Operazioni per la sicurezza per gli account utente di Microsoft Entra
L'identità utente è uno degli aspetti più importanti della protezione dell'organizzazione e dei dati. Questo articolo fornisce indicazioni per il monitoraggio della creazione, dell'eliminazione e dell'utilizzo dell'account. La prima parte illustra come monitorare la creazione e l'eliminazione di account insoliti. La seconda parte illustra come monitorare l'utilizzo insolito degli account.
Se non si ha ancora letto la panoramica delle operazioni di sicurezza di Microsoft Entra, è consigliabile farlo prima di procedere.
Questo articolo illustra gli account utente generali. Per gli account con privilegi, vedere Operazioni di sicurezza : account con privilegi.
Definire una linea di base
Per individuare un comportamento anomalo, è prima necessario definire il comportamento normale e previsto. La definizione del comportamento previsto per l'organizzazione contribuisce a determinare quando si verifica un comportamento imprevisto. La definizione contribuisce inoltre a ridurre il livello di rumore dei falsi positivi durante il monitoraggio e l'invio di avvisi.
Dopo aver definito ciò che ci si aspetta, eseguire il monitoraggio di base per convalidare le aspettative. Con queste informazioni, è possibile monitorare i log per qualsiasi elemento che non rientra nelle tolleranze definite.
Per gli account creati al di fuori dei normali processi, usare i log di audit di Microsoft Entra, i log di accesso di Microsoft Entra e gli attributi della directory come origini dati. Di seguito sono riportati suggerimenti che contribuiscono a considerare e definire la normale procedura per l'organizzazione.
Creazione di account degli utenti: valutare quanto segue:
Strategia e principi per strumenti e processi usati per la creazione e la gestione degli account utente. Ad esempio, sono presenti attributi standard, formati applicati agli attributi dell'account utente.
Origini approvate per la creazione di account. Ad esempio, originato in Active Directory (AD), Microsoft Entra ID o sistemi HR come Workday.
Strategia di avviso per gli account creati al di fuori delle origini approvate. È presente un elenco controllato di organizzazioni con cui collabora l'organizzazione?
Provisioning di account guest e parametri di avviso per gli account creati al di fuori della gestione entitlement o di altri processi normali.
Parametri di strategia e avviso per gli account creati, modificati o disabilitati da un account che non è un amministratore utente approvato.
Strategia di monitoraggio e avviso per gli account a cui mancano attributi standard, ad esempio l’ID del dipendente, o che non seguono le convenzioni di denominazione dell'organizzazione.
Strategia, principi e processo per l'eliminazione e la conservazione degli account.
Account utente locali: valutare quanto segue per gli account sincronizzati con Microsoft Entra Connect:
Foreste, domini e unità organizzative nell'ambito della sincronizzazione. Chi sono gli amministratori approvati che possono modificare queste impostazioni e con quale frequenza viene controllato l'ambito?
Tipi di account sincronizzati. Ad esempio, account utente e account di servizio.
Il processo per la creazione di account locali con privilegi e il modo in cui viene controllata la sincronizzazione di questo tipo di account.
Processo di creazione di account utente locali e modalità di gestione della sincronizzazione di questo tipo di account.
Per altre informazioni sulla protezione e sul monitoraggio degli account locali, vedere Protezione di Microsoft 365 da attacchi locali.
Account utente cloud: valutare quanto segue:
Processo di provisioning e gestione degli account cloud direttamente in Microsoft Entra ID.
Processo per determinare i tipi di utenti di cui è stato effettuato il provisioning come account cloud di Microsoft Entra. Ad esempio, si consentono solo gli account con privilegi o si consentono anche gli account utente?
Il processo per creare e gestire un elenco di utenti e processi attendibili previsti per creare e gestire gli account utente cloud.
Il processo per creare e gestire una strategia di avviso per gli account non approvati basati sul cloud.
Dove cercare
I file di log da usare per l'indagine e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).
Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.
Monitoraggio di Azure: consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.
Hub eventi di Azure integrato con un sistema SIEM: è possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure.
Microsoft Defender for Cloud Apps: consente di individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.
Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection: consente di rilevare i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.
Gran parte degli elementi che verranno monitorati e su cui si riceveranno avvisi rappresentano l'effetto dei criteri di Accesso condizionale. È possibile usare la cartella di lavoro Informazioni dettagliate e report di Accesso condizionale per prendere in esame gli effetti di uno o più criteri di Accesso condizionale sugli accessi e i risultati dei criteri, incluso lo stato del dispositivo. Questa cartella di lavoro consente di visualizzare un riepilogo e di identificare gli effetti in un periodo di tempo specificato. È anche possibile usare la cartella di lavoro per prendere in esame gli accessi di un particolare utente.
Il resto di questo articolo contiene consigli relativi al monitoraggio e gli avvisi ed è organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite specifiche è presente un link oppure vengono forniti esempi dopo la tabella. In caso contrario, è possibile creare avvisi usando gli strumenti precedenti.
Creazione account
La creazione di un account anomalo può indicare un problema di sicurezza. È consigliabile analizzare gli account di breve durata, gli account che non seguono gli standard di denominazione e gli account creati al di fuori dei processi normali.
Account di breve durata
La creazione e l'eliminazione di account al di fuori dei normali processi di gestione delle identità devono essere monitorati in Microsoft Entra ID. Gli account di breve durata sono account creati ed eliminati in un breve intervallo di tempo. Questo tipo di creazione e eliminazione rapida dell'account potrebbe significare che un attore malintenzionato sta tentando di evitare il rilevamento creando account, usandoli e quindi eliminando l'account.
I modelli di account di breve durata possono indicare persone o processi non approvati possono avere il diritto di creare ed eliminare account che non rientrano nei processi e nei criteri stabiliti. Questo tipo di comportamento rimuove i marcatori visibili dalla directory.
Se il percorso dati per la creazione e l'eliminazione dell'account non viene individuato rapidamente, le informazioni necessarie per analizzare un evento imprevisto potrebbero non esistere più. Ad esempio, gli account potrebbero essere eliminati e quindi eliminati dal Cestino. I log di audit vengono conservati per 30 giorni. È tuttavia possibile esportare i log in Monitoraggio di Azure o in una soluzione Security Information and Event Management (SIEM) per la conservazione a lungo termine.
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Eventi di creazione ed eliminazione dell'account entro un intervallo di tempo di chiusura. | Alto | Log di controllo di Microsoft Entra | Attività: aggiungere un utente Stato = Esito positivo -e- Attività: eliminare un utente Stato = Esito positivo |
Cercare gli eventi Nome dell'entità utente (UPN). Cercare gli account creati e quindi eliminati in meno di 24 ore. Modello di Microsoft Sentinel |
Account creati ed eliminati da utenti o processi non approvati. | Medio | Log di controllo di Microsoft Entra | Avviato da (attore) - NOME DELL'ENTITÀ UTENTE -e- Attività: aggiungere un utente Stato = Esito positivo e-o Attività: eliminare un utente Stato = Esito positivo |
Se gli attori sono utenti non approvati, eseguire la configurazione per l’invio di un avviso. Modello di Microsoft Sentinel |
Account provenienti da origini non approvate. | Medio | Log di controllo di Microsoft Entra | Attività: aggiungere un utente Stato = Esito positivo Target = NOME DELL'ENTITÀ UTENTE |
Se la voce non proviene da un dominio approvato o è un dominio bloccato noto, configurare per inviare un avviso. Modello di Microsoft Sentinel |
Account assegnati a un ruolo con privilegi. | Alto | Log di controllo di Microsoft Entra | Attività: aggiungere un utente Stato = Esito positivo -e- Attività: eliminare un utente Stato = Esito positivo -e- Attività: aggiungere un membro a un ruolo Stato = Esito positivo |
Se l'account viene assegnato a un ruolo di Microsoft Entra, a un ruolo di Azure o a un'appartenenza a gruppi con privilegi, creare avvisi e classificare l'indagine. Modello di Microsoft Sentinel Regole Sigma |
Gli account con privilegi e senza privilegi devono essere monitorati e segnalati. Tuttavia, poiché gli account con privilegi hanno autorizzazioni amministrative, devono avere una priorità più alta nei processi di monitoraggio, avviso e risposta.
Account che non seguono i criteri di denominazione
Gli account utente che non seguono i criteri di denominazione potrebbero essere stati creati al di fuori dei criteri dell'organizzazione.
Una procedura consigliata consiste nell'avere un criterio di denominazione per gli oggetti utente. La gestione dei criteri di denominazione semplifica la gestione e contribuisce a garantire la coerenza. I criteri possono anche aiutare a individuare quando gli utenti sono stati creati all'esterno dei processi approvati. Un attore non valido potrebbe non essere a conoscenza degli standard di denominazione e potrebbe semplificare il rilevamento di un account di cui è stato effettuato il provisioning all'esterno dei processi dell'organizzazione.
Le organizzazioni tendono ad avere formati e attributi specifici usati per la creazione di account utente e o con privilegi. Ad esempio:
UPN dell'account amministratore = ADM_firstname.lastname@tenant.onmicrosoft.com
UPN dell'account utente = Firstname.Lastname@contoso.com
Spesso gli account utente hanno un attributo che identifica un utente reale. Ad esempio, EMPID = XXXNNN. Usare i suggerimenti seguenti per contribuire a definire la normale per l'organizzazione e quando si definisce una linea di base per le voci di log quando gli account non seguono la convenzione di denominazione:
Account che non seguono la convenzione di denominazione. Ad esempio,
nnnnnnn@contoso.com
rispetto afirstname.lastname@contoso.com
.Gli account che non hanno gli attributi standard popolati o non sono nel formato corretto. Ad esempio, non avere un ID dipendente valido.
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Account utente che non hanno attributi previsti definiti. | Basso | Log di controllo di Microsoft Entra | Attività: aggiungere un utente Stato = Esito positivo |
Cercare gli account con gli attributi standard null o nel formato errato. Ad esempio, EmployeeID Modello di Microsoft Sentinel |
Account utente creati usando un formato di denominazione non corretto. | Basso | Log di controllo di Microsoft Entra | Attività: aggiungere un utente Stato = Esito positivo |
Cercare gli account con un UPN che non segue i criteri di denominazione. Modello di Microsoft Sentinel |
Account con privilegi che non seguono i criteri di denominazione. | Alto | Sottoscrizione di Azure | Elencare le assegnazioni di ruolo di Azure usando il portale di Azure - controllo degli accessi in base al ruolo di Azure | Elencare le assegnazioni di ruolo per le sottoscrizioni e gli avvisi in cui il nome di accesso non corrisponde al formato dell'organizzazione. Ad esempio, ADM_ come prefisso. |
Account con privilegi che non seguono i criteri di denominazione. | Alto | Directory Microsoft Entra | Elencare le assegnazioni di ruolo di Microsoft Entra | Elencare le assegnazioni dei ruoli per i ruoli di Microsoft Entra in cui UPN non corrisponde al formato delle organizzazioni. Ad esempio, ADM_ come prefisso. |
Per altre informazioni sull'analisi, vedere:
Log di audit di Microsoft Entra: Analizzare i dati di testo nei log di Monitoraggio di Azure
Sottoscrizioni di Azure: Elencare le assegnazioni di ruolo di Azure con Azure PowerShell
Microsoft Entra ID - Elencare le assegnazioni di ruolo di Microsoft Entra
Account creati all'esterno dei processi normali
La creazione di account con privilegi e utenti standard è importante per poter controllare in modo sicuro il ciclo di vita delle identità. Se viene effettuato il provisioning e il deprovisioning degli utenti al di fuori dei processi stabiliti, può introdurre rischi per la sicurezza. L'uso al di fuori dei processi stabiliti può anche introdurre problemi di gestione delle identità. I potenziali rischi includono:
Gli account utente e con privilegi potrebbero non essere regolati per rispettare i criteri dell'organizzazione. Ciò può causare una superficie di attacco più ampia sugli account che non sono gestiti correttamente.
Diventa più difficile rilevare quando gli attori malintenzionati creano account per scopi dannosi. Avendo account validi creati al di fuori delle procedure stabilite, diventa più difficile rilevare quando vengono creati gli account o le autorizzazioni modificate per scopi dannosi.
È consigliabile creare account utente e con privilegi solo in base ai criteri dell'organizzazione. Ad esempio, è necessario creare un account con gli standard di denominazione corretti, le informazioni dell'organizzazione e l'ambito della governance delle identità appropriata. Le organizzazioni devono disporre di controlli rigorosi per chi ha i diritti per creare, gestire ed eliminare le identità. I ruoli per creare questi account devono essere strettamente gestiti e i diritti disponibili solo dopo aver seguito un flusso di lavoro stabilito per approvare e ottenere queste autorizzazioni.
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Account utente creati o eliminati da utenti o processi non approvati. | Medio | Log di controllo di Microsoft Entra | Attività: aggiungere un utente Stato = Esito positivo e-o- Attività: eliminare un utente Stato = Esito positivo -e- Avviato da (attore) = NOME DELL'ENTITÀ UTENTE |
Avviso per gli account creati da utenti o processi non approvati. Assegnare priorità agli account creati con privilegi più alti. Modello di Microsoft Sentinel |
Account utente creati o eliminati da origini non approvate. | Medio | Log di controllo di Microsoft Entra | Attività: aggiungere un utente Stato = Esito positivo oppure Attività: eliminare un utente Stato = Esito positivo -e- Target = NOME DELL'ENTITÀ UTENTE |
Avvisa quando il dominio non è approvato o è un dominio bloccato noto. |
Accessi insoliti
La visualizzazione degli errori per l'autenticazione utente è normale. Tuttavia, la visualizzazione di modelli o blocchi di errori può essere un indicatore che sta accadendo qualcosa con l'identità di un utente. Ad esempio, durante gli attacchi password spraying o di forza bruta o quando un account utente viene compromesso. È fondamentale monitorare e avvisare quando emergono i modelli. Ciò contribuisce a proteggere l'utente e i dati dell'organizzazione.
Il successo sembra dire che tutto è bene. Ma può significare che un attore non valido ha eseguito correttamente l'accesso a un servizio. Il monitoraggio degli accessi riusciti contribuisce a i rilevare gli account utente che ottengono l'accesso ma non sono account utente che devono avere accesso. Le operazioni riuscite per l'autenticazione utente sono voci normali nei log di accesso di Microsoft Entra. È consigliabile monitorare e avvisare per rilevare quando emergono i modelli. Ciò contribuisce a proteggere gli account utente e i dati dell'organizzazione.
Mentre si progetta e rende operativa una strategia di monitoraggio e avviso dei log, prendere in considerazione gli strumenti disponibili tramite il portale di Azure. Microsoft Entra ID Protection consente di automatizzare il rilevamento, la protezione e la correzione dei rischi basati sull'identità. ID Protection usa sistemi di Machine Learning e euristica basati su intelligence per rilevare i rischi e assegnare un punteggio di rischio per gli utenti e gli accessi. I clienti possono configurare criteri in base a un livello di rischio per quando consentire o negare l'accesso o consentire all'utente di correggere in modo sicuro un rischio. I rilevamenti dei rischi di ID Protection seguenti informano oggi i livelli di rischio:
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Rilevamento dei rischi utente delle credenziali perse | Alto | Log di rilevamento dei rischi di Microsoft Entra | UX: Credenziali perse API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi utente di Microsoft Entra Threat Intelligence | Alto | Log di rilevamento dei rischi di Microsoft Entra | UX: Intelligence sulle minacce di Microsoft Entra API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso agli indirizzi IP anonimi | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Indirizzo IP anonimo API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso ai viaggi atipici | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Trasferimento atipico API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Token anomalo | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Token anomalo API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso agli indirizzi IP collegati da malware | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Indirizzo IP collegato a malware API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso al browser sospetto | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Browser sospetto API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso non noto alle proprietà di accesso | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Proprietà di accesso insolite API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso a indirizzi IP dannosi | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Indirizzo IP dannoso API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso alle regole di modifica della posta in arrivo sospette | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Regole sospette di manipolazione della Posta in arrivo API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso di Password Spray | Alto | Log di rilevamento dei rischi di Microsoft Entra | UX: Password spraying API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso ai viaggi impossibile | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Comunicazione impossibile API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento del rischio di accesso nuovo paese/area geografica | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Nuovo Paese/area geografica API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Attività dal rilevamento dei rischi di accesso degli indirizzi IP anonimi | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Attività da indirizzi IP anonimi API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso alla posta in arrivo sospetto | Variabile | Log di rilevamento dei rischi di Microsoft Entra | UX: Inoltro sospetto della Posta in arrivo API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Rilevamento dei rischi di accesso di Microsoft Entra Threat Intelligence | Alto | Log di rilevamento dei rischi di Microsoft Entra | UX: Intelligence sulle minacce di Microsoft Entra API: vedere Tipo di risorsa riskDetection - Microsoft Graph |
Vedere Che cosa sono i rischi? Microsoft Entra ID Protection Regole Sigma |
Per altre informazioni, vedere Informazioni su ID Protection.
Cosa cercare
Configurare il monitoraggio sui dati nei log di accesso di Microsoft Entra per assicurarsi che si verifichino avvisi e rispettino i criteri di sicurezza dell'organizzazione. Di seguito sono riportati alcuni esempi:
Autenticazioni non riuscite: tutti gli esseri umani ottengono tutte le password sbagliate di volta in volta. Tuttavia, molte autenticazioni non riuscite possono indicare che un attore non valido sta tentando di ottenere l'accesso. Gli attacchi differiscono in feroce, ma possono variare da alcuni tentativi all'ora a una frequenza molto più elevata. Ad esempio, Password Spray in genere prede sulle password più facili rispetto a molti account, mentre forza bruta tenta molte password contro gli account di destinazione.
Autenticazioni interrotte: un interrupt in Microsoft Entra ID rappresenta un'iniezione di un processo per soddisfare l'autenticazione, ad esempio quando si applica un controllo in un criterio di Accesso condizionale. Si tratta di un evento normale e può verificarsi quando le applicazioni non sono configurate correttamente. Tuttavia, quando viene visualizzato un numero elevato di interrupt per un account utente, potrebbe indicare che si sta verificando qualcosa con tale account.
- Ad esempio, se è stato filtrato in base ai log di accesso di un utente e viene visualizzato un volume elevato di stato di accesso = Accesso interrotto e Accesso condizionale = Errore. L'analisi più approfondita può mostrare nei dettagli di autenticazione che la password è corretta, ma è necessaria l'autenticazione avanzata. Ciò potrebbe significare che l'utente non sta completando l'autenticazione a più fattori (MFA) che potrebbe indicare che la password dell'utente è compromessa e l'attore non è in grado di soddisfare l'autenticazione a più fattori.
Blocco intelligente: Microsoft Entra ID fornisce un servizio di blocco intelligente che introduce il concetto di posizioni familiari e non nel processo di autenticazione. Un account utente che visita una posizione familiare potrebbe eseguire correttamente l'autenticazione mentre un attore malintenzionato non ha familiarità con la stessa posizione viene bloccato dopo diversi tentativi. Cercare gli account che sono stati bloccati ed prendere in esame ulteriormente.
Modifiche IP: è normale vedere gli utenti provenienti da indirizzi IP diversi. Tuttavia, gli stati Zero Trust non considerano mai attendibili e verificano sempre. La visualizzazione di un volume elevato di indirizzi IP e accessi non riusciti può essere un indicatore di intrusione. Cercare un modello di molte autenticazioni non riuscite eseguite da più indirizzi IP. Si noti che le connessioni VPN (Virtual Private Network) possono causare falsi positivi. Indipendentemente dalle problematiche, è consigliabile monitorare le modifiche agli indirizzi IP e, se possibile, usare Microsoft Entra ID Protection per rilevare e attenuare automaticamente questi rischi.
Località: in genere, si prevede che un account utente si trovi nella stessa posizione geografica. Si prevedono anche accessi da località in cui si hanno dipendenti o relazioni commerciali. Quando l'account utente proviene da una posizione internazionale diversa in meno tempo rispetto a quanto sarebbe necessario per viaggiare lì, può indicare che l'account utente è stato abusato. Nota, le VPN possono causare falsi positivi, è consigliabile monitorare gli account utente che eseguono l'accesso da posizioni geograficamente distanti e, se possibile, usare Microsoft Entra ID Protection per rilevare e attenuare automaticamente questi rischi.
Per questa area di rischio, è consigliabile monitorare gli account utente standard e gli account con privilegi, ma assegnare priorità alle indagini sugli account con privilegi. Gli account con privilegi sono gli account più importanti in qualsiasi tenant di Microsoft Entra. Per indicazioni specifiche per gli account con privilegi, vedere Operazioni di sicurezza - account con privilegi.
Come rilevare il problema
Si usa Microsoft Entra ID Protection e i log di accesso di Microsoft Entra per contribuire a individuare le minacce indicate da caratteristiche di accesso insolite. Per altre informazioni, vedere l’articolo Informazioni su ID Protection. È anche possibile replicare i dati in Monitoraggio di Azure o in un sistema SIEM per scopi di monitoraggio e avviso. Per definire il normale per l'ambiente e impostare una linea di base, determinare:
i parametri che si considerano normali per la base utente.
numero medio di tentativi di password per un periodo di tempo prima che l'utente chiami il service desk o esegua una reimpostazione della password self-service.
numero di tentativi non riusciti che si desidera consentire prima dell'invio di avvisi e se sarà diverso per gli account utente e gli account con privilegi.
quanti tentativi di autenticazione a più fattori si desidera consentire prima di inviare avvisi e, se sarà diverso per gli account utente e gli account con privilegi.
se l'autenticazione legacy è abilitata e la roadmap per interrompere l'utilizzo.
gli indirizzi IP in uscita noti sono destinati all'organizzazione.
i paesi o le aree geografiche da cui operano gli utenti.
se sono presenti gruppi di utenti che rimangono stazionari all'interno di una posizione di rete o di un paese/area geografica.
Identificare tutti gli altri indicatori per accessi insoliti specifici dell'organizzazione. Ad esempio, giorni o orari della settimana o dell'anno in cui l'organizzazione non funziona.
Dopo l'ambito di ciò che è normale per gli account nell'ambiente, prendere in considerazione l'elenco seguente per contribuire a determinare gli scenari su cui si desidera monitorare e inviare avvisi e ottimizzare l'invio di avvisi.
È necessario monitorare e avvisare se Microsoft Entra ID Protection è configurato?
Esistono condizioni più rigide applicate agli account con privilegi che è possibile usare per monitorare e inviare avvisi? Ad esempio, la richiesta di account con privilegi deve essere usata solo da indirizzi IP attendibili.
Le linee di base impostate sono troppo aggressive? La presenza di troppi avvisi potrebbe comportare la mancata o l'annullamento degli avvisi.
Configurare ID Protection per contribuire a garantire che la protezione sia attiva che supporti i criteri di base di sicurezza. Ad esempio, bloccando gli utenti se il rischio è elevato. Questo livello di rischio indica un elevato livello di attendibilità che un account utente venga compromesso. Per altre informazioni sulla configurazione dei criteri di rischio di accesso e dei criteri di rischio utente, vedere Criteri di ID Protection.
I seguenti sono elencati in ordine di importanza in base all'effetto e alla gravità delle voci.
Monitoraggio degli accessi degli utenti esterni
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Utenti che eseguono l'autenticazione in altri tenant di Microsoft Entra. | Basso | Log di accesso di Microsoft Entra | Stato = esito positivo TenantID della risorsa != ID tenant principale |
Rileva quando un utente ha eseguito correttamente l'autenticazione in un altro tenant di Microsoft Entra con un'identità nel tenant dell'organizzazione. Generare un avviso se il TenantID della risorsa non è uguale all'ID tenant principale Modello di Microsoft Sentinel Regole Sigma |
Stato utente modificato da Guest a Member | Medio | Log di controllo di Microsoft Entra | Attività: aggiornare il flusso utente Categoria: UserManagement UserType è stato modificato da Guest a Membro |
Monitorare e avvisare in merito alla modifica del tipo di utente da Guest a Membro. Era previsto questo? Modello di Microsoft Sentinel Regole Sigma |
Utenti Guest invitati al tenant da attori invitanti non approvati | Medio | Log di controllo di Microsoft Entra | Attività: invitare un utente esterno Categoria: UserManagement Avviato da (attore): Nome dell'entità utente |
Monitorare e avvisare in merito agli attori non approvati che invitano utenti esterni. Modello di Microsoft Sentinel Regole Sigma |
Monitoraggio degli accessi insoliti non riusciti
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Tentativi di accesso non riusciti. | Medio: se evento imprevisto isolato Elevato: se molti account riscontrano lo stesso modello, o un indirizzo VIP. |
Log di accesso di Microsoft Entra | Stato = Esito negativo -e- Codice dell'errore di accesso: 50126 Errore durante la convalida delle credenziali a causa di un nome utente o di una password non validi. |
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare la generazione di falsi avvisi. Modello di Microsoft Sentinel Regole Sigma |
Eventi di blocco intelligente. | Medio: se evento imprevisto isolato Elevato: se molti account riscontrano lo stesso modello, o un indirizzo VIP. |
Log di accesso di Microsoft Entra | Stato = Esito negativo -e- Codice errore di accesso = 50053 – IdsLocked |
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare la generazione di falsi avvisi. Modello di Microsoft Sentinel Regole Sigma |
Interrompe | Medio: se evento imprevisto isolato Elevato: se molti account riscontrano lo stesso modello, o un indirizzo VIP. |
Log di accesso di Microsoft Entra | 500121, Autenticazione non riuscita durante una richiesta di autenticazione avanzata. oppure 50097, l'autenticazione del dispositivo è obbligatoria o 50074. È necessaria l'autenticazione avanzata. oppure 50155, DeviceAuthenticationFailed oppure 50158, ExternalSecurityChallenge: la richiesta di sicurezza esterna non è stata soddisfatta oppure 53003 e motivo dell’errore = Bloccato dall'Accesso condizionale |
Monitorare e avvisare gli interrupt. Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare la generazione di falsi avvisi. Modello di Microsoft Sentinel Regole Sigma |
I seguenti sono elencati in ordine di importanza in base all'effetto e alla gravità delle voci.
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Avvisi di illecito di Autenticazione a più fattori (MFA). | Alto | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- Dettagli = Autenticazione a più fattori negata |
Monitorare e avvisare su qualsiasi voce. Modello di Microsoft Sentinel Regole Sigma |
Autenticazioni non riuscite da Paesi/aree geografiche in cui non si è operativi. | Medio | Log di accesso di Microsoft Entra | Posizione = <posizione non approvata> | Monitorare e avvisare in merito alle voci. Modello di Microsoft Sentinel Regole Sigma |
Autenticazioni non riuscite per protocolli o protocolli legacy non usati. | Medio | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- App client = Altri client, POP, IMAP, MAPI, SMTP, ActiveSync |
Monitorare e avvisare in merito alle voci. Modello di Microsoft Sentinel Regole Sigma |
Errori bloccati dall’Accesso condizionale. | Medio | Log di accesso di Microsoft Entra | Codice errore = 53003 -e- Motivo errore = Bloccato dall'Accesso condizionale |
Monitorare e avvisare in merito alle voci. Modello di Microsoft Sentinel Regole Sigma |
Aumento delle autenticazioni non riuscite di qualsiasi tipo. | Medio | Log di accesso di Microsoft Entra | L'acquisizione aumenta negli errori a livello di scheda. Ovvero, il totale degli errori per oggi è pari al >10% dello stesso giorno della settimana precedente. | Se non è disponibile una soglia stabilita, monitorare e creare avvisi se gli errori aumentano dal 10% in su. Modello di Microsoft Sentinel |
L'autenticazione si verifica in orari e giorni della settimana in cui paesi/aree geografiche non eseguono normali operazioni aziendali. | Basso | Log di accesso di Microsoft Entra | Acquisire l'autenticazione interattiva che ha luogo al di fuori dei normali giorni operativi\ora. Stato = Esito positivo -e- Posizione = <location> -e- Giorno\Ora = <non ore lavorative normali> |
Monitorare e avvisare in merito alle voci. Modello di Microsoft Sentinel |
Account disabilitato/bloccato per gli accessi | Basso | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- codice errore = 50057, L'account utente è disabilitato. |
Ciò potrebbe indicare che un utente sta tentando di ottenere l'accesso a un account dopo aver lasciato un'organizzazione. Anche se l'account è bloccato, è importante registrare e inviare avvisi su questa attività. Modello di Microsoft Sentinel Regole Sigma |
Monitoraggio per accessi insoliti riusciti
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Autenticazioni di account con privilegi al di fuori dei controlli previsti. | Alto | Log di accesso di Microsoft Entra | Stato = Esito positivo -e- UserPricipalName = <Account amministratore> -e- Posizione = <posizione non approvata> -e- Indirizzo IP = <IP non approvato> Informazioni sul dispositivo = <browser, sistema operativo non approvati> |
Monitorare e avvisare la corretta autenticazione per gli account con privilegi al di fuori dei controlli previsti. Sono elencati tre controlli comuni. Modello di Microsoft Sentinel Regole Sigma |
Quando è necessaria solo l'autenticazione a fattore singolo. | Basso | Log di accesso di Microsoft Entra | Stato = Esito positivo Requisito di autenticazione = Autenticazione a fattore singolo |
Monitorare periodicamente e garantire il comportamento previsto. Regole Sigma |
Individuare gli account con privilegi non registrati per l'autenticazione a più fattori. | Alto | API Azure Graph | Query per IsMFARegistered eq false per gli account amministratore. List credentialUserRegistrationDetails - Microsoft Graph beta |
Controllare e analizzare per determinare se intenzionalmente o una supervisione. |
Le autenticazioni riuscite da paesi o aree geografiche dell'organizzazione non funzionano. | Medio | Log di accesso di Microsoft Entra | Stato = Esito positivo Posizione = <Paese non approvato/area geografica non approvata> |
Monitorare e avvisare tutte le voci non uguali ai nomi delle città specificati. Regole Sigma |
Autenticazione riuscita, sessione bloccata dall'Accesso condizionale. | Medio | Log di accesso di Microsoft Entra | Stato = Esito positivo -e- codice errore = 53003 - Motivo errore, bloccato dall'Accesso condizionale |
Monitorare e analizzare quando l'autenticazione ha esito positivo, ma la sessione viene bloccata dall'Accesso condizionale. Modello di Microsoft Sentinel Regole Sigma |
Autenticazione completata dopo aver disabilitato l'autenticazione legacy. | Medio | Log di accesso di Microsoft Entra | stato = esito positivo -e- App client = Altri client, POP, IMAP, MAPI, SMTP, ActiveSync |
Se l'organizzazione ha disabilitato l'autenticazione legacy, monitorare e avvisare quando è stata eseguita l'autenticazione legacy. Modello di Microsoft Sentinel Regole Sigma |
È consigliabile prendere in esame periodicamente le autenticazioni a un impatto aziendale medio (MBI) e applicazioni ad alto impatto aziendale (HBI) in cui è necessaria solo l'autenticazione a singolo fattore. Per ognuno di essi, si desidera determinare se l'autenticazione a singolo fattore è prevista o meno. Inoltre, verificare se l'autenticazione ha esito positivo aumenta o in momenti imprevisti, in base alla posizione.
Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
---|---|---|---|---|
Autenticazioni per l'applicazione MBI e HBI tramite l'autenticazione a fattore singolo. | Basso | Log di accesso di Microsoft Entra | stato = Esito positivo -e- ID applicazione = <app HBI> -e- Requisito di autenticazione = autenticazione a fattore singolo. |
Prendere in esame e convalidare questa configurazione è intenzionale. Regole Sigma |
Le autenticazioni in giorni e orari della settimana o dell'anno in cui paesi/aree geografiche non eseguono normali operazioni aziendali. | Basso | Log di accesso di Microsoft Entra | Acquisire l'autenticazione interattiva che ha luogo al di fuori dei normali giorni operativi\ora. Stato = Esito positivo Posizione = <location> Data\ora = <non ore lavorative normali> |
Monitorare e avvisare i giorni e gli orari delle autenticazioni della settimana o dell'anno in cui paesi/aree geografiche non eseguono normali operazioni aziendali. Regole Sigma |
Aumento misurabile degli accessi riusciti. | Basso | Log di accesso di Microsoft Entra | L'acquisizione aumenta l'autenticazione riuscita a livello di scheda. Vale a dire, il totale degli esiti positivi di oggi è pari al >10% dello stesso giorno della settimana precedente. | Se non si dispone di una soglia stabilita, monitorare e creare avvisi se le autenticazioni riuscite aumentano del 10% o superiore. Modello di Microsoft Sentinel Regole Sigma |
Passaggi successivi
Vedere gli articoli seguenti della Guida alle operazioni di sicurezza:
Panoramica delle operazioni per la sicurezza di Microsoft Entra
Operazioni per la sicurezza per gli account consumer
Operazioni per la sicurezza per gli account con privilegi
Operazioni per la sicurezza per Privileged Identity Management
Operazioni per la sicurezza per le applicazioni