Abilitare i controlli di sicurezza e DNS per Microsoft Entra Domain Services

  • Articolo

La sicurezza e i controlli DNS di Microsoft Entra consentono ad Azure di trasmettere gli eventi alle risorse di destinazione. Queste risorse includono Archiviazione di Azure, aree di lavoro di Azure Log Analytics o Hub eventi di Azure. Dopo aver abilitato gli eventi di controllo di sicurezza, Domain Services invia tutti gli eventi controllati per la categoria selezionata alla risorsa di destinazione.

È possibile archiviare gli eventi in Archiviazione di Azure e trasmettere eventi al software di informazioni di sicurezza e gestione degli eventi (SIEM) (o ad altro software equivalente) tramite Hub eventi di Azure, oppure eseguire analisi personalizzate e usare le aree di lavoro di Azure Log Analytics dall'Interfaccia di amministrazione di Microsoft Entra.

Destinazioni di controllo di sicurezza

È possibile usare Archiviazione di Azure, Hub eventi di Azure o aree di lavoro di Azure Log Analytics come risorsa di destinazione per i controlli di sicurezza di Domain Services. Queste destinazioni possono essere combinate. Ad esempio, è possibile usare Archiviazione di Azure per l'archiviazione degli eventi di controllo di sicurezza, ma un'area di lavoro Log Analytics di Azure per analizzare e segnalare le informazioni a breve termine.

La tabella seguente illustra gli scenari per ogni tipo di risorsa di destinazione.

Importante

È necessario creare la risorsa di destinazione prima di abilitare i controlli di sicurezza di Domain Services. È possibile creare queste risorse usando l'Interfaccia di amministrazione di Microsoft Entra, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Risorsa di destinazione Scenario
Archiviazione di Azure Questa destinazione deve essere usata quando è necessario archiviare gli eventi di controllo di sicurezza a scopo di archiviazione. Altre destinazioni possono essere usate per scopi di archiviazione, ma tali destinazioni offrono funzionalità aggiuntive rispetto alla necessità primaria di archiviazione.

Prima di abilitare gli eventi di controllo di sicurezza di Domain Services, creare prima di tutto un account di archiviazione di Azure.
Hub eventi di Azure Questa destinazione deve essere usata quando l’esigenza primaria è quella di condividere eventi di controllo di sicurezza con software aggiuntivi, ad esempio software di analisi dei dati o software di informazioni di sicurezza e gestione degli eventi (SIEM).

Prima di abilitare gli eventi di controllo di sicurezza di Domain Services, creare un hub eventi usando l'Interfaccia di amministrazione di Microsoft Entra
Area di lavoro Azure Log Analytics Questa destinazione deve essere usata quando l’esigenza primaria è quella di analizzare ed esaminare direttamente i controlli sicuri dall'Interfaccia di amministrazione di Microsoft Entra.

Prima di abilitare gli eventi di controllo di sicurezza di Domain Services, creare un’area di lavoro Log Analytics nell'Interfaccia di amministrazione di Microsoft Entra.

Abilitare gli eventi di controllo di sicurezza tramite l'Interfaccia di amministrazione di Microsoft Entra

Per abilitare gli eventi di controllo di sicurezza di Domain Services tramite l'Interfaccia di amministrazione di Microsoft Entra, completare i passaggi seguenti.

Importante

I controlli di sicurezza di Domain Services non sono retroattivi. Non è possibile recuperare o riprodurre eventi dal passato. Domain Services può inviare solo eventi che si verificano dopo l'abilitazione dei controlli di sicurezza.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.

  2. Cercare e selezionare Microsoft Entra Domain Services. Scegliere il dominio gestito, ad esempio aaddscontoso.com.

  3. Nella finestra Domain Services, selezionare Impostazioni di diagnostica sul lato sinistro.

  4. Per impostazione predefinita non è configurata nessuna diagnostica. Per iniziare, selezionare Aggiungere impostazione di diagnostica.

    Aggiungere un'impostazione di diagnostica per Microsoft Entra Domain Services

  5. Immettere un nome per la configurazione di diagnostica, ad esempio aadds-auditing.

    Selezionare la casella relativa alla destinazione di controllo DNS o di sicurezza desiderata. È possibile scegliere tra un'area di lavoro Log Analytics, un account di archiviazione di Azure, un hub eventi di Azure o una soluzione partner. Queste risorse di destinazione devono già esistere nella sottoscrizione di Azure. Non è possibile creare le risorse di destinazione in questa procedura guidata.

    • Aree di lavoro di Azure Log Analytics
      • Selezionare Invia a Log Analytics, quindi scegliere la sottoscrizione e l'area di lavoro Log Analytics da usare per archiviare gli eventi di controllo.
    • Archiviazione di Azure
      • Selezionare Archivia in un account di archiviazione, quindi selezionare Configurare.
      • Selezionare la sottoscrizione e l'account di archiviazione da usare per archiviare gli eventi di controllo.
      • Quando si è pronti, scegliere OK.
    • Hub eventi di Azure
      • Selezionare Flusso in un hub eventi, quindi scegliere Configurare.
      • Selezionare la sottoscrizione e lo spazio dei nomi dell'hub eventi. Se necessario, scegliere anche un nome dell'hub eventi e quindi il nome dei criteri dell'hub eventi.
      • Quando si è pronti, scegliere OK.
    • Soluzione partner
      • Selezionare Invia a soluzione partner, quindi scegliere la sottoscrizione e ladestinazione da usare per archiviare gli eventi di controllo.

  6. Selezionare le categorie di log da includere per la risorsa di destinazione specifica. Se si inviano eventi di controllo a un account di archiviazione di Azure, è anche possibile configurare criteri di conservazione che definiscano il numero di giorni in cui mantenere dati. Un'impostazione predefinita di 0 mantiene tutti i dati e non ruota gli eventi dopo un periodo di tempo.

    È possibile selezionare diverse categorie di log per ogni risorsa di destinazione all'interno di una singola configurazione. Questa possibilità consente di scegliere le categorie di log da mantenere per Log Analytics e, ad esempio, le categorie di log da archiviare.

  7. Al termine, selezionare Salva per eseguire il commit delle modifiche. Le risorse di destinazione iniziano a ricevere eventi di controllo di Domain Services subito dopo il salvataggio della configurazione.

Abilitare gli eventi di controllo di sicurezza e DNS con Azure PowerShell

Per abilitare gli eventi di controllo di sicurezza e DNS di Domain Services tramite Azure PowerShell, completare i passaggi seguenti. Se necessario, per prima cosa installare il modulo Azure PowerShell e connettersi alla sottoscrizione di Azure.

Importante

I controlli di Domain Services non sono retroattivi. Non è possibile recuperare o riprodurre eventi dal passato. Domain Services può inviare solo eventi che si verificano dopo l'abilitazione dei controlli.

  1. Eseguire l’autenticazione alla sottoscrizione di Azure usando il cmdlet Connect-AzAccount. Quando richiesto, immettere le credenziali del proprio account.

    Connect-AzAccount

  2. Creare la risorsa di destinazione per gli eventi di controllo.

  3. Ottenere l'ID risorsa per il dominio gestito di Domain Services usando il cmdlet Get-AzResource. Creare una variabile denominata $aadds. ResourceId che contenga il valore:

    $aadds = Get-AzResource -name aaddsDomainName

  4. Configurare le impostazioni di Diagnostica di Azure usando il cmdlet Set-AzDiagnosticSetting per usare la risorsa di destinazione per gli eventi di controllo di Microsoft Entra Domain Services. Negli esempi seguenti la variabile $aadds. ResourceId viene usata dal passaggio precedente.

    • Archiviazione di Azure - Sostituire storageAccountId con il nome dell'account di archiviazione:

      Set-AzDiagnosticSetting `
    -ResourceId $aadds.ResourceId `
    -StorageAccountId storageAccountId `
    -Enabled $true

    • Hub eventi di Azure - Sostituire eventHubName con il nome dell'hub eventi e eventHubRuleId con l'ID della regola di autorizzazione:

      Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId `
    -EventHubName eventHubName `
    -EventHubAuthorizationRuleId eventHubRuleId `
    -Enabled $true

    • Aree di lavoro di Log Analytics di Azure - Sostituire workspaceId con l'ID dell'area di lavoro Log Analytics:

      Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId `
    -WorkspaceID workspaceId `
    -Enabled $true

Eseguire query e visualizzare gli eventi di controllo di sicurezza e DNS con Monitoraggio di Azure

Le aree di lavoro di Log Analytics consentono di visualizzare e analizzare gli eventi di controllo di sicurezza e DNS usando Monitoraggio di Azure e il linguaggio di query Kusto. Questo linguaggio di query è progettato per l'uso in sola lettura e offre funzionalità di analisi avanzate con una sintassi facile da leggere. Per altre informazioni su come iniziare a usare i linguaggi di query Kusto, vedere gli articoli seguenti:

È possibile usare le query di esempio seguenti per avviare l'analisi degli eventi di controllo da Domain Services.

Query di esempio 1

Visualizzare tutti gli eventi di blocco account negli ultimi sette giorni:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Query di esempio 2

Visualizzare tutti gli eventi di blocco account (4740) compresi tra il 3 giugno 2020 alle ore 9:00 e il 10 giugno 2020 a mezzanotte, ordinati in ordine crescente per data e ora:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc

Query di esempio 3

Visualizzare gli eventi di accesso all'account di sette giorni fa (da adesso) per l'account denominato utente:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Query di esempio 4

Visualizzare gli eventi di accesso all'account di sette giorni fa a partire da adesso per l'account denominato utente che ha tentato di accedere usando una password non valida (0xC0000006a):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Query di esempio 5

Visualizzare gli eventi di accesso all'account di sette giorni fa a partire da adesso per l'account denominato utente che ha tentato di accedere mentre l’account era bloccato (0xC0000234):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Query di esempio 6

Visualizzare il numero di eventi di accesso all'account di sette giorni fa a partire da adesso per tutti i tentativi di accesso che si sono verificati per tutti gli utenti bloccati:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()

Controllare le categorie di eventi di sicurezza e DNS

I controlli di sicurezza e DNS di Domain Services sono allineati al controllo tradizionale per i controller di dominio di Active Directory Domain Services tradizionali. Negli ambienti ibridi è possibile riutilizzare i modelli di controllo esistenti in modo che la stessa logica possa essere usata durante l'analisi degli eventi. A seconda dello scenario che è necessario risolvere o analizzare, è possibile impostare come destinazione le diverse categorie di eventi di controllo.

Sono disponibili le categorie di eventi di controllo seguenti:

Nome categoria di controllo Descrizione
Accesso account I controlli tentano di autenticare i dati dell'account in un controller di dominio o in un gestore di account di sicurezza (SAM) locale.
-Le impostazioni dei criteri di accesso e disconnessione e gli eventi tracciano i tentativi di accedere a un computer specifico. Impostazioni ed eventi in questa categoria sono incentrati sul database dell'account usato. Questa categoria include le sottocategorie seguenti:
-Controllo convalida credenziali
-Controllo del servizio di autenticazione Kerberos
-Controllo delle operazioni sui ticket di servizio Kerberos
-Controllo di altri eventi di accesso/disconnessione
Gestione degli account Controlla le modifiche apportate ad account utente e computer e ai gruppi. Questa categoria include le sottocategorie seguenti:
-Controllo della gestione di gruppi di applicazioni
-Controllo della gestione degli account del computer
-Controllo della gestione dei gruppi di distribuzione
-Controllo di altre operazioni di gestione degli account
-Controllo della gestione dei gruppi di sicurezza
-Controllo della gestione di account utente
Server DNS Controlla le modifiche apportate agli ambienti DNS. Questa categoria include le sottocategorie seguenti:
- DNSServerAuditsDynamicUpdates (anteprima)
- DNSServerAuditsGeneral (anteprima)
Rilevamento dei dettagli Controlla le attività di singole applicazioni e utenti su tale computer, per comprendere come viene usato un computer. Questa categoria include le sottocategorie seguenti:
-Controllo delle attività DPAPI
-Controllo delle attività PNP
-Creazione processo di controllo
-Controllo della terminazione dei processi
-Controllo degli eventi RPC
Accesso ai servizi directory Controlla i tentativi di accesso e modifica degli oggetti in Active Directory Domain Services (AD DS). Questi eventi di controllo vengono registrati solo nei controller di dominio. Questa categoria include le sottocategorie seguenti:
-Controllo della replica dettagliata del servizio directory
-Controllo dell'accesso al servizio directory
-Controllo delle modifiche al servizio directory
-Controllo della replica del servizio directory
Accesso-Disconnessione I controlli tentano di accedere a un computer in modo interattivo o in rete. Questi eventi sono utili per tenere traccia dell'attività dell'utente e identificare potenziali attacchi alle risorse di rete. Questa categoria include le sottocategorie seguenti:
-Controllo del blocco account
-Controllo delle attestazioni utente/dispositivo
-Controllo della modalità estesa IPsec
-Controllo dell’appartenenza a gruppi
-Controllo della modalità principale IPsec
-Controllo della modalità rapida IPsec
-Controllo della disconnessione
-Controllo dell’accesso
-Controlla Server dei criteri di rete
-Controllo di altri eventi di accesso/disconnessione
-Controllo dell’accesso speciale
Accesso agli oggetti I controlli tentano di accedere a oggetti o tipi di oggetti specifici in una rete o in un computer. Questa categoria include le sottocategorie seguenti:
-Controllo dell’applicazione generata
-Controllo dei servizi di certificazione
-Controllo della condivisione file dettagliata
-Controllo della condivisione file
-Controllo del file system
-Controllo della connessione della piattaforma filtro
-Controllo del rilascio del pacchetto della piattaforma filtro
-Controllo della manipolazione handle
-Controllo dell’oggetto kernel
-Controllo di altri eventi di accesso a oggetti
-Controllo del Registro di sistema
-Controllo di archivi rimovibili
-Controllo SAM
-Controllo della gestione temporanea dei criteri di accesso centrale
Modifica criteri Controlla le modifiche apportate ai criteri di sicurezza importanti in un sistema locale o in una rete. I criteri vengono in genere stabiliti dagli amministratori per proteggere le risorse di rete. Il monitoraggio delle modifiche o dei tentativi di modifica di questi criteri può rappresentare un aspetto importante nella gestione della sicurezza di una rete. Questa categoria include le sottocategorie seguenti:
-Controllo della modifica ai criteri di controllo
-Controllo della modifica ai criteri di autenticazione
-Controllo della modifica ai criteri di autorizzazione
-Controllo della modifica ai criteri della piattaforma filtro
-Controllo della modifica ai criteri a livello di regola di MPSSVC
-Controllo di altre modifiche ai criteri
Utilizzo privilegi Controlla l'uso di determinate autorizzazioni in uno o più sistemi. Questa categoria include le sottocategorie seguenti:
-Controllo dell'uso dei privilegi non sensibili
-Controllo dell’uso dei privilegi sensibili
-Controllo di altri eventi di utilizzo dei privilegi
System Controlla le modifiche a livello di sistema in un computer che non sono incluse in altre categorie e che presentano potenziali implicazioni per la sicurezza. Questa categoria include le sottocategorie seguenti:
-Controllo del driver IPsec
-Controllo di altri eventi di sistema
-Controllo della modifica allo stato di sicurezza
-Controllo dell’estensione del sistema di sicurezza
-Controllo dell’integrità del sistema

ID evento per categoria

I controlli di sicurezza e DNS di Domain Services registrano gli ID evento seguenti quando l'azione specifica attiva un evento controllabile:

Nome categoria evento ID evento
Sicurezza dell'accesso agli account 4767, 4774, 4775, 4776, 4777
Sicurezza della gestione degli account 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Sicurezza del rilevamento dei dettagli None
Server DNS 513-523, 525-531, 533-537, 540-582
Sicurezza dell'accesso DS 5136, 5137, 5138, 5139, 5141
Sicurezza di accesso-disconnessione 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Sicurezza dell'accesso a oggetti None
Sicurezza delle modifiche ai criteri 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Sicurezza dell'uso dei privilegi 4985
Sicurezza del sistema 4612, 4621

Passaggi successivi

Per informazioni specifiche su Kusto, vedere gli articoli seguenti: