Altre aree di Zero Trust affrontate nel memorandum 22-09

Gli altri articoli di questa guida illustrano il pilastro dell'identità dei principi Zero Trust, come descritto nell'Office of Management and Budget (OMB) degli Stati Uniti Memorandum M 22-09 per i capi dei dipartimenti esecutivi e delle agenzie. Questo articolo illustra le aree del modello di maturità Zero Trust oltre il pilastro dell'identità e tratta i temi seguenti:

  • Visibilità
  • Analisi
  • Automazione e orchestrazione
  • Governance

Visibilità

È importante monitorare il tenant di Microsoft Entra. Adottare una mentalità incentrata sulle violazioni e soddisfare gli standard di conformità nel memorandum 22-09 e nel Memorandum 21-31. Per l'analisi della sicurezza e l'inserimento vengono usati tre tipi di log principali:

  • Log di controllo di Azure per monitorare le attività operative nell’elenco, ad esempio la creazione, l'eliminazione, l'aggiornamento di oggetti come utenti o gruppi
  • I log di provisioning contengono informazioni sugli oggetti sincronizzati da Microsoft Entra ID ad applicazioni come Service Now con Microsoft Identity Manager
  • Log di accesso di Microsoft Entra per monitorare le attività di accesso associate a utenti, applicazioni ed entità servizio.
    • I log di accesso dispongono di categorie per la differenziazione
    • Gli accessi interattivi mostrano accessi riusciti e non riusciti, criteri applicati e altri metadati
    • Gli accessi utente non interattivi non mostrano alcuna interazione durante l'accesso: i client che accedono per conto dell'utente, ad esempio applicazioni per dispositivi mobili o client email
    • Gli accessi all'entità servizio mostrano l'accesso all'entità servizio o all'applicazione: servizi o applicazioni che accedono a servizi, applicazioni o alla directory Microsoft Entra tramite l'API REST
    • Accesso alle identità gestite per le risorse di Azure: risorse di Azure o applicazioni che accedono alle risorse di Azure, ad esempio un servizio applicativo Web che esegue l'autenticazione a un back-end di Azure SQL.
    • Consultare Log di accesso Microsoft Entra ID (anteprima)

Nei tenant di Microsoft Entra ID Free, le voci di log vengono archiviate per sette giorni. I tenant con licenza Microsoft Entra ID P1 o P2 mantengono le voci di log per 30 giorni.

Assicurarsi che uno strumento Security Information and Event Management (SIEM) inserisca i log. Usare gli eventi di accesso e controllo per la correlazione con i log di applicazioni, infrastrutture, dati, dispositivi e reti.

È consigliabile integrare i log di Microsoft Entra con Microsoft Sentinel. Configurare un connettore per inserire i log del tenant di Microsoft Entra.

Altre informazioni:

Per il tenant di Microsoft Entra, è possibile configurare le impostazioni di diagnostica per inviare i dati a un account di archiviazione di Azure, Hub eventi di Azure o a un'area di lavoro Log Analytics. Usare queste opzioni di archiviazione per integrare altri strumenti SIEM per raccogliere i dati.

Altre informazioni:

Analisi

È possibile usare l'analisi negli strumenti seguenti per aggregare le informazioni da Microsoft Entra ID e mostrare le tendenze nella postura di sicurezza in confronto alla previsione. È anche possibile usare l'analisi per valutare e cercare criteri o minacce in Microsoft Entra ID.

  • Microsoft Entra ID Protection analizza gli accessi e altre origini di telemetria per alla ricerca di comportamenti rischiosi
    • ID Protection assegna un punteggio di rischio agli eventi di accesso
    • Impedire l'accesso o forzare un'autenticazione superiore per accedere a una risorsa o a un'applicazione in base al punteggio di rischio
    • Vedere Cos’è ID Protection?
  • I report sull'utilizzo e sulle informazioni dettagliate di Microsoft Entra contengono informazioni simili alle cartelle di lavoro di Azure Sentinel, incluse le applicazioni con tendenze di utilizzo o di accesso più elevate.
  • Microsoft Sentinel analizza le informazioni da Microsoft Entra ID:

Automazione e orchestrazione

L'automazione in Zero Trust consente di correggere gli avvisi a causa di minacce o modifiche alla sicurezza. In Microsoft Entra ID, le integrazioni di automazione consentono di chiarire le azioni per migliorare la postura di sicurezza. L'automazione si basa sulle informazioni ricevute dal monitoraggio e dall'analisi.

Usare le chiamate REST di Microsoft Graph API per accedere a Microsoft Entra ID in modo programmatico. Questo accesso richiede un'identità di Microsoft Entra con autorizzazioni e ambito. Con Graph API, integrare altri strumenti.

È consigliabile configurare una funzione di Azure o un'app per la logica di Azure per usare un'identità gestita assegnata dal sistema. L'app per la logica o la funzione include passaggi o codice per automatizzare le azioni. Assegnare le autorizzazioni all'identità gestita per concedere all'entità servizio le autorizzazioni dell’elenco per eseguire azioni. Concedere diritti minimi alle identità gestite.

Per altre informazioni, consultare Cosa sono le identità gestite per le risorse di Azure?

Un altro punto di integrazione di automazione è costituito dai moduli di Microsoft Graph PowerShell. Usare Microsoft Graph PowerShell per task o configurazioni comuni in Microsoft Entra ID o per incorporarle in runbook di funzioni di Azure o di Automazione di Azure.

Governance

Documentare i processi per il funzionamento dell'ambiente di Microsoft Entra. Usare le funzionalità di Microsoft Entra per la funzionalità di governance applicata agli ambiti in Microsoft Entra ID.

Altre informazioni:

Passaggi successivi