Raccomandazioni per il monitoraggio e il rilevamento delle minacce
Si applica a questa raccomandazione per l'elenco di controllo della sicurezza Well-Architected di Power Platform:
| SE:08 | Implementa una strategia di monitoraggio olistico che si basi su moderni meccanismi di rilevamento delle minacce che possono essere integrati con la piattaforma. I meccanismi dovrebbero avvisare in modo affidabile per il triage e inviare segnali ai processi SecOps esistenti. |
|---|
Questa guida descrive le raccomandazioni per il monitoraggio e il rilevamento delle minacce. Il monitoraggio è fondamentalmente un processo di raccolta di informazioni su eventi già accaduti. Il monitoraggio della sicurezza è una pratica di acquisizione di informazioni a diversi livelli del carico di lavoro (identità, flussi, applicazione, operazioni) per acquisire consapevolezza di attività sospette. L’obiettivo è prevedere gli incidenti e imparare dagli eventi passati. I dati di monitoraggio forniscono la base per l'analisi post-incidente di ciò che è accaduto per facilitare la risposta agli incidenti e le indagini forensi.
Il monitoraggio è un approccio di eccellenza operativa applicato a tutti i Power Platform pilastri ben architettati. Questa guida fornisce consigli solo dal punto di vista della sicurezza. I concetti generali di monitoraggio sono trattati negli Elementi consigliati per la progettazione e la creazione di un sistema di monitoraggio.
Definizioni
| Termine | Definizione |
|---|---|
| Log di controllo | Un record di attività in un sistema. |
| Informazioni di sicurezza e gestione degli eventi (SIEM) | Un approccio che utilizza funzionalità integrate di rilevamento delle minacce e intelligence basate su dati aggregati provenienti da più origini. |
| Rilevamento delle minacce | Una strategia per rilevare deviazioni dalle azioni previste utilizzando dati raccolti, analizzati e correlati. |
| Intelligenza sulle minacce | Una strategia per interpretare i dati di rilevamento delle minacce per rilevare attività sospette o minacce esaminando i modelli. |
| Prevenzione delle minacce | Controlli di sicurezza posti in un carico di lavoro a varie altitudini per proteggerne le risorse. |
Strategie di progettazione chiave
Lo scopo principale del monitoraggio della sicurezza è il rilevamento delle minacce. L'obiettivo principale è prevenire potenziali violazioni della sicurezza e mantenere un ambiente sicuro. Tuttavia, è altrettanto importante riconoscere che non tutte le minacce possono essere bloccate preventivamente. In tali casi, il monitoraggio funge anche da meccanismo per identificare la causa di un incidente di sicurezza che si è verificato nonostante gli sforzi di prevenzione.
Il monitoraggio può essere affrontato da diverse prospettive:
Monitorare a varie altitudini. Osservando da varie altitudini è il processo per ottenere informazioni sui flussi di utenti, sull'accesso ai dati, sull'identità, sulla rete e persino sul sistema operativo. Ognuna di queste aree offre informazioni dettagliate uniche che possono aiutarti a identificare le deviazioni dai comportamenti previsti stabiliti rispetto alla linea di base di sicurezza. Al contrario, il monitoraggio continuo di un sistema e delle applicazioni nel tempo può aiutare a stabilire quella postura di base. Ad esempio, in genere potresti visualizzare circa 1.000 tentativi di accesso nel tuo sistema di identità ogni ora. Se il tuo monitoraggio rileva un picco di 50.000 tentativi di accesso in un breve periodo, un utente malintenzionato potrebbe tentare di accedere al tuo sistema.
Il monitoraggio di vari ambiti di impatto è fondamentale per osservare l'applicazione e la piattaforma. Supponiamo che un utente dell'applicazione ottenga accidentalmente privilegi di escalation o che si verifichi una violazione della sicurezza. Se l'utente esegue azioni che vanno oltre l'ambito designato, l'impatto potrebbe essere limitato alle azioni che altri utenti possono eseguire.
Tuttavia, se un'entità interna compromette un database, l'entità del potenziale danno è incerta.
Il raggio d'azione o l'ambito dell'impatto potrebbero essere significativamente diversi, a seconda di quale di questi scenari si verifica.
Utilizza strumenti di monitoraggio specializzati. È fondamentale investire in strumenti specializzati che possono ricercare continuamente comportamenti anomali che potrebbero indicare un attacco. La maggior parte di questi strumenti hanno funzionalità di intelligence sulle minacce in grado di eseguire analisi predittive basate su un grande volume di dati e minacce note. La maggior parte degli strumenti non sono senza stato e integrano una conoscenza approfondita della telemetria in un contesto di sicurezza.
Gli strumenti devono essere integrati nella piattaforma o almeno essere consapevoli della piattaforma per ottenere segnali profondi dalla piattaforma e fare previsioni con alta fedeltà. Devono essere in grado di generare avvisi in modo tempestivo con informazioni sufficienti per condurre un triage adeguato. L'utilizzo di troppi strumenti diversi può portare a complessità.
Utilizza il monitoraggio per la risposta agli incidenti. Dati aggregati, trasformati in intelligence utilizzabile, consentono reazioni rapide ed efficaci agli incidenti. Il monitoraggio aiuta nelle attività post-incidente. L’obiettivo è raccogliere dati sufficienti per analizzare e capire cosa è successo. Il processo di monitoraggio acquisisce informazioni sugli eventi passati per migliorare le capacità reattive e potenzialmente prevedere incidenti futuri.
Le sezioni seguenti forniscono procedure consigliate che integrano le prospettive di monitoraggio precedenti.
Acquisisci dati per tenere traccia delle attività
L'obiettivo è mantenere un audit trail completo di eventi significativi dal punto di vista della sicurezza. La registrazione è il modo più comune per acquisire modelli di accesso. La registrazione deve essere eseguita per l'applicazione e la piattaforma.
Per un audit trail, è necessario stabilirecosa, quando e chi viene associato alle azioni. È necessario identificare i tempi specifici in cui vengono eseguite le azioni. Effettua questa valutazione durante la modellazione delle minacce. Per contrastare una minaccia di ripudio, è necessario stabilire solidi sistemi di registrazione e controllo che diano luogo a una registrazione delle attività e delle transazioni.
Le sezioni seguenti descrivono i casi d'uso per alcune altitudini comuni di un carico di lavoro.
Flussi di utenti di un carico di lavoro
Il carico di lavoro deve essere progettato per fornire visibilità in fase di esecuzione quando si verificano eventi. Identifica i punti critici all'interno del tuo carico di lavoro e stabilisci la registrazione per questi punti. È importante riconoscere qualsiasi escalation dei privilegi utente, le azioni eseguite dall'utente e se l'utente ha avuto accesso a informazioni sensibili in un archivio dati sicuro. Tieni traccia delle attività per l'utente e della sessione utente.
Per facilitare questo monitoraggio, il codice dovrebbe essere acquisito tramite registrazione strutturata. Ciò consente query e filtraggi semplici e uniformi dei log.
Importante
È necessario applicare una registrazione responsabile per mantenere la riservatezza e l'integrità del sistema. Segreti e dati sensibili non devono essere visualizzati nei log. Fai attenzione alla fuga di dati personali e ad altri requisiti di conformità quando acquisisci questi dati di registro.
Identificazione e monitoraggio degli accessi
Mantieni un record dei modelli di accesso per l'applicazione e delle modifiche alle risorse della piattaforma completo. Disponi di solidi registri delle attività e meccanismi di rilevamento delle minacce, in particolare per le attività legate all'identità, poiché gli aggressori spesso tentano di manipolare le identità per ottenere un accesso non autorizzato.
Implementa una registrazione completa utilizzando tutti i punti dati disponibili. Ad esempio, includi l'indirizzo IP del client per distinguere tra la normale attività dell'utente e le potenziali minacce provenienti da posizioni impreviste. Tutti gli eventi di registrazione dovrebbero avere un timestamp dal server.
Registra tutte le attività di accesso alle risorse, registrando chi sta facendo cosa e quando lo sta facendo. Le istanze di escalation dei privilegi sono un punto dati significativo che dovrebbe essere registrato. Devono essere registrate anche le azioni relative alla creazione o alla cancellazione dell'account da parte dell'applicazione. Questa raccomandazione si estende ai segreti dell'applicazione. Monitora chi accede ai segreti e quando vengono ruotati.
Sebbene la registrazione delle azioni riuscite sia importante, la registrazione degli errori è necessaria dal punto di vista della sicurezza. Documenta eventuali violazioni, come un utente che tenta un'azione ma riscontra un errore di autorizzazione, tentativi di accesso a risorse inesistenti e altre azioni che sembrano sospette.
Monitoraggio della rete
Il tuo progetto di segmentazione dovrebbe abilitare punti di osservazione ai confini per monitorare ciò che li attraversa e registrare tali dati. Ad esempio, monitorare le sottoreti che dispongono di gruppi di sicurezza di rete che generano log dei flussi. Monitorare inoltre i log del firewall che mostrano i flussi consentiti o negati.
Sono presenti log di accesso per le richieste di connessione in entrata. Questi log registrano gli indirizzi IP di origine che avviano le richieste, il tipo di richiesta (GET, POST) e tutte le altre informazioni che fanno parte delle richieste.
L'acquisizione dei flussi DNS è un requisito significativo per molte organizzazioni. Ad esempio, i log DNS possono aiutare a identificare quale utente o dispositivo ha avviato una particolare query DNS. Correlando l'attività DNS con i log di autenticazione dell'utente/dispositivo, è possibile tenere traccia delle attività sui singoli client. Questa responsabilità spesso si estende al team del carico di lavoro, soprattutto se distribuisce qualsiasi cosa che renda le richieste DNS parte delle loro operazioni. L'analisi del traffico DNS è un aspetto chiave dell'osservabilità della sicurezza della piattaforma.
È importante monitorare le richieste DNS impreviste o le richieste DNS dirette verso endpoint di comando e controllo noti.
Compromesso: la registrazione di tutte le attività di rete può dar vita a una grande quantità di dati. Purtroppo non è possibile acquisire solo gli eventi avversi perché non possono essere identificati dopo che si sono verificati. Prendi decisioni strategiche sul tipo di eventi da acquisire e per quanto tempo conservarli. Se non si presta attenzione, la gestione dei dati può essere complessa. C'è anche un compromesso sul costo di archiviazione di tali dati.
Acquisisci le modifiche del sistema
Per mantenere l'integrità del sistema, è necessario disporre di una registrazione accurata e aggiornata dello stato del sistema. Se vengono apportate modifiche, è possibile utilizzare questo record per risolvere tempestivamente eventuali problemi che si presentano.
I processi di riempimento dovrebbero anche emettere dati di telemetria. Comprendere il contesto di sicurezza degli eventi è fondamentale. Sapere cosa ha attivato il processo di creazione, chi lo ha attivato e quando è stato attivato può fornire informazioni preziose.
Monitora quando le risorse vengono create e quando vengono disattivate. Queste informazioni devono essere estratte dalla piattaforma. Queste informazioni forniscono informazioni preziose per la gestione e la responsabilità delle risorse.
Monitora la deriva nella configurazione delle risorse. Documentare qualsiasi modifica a una risorsa esistente. Tieni traccia anche delle modifiche che non vengono completate come parte di un'implementazione in una flotta di risorse. I log devono acquisire le specifiche della modifica e l'ora esatta in cui si è verificata.
Disponi di visione completa, dal punto di vista dell'applicazione di patch, per verificare se il sistema è aggiornato e sicuro. Monitora i processi di aggiornamento di routine per verificare che vengano completati come previsto. Un processo di applicazione delle patch di sicurezza che non viene completato dovrebbe essere considerato una vulnerabilità. Dovresti inoltre mantenere un inventario in cui siano registrati i livelli di patch e qualsiasi altro dettaglio richiesto.
Il rilevamento delle modifiche si applica anche al sistema operativo. Ciò comporta il monitoraggio se i servizi vengono aggiunti o disattivati. Include anche il monitoraggio per l'aggiunta di nuovi utenti al sistema. Esistono strumenti progettati per prendere di mira un sistema operativo. Aiutano con il monitoraggio senza contesto, nel senso che non prendono di mira la funzionalità del carico di lavoro. Ad esempio, il monitoraggio dell'integrità dei file è uno strumento fondamentale che consente di tenere traccia delle modifiche nei file di sistema.
Dovresti impostare avvisi per questi cambiamenti, soprattutto se non prevedi che si verifichino spesso.
Importante
Quando esegui l'implementazione in produzione, assicurati che gli avvisi siano configurati per rilevare attività anomale riscontrate nelle risorse dell'applicazione e nel processo di riempimento.
Nei tuoi piani di test, includi la convalida della registrazione e degli avvisi come casi di test prioritari.
Archivia, aggrega e analizza i dati
I dati raccolti da queste attività di monitoraggio devono essere archiviati in contenitori di dati dove possano essere accuratamente conservati esaminati, normalizzati e correlati. I dati di sicurezza dovrebbero essere persistenti al di fuori degli archivi dati del sistema. I sink di monitoraggio, siano essi localizzati o centrali, devono avere una maggiore durata rispetto alle origini dati. I sink non possono essere effimeri perché sono l'origine dei sistemi di rilevamento delle intrusioni.
I log di rete possono essere dettagliati e occupare spazio di archiviazione. Esplora diversi livelli nei sistemi di archiviazione. I log possono passare naturalmente all'archiviazione offline più sicura nel tempo. Questo approccio è vantaggioso perché i log dei flussi meno recenti in genere non vengono utilizzati attivamente e sono necessari solo su richiesta. Questo metodo garantisce una gestione efficiente dell'archiviazione garantendo al tempo stesso la possibilità di accedere ai dati storici quando necessario.
I flussi del carico di lavoro sono in genere un insieme di più origini di registrazione. I dati di monitoraggio devono essere analizzati in modo intelligente attraverso tutte queste origini. Ad esempio, il tuo firewall bloccherà solo il traffico che lo raggiunge. Se disponi di un gruppo di sicurezza di rete che ha già bloccato determinato traffico, tale traffico non sarà visibile al firewall. Per ricostruire la sequenza degli eventi, è necessario aggregare i dati di tutti i componenti presenti nel flusso e quindi aggregare i dati di tutti i flussi. Questi dati sono particolarmente utili in uno scenario di risposta post-incidente quando si cerca di capire cosa è successo. Il cronometraggio accurato è essenziale. Per motivi di sicurezza, tutti i sistemi devono utilizzare un'origine temporale di rete in modo che siano sempre sincronizzati.
Rilevamento centralizzato delle minacce con log correlati
È possibile utilizzare un sistema come le informazioni sulla sicurezza e gestione eventi (SIEM) per consolidare i dati di sicurezza in una posizione centrale dove può essere correlato tra vari servizi. Questi sistemi hanno meccanismi di rilevamento delle minacce integrato. Possono connettersi a feed esterni per ottenere dati di intelligence sulle minacce. Microsoft, ad esempio, pubblica dati di intelligence sulle minacce che puoi utilizzare. Puoi anche acquistare feed di intelligence sulle minacce da altri fornitori, come Anomali e FireEye. Questi feed possono fornire informazioni preziose e migliorare il tuo livello di sicurezza. Per informazioni dettagliate sulle minacce da parte di Microsoft, vedi Security Insider.
Un sistema SIEM può generare avvisi basati su dati correlati e normalizzati. Questi avvisi rappresentano una risorsa significativa durante il processo di risposta agli incidenti.
I sistemi SIEM sono generalmente gestiti dai team centrali di un'organizzazione. Se la tua organizzazione non ne dispone, valuta la possibilità di richiederlo. Potrebbe alleviare l'onere dell'analisi e della correlazione manuale dei log per consentire una gestione della sicurezza più efficiente ed efficace.
Alcune opzioni convenienti sono fornite da Microsoft. Molti prodotti Microsoft Defender forniscono la funzionalità di avviso di un sistema SIEM, ma senza una funzionalità di aggregazione dei dati.
Combinando diversi strumenti più piccoli, puoi emulare alcune funzioni di un sistema SIEM. Tuttavia, è necessario sapere che queste soluzioni improvvisate potrebbero non essere in grado di eseguire analisi di correlazione. Queste alternative possono essere utili, ma potrebbero non sostituire completamente la funzionalità di un sistema SIEM dedicato.
Rilevamento di abusi
Sii proattivo riguardo al rilevamento delle minacce e fai attenzione ai segnali di abuso, come attacchi di forza bruta all'identità su un componente SSH o un endpoint RDP. Sebbene le minacce esterne possano generare molto rumore, soprattutto se l'applicazione è esposta a Internet, le minacce interne sono spesso una preoccupazione maggiore. Ad esempio, un attacco di forza bruta inaspettato da un'origine di rete attendibile o un errore di configurazione involontario dovrebbero essere esaminati immediatamente.
Rimani al passo con le tue procedure di protezione avanzata. Il monitoraggio non sostituisce la protezione avanzata proattiva dell'ambiente. Una superficie più ampia è soggetta a più attacchi. Rafforza i controlli tanto quanto la procedura. Rileva e disabilita gli account inutilizzati, utilizza un firewall IP e blocca gli endpoint che non sono richiesti con i criteri di prevenzione della perdita di dati, ad esempio.
Il rilevamento basato sulla firma può ispezionare un sistema in dettaglio. Si tratta di cercare segnali o correlazioni tra attività che potrebbero indicare un potenziale attacco. Un meccanismo di rilevamento potrebbe identificare determinate caratteristiche indicative di un tipo specifico di attacco. Potrebbe non essere sempre possibile rilevare direttamente il meccanismo di comando e controllo di un attacco. Tuttavia, ci sono spesso suggerimenti o schemi associati a un particolare processo di comando e controllo. Ad esempio, un attacco potrebbe essere indicato da una determinata velocità di flusso dal punto di vista della richiesta oppure potrebbe accedere frequentemente a domini con desinenze specifiche.
Rileva modelli di accesso anomali degli utenti in modo da poter identificare e indagare sulle deviazioni dai modelli previsti. Ciò comporta il confronto del comportamento attuale degli utenti con il comportamento passato per individuare anomalie. Anche se potrebbe non essere fattibile eseguire questa attività manualmente, è possibile utilizzare gli strumenti di intelligence sulle minacce per farlo. Investi in strumenti di analisi del comportamento degli utenti e delle entità (UEBA) che raccolgono il comportamento degli utenti dal monitoraggio dei dati e lo analizzano. Questi strumenti possono spesso eseguire analisi predittive che associano comportamenti sospetti a potenziali tipi di attacco.
Rileva le minacce durante le fasi di pre-distribuzione e post-distribuzione. Durante la fase di pre-implementazione, incorpora la scansione delle vulnerabilità nelle pipeline e intraprendi le azioni necessarie in base ai risultati. Dopo la distribuzione, continuare a condurre la scansione delle vulnerabilità. Puoi usare strumenti come Microsoft Defender per contenitori, che analizza le immagini del contenitore. Includi i risultati nei dati raccolti. Per informazioni sulle procedure di sviluppo sicure, vedi Elementi consigliati per procedure di distribuzione sicure.
Facilitazione di Power Platform
Le sezioni seguenti descrivono i meccanismi che è possibile utilizzare per monitorare e rilevare le minacce in Power Platform.
Microsoft Sentinel
La soluzione Microsoft Sentinel per Microsoft Power Platform consente ai clienti di rilevare varie attività sospette, come:
- Esecuzione Power Apps da aree geografiche non autorizzate
- Distruzione di dati sospetti da parte di Power Apps
- Eliminazione di massa di Power Apps
- Attacchi di phishing tramite Power Apps
- Attività dei flussi Power Automate da parte dei dipendenti in partenza
- Connettori Microsoft Power Platform aggiunti a un ambiente
- Aggiornamento o rimozione dei criteri di prevenzione della perdita dei dati di Microsoft Power Platform
Per ulteriori informazioni, vedi Soluzione di Microsoft Sentinel per la panoramica di Microsoft Power Platform.
Registrazione degli impegni di Microsoft Purview
La registrazione degli impegni amministrativi di Power Apps, Power Automate, dei connettori, della prevenzione della perdita dei dati e di Power Platform vengono rilevate e visualizzate dal portale della conformità di Microsoft Purview.
Per altre informazioni, vedi:
- Registrazione degli impegni Power Apps
- Registrazione degli impegni Power Automate
- Registrazione degli impegni Power Pages
- Registrazione degli impegni del connettore di Power Platform
- Registrazione delle attività di prevenzione della perdita di dati
- Registrazione delle attività delle azioni amministrative di Power Platform
- Microsoft Dataverse e la registrazione delle attività delle app basate su modello
Controllo in Dataverse
I log di controllo del database registrano le modifiche apportate ai record del cliente in un ambiente con un database Dataverse. Il controllo Dataverse registra anche l'accesso degli utenti tramite un'app o tramite l'SDK in un ambiente. Questo controllo è abilitato a livello di ambiente ed è necessaria una configurazione aggiuntiva per singole tabelle e colonne. Per altre informazioni, consultare Gestione del controllo in Dataverse.
Analizzare dati di telemetria con Application Insights
Application Insights, una funzionalità di Monitoraggio di Azure, è ampiamente usata nel panorama aziendale per il monitoraggio e la diagnostica. I dati che sono già stati raccolti da un tenant o ambiente specifico vengono trasferiti all'ambiente Application Insights. I dati vengono archiviati nei log di Monitoraggio di Azure tramite Application Insights e visualizzati nei pannelli Prestazioni e Errori sotto Analisi nel riquadro di sinistra. I dati vengono esportati nell'ambiente Application Insights nello schema standard definito da Application Insights. Il supporto, lo sviluppatore e l'amministratore possono utilizzare questa funzionalità per valutare e risolvere i problemi.
Potresti inoltre:
- Configurare un ambiente di Application Insights per ricevere la telemetria su diagnostica e prestazioni acquisita dalla piattaforma Dataverse.
- Iscriverti per ricevere la telemetria sulle operazioni che le applicazioni eseguono nel database Dataverse e nelle app basate su modello. Questa telemetria fornisce informazioni che puoi utilizzare per diagnosticare e risolvere i problemi relativi a errori e prestazioni.
- Configurare l'integrazione dei flussi cloud di Power Automate con Application Insights.
- Scrivere eventi e attività dalle app canvas Power Apps in Application Insights.
Per altre informazioni, vedi Panoramica dell'integrazione con Application Insights.
Identità
Monitora gli eventi di rischio legati all'identità su identità potenzialmente compromesse e rimediare a tali rischi. Esamina gli eventi di rischio segnalati in questi modi:
Utilizza il reporting di Microsoft Entra ID. Per ulteriori informazioni, vedi Cos'è Identity Protection? e Identity Protection.
Usa i membri dell'API di rilevamento dei rischi di Identity Protection per ottenere l'accesso programmatico ai rilevamenti di sicurezza tramite Microsoft Graph. Per ulteriori informazioni, vedi riskDetection e riskyUser.
Microsoft Entra ID utilizza algoritmi di apprendimento automatico adattivi, euristica e credenziali note compromesse (coppie nome utente e password) per rilevare azioni sospette correlate ai tuoi account utente. Queste coppie di nomi utente e password sono rese disponibili monitorando il Web pubblico e il dark Web e collaborando con ricercatori di sicurezza, forze dell'ordine, team di sicurezza di Microsoft e altri.
Azure Pipelines
DevOps sostiene la gestione del cambiamento dei carichi di lavoro tramite integrazione continua e recapito continuo (CI/CD). Assicurati di aggiungere la convalida della sicurezza nelle pipeline. Segui le indicazioni descritte in Protezione di Azure Pipelines.
Vedi anche
- Cos'è Microsoft Sentinel?
- Integrazione dell'intelligence sulle minacce in Microsoft Sentinel
- Identificare le minacce avanzate grazie all'analisi del comportamento degli utenti e delle entità (UEBA) in Microsoft Sentinel
Elenco di controllo della sicurezza
Fare riferimento alla serie completa di raccomandazioni.