Guida alle operazioni per la sicurezza di Microsoft Entra

Microsoft attua un approccio efficace e collaudato alla sicurezza Zero Trust usando principi di difesa avanzata che si avvalgono dell'identità come piano di controllo. Le organizzazioni continuano ad adottare un mondo di carico di lavoro ibrido per scalabilità, risparmi sui costi e sicurezza. Microsoft Entra ID svolge un ruolo fondamentale nella strategia di gestione delle identità. Recentemente, le notizie riguardanti la compromissione dell'identità e della sicurezza hanno richiesto all'IT aziendale di considerare la loro postura di sicurezza delle identità come misura del successo della sicurezza difensiva.

Sempre più spesso, le organizzazioni devono adottare una combinazione di applicazioni locali e cloud, a cui gli utenti accedono con account locali e solo cloud. La gestione di utenti, applicazioni e dispositivi sia in locale che nel cloud pone scenari complessi.

Identità ibrida

Microsoft Entra ID crea una singola identità utente per l'autenticazione e l'autorizzazione a tutte le risorse, indipendentemente dalla loro posizione. Tale identità costituisce la cosiddetta identità ibrida.

Per ottenere l'identità ibrida con Microsoft Entra ID è possibile usare uno dei tre metodi di autenticazione disponibili, in base agli scenari. seguenti:

• Sincronizzazione dell'hash delle password
• Autenticazione pass-through
• Federazione (AD FS)

Quando si controllano le operazioni di sicurezza correnti o si stabiliscono operazioni di sicurezza per l'ambiente Azure, è consigliabile:

• Leggere parti specifiche delle linee guida sulla sicurezza Microsoft per stabilire una baseline di conoscenza sulla protezione dell'ambiente Azure ibrido o basato sul cloud.
• Controllare i metodi di autenticazione e strategia dell'account e della password per contribuire a scoraggiare i vettori di attacco più comuni.
• Creare una strategia per il monitoraggio continuo e l'invio di avvisi sulle attività che potrebbero indicare una minaccia per la sicurezza.

Destinatari

Microsoft Entra SecOps Guide è destinato ai team aziendali di gestione delle identità IT e delle operazioni di sicurezza e ai provider di servizi gestiti che devono contrastare le minacce tramite una migliore configurazione della sicurezza delle identità e profili di monitoraggio. Questa guida è particolarmente rilevante per gli amministratori IT e gli architetti delle identità che consigliano team di test difensivi e di penetrazione del Centro sicurezza (SOC) per migliorare e mantenere la postura di sicurezza delle identità.

Ambito

Questa introduzione fornisce le raccomandazioni consigliate per la pre-lettura e il controllo delle password e la strategia. Questo articolo offre anche una panoramica degli strumenti disponibili per gli ambienti Azure ibridi e gli ambienti Azure completamente basati sul cloud. Infine, viene fornito un elenco di origini dati che è possibile usare per il monitoraggio e l'invio di avvisi e la configurazione della strategia e dell'ambiente Security Information and Event Management (SIEM). Il resto delle linee guida presenta strategie di monitoraggio e avviso nelle aree seguenti:

• Account utente. Linee guida specifiche per gli account utente senza privilegi amministrativi, tra cui la creazione e l'utilizzo di account anomali e accessi insoliti.

• Account con privilegi. Indicazioni specifiche per gli account utente con privilegi con autorizzazioni elevate per eseguire attività amministrative. Le attività includono assegnazioni di ruolo Microsoft Entra, assegnazioni di ruolo delle risorse di Azure e gestione degli accessi per le risorse e le sottoscrizioni di Azure.

• Privileged Identity management (PIM). Linee guida specifiche per l'uso di PIM per gestire, controllare e monitorare l'accesso alle risorse.

• Applicazioni. Indicazioni specifiche per gli account usati per fornire l'autenticazione per le applicazioni.

• Dispositivi. Indicazioni specifiche per il monitoraggio e l'invio di avvisi per i dispositivi registrati o aggiunti all'esterno di criteri, utilizzo non conforme, gestione dei ruoli di amministrazione dei dispositivi e accessi alle macchine virtuali.

• Infrastruttura. Linee guida specifiche per il monitoraggio e l'invio di avvisi sulle minacce per gli ambienti ibridi e puramente basati sul cloud.

Contenuto di riferimento importante

Microsoft offre numerosi prodotti e servizi che consentono di personalizzare l'ambiente IT in base alle proprie esigenze. È consigliabile prendere in esame le indicazioni seguenti per l'ambiente operativo:

• Sistemi operativi Windows

  • Baseline di sicurezza (FINALE) per Windows 10 v1909 e Windows Server v1909
  • Baseline di sicurezza per Windows 11
  • Baseline di sicurezza per Windows Server 2022

• Ambienti locali

  • Architettura di Microsoft Defender per identità
  • Avvio rapido Connettere Microsoft Defender per identità a Active Directory
  • Baseline di sicurezza di Azure per Microsoft Defender per identità
  • Monitoraggio dei segnali di compromissione di Active Directory

• Ambienti Azure basati sul cloud

  • Monitorare gli accessi con il log di accesso di Microsoft Entra
  • Verificare i report attività nel portale di Azure
  • Investigare i rischi con Microsoft Entra ID Protection
  • Connettere i dati di Microsoft Entra ID Protection a Microsoft Sentinel

• Active Directory Domain Services (AD DS)

  • Suggerimenti per i criteri di controllo

• Active Directory Federation Services (ADFS)

  • Risoluzione dei problemi di Active Directory Federation Services - Controllo di eventi e registrazione

Origini dati

I file di log da usare per l'indagine e il monitoraggio sono:

• Log di audit di Microsoft Entra
• Log di accesso
• Log di audit di Microsoft 365
• Log di Azure Key Vault

Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra. Scaricare i log come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:

• Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale fornendo funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).

• Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Se sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.

• Monitoraggio di Azure: consente il monitoraggio e la creazione di avvisi automatizzati per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.

• Hub eventi di Azure integrato con una soluzione SIEM. È possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure. Per altre informazioni vedereTrasmettere i log di Microsoft Entra a un hub eventi di Azure.

• Microsoft Defender for Cloud Apps: consente di individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.

• Protezione delle identità dei carichi di lavoro con Identity Protection Preview: consente di rilevare i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.

Gran parte degli elementi che verranno monitorati e su cui si riceveranno avvisi rappresentano l'effetto dei criteri di Accesso condizionale. È possibile usare la cartella di lavoro Informazioni dettagliate e report di Accesso condizionale per prendere in esame gli effetti di uno o più criteri di Accesso condizionale sugli accessi e i risultati dei criteri, incluso lo stato del dispositivo. Questa cartella di lavoro consente di visualizzare un riepilogo dell'impatto e di identificare l'impatto in un periodo di tempo specifico. È anche possibile usare la cartella di lavoro per prendere in esame gli accessi di un particolare utente. Per altre informazioni, vedere Informazioni dettagliate e creazione di report per l'Accesso condizionale.

Nella parte restante di questo articolo viene descritto cosa monitorare e inviare avvisi. Dove sono presenti soluzioni predefinite specifiche è presente un link oppure vengono forniti esempi dopo la tabella. In caso contrario, è possibile creare avvisi usando gli strumenti precedenti.

• Identity Protection genera tre report chiave che è possibile usare per facilitare l'indagine:

• Gli utenti a rischio contengono informazioni su quali utenti sono a rischio, dettagli sui rilevamenti, la cronologia di tutti gli accessi a rischio e quella dei rischi.

• Gli accessi a rischio contengono informazioni sulle circostanze di un accesso che potrebbero indicare circostanze sospette. Per altre informazioni sull'analisi delle informazioni di questo report, vedere Procedura: investigare i rischi.

• I rilevamenti dei rischi contengono informazioni sui segnali di rischio rilevati da Microsoft Entra ID Protection che informano in merito al rischio di accesso e dell’utente. Per altre informazioni, vedere la Guida alle operazioni di sicurezza di Microsoft Entra per gli account utente.

Per altre informazioni, vedere Informazioni su Identity Protection.

Origini dati per il monitoraggio del controller di dominio

Per ottenere risultati ottimali, è consigliabile monitorare i controller di dominio usando Microsoft Defender per identità. Questo approccio consente le migliori funzionalità di rilevamento e automazione. Seguire le indicazioni fornite da queste risorse:

• Architettura di Microsoft Defender per identità
• Avvio rapido Connettere Microsoft Defender per identità a Active Directory

Se non si prevede di usare Microsoft Defender per identità, monitorare i controller di dominio con uno di questi approcci:

• Messaggi del registro eventi. Vedere Monitoraggio di Active Directory per identificare eventuali segni di compromissione.
• Cmdlet di PowerShell. Vedere Risoluzione dei problemi relativi alla distribuzione del controller di dominio.

Componenti dell'autenticazione ibrida

Nell'ambito di un ambiente ibrido di Azure, gli elementi seguenti devono essere previsti e inclusi nella strategia di monitoraggio e avviso.

• Agente PTA: l'agente di autenticazione pass-through viene usato per abilitare l'autenticazione pass-through ed è installato in locale. Per informazioni sulla verifica della versione e sui passaggi successivi, vedere Agente di autenticazione pass-through di Microsoft Entra: cronologia delle versioni.

• AD FS/WAP - Active Directory Federation Services (Azure AD FS) e Web Application Proxy (WAP) consentono la condivisione sicura di identità digitali e diritti di entitlement attraverso i limiti di sicurezza e organizzazione. Per informazioni sulle procedure consigliate sulla sicurezza, vedere Procedure consigliate per la protezione di Active Directory Federation Services.

• Agente di Microsoft Entra Connect Health: agente usato per fornire un link di comunicazione per Microsoft Entra Connect Health. Per informazioni sull’installazione dell’agente, vedere Installazione dell'agente di Microsoft Entra Connect Health.

• Motore di Microsoft Entra Connect Sync: il componente locale, detto anche motore di sincronizzazione. Per informazioni sulla funzionalità, vedere Funzionalità del servizio Microsoft Entra Connect Sync.

• Agent del controller di dominio di protezione password: l'agente del controller di dominio di protezione password di Azure viene usato per facilitare il monitoraggio e la segnalazione di messaggi del registro eventi. Per informazioni vedere Applicare la protezione password locale di Microsoft Entra per Active Directory Domain Services.

• DLL filtro password: la DLL del filtro password dell'agente del controller di dominio riceve le richieste di convalida delle password utente dal sistema operativo. Il filtro le inoltra al servizio agente del controller di dominio in esecuzione localmente nel controller di dominio. Per informazioni sull’uso della DLL vedere Applicare la protezione password locale di Microsoft Entra per Active Directory Domain Services.

• Agente di writeback delle password: il writeback delle password è una funzione abilitata con Microsoft Entra Connect che consente di riscrivere le modifiche alle password nel cloud in una directory locale esistente in tempo reale. Per altre informazioni su questa funzionalità, vedere Funzionamento del writeback della reimpostazione della password self-service in Microsoft Entra ID.

• Connettore di rete privata di Microsoft Entra: i connettori sono agenti semplici che si trovano a livello locale e facilitano la connessione in uscita al servizio Application Proxy. Per altre informazioni vedere Informazioni sui connettori di rete privata di Microsoft Entra.

Componenti dell'autenticazione basata sul cloud

Nell'ambito di un ambiente basato sul cloud di Azure, gli elementi seguenti devono essere previsti e inclusi nella strategia di monitoraggio e avviso.

• Microsoft Entra Application Proxy: consente l'accesso remoto sicuro ad applicazioni Web locali. Per altre informazioni, consulta Accesso remoto alle applicazioni locali tramite Microsoft Entra Application Proxy.

• Microsoft Entra Connect: servizi usati per una soluzione Microsoft Entra Connect. Per altre informazioni, vedere Cos'è Microsoft Entra Connect.

• Microsoft Entra Connect Health: Integrità dei servizi offre un dashboard personalizzabile che registra l'integrità dei servizi di Azure nelle regioni in cui si usano. Per altre informazioni, vedere Microsoft Entra Connect Health.

• Autenticazione a più fattori Microsoft Entra: l'autenticazione a più fattori richiede a un utente di fornire più di una forma di prova per l'autenticazione. Questo approccio può fornire un primo passaggio proattivo per proteggere l'ambiente. Per altre informazioni, vedere Autenticazione a più fattori di Microsoft Entra.

• Gruppi dinamici: la configurazione dinamica dell'appartenenza ai gruppi di sicurezza per gli amministratori di Microsoft Entra consente di impostare regole per popolare i gruppi creati in Microsoft Entra ID in base agli attributi utente. Per informazioni, vedere Gruppi dinamici e Collaborazione B2B di Microsoft Entra.

• Accesso condizionale: l'Accesso condizionale è lo strumento usato da Microsoft Entra ID per raggruppare i segnali, consentendo di prendere decisioni e applicare i criteri dell'organizzazione. L'accesso condizionale è la base del nuovo piano di controllo basato su identità. Per altre informazioni, vedere Cosa è l’Accesso condizionale.

• Identity Protection: strumento che consente alle organizzazioni di automatizzare il rilevamento e la correzione dei rischi basati sull'identità, investigare i rischi usando i dati nel portale ed esportare i dati di rilevamento dei rischi nel sistema SIEM. Per altre informazioni, vedere Informazioni su Identity Protection.

• Licenze basate su gruppo: è possibile assegnare le licenze a gruppi anziché direttamente agli utenti. Microsoft Entra ID archivia le informazioni relative agli stati di assegnazione delle licenze per gli utenti.

• Servizio di provisioning: il provisioning si riferisce alla creazione di identità e ruoli utente nelle applicazioni cloud a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Per altre informazioni, vedere Modalità di funzionamento del provisioning in Microsoft Entra ID.

• API Graph: l'API Microsoft Graph è un'API Web RESTful che consente di accedere alle risorse del servizio Microsoft Cloud. Dopo aver registrato l'app e aver acquisito i token di autenticazione per un utente o un servizio, è possibile effettuare richieste all'API Microsoft Graph. Per altre informazioni, vedere Panoramica di Microsoft Graph.

• Servizio di dominio: Microsoft Entra Domain Services (AD DS) fornisce servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, criteri di gruppo. Per altre informazioni, vedere Cos'è Microsoft Entra Domain Services.

• Azure Resource Manager: Azure Resource Manager è il servizio di distribuzione e gestione di Azure. Fornisce un livello di gestione che consente di creare, aggiornate ed eliminare risorse nell'account Azure. Per altre informazioni, vedere Cosa è Azure Resource Manager.

• Entità gestite: le identità gestite eliminano la necessità per i developer di gestire credenziali. Le identità gestite forniscono un'identità per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure.

• Privileged Identity Management: PIM è un servizio di Microsoft Entra ID che permette di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione. Per altre informazioni, vedere Che cos'è Microsoft Entra Privileged Identity Management.

• Revisioni degli accessi: le revisioni degli accessi di Microsoft Entra consentono alle organizzazioni di gestire in modo efficiente l'appartenenza a gruppi, l'accesso alle applicazioni Enterprise e le assegnazioni di ruoli. È possibile verificare l'accesso dell'utente regolarmente per assicurarsi che solo gli utenti corretti possano continuare ad accedere. Per altre informazioni, vedere Che cosa sono le revisioni di accesso di Microsoft Entra?.

• Gestione entitlement: la gestione entitlement di Microsoft Entra è una funzionalità di governance delle identità. Le organizzazioni possono gestire il ciclo di vita delle identità e degli accessi su larga scala, automatizzando i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le verifiche e la scadenza. Per altre informazioni, vedere Che cos'è la gestione entitlement di Microsoft Entra .

• Log attività: il log attività è log di piattaforma di Azure che fornisce informazioni sugli eventi a livello di sottoscrizione. Questo log include le informazioni relative, ad esempio, alla modifica di una risorsa o all'avvio di una macchina virtuale. Per altre informazioni, vedere la Log attività di Azure.

• Servizio di reimpostazione della password self-service: la reimpostazione della password self-service di Microsoft Entra consente agli utenti di cambiare o reimpostare la password. L'amministratore o l'help desk non è obbligatorio. Per altre informazioniCome funziona: reimpostazione della password self-service di Microsoft Entra.

• Servizi dei dispositivi: la gestione delle identità dei dispositivi costituisce un elemento fondamentale per l'Accesso condizionale basato su dispositivo. Con i criteri di accesso condizionale basato su dispositivo, è possibile assicurarsi che l'accesso alle risorse nell'ambiente in uso sia possibile solo con dispositivi gestiti. Per altre informazioni, vedere Informazioni sull'identità di un dispositivo.

• Gestione dei gruppi self-service: è possibile consentire agli utenti di creare e gestire i propri gruppi di sicurezza o i gruppi di Microsoft 365 in Microsoft Entra ID. Il proprietario del gruppo può approvare o negare le richieste di appartenenza e può delegare il controllo dell'appartenenza al gruppo. Le funzionalità di gestione dei gruppi self-service non sono disponibili per i gruppi di sicurezza abilitati alla e-mail o per le liste di distribuzione. Per altre informazioni vedere Configurare la gestione dei gruppi self-service in Microsoft Entra ID.

• Rilevamenti dei rischi: contiene informazioni su altri rischi attivati quando viene rilevato un rischio, oltre che altre informazioni pertinenti, ad esempio la posizione di accesso e i dettagli di Microsoft Defender for Cloud Apps.

Passaggi successivi

Vedere gli articoli seguenti della Guida alle operazioni di sicurezza:

Operazioni per la sicurezza per gli account utente

Operazioni per la sicurezza per gli account consumer

Operazioni per la sicurezza per gli account con privilegi

Operazioni per la sicurezza per Privileged Identity Management

Operazioni per la sicurezza per le applicazioni

Operazioni per la sicurezza per i dispositivi

Operazioni per la sicurezza per l'infrastruttura