido, il processo di aggiunta viene avviato e controllato dagli amministratori, riducendo i metodi di attacco disponibili.

Per altre informazioni sui metodi di integrazione dei dispositivi, vedere Scegliere i metodi di integrazione nell'articolo Pianificare la distribuzione dei dispositivi Microsoft Entra.

Per ridurre il rischio che utenti malintenzionati attacchino l'infrastruttura tramite i dispositivi, monitorare

  • Registrazione dei dispositivi e aggiunta a Microsoft Entra

  • Accesso alle applicazioni da dispositivi non conformi

  • Recupero della chiave BitLocker

  • Ruoli di amministratore dei dispositivi

  • Accessi alle macchine virtuali

Dove guardare

I file di log da usare per l'indagine e il monitoraggio sono:

Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:

  • Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).

  • Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.

  • Monitoraggio di Azure: consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.

  • Hub eventi di Azure integrato con un sistema SIEM- : è possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure.

  • Microsoft Defender for Cloud Apps: consente di individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.

  • Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection: consente di rilevare i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.

Gran parte degli elementi che verranno monitorati e su cui si riceveranno avvisi rappresentano l'effetto dei criteri di accesso condizionale. È possibile usare la cartella di lavoro Informazioni dettagliate e report di accesso condizionale per esaminare gli effetti di uno o più criteri di accesso condizionale sugli accessi e i risultati dei criteri, incluso lo stato del dispositivo. Questa cartella di lavoro consente di visualizzare un riepilogo e di identificare gli effetti in un periodo di tempo specificato. È anche possibile usare la cartella di lavoro per esaminare gli accessi di un particolare utente.

Il resto di questo articolo contiene consigli relativi al monitoraggio e gli avvisi ed è organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite specifiche è presente un collegamento oppure vengono forniti esempi dopo la tabella. In caso contrario, è possibile creare avvisi usando gli strumenti precedenti.

Registrazioni e aggiunte dei dispositivi al di fuori dei criteri

I dispositivi registrati in Microsoft Entra e aggiunti a Microsoft Entra sono dotati di token di aggiornamento primari (PRT), che sono l'equivalente di un singolo fattore di autenticazione. Questi dispositivi possono talvolta contenere attestazioni di autenticazione avanzata. Per altre informazioni su quando i PRT contengono attestazioni di autenticazione avanzata, vedere Quando un token di aggiornamento primario riceve un'attestazione MFA? Per impedire a utenti malintenzionati di registrare o aggiungere dispositivi, richiedere l'autenticazione a più fattori (MFA) per registrare o aggiungere dispositivi. Monitorare quindi i dispositivi registrati o aggiunti senza MFA. Sarà anche necessario prestare attenzione alle modifiche delle impostazioni e dei criteri MFA e dei criteri di conformità dei dispositivi.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Registrazione o aggiunta del dispositivo completata senza MFA Medio Log di accesso Attività: autenticazione riuscita al servizio Registrazione dispositivo.
And
Autenticazione MFA non richiesta
Avvisare quando: un dispositivo viene registrato o aggiunto senza MFA
Modello di Microsoft Sentinel
Regole Sigma
Modifiche all'interruttore MFA di Registrazione dispositivo in Microsoft Entra ID Alto Log di audit Attività: impostazione di criteri di registrazione dei dispositivi Cercare: l'interruttore è impostato su disattivato. Non è presente una voce del log di audit. Pianificare controlli periodici.
Regole Sigma
Modifiche ai criteri di accesso condizionale che richiedono un dispositivo aggiunto a un dominio o conforme. Alto Log di audit Modifiche ai criteri di accesso condizionale
Avvisare quando: viene modificato qualunque criterio che richiede l'aggiunta a un dominio o la conformità, vengono modificati percorsi attendibili o vengono aggiunti account o dispositivi alle eccezioni dei criteri MFA.

È possibile creare un avviso che notifica agli amministratori appropriati i casi in cui un dispositivo viene registrato o aggiunto senza MFA usando Microsoft Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

È anche possibile usare Microsoft Intune per impostare e monitorare criteri di conformità dei dispositivi.

Accesso di un dispositivo non conforme

Potrebbe non essere possibile bloccare l'accesso a tutte le applicazioni cloud e SaaS con criteri di accesso condizionale che richiedono dispositivi conformi.

Il software MDM aiuta a mantenere conformi i dispositivi Windows 10. Con Windows versione 1809 è stata rilasciata una baseline di sicurezza dei criteri. Microsoft Entra ID può integrarsi con MDM per applicare la conformità dei dispositivi ai criteri aziendali e può segnalare lo stato di conformità di un dispositivo.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Accessi da dispositivi non conformi Alto Log di accesso DeviceDetail.isCompliant == false Se si richiede l'accesso da dispositivi conformi, avvisare quando: viene eseguito l'accesso da dispositivi non conformi, senza MFA o da un percorso non attendibile.

Se si lavora sui requisiti dei dispositivi, monitorare gli accessi sospetti.

Regole Sigma

Accessi da dispositivi sconosciuti Basso Log di accesso DeviceDetail è vuoto, autenticazione a fattore singolo o da un percorso non attendibile Cercare: qualsiasi accesso da dispositivi non conformi, qualsiasi accesso senza MFA o percorso attendibile
Modello di Microsoft Sentinel

Regole Sigma

Usare Log Analytics per eseguire query

Accessi da dispositivi non conformi

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Accessi da dispositivi sconosciuti


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Dispositivi non aggiornati

I dispositivi non aggiornati includono i dispositivi che non hanno eseguito l'accesso per un periodo di tempo specificato. I dispositivi possono diventare non aggiornati quando un utente perde un dispositivo o ne riceve uno nuovo oppure quando un dispositivo aggiunto a Microsoft Entra viene cancellato o sottoposto a nuovo provisioning. I dispositivi possono anche rimanere registrati o aggiunti quando l'utente non è più associato al tenant. I dispositivi non aggiornati devono essere rimossi in modo che i token di aggiornamento primari (PRT) non possano essere usati.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Data dell'ultimo accesso Basso API Graph approximateLastSignInDateTime Usare l'API Graph o PowerShell per identificare e rimuovere i dispositivi non aggiornati.

Recupero della chiave BitLocker

Gli utenti malintenzionati che hanno compromesso il dispositivo di un utente possono recuperare le chiavi BitLocker in Microsoft Entra ID. È raro che gli utenti recuperino le chiavi e questa situazione deve essere monitorata e analizzata.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Recupero delle chiavi Medio Log di audit OperationName == "Read BitLocker key" Cercare: recupero delle chiavi, altri comportamenti anomali da parte di utenti che recuperano chiavi.
Modello di Microsoft Sentinel

Regole Sigma

Creare una query in Log Analytics, ad esempio

AuditLogs
| where OperationName == "Read BitLocker key" 

Ruoli di amministratore dei dispositivi

I ruoli Amministratore locale dei dispositivi aggiunti a Microsoft Entra e Amministratore globale ottengono automaticamente i diritti di amministratore locale su tutti i dispositivi aggiunti a Microsoft Entra. È importante monitorare chi ha questi diritti per garantire la sicurezza dell'ambiente.

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Aggiunta di utenti aggiunti ai ruoli di amministratore globale o dei dispositivi Alto Log di audit Tipo di attività: aggiunta di un membro al ruolo. Cercare: aggiunta di nuovi utenti a questi ruoli di Microsoft Entra, successivo comportamento anomalo da parte di computer o utenti.
Modello di Microsoft Sentinel

Regole Sigma

Accessi alle macchine virtuali non di Azure AD

Gli accessi alle macchine virtuali (VM) Linux o Windows devono essere monitorati per rilevare gli accessi da account diversi dagli account Microsoft Entra.

Accesso Microsoft Entra per Linux

L'accesso Microsoft Entra per Linux consente alle organizzazioni di accedere alle macchine virtuali Linux di Azure usando gli account Microsoft Entra tramite il protocollo SSH (Secure Shell).

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Accesso di account non Azure AD, in particolare tramite SSH Alto Log di autenticazione locale Ubuntu:
monitorare l'uso di SSH in /var/log/auth.log
RedHat:
monitorare l'uso di SSH in var/log/sssd/
Cercare: voci in cui account non Azure AD si connettono correttamente alle macchine virtuali. Vedere l'esempio seguente.

Esempio di Ubuntu:

9 maggio 23:49:39 ubuntu1804 aad_certhandler[3915]: Versione: 1.0.015570001; utente: localusertest01

9 maggio 23:49:39 ubuntu1804 aad_certhandler[3915]: l'utente 'localusertest01' non è un utente di Microsoft Entra; restituzione di risultati vuoti.

9 maggio 23:49:43 ubuntu1804 aad_certhandler[3916]: Versione: 1.0.015570001; utente: localusertest01

9 maggio 23:49:43 ubuntu1804 aad_certhandler[3916]: l'utente 'localusertest01' non è un utente di Microsoft Entra; restituzione di risultati vuoti.

9 maggio 23:49:43 ubuntu1804 sshd[3909]: accettato pubblicamente per localusertest01 da 192.168.0.15 porta 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

9 maggio 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sessione aperta per l'utente localusertest01 da (uid=0).

È possibile impostare criteri per gli accessi alle macchine virtuali Linux e rilevare e contrassegnare le VM Linux a cui vengono aggiunti account locali non approvati. Per altre informazioni, vedere Usare Criteri di Azure per soddisfare gli standard e valutare la conformità.

Accessi Microsoft Entra per Windows Server

L'accesso Microsoft Entra per Windows consente all'organizzazione di accedere alle macchine virtuali Windows 2019 e versioni successive di Azure usando account Microsoft Entra tramite il protocollo RDP (Remote Desktop Protocol).

Cosa monitorare Livello di rischio Dove Filtro/Filtro secondario Note
Accesso di account non Azure AD, soprattutto tramite RDP Alto Registri eventi di Windows Server Accesso interattivo a VM Windows Evento 528, tipo di accesso 10 (RemoteInteractive).
Viene visualizzato quando un utente accede tramite Servizi terminal o Desktop remoto.

Passaggi successivi

Panoramica delle operazioni per la sicurezza di Microsoft Entra

Operazioni per la sicurezza per gli account utente

Operazioni per la sicurezza per gli account consumer

Operazioni per la sicurezza per gli account con privilegi

Operazioni per la sicurezza per Privileged Identity Management

Operazioni per la sicurezza per le applicazioni

Operazioni per la sicurezza per l'infrastruttura