Operazioni per la sicurezza per i dispositivi di Microsoft Entra
In genere i dispositivi non sono bersagli degli attacchi basati sull'identità, ma possono essere usati per superare e ingannare i controlli di sicurezza o per rappresentare gli utenti. I dispositivi possono avere una delle quattro relazioni con Microsoft Entra ID:
Non registrato
I dispositivi registrati e aggiunti ricevono un token di aggiornamento primario (Primary Refresh Token, PRT), che può essere usato come artefatto di autenticazione primario e in alcuni casi come artefatto di autenticazione a più fattori. Gli utenti malintenzionati possono provare a registrare i propri dispositivi, usare PRT su dispositivi legittimi per accedere ai dati aziendali, rubare token basati su PRT da dispositivi utente legittimi o trovare configurazioni errate nei controlli basati su dispositivo in Microsoft Entra ID. Con i dispositivi aggiunti a Microsoft Entra ibrido, il processo di aggiunta viene avviato e controllato dagli amministratori, riducendo i metodi di attacco disponibili.
Per maggiori informazioni sui metodi di integrazione dei dispositivi, vedere Scegliere i metodi di integrazione nell'articolo Pianificare la distribuzione dei dispositivi Microsoft Entra.
Per ridurre il rischio che utenti malintenzionati attacchino l'infrastruttura tramite i dispositivi, monitorare
Registrazione dei dispositivi e aggiunta a Microsoft Entra
Accesso alle applicazioni da dispositivi non conformi
Recupero della chiave BitLocker
Ruoli di amministratore dei dispositivi
Accessi alle macchine virtuali
Dove cercare
I file di log da usare per l'indagine e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).
Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.
Monitoraggio di Azure: consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.
Hub eventi di Azure integrato con un sistema SIEM- Microsoft Entra è possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure.
Microsoft Defender for Cloud Apps: consente di individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.
Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection: consente di rilevare i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.
Gran parte degli elementi che verranno monitorati e su cui si riceveranno avvisi rappresentano l'effetto dei criteri di accesso condizionale. È possibile usare la cartella di lavoro Informazioni dettagliate e report di accesso condizionale per esaminare gli effetti di uno o più criteri di accesso condizionale sugli accessi e i risultati dei criteri, incluso lo stato del dispositivo. Questa cartella di lavoro consente di visualizzare un riepilogo e di identificare gli effetti in un periodo di tempo specificato. È anche possibile usare la cartella di lavoro per prendere in esame gli accessi di un particolare utente.
Il resto di questo articolo contiene consigli relativi al monitoraggio e gli avvisi ed è organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite specifiche è presente un link oppure vengono forniti esempi dopo la tabella. In caso contrario, è possibile creare avvisi usando gli strumenti precedenti.
Registrazioni e aggiunte dei dispositivi al di fuori dei criteri
I dispositivi registrati in Microsoft Entra e aggiunti a Microsoft Entra sono dotati di token di aggiornamento primari (PRT), che sono l'equivalente di un singolo fattore di autenticazione. Questi dispositivi possono talvolta contenere attestazioni di autenticazione avanzata. Per maggiori informazioni su quando i PRT contengono attestazioni di autenticazione avanzata, vedere Quando un token di aggiornamento primario riceve un'attestazione MFA? Per impedire a utenti malintenzionati di registrare o aggiungere dispositivi, richiedere l'autenticazione a più fattori (MFA) per registrare o aggiungere dispositivi. Monitorare quindi i dispositivi registrati o aggiunti senza MFA. Sarà anche necessario prestare attenzione alle modifiche delle impostazioni e dei criteri MFA e dei criteri di conformità dei dispositivi.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Registrazione o aggiunta del dispositivo completata senza MFA | Medio | Log di accesso | Attività: autenticazione riuscita al servizio Registrazione dispositivo. E Autenticazione MFA non richiesta |
Avvisare quando: un dispositivo viene registrato o aggiunto senza MFA Modello di Microsoft Sentinel Regole Sigma |
| Modifiche all'interruttore MFA di Registrazione dispositivo in Microsoft Entra ID | Alto | Log di controllo | Attività: impostazione di criteri di registrazione dei dispositivi | Cercare: l'interruttore è impostato su disattivato. Non è presente una voce del log di controllo. Pianificare controlli periodici. Regole Sigma |
| Modifiche ai criteri di accesso condizionale che richiedono un dispositivo aggiunto a un dominio o conforme. | Alto | Log di controllo | Modifiche ai criteri di accesso condizionale |
Avvisare quando: viene modificato qualunque criterio che richiede l'aggiunta a un dominio o la conformità, vengono modificati percorsi attendibili o vengono aggiunti account o dispositivi alle eccezioni dei criteri MFA. |
È possibile creare un avviso che notifica agli amministratori appropriati i casi in cui un dispositivo viene registrato o aggiunto senza MFA usando Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
È anche possibile usare Microsoft Intune per impostare e monitorare criteri di conformità dei dispositivi.
Accesso di un dispositivo non conforme
Potrebbe non essere possibile bloccare l'accesso a tutte le applicazioni cloud e Software as a Service con criteri di accesso condizionale che richiedono dispositivi conformi.
Il software gestione di dispositivi mobili (MDM) aiuta a mantenere conformi i dispositivi Windows 10. Con Windows versione 1809 è stata rilasciata una baseline di sicurezza dei criteri. Microsoft Entra ID può integrarsi con MDM per applicare la conformità dei dispositivi ai criteri aziendali e può segnalare lo stato di conformità di un dispositivo.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Accessi da dispositivi non conformi | Alto | Log di accesso | DeviceDetail.isCompliant == false | Se si richiede l'accesso da dispositivi conformi, avvisare quando: viene eseguito l'accesso da dispositivi non conformi, senza MFA o da un percorso non attendibile. Se si lavora sui requisiti dei dispositivi, monitorare gli accessi sospetti. |
| Accessi da dispositivi sconosciuti | Basso | Log di accesso | DeviceDetail è vuoto, autenticazione a fattore singolo o da un percorso non attendibile | Cercare: qualsiasi accesso da dispositivi non conformi, qualsiasi accesso senza MFA o percorso attendibile Modello di Microsoft Sentinel Regole Sigma |
Usare LogAnalytics per eseguire query
Accessi da dispositivi non conformi
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Accessi da dispositivi sconosciuti
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Dispositivi non aggiornati
I dispositivi non aggiornati includono i dispositivi che non hanno eseguito l'accesso per un periodo di tempo specificato. I dispositivi possono diventare non aggiornati quando un utente perde un dispositivo o ne riceve uno nuovo oppure quando un dispositivo aggiunto a Microsoft Entra viene cancellato o sottoposto a nuovo provisioning. I dispositivi possono anche rimanere registrati o aggiunti quando l'utente non è più associato al tenant. I dispositivi non aggiornati devono essere rimossi in modo che i token di aggiornamento primari (PRT) non possano essere usati.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Data dell'ultimo accesso | Basso | API Graph | approximateLastSignInDateTime | Usare l'API Graph o PowerShell per identificare e rimuovere i dispositivi non aggiornati. |
Recupero della chiave BitLocker
Gli utenti malintenzionati che hanno compromesso il dispositivo di un utente possono recuperare le chiavi BitLocker in Microsoft Entra ID. È raro che gli utenti recuperino le chiavi e questa situazione deve essere monitorata e analizzata.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Recupero delle chiavi | Medio | Log di audit | OperationName == "Read BitLocker key" | Cercare: recupero delle chiavi, altri comportamenti anomali da parte di utenti che recuperano chiavi. Modello di Microsoft Sentinel Regole Sigma |
Creare una query in LogAnalytics, ad esempio
AuditLogs
| where OperationName == "Read BitLocker key"
Ruoli di amministratore dei dispositivi
I ruoli Amministratore locale dei dispositivi aggiunti a Microsoft Entra e Amministratore globale ottengono automaticamente i diritti di amministratore locale su tutti i dispositivi aggiunti a Microsoft Entra. È importante monitorare chi ha questi diritti per garantire la sicurezza dell'ambiente.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Aggiunta di utenti ai ruoli di amministratore globale o dei dispositivi | Alto | Log di audit | Tipo di attività: aggiunta di un membro al ruolo. | Cercare: aggiunta di nuovi utenti a questi ruoli di Microsoft Entra, successivo comportamento anomalo da parte di computer o utenti. Modello di Microsoft Sentinel Regole Sigma |
Accessi alle macchine virtuali non di Azure AD
Gli accessi alle macchine virtuali (VM) Linux o Windows devono essere monitorati per rilevare gli accessi da account diversi dagli account Microsoft Entra.
Accesso Microsoft Entra per Linux
L'accesso Microsoft Entra per Linux consente alle organizzazioni di accedere alle macchine virtuali Linux di Azure usando gli account Microsoft Entra tramite il protocollo SSH (Secure Shell).
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Accesso di account non Azure AD, in particolare tramite SSH | Alto | Log di autenticazione locale | Ubuntu: monitorare l'uso di /var/log/auth.log per SSH RedHat: monitorare l'uso di /var/log/sssd/ per SSH |
Cercare: voci in cui account non Azure AD si connettono correttamente alle macchine virtuali. Vedere l'esempio seguente. |
Esempio di Ubuntu:
9 maggio 23:49:39 ubuntu1804 aad_certhandler[3915]: Versione: 1.0.015570001; utente: localusertest01
9 maggio 23:49:39 ubuntu1804 aad_certhandler[3915]: Utente 'localusertest01' non è un utente di Microsoft Entra; restituzione di risultati vuoti.
9 maggio 23:49:43 ubuntu1804 aad_certhandler[3916]: Versione: 1.0.015570001; utente: localusertest01
9 maggio 23:49:43 ubuntu1804 aad_certhandler[3916]: Utente 'localusertest01' non è un utente di Microsoft Entra; restituzione di risultati vuoti.
9 maggio 23:49:43 ubuntu1804 sshd[3909]: Accettato pubblicamente per localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9 maggio 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sessione aperta per l’utente localusertest01 by (uid=0).
È possibile impostare criteri per gli accessi alle macchine virtuali Linux e rilevare e contrassegnare le VM Linux a cui vengono aggiunti account locali non approvati. Per maggiori informazioni, vedere Usare Criteri di Azure per soddisfare gli standard e valutare la conformità.
Accessi Microsoft Entra per Windows Server
L'accesso Microsoft Entra per Windows consente all'organizzazione di accedere alle macchine virtuali Windows 2019 e versioni successive di Azure usando account Microsoft Entra tramite il protocollo RDP (Remote Desktop Protocol).
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Accesso di account non Azure AD, soprattutto tramite RDP | Alto | Registri eventi di Windows Server | Accesso interattivo a VM Windows | Evento 528, tipo di accesso 10 (RemoteInteractive). Viene visualizzato quando un utente accede tramite Servizi terminal o Desktop remoto. |
Passaggi successivi
Panoramica delle operazioni per la sicurezza di Microsoft Entra
Operazioni per la sicurezza per gli account utente
Operazioni per la sicurezza per gli account consumer
Operazioni per la sicurezza per gli account con privilegi
Operazioni per la sicurezza per Privileged Identity Management