Operazioni per la sicurezza per gli account consumer di Microsoft Entra
Le attività di identità dei consumer sono un'area importante che l'organizzazione deve proteggere e monitorare. Questo articolo riguarda i tenant di Azure Active Directory B2C (Azure AD B2C) e offre indicazioni per il monitoraggio delle attività degli account consumer. Le attività sono:
- Account consumer
- Account con privilegi
- Applicazione
- Infrastruttura
Operazioni preliminari
Prima di usare le indicazioni contenute in questo articolo, è consigliabile leggere la Guida alle operazioni per la sicurezza di Microsoft Entra.
Definire una linea di base
Per individuare un comportamento anomalo, definire il comportamento normale e previsto. La definizione del comportamento previsto per l'organizzazione consente di individuare comportamenti imprevisti. Usare la definizione per ridurre i falsi positivi durante il monitoraggio e l'invio di avvisi.
Dopo aver definito il comportamento previsto, eseguire il monitoraggio di base per convalidare le aspettative. Monitorare quindi i log per individuare gli elementi che non rientrano nella tolleranza.
Per gli account creati al di fuori dei normali processi, usare i log di controllo di Microsoft Entra, i log di accesso di Microsoft Entra e gli attributi della directory come origini dati. I suggerimenti seguenti consentono di definire la normalità.
Creazione di un account consumer
Valutare l’elenco seguente:
- Strategia e principi di strumenti e processi per creare e gestire gli account consumer
- Ad esempio, attributi e formati standard applicati agli attributi degli account consumer
- Origini approvate per la creazione di account.
- Ad esempio, l'onboarding di criteri personalizzati, il provisioning dei clienti o lo strumento di migrazione
- Strategia di avviso per gli account creati al di fuori delle origini approvate.
- Creare un elenco controllato di organizzazioni con cui collabora l'organizzazione
- Parametri di strategia e avviso per gli account creati, modificati o disabilitati da un amministratore dell'account consumer non approvato
- Strategia di monitoraggio e avviso per gli account consumer a cui mancano attributi standard, ad esempio il numero del cliente, o che non seguono le convenzioni di denominazione dell'organizzazione
- Strategia, principi e processo per l'eliminazione e la conservazione degli account
Dove cercare
Usare i file di log per l’analisi e il monitoraggio. Per altre informazioni, vedere gli articoli seguenti:
- Log di controllo in Microsoft Entra ID
- Log di accesso in Microsoft Entra ID (anteprima)
- Procedura: Analizzare i rischi
Log di controllo e strumenti di automazione
Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Usare il portale di Azure per integrare i log di Microsoft Entra con altri strumenti per automatizzare il monitoraggio e gli avvisi:
- Microsoft Sentinel: analisi della sicurezza con funzionalità SIEM (informazioni di sicurezza e gestione degli eventi)
- Regole Sigma: uno standard aperto per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un collegamento al repository Sigma. Microsoft non scrive, testa o gestisce i modelli Sigma. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza del reparto IT.
- Monitoraggio di Azure: monitoraggio automatizzato e creazione di avvisi per varie condizioni. Creare o usare cartelle di lavoro per combinare i dati di origini diverse.
- Hub eventi di Azure integrato con un SIEM: integrare i log di Microsoft Entra con SIEM come Splunk, ArcSight, QRadar e Sumo Logic con Hub eventi di Azure
- Microsoft Defender for Cloud Apps: individuare e gestire le app, regolamentare le app e le risorse e conformarsi alle norme delle app cloud
- Microsoft Entra ID Protection: rilevare i rischi per le identità dei carichi di lavoro tra il comportamento di accesso e gli indicatori offline di compromissione
Usare la parte restante dell'articolo per ricevere consigli su cosa monitorare e quando creare avvisi. Fare riferimento alle tabelle, organizzate in base al tipo di minaccia. Vedere i collegamenti a soluzioni predefinite o esempi secondo la tabella. Creare avvisi usando gli strumenti indicati in precedenza.
Account consumer
| Cosa monitorare | Livello di rischio | Dove | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Numero elevato di creazioni o eliminazioni di account | Alto | Log di controllo di Microsoft Entra | Attività: aggiungere un utente Stato = esito positivo Avviato da (attore) = Servizio CPIM -e- Attività: eliminare un utente Stato = esito positivo Avviato da (attore) = Servizio CPIM |
Definire una soglia di base, quindi monitorare e adattarsi ai comportamenti dell'organizzazione. Limitare i falsi avvisi. |
| Account creati ed eliminati da utenti o processi non approvati | Medio | Log di controllo di Microsoft Entra | Avviato da (attore) - NOME DELL'ENTITÀ UTENTE -e- Attività: aggiungere un utente Stato = esito positivo Avviato da (attore) != Servizio CPIM e-o Attività: eliminare un utente Stato = esito positivo Avviato da (attore) != Servizio CPIM |
Se gli attori sono utenti non approvati, eseguire la configurazione per l’invio di un avviso. |
| Account assegnati a un ruolo con privilegi | Alto | Log di controllo di Microsoft Entra | Attività: aggiungere un utente Stato = esito positivo Avviato da (attore) == Servizio CPIM -e- Attività: aggiungere un membro a un ruolo Stato = esito positivo |
Se l'account viene assegnato a un ruolo di Microsoft Entra, a un ruolo di Azure o a un'appartenenza a gruppi con privilegi, creare avvisi e classificare l'indagine. |
| Tentativi di accesso non riusciti | Medio: se evento imprevisto isolato Elevato: se molti account riscontrano lo stesso modello |
Log di accesso di Microsoft Entra | Stato = Esito negativo -e- Codice errore di accesso 50126: errore durante la convalida delle credenziali a causa di un nome utente o di una password non validi. -e- Applicazione == "CPIM PowerShell Client" -oppure- Applicazione == "ProxyIdentityExperienceFramework" |
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare la generazione di falsi avvisi. |
| Eventi di blocco intelligente | Medio: se evento imprevisto isolato Elevato: se molti account riscontrano lo stesso modello, o un indirizzo VIP |
Log di accesso di Microsoft Entra | Stato = Esito negativo -e- Codice errore di accesso = 50053 – IdsLocked -e- Applicazione == "CPIM PowerShell Client" -oppure- Applicazione =="ProxyIdentityExperienceFramework" |
Definire una soglia di base, quindi monitorare e regolare i comportamenti dell'organizzazione e limitare i falsi avvisi. |
| Autenticazioni non riuscite da Paesi o aree geografiche in cui non si è operativi | Medio | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- Posizione = <posizione non approvata> -e- Applicazione == "CPIM PowerShell Client" -oppure- Applicazione == "ProxyIdentityExperienceFramework" |
Monitorare le voci diverse dai nomi di città specificati. |
| Aumento delle autenticazioni non riuscite di qualsiasi tipo | Medio | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- Applicazione == "CPIM PowerShell Client" -oppure- Applicazione == "ProxyIdentityExperienceFramework" |
Se non è disponibile una soglia, monitorare e creare avvisi se gli errori aumentano dal 10% in su. |
| Account disabilitato/bloccato per gli accessi | Basso | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- codice errore = 50057, L'account utente è disabilitato. |
Questo scenario potrebbe indicare un utente che prova a ottenere l’accesso a un account dopo aver lasciato un'organizzazione. L'account è bloccato, ma è importante registrare questa attività e creare un avviso. |
| Aumento misurabile degli accessi riusciti | Basso | Log di accesso di Microsoft Entra | Stato = Esito positivo -e- Applicazione == "CPIM PowerShell Client" -oppure- Applicazione == "ProxyIdentityExperienceFramework" |
Se non si dispone di una soglia, monitorare e creare avvisi se le autenticazioni riuscite aumentano del 10% o superiore. |
Account con privilegi
| Cosa monitorare | Livello di rischio | Dove | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Errore di accesso, soglia password non valida | Alto | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- codice errore: 50126 |
Definire una soglia di base e monitorare e adattarsi ai comportamenti dell'organizzazione. Limitare i falsi avvisi. |
| Errore a causa del requisito di Accesso condizionale | Alto | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- codice errore = 53003 -e- Motivo errore = Bloccato dall'Accesso condizionale |
L'evento può indicare che un utente malintenzionato sta tentando di accedere all'account. |
| Interrompere | Alto, medio | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- codice errore = 53003 -e- Motivo errore = Bloccato dall'Accesso condizionale |
L'evento può indicare che un utente malintenzionato ha la password dell'account, ma non può superare la richiesta di autenticazione a più fattori. |
| Blocco dell'account | Alto | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- codice errore: 50053 |
Definire una soglia di base, quindi monitorare e adattarsi ai comportamenti dell'organizzazione. Limitare i falsi avvisi. |
| Account disabilitato o bloccato per gli accessi | Basso | Log di accesso di Microsoft Entra | Stato = Esito negativo -e- Target = UPN utente -e- codice errore: 50057 |
L’evento potrebbe indicare un utente che prova a ottenere l’accesso all’account dopo aver lasciato l'organizzazione. Anche se l'account è bloccato, registrare questa attività e creare un avviso. |
| Avviso o blocco di frodi nell’autenticazione a più fattori | Alto | Log di accesso di Microsoft Entra/Azure Log Analytics | Dettagli dell'autenticazione>Accessi Dettagli dei risultati = autenticazione a più fattori negata, codice illecito immesso |
L'utente con privilegi segnala di non aver avviato la richiesta di autenticazione a più fattori, e ciò potrebbe indicare che un utente malintenzionato abbia la password dell'account. |
| Avviso o blocco di frodi nell’autenticazione a più fattori | Alto | Log di accesso di Microsoft Entra/Azure Log Analytics | Tipo di attività = Frode segnalata - L'utente viene bloccato per l'autenticazione a più fattori o per le frodi segnalate - Nessuna azione eseguita, in base alle impostazioni a livello di tenant sul report illecito | L'utente con privilegi non ha indicato alcuna richiesta di autenticazione a più fattori. Lo scenario può indicare che un utente malintenzionato ha la password dell'account. |
| Accessi con account con privilegi al di fuori dei controlli previsti | Alto | Log di accesso di Microsoft Entra | Stato = Esito negativo UserPricipalName = <Account amministratore> Posizione = <posizione non approvata> Indirizzo IP = <IP non approvato> Informazioni sul dispositivo = <browser, sistema operativo non approvati> |
Monitorare e creare avvisi per le voci definite come non approvate. |
| Al di fuori dei normali orari di accesso | Alto | Log di accesso di Microsoft Entra | Stato = Esito positivo -e- Percorso = -e- Tempo = Al di fuori delle ore lavorative |
Monitorare e creare avvisi se gli accessi si verificano al di fuori dei tempi previsti. Trovare il modello di lavoro normale per ogni account con privilegi e creare avvisi se sono presenti modifiche non pianificate al di fuori dei normali orari di lavoro. Gli accessi al di fuori delle normali ore lavorative potrebbero indicare una compromissione o una possibile minaccia interna. |
| Modifica della password | Alto | Log di controllo di Microsoft Entra | Attore attività = Amministratore/Self-service -e- Target = Utente -e- Stato = Esito positivo o negativo |
Creare avvisi quando viene modificata una password dell'account amministratore. Scrivere una query per gli account con privilegi. |
| Modifiche ai metodi di autenticazione | Alto | Log di controllo di Microsoft Entra | Attività: Creare un provider di identità Categoria: ResourceManagement Target: nome dell'entità utente |
La modifica potrebbe indicare che un utente malintenzionato aggiunge un metodo di autenticazione all'account per avere accesso continuo. |
| Provider di identità aggiornato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Aggiornare il provider di identità Categoria: ResourceManagement Target: nome dell'entità utente |
La modifica potrebbe indicare che un utente malintenzionato aggiunge un metodo di autenticazione all'account per avere accesso continuo. |
| Provider di identità eliminato da attori non approvati | Alto | Verifiche di accesso di Microsoft Entra | Attività: Eliminare il provider di identità Categoria: ResourceManagement Target: nome dell'entità utente |
La modifica potrebbe indicare che un utente malintenzionato aggiunge un metodo di autenticazione all'account per avere accesso continuo. |
Applicazioni
| Cosa monitorare | Livello di rischio | Dove | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Credenziali aggiunte alle applicazioni | Alto | Log di controllo di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare applicazione-certificati e gestione dei segreti -e- Attività: aggiornare l'entità servizio/Aggiornare l'applicazione |
Creare un avviso quando le credenziali vengono: aggiunte al di fuori dei normali orari di ufficio o flussi di lavoro, tipi non usati nell'ambiente o aggiunti a un'entità servizio non SAML che supporta il flusso. |
| App assegnata a un ruolo di controllo degli accessi in base al ruolo di Azure o a un ruolo di Microsoft Entra | Da elevato a medio | Log di controllo di Microsoft Entra | Tipo: entità servizio Attività: “Aggiungere un membro a un ruolo” or “Aggiungere un membro idoneo al ruolo” -oppure- “Aggiungere un membro con ambito a un ruolo”. |
N/D |
| All'app sono concesse autorizzazioni con privilegi elevati, ad esempio le autorizzazioni con ".All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.) | Alto | Log di controllo di Microsoft Entra | N/D | Alle app sono concesse autorizzazioni generali, ad esempio le autorizzazioni ".All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.) |
| Amministratore che concede le autorizzazioni dell'applicazione (ruoli dell'app) o autorizzazioni delegate con privilegi elevati | Alto | Portale Microsoft 365 | “Aggiungere un'assegnazione di ruolo app a un'entità servizio” -dove- Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph) "Aggiungi concessione di autorizzazioni delegate" -dove- Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph) -e- DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati. |
Creare un avviso quando un amministratore globale, di un'applicazione o di un'applicazione cloud dà il consenso per un'applicazione. In particolare cercare il consenso all'esterno delle normali attività e delle procedure di modifica. |
| All'applicazione vengono concesse le autorizzazioni per Microsoft Graph, Exchange, SharePoint o Microsoft Entra ID. | Alto | Log di controllo di Microsoft Entra | “Aggiungere concessioni di autorizzazioni delegate” -oppure- “Aggiungere un'assegnazione di ruolo app a un'entità servizio” -dove- Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph, Exchange Online e così via) |
Usare l'avviso nella riga precedente. |
| Autorizzazioni delegate con privilegi elevati concesse per conto di tutti gli utenti | Alto | Log di controllo di Microsoft Entra | “Aggiungere concessioni di autorizzazioni delegate” dove Le destinazioni identificano un'API con dati sensibili (ad esempio Microsoft Graph) DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati -e- DelegatedPermissionGrant.ConsentType è "AllPrincipals". |
Usare l'avviso nella riga precedente. |
| Applicazioni che usano il flusso di autenticazione ROPC | Medio | Log di accesso di Microsoft Entra | Stato=Esito positivo Protocollo di autenticazione-ROPC |
L'elevato livello di attendibilità viene inserito in questa applicazione perché le credenziali possono essere memorizzate nella cache o archiviate. Se possibile, passare a un flusso di autenticazione più sicuro. Eventualmente, usare il processo solo nei test delle applicazioni automatizzati. |
| URI finale | Alto | Log di Microsoft Entra e registrazione dell'applicazione | Service-Core Directory Category-ApplicationManagement Attività: aggiornare l'applicazione Esito positivo - Nome proprietà AppAddress |
Ad esempio, cercare URI finali che puntano a un nome di dominio che non è più presente o di cui non si è proprietari. |
| Modifiche alla configurazione dell'URI di reindirizzamento | Alto | Log di Microsoft Entra | Service-Core Directory Category-ApplicationManagement Attività: aggiornare l'applicazione Esito positivo - Nome proprietà AppAddress |
Cercare gli URI che non usano HTTPS*, gli URI con caratteri jolly alla fine o con il dominio dell'URL, gli URI non univoci per l'applicazione, gli URI che puntano a un dominio non controllato. |
| Modifiche all'URI AppID | Alto | Log di Microsoft Entra | Service-Core Directory Category-ApplicationManagement Attività: aggiornare l'applicazione Attività: aggiornare un'entità servizio |
Cercare le modifiche dell'URI AppID, ad esempio l'aggiunta, la modifica o la rimozione dell'URI. |
| Modifiche alla proprietà dell'applicazione | Medio | Log di Microsoft Entra | Service-Core Directory Category-ApplicationManagement Attività: aggiungere il proprietario all'applicazione |
Cercare le istanze degli utenti aggiunte come proprietari di applicazioni al di fuori delle normali attività di gestione delle modifiche. |
| Modifiche all'URL di disconnessione | Basso | Log di Microsoft Entra | Service-Core Directory Category-ApplicationManagement Attività: aggiornare l'applicazione -e- Attività: aggiornare un'entità servizio |
Cercare le modifiche apportate a un URL di disconnessione. Le voci vuote o in posizioni inesistenti impediscono all’utente di terminare una sessione. |
Infrastruttura
| Cosa monitorare | Livello di rischio | Dove | Filtro/filtro secondario | Note |
|---|---|---|---|---|
| Nuovi criteri di accesso condizionale creati da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: aggiungere criteri di Accesso condizionale Categoria: criteri Avviato da (attore): Nome dell'entità utente |
Monitorare le modifiche all'accesso condizionale e creare avvisi. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale? |
| Criteri di accesso condizionale rimossi da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: eliminare i criteri di Accesso condizionale Categoria: criteri Avviato da (attore): Nome dell'entità utente |
Monitorare le modifiche all'accesso condizionale e creare avvisi. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale? |
| Criteri di accesso condizionale aggiornati da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: aggiornare i criteri di Accesso condizionale Categoria: criteri Avviato da (attore): Nome dell'entità utente |
Monitorare le modifiche all'accesso condizionale e creare avvisi. Avviato da (attore): approvato per apportare modifiche all'accesso condizionale? Esaminare le proprietà modificate e confrontare il valore nuovo con quello vecchio |
| Criteri personalizzati B2C creati da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Creare criteri personalizzati Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche ai criteri personalizzati e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai criteri personalizzati? |
| Criteri personalizzati B2C aggiornati da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Ottenere criteri personalizzati Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche ai criteri personalizzati e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai criteri personalizzati? |
| Criteri personalizzati B2C eliminati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Eliminare criteri personalizzati Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche ai criteri personalizzati e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai criteri personalizzati? |
| Flusso utente creato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Creare un flusso utente Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche al flusso utente e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai flussi utente? |
| Flusso utente aggiornato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Aggiornare il flusso utente Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche al flusso utente e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai flussi utente? |
| Flusso utente eliminato da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Eliminare il flusso utente Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche al flusso utente e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai flussi utente? |
| Connettori API creati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Creare un connettore API Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche al connettore API e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai connettori API? |
| Connettori API aggiornati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Aggiornare un connettore API Categoria: ResourceManagement Target: Nome dell'entità utente: ResourceManagement |
Monitorare le modifiche al connettore API e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai connettori API? |
| Connettori API eliminati da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Aggiornare un connettore API Categoria: ResourceManagment Target: Nome dell'entità utente: ResourceManagement |
Monitorare le modifiche al connettore API e creare avvisi. Avviato da (attore): approvato per apportare modifiche ai connettori API? |
| Provider di identità (IDP) creato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Creare un provider di identità Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche al provider di identità e creare avvisi. Avviato da (attore): approvato per apportare modifiche alla configurazione del provider di identità? |
| IDP aggiornato da attori non approvati | Alto | Log di controllo di Microsoft Entra | Attività: Aggiornare il provider di identità Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche al provider di identità e creare avvisi. Avviato da (attore): approvato per apportare modifiche alla configurazione del provider di identità? |
| IDP eliminato da attori non approvati | Medio | Log di controllo di Microsoft Entra | Attività: Eliminare il provider di identità Categoria: ResourceManagement Target: nome dell'entità utente |
Monitorare le modifiche al provider di identità e creare avvisi. Avviato da (attore): approvato per apportare modifiche alla configurazione del provider di identità? |
Passaggi successivi
Per altre informazioni, vedere i seguenti articoli sulle operazioni per la sicurezza:
- Guida alle operazioni per la sicurezza di Microsoft Entra
- Operazioni per la sicurezza per gli account utente di Microsoft Entra
- Operazioni per la sicurezza per gli account con privilegi di Microsoft Entra ID
- Operazioni per la sicurezza di Microsoft Entra per Privileged Identity Management
- Guida alle operazioni per la sicurezza per le applicazioni di Microsoft Entra
- Operazioni per la sicurezza per i dispositivi di Microsoft Entra
- Operazioni per la sicurezza per l'infrastruttura