Cartella di lavoro del report operazioni sensibili

  • Articolo

In qualità di amministratore IT, è necessario essere in grado di identificare i compromessi nell'ambiente per assicurarsi che sia possibile mantenerlo in uno stato integro.

La cartella di lavoro del report sulle operazioni sensibili consente di identificare le attività sospette dell'applicazione e dell'entità servizio che potrebbero indicare compromessi nell'ambiente.

Questo articolo offre una panoramica della cartella di lavoro Report operazioni sensibili.

Prerequisiti

Per usare cartelle di lavoro di Azure per Microsoft Entra ID, è necessario:

  • Un tenant di Microsoft Entra con una licenza Premium P1
  • Un'area di lavoro Log Analytics e accesso a tale area di lavoro
  • Ruoli appropriati per Monitoraggio di Azure e Microsoft Entra ID

area di lavoro Log Analytics

È necessario creare un'area di lavoro Log Analytics prima di poter usare cartelle di lavoro di Microsoft Entra. diversi fattori determinano l'accesso alle aree di lavoro Log Analytics. Sono necessari i ruoli appropriati per l'area di lavoro e le risorse che inviano i dati.

Per altre informazioni, vedere Gestire l’accesso a un'area di lavoro Log Analytics.

Ruoli di Monitoraggio di Azure

Monitoraggio di Azure offre due ruoli predefiniti per la visualizzazione dei dati di monitoraggio e la modifica delle impostazioni di monitoraggio. Il controllo degli accessi in base al ruolo di Azure offre anche due ruoli predefiniti di Log Analytics che concedono un accesso simile.

  • Visualizza:

    • Lettore di monitoraggio
    • Lettore di Log Analytics

  • Visualizzare e modificare le impostazioni:

    • Collaboratore al monitoraggio
    • Collaboratore di Log Analytics

Ruoli di Microsoft Entra

L'accesso in sola lettura consente di visualizzare i dati di log di Microsoft Entra ID all'interno di una cartella di lavoro, eseguire query sui dati da Log Analytics o leggere i log nell'interfaccia di amministrazione di Microsoft Entra. L'accesso agli aggiornamenti consente di creare e modificare le impostazioni di diagnostica per inviare i dati di Microsoft Entra a un'area di lavoro Log Analytics.

  • Read:

    • Amministratore che legge i report
    • Ruolo con autorizzazioni di lettura per la sicurezza
    • Ruolo con autorizzazioni di lettura globali

  • Aggiornamento:

    • Amministratore della sicurezza

Per altre informazioni sui ruoli predefiniti di Microsoft Entra, vedere Ruoli predefiniti di Microsoft Entra.

Per altre informazioni sui ruoli controllo degli accessi in base al ruolo di Log Analytics, vedere Ruoli predefiniti di Azure.

Descrizione

Categoria cartella di lavoro

Questa cartella di lavoro identifica le operazioni sensibili recenti eseguite nel tenant e che possono compromettere l'entità servizio.

Se l'organizzazione non ha esperienza con le cartelle di lavoro di Monitoraggio di Azure, è necessario integrare i log di accesso e di controllo di Microsoft Entra con Monitoraggio di Azure prima di accedere alla cartella di lavoro. Questa integrazione consente di archiviare ed eseguire query e visualizzare i log usando cartelle di lavoro per un massimo di due anni. Solo gli eventi di accesso e controllo creati dopo l'integrazione di Monitoraggio di Azure vengono archiviati, quindi la cartella di lavoro non conterrà informazioni dettagliate prima di tale data. Altre informazioni sui prerequisiti per le cartelle di lavoro di Monitoraggio di Azure per Microsoft Entra ID. Se in precedenza sono stati integrati i log di accesso e controllo di Microsoft Entra con Monitoraggio di Azure, è possibile usare la cartella di lavoro per valutare le informazioni passate.

Come accedere alla cartella di lavoro

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra usando la combinazione appropriata di ruoli.

  2. Passare a Identity Monitoring &health Workbooks (Cartelle di lavoro di monitoraggio delle identità>e integrità).>

  3. Selezionare la cartella di lavoro Report operazioni sensibili nella sezione Risoluzione dei problemi .

Sezioni

Questa cartella di lavoro è suddivisa in quattro sezioni:

Sezioni della cartella di lavoro

  • Credenziali/autenticazione dell'applicazione e dell'entità servizio modificate: questo report contrassegna gli attori che hanno modificato di recente molte credenziali dell'entità servizio e il numero di credenziali di ogni tipo di entità servizio modificate.

  • Nuove autorizzazioni concesse alle entità servizio: questa cartella di lavoro evidenzia anche le autorizzazioni OAuth 2.0 concesse di recente alle entità servizio.

  • Aggiornamenti del ruolo della directory e dell'appartenenza ai gruppi per le entità servizio

  • Impostazioni di federazione modificate: questo report evidenzia quando un utente o un'applicazione modifica le impostazioni di federazione in un dominio. Ad esempio, segnala quando un nuovo oggetto TrustedRealm di Active Directory Federated Service (ADFS), ad esempio un certificato di firma, viene aggiunto al dominio. La modifica delle impostazioni di federazione del dominio deve essere rara.

Credenziali/autenticazione dell'applicazione e dell'entità servizio modificate

Uno dei modi più comuni per consentire agli utenti malintenzionati di ottenere la persistenza nell'ambiente consiste nell'aggiungere nuove credenziali alle applicazioni e alle entità servizio esistenti. Le credenziali consentono all'utente malintenzionato di eseguire l'autenticazione come applicazione o entità servizio di destinazione, concedendole l'accesso a tutte le risorse a cui dispone delle autorizzazioni.

Questa sezione include i dati seguenti che consentono di rilevare:

  • Tutte le nuove credenziali aggiunte alle app e alle entità servizio, incluso il tipo di credenziale

  • Attori principali e il numero di modifiche delle credenziali che hanno eseguito

  • Sequenza temporale per tutte le modifiche delle credenziali

Nuove autorizzazioni concesse alle entità servizio

Nei casi in cui l'utente malintenzionato non riesce a trovare un'entità servizio o un'applicazione con un set di autorizzazioni con privilegi elevati tramite cui ottenere l'accesso, spesso tenterà di aggiungere le autorizzazioni a un'altra entità servizio o a un'altra app.

Questa sezione include una suddivisione delle autorizzazioni AppOnly concesse alle entità servizio esistenti. Gli amministratori devono esaminare qualsiasi istanza di autorizzazioni elevate eccessive concesse, tra cui, ma non solo, Exchange Online e Microsoft Graph.

Aggiornamenti del ruolo della directory e dell'appartenenza ai gruppi per le entità servizio

Seguendo la logica dell'utente malintenzionato che aggiunge nuove autorizzazioni alle entità servizio e alle applicazioni esistenti, un altro approccio consiste nell'aggiungerle ai ruoli o ai gruppi di directory esistenti.

Questa sezione include una panoramica di tutte le modifiche apportate alle appartenenze all'entità servizio e deve essere esaminata per eventuali aggiunte a ruoli e gruppi con privilegi elevati.

Impostazioni di federazione modificate

Un altro approccio comune per ottenere un punto di appoggio a lungo termine nell'ambiente consiste nel:

  • Modificare i trust del dominio federato del tenant.
  • Aggiungere un altro PROVIDER di identità SAML controllato dall'utente malintenzionato come origine di autenticazione attendibile.

Questa sezione include i dati seguenti:

  • Modifiche apportate ai trust di federazione del dominio esistenti

  • Aggiunta di nuovi domini e trust

Filtri

Questo paragrafo elenca i filtri supportati per ogni sezione.

Credenziali dell'applicazione e dell'entità servizio modificate/metodi di autenticazione

  • Intervallo di tempo
  • Nome operazione
  • Credenziale
  • Attore
  • Escludi attore

Nuove autorizzazioni concesse alle entità servizio

  • Intervallo di tempo
  • App client
  • Conto risorse

Aggiornamenti del ruolo della directory e dell'appartenenza ai gruppi alle entità servizio

  • Intervallo di tempo
  • Operazione
  • Avvio dell'utente o dell'app

Impostazioni di federazione modificate

  • Intervallo di tempo
  • Operazione
  • Avvio dell'utente o dell'app

Procedure consigliate

    • Usare le credenziali dell'applicazione e dell'entità servizio modificate** per cercare le credenziali aggiunte alle entità servizio che non vengono usate di frequente nell'organizzazione. Usare i filtri presenti in questa sezione per analizzare ulteriormente gli attori sospetti o le entità servizio modificati.

  • Usare le nuove autorizzazioni concesse alle entità servizio per cercare autorizzazioni estese o eccessive aggiunte alle entità servizio da parte di attori che potrebbero essere compromesse.

  • Usare la sezione impostazioni di federazione modificate per verificare che il dominio o l'URL di destinazione aggiunto o modificato sia un comportamento di amministratore legittimo. Le azioni che modificano o aggiungono trust di federazione del dominio sono rare e devono essere considerate come ad alta fedeltà per essere esaminate il prima possibile.