Configurare Microsoft Entra per Zero Trust: Monitorare e rilevare minacce informatiche

La presenza di solide funzionalità di monitoraggio dell'integrità e rilevamento delle minacce è uno dei sei pilastri dell'iniziativa Secure Future. Queste linee guida sono progettate per facilitare la configurazione di un sistema di registrazione completo per l'archiviazione e l'analisi. Sono incluse raccomandazioni correlate alla valutazione degli accessi a rischio, degli utenti rischiosi e dei metodi di autenticazione.

Il primo passaggio per allinearsi a questo pilastro consiste nel configurare le impostazioni di diagnostica per tutti i log di Microsoft Entra in modo che tutte le modifiche apportate nel tenant siano archiviate e accessibili per l'analisi. Altre raccomandazioni di questo pilastro sono incentrate sulla valutazione tempestiva degli avvisi di rischio e sulle raccomandazioni di Microsoft Entra. L'importante è sapere quali log, report e strumenti di monitoraggio della salute sono disponibili e monitorarli regolarmente.

Linee guida per la sicurezza

Le impostazioni di diagnostica sono configurate per tutti i log di Microsoft Entra

I registri delle attività e i report in Microsoft Entra possono aiutare a rilevare tentativi di accesso non autorizzati o a identificare quando si verificano cambiamenti nella configurazione del tenant. Quando i log vengono archiviati o integrati con gli strumenti SIEM (Security Information and Event Management), i team di sicurezza possono implementare potenti controlli di sicurezza di monitoraggio e rilevamento, ricerca proattiva delle minacce e processi di risposta agli eventi imprevisti. I log e le funzionalità di monitoraggio possono essere usati per valutare l'integrità del tenant e fornire prove per la conformità e i controlli.

Se i log non vengono archiviati regolarmente o inviati a uno strumento SIEM per l'esecuzione di query, è difficile analizzare i problemi di accesso. L'assenza di log cronologici significa che i team di sicurezza potrebbero perdere modelli di tentativi di accesso non riusciti, attività insolite e altri indicatori di compromissione. Questa mancanza di visibilità può impedire il rilevamento tempestivo delle violazioni, consentendo agli utenti malintenzionati di mantenere l'accesso non rilevato per periodi prolungati.

Azione di correzione

• Configurare le impostazioni di diagnostica di Microsoft Entra
• Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
• Stream Microsoft Entra registra a un hub eventi

Le attivazioni dei ruoli con privilegi hanno il monitoraggio e l'invio di avvisi configurati

Le organizzazioni senza avvisi di attivazione appropriati per i ruoli con privilegi elevati non hanno visibilità quando gli utenti accedono a queste autorizzazioni critiche. Gli attori delle minacce possono sfruttare questo gap di monitoraggio per eseguire l'escalation dei privilegi attivando ruoli con privilegi elevati senza rilevamento, quindi stabilire la persistenza tramite la creazione dell'account amministratore o le modifiche ai criteri di sicurezza. L'assenza di avvisi in tempo reale consente agli utenti malintenzionati di eseguire lo spostamento laterale, modificare le configurazioni di controllo e disabilitare i controlli di sicurezza senza attivare procedure di risposta immediate.

Azione di correzione

• Configurare le impostazioni dei ruoli di Microsoft Entra in Privileged Identity Management

Avviso di attivazione per le assegnazioni di ruolo amministratore globale

Senza avvisi di attivazione per le assegnazioni di ruolo di amministratore globale, le minacce possono scalare i privilegi senza essere rilevate. Questa mancanza di visibilità crea un punto cieco in cui gli utenti malintenzionati possono attivare il ruolo con privilegi più elevati ed eseguire azioni dannose, ad esempio la creazione di account backdoor, la modifica dei criteri di sicurezza o l'accesso ai dati sensibili.

Il monitoraggio di questi avvisi di attivazione consente ai team di sicurezza di distinguere tra le attività di escalation dei privilegi autorizzate e non autorizzate.

Azione di correzione

• Configurare le notifiche per i ruoli con privilegi

Avviso di attivazione per tutte le assegnazioni di ruolo con privilegi

Senza avvisi di attivazione per le assegnazioni di ruolo con privilegi, gli autori delle minacce possono elevare i privilegi senza essere rilevati. Questa mancanza di visibilità crea un punto cieco in cui gli utenti malintenzionati possono attivare il ruolo con privilegi più elevati ed eseguire azioni dannose, ad esempio la creazione di account backdoor, la modifica dei criteri di sicurezza o l'accesso ai dati sensibili.

Il monitoraggio di questi avvisi di attivazione consente ai team di sicurezza di distinguere tra le attività di escalation dei privilegi autorizzate e non autorizzate.

Azione di correzione

• Configurare le notifiche per i ruoli con privilegi

Gli utenti con privilegi accedono con metodi resistenti al phishing

Senza metodi di autenticazione resistenti al phishing, gli utenti con privilegi sono più vulnerabili agli attacchi di phishing. Questi tipi di attacchi ingannino gli utenti a rivelare le proprie credenziali per concedere l'accesso non autorizzato agli utenti malintenzionati. Se vengono usati metodi di autenticazione non resistenti al phishing, gli attaccanti potrebbero intercettare credenziali e token tramite metodi come attacchi man-in-the-middle, compromettendo la sicurezza dell'account privilegiato.

Una volta compromesso un account o una sessione con privilegi a causa di metodi di autenticazione deboli, gli utenti malintenzionati potrebbero modificare l'account per mantenere l'accesso a lungo termine, creare altre backdoor o modificare le autorizzazioni utente. Gli utenti malintenzionati possono anche usare l'account con privilegi compromessi per inoltrare ulteriormente l'accesso, ottenendo potenzialmente il controllo su sistemi più sensibili.

Azione di correzione

• Inizia con una distribuzione di autenticazione senza password resistente al phishing
• Assicurarsi che gli account con privilegi registrino e usino metodi resistenti al phishing
• Distribuire criteri di accesso condizionale per gli account con privilegi di destinazione e richiedere credenziali resistenti al phishing
• Monitorare l'attività del metodo di autenticazione

Tutti gli utenti ad alto rischio vengono valutati

Gli utenti considerati ad alto rischio da Microsoft Entra ID Protection hanno una probabilità elevata di compromissione da parte degli attori delle minacce. Gli attori delle minacce possono ottenere l'accesso iniziale tramite account validi compromessi, in cui le attività sospette continuano nonostante l'attivazione di indicatori di rischio. Questa supervisione può abilitare la persistenza perché gli attori delle minacce eseguono attività che normalmente giustificano l'indagine, ad esempio modelli di accesso insoliti o manipolazione sospetta della posta in arrivo.

La mancanza di triage di questi utenti rischiosi consente di espandere le attività di ricognizione e lo spostamento laterale, mentre i modelli di comportamento anomali continuano a generare avvisi non investigati. Gli attori delle minacce si fanno più audaci mostrando di non rispondere attivamente ai segnali di rischio da parte dei team di sicurezza.

Azione di correzione

• Analizzare gli utenti ad alto rischio in Microsoft Entra ID Protection
• Correggere gli utenti ad alto rischio e sbloccare in Microsoft Entra ID Protection

Tutti gli accessi ad alto rischio vengono valutati

Gli accessi a rischio contrassegnati da Microsoft Entra ID Protection indicano un'elevata probabilità di tentativi di accesso non autorizzati. Gli attori delle minacce usano questi accessi per ottenere un punto d'ingresso iniziale. Se questi accessi rimangono non investigati, gli avversari possono stabilire una presenza persistente eseguendo ripetutamente l'autenticazione sotto le sembianze di utenti legittimi.

Una mancanza di risposta consente agli attaccanti di eseguire ricognizioni, tentare di effettuare un'escalation dei loro privilegi di accesso e fondersi nei modelli normali. Quando gli accessi non registrati continuano a generare avvisi e non vi è alcun intervento, i gap di sicurezza si ampliano, semplificando lo spostamento laterale e l'evasione della difesa, in quanto gli avversari riconoscono l'assenza di una risposta di sicurezza attiva.

Azione di correzione

• Analizzare gli accessi a rischio
• Correggere i rischi e sbloccare gli utenti

Tutte le identità del carico di lavoro rischiose vengono valutate

Le identità del carico di lavoro compromesse (entità servizio e applicazioni) consentono agli attori delle minacce di ottenere l'accesso permanente senza l'interazione dell'utente o l'autenticazione a più fattori. Microsoft Entra ID Protection monitora queste identità per attività sospette, ad esempio credenziali perse, traffico anomalo dell'API e applicazioni dannose. Le identità del carico di lavoro rischiose non gestite consentono l'escalation dei privilegi, lo spostamento laterale, l'esfiltrazione dei dati e le backdoor persistenti che ignorano i controlli di sicurezza tradizionali. Le organizzazioni devono analizzare e correggere sistematicamente questi rischi per impedire l'accesso non autorizzato.

Azione di correzione

• Esaminare e mitigare le identità associate ai carichi di lavoro rischiose
• Applicare criteri di accesso condizionale per le identità del carico di lavoro

Gli eventi di creazione del tenant vengono classificati e smistati

Gli eventi di generazione del tenant devono essere monitorati e valutati per rilevare la generazione di tenant non autorizzati. Gli utenti con autorizzazioni sufficienti possono creare nuovi tenant, che potrebbero essere utilizzati per stabilire ambienti ombra al di fuori del controllo di sicurezza dell'organizzazione. Il routing dei log di controllo a un sistema SIEM e la configurazione degli avvisi per gli eventi di creazione del tenant consente ai team di sicurezza di analizzare e rispondere rapidamente alle attività potenzialmente dannose.

Azione di correzione

• Esaminare e limitare le autorizzazioni per creare tenanti
• Trasmettere i log di controllo a un hub eventi per l'integrazione SIEM
• Configurare il monitoraggio e gli avvisi per gli eventi di controllo

Tutte le attività di accesso utente usano metodi di autenticazione avanzata

Gli utenti malintenzionati potrebbero ottenere l'accesso se l'autenticazione a più fattori (MFA) non viene applicata universalmente o se sono presenti eccezioni. Gli utenti malintenzionati potrebbero ottenere l'accesso sfruttando vulnerabilità di metodi MFA più deboli, ad esempio SMS e telefonate tramite tecniche di ingegneria sociale. Queste tecniche possono includere lo scambio sim o il phishing per intercettare i codici di autenticazione.

Gli utenti malintenzionati potrebbero usare questi account come punti di ingresso nel tenant. Usando sessioni utente intercettate, gli utenti malintenzionati possono mascherare le proprie attività come azioni legittime dell'utente, eludere il rilevamento e continuare l'attacco senza generare sospetti. Da qui, potrebbero tentare di modificare le impostazioni di MFA per stabilire persistenza, pianificare ed eseguire altri attacchi in base ai privilegi degli account compromessi.

Azione di correzione

• Distribuire l'autenticazione a più fattori
• Inizia con una distribuzione di autenticazione senza password resistente al phishing
• Distribuire un criterio di accesso condizionale per richiedere l'autenticazione a più fattori resistente al phishing per tutti gli utenti
• Esaminare l'attività dei metodi di autenticazione

Le raccomandazioni di Microsoft Entra con priorità alta sono affrontate

Lasciare le raccomandazioni ad alta priorità di Microsoft Entra senza risposta può creare un divario nella posizione di sicurezza di un'organizzazione, offrendo agli autori delle minacce opportunità di sfruttare vulnerabilità conosciute. La mancata esecuzione di questi elementi potrebbe comportare un aumento della superficie di attacco, operazioni non ottimali o un'esperienza utente scarsa.

Azione di correzione

• Indirizzare tutte le raccomandazioni ad alta priorità nell'interfaccia di amministrazione di Microsoft Entra

Le notifiche di protezione ID sono abilitate

Se non si abilitano le notifiche di Protezione ID, l'organizzazione perde avvisi critici in tempo reale quando gli attori delle minacce comprometteno gli account utente o eseguono attività di ricognizione. Quando Microsoft Entra ID Protection rileva gli account a rischio, invia avvisi di posta elettronica con utenti a rischio rilevati come oggetto e collegamenti al report Utenti contrassegnati per il rischio . Senza queste notifiche, i team di sicurezza rimangono ignari delle minacce attive, consentendo agli attori delle minacce di mantenere la persistenza negli account compromessi senza essere rilevati. È possibile inserire questi rischi in strumenti come l'accesso condizionale per prendere decisioni di accesso o inviarli a uno strumento SIEM (Security Information and Event Management) per l'analisi e la correlazione. Gli attori delle minacce possono sfruttare questa lacuna di rilevamento per condurre attività di spostamento laterale, tentativi di escalation dei privilegi o operazioni di esfiltrazione dei dati, mentre gli amministratori rimangono inconsapevoli della compromissione in corso. La risposta ritardata consente agli attori delle minacce di stabilire più meccanismi di persistenza, modificare le autorizzazioni utente o accedere a risorse sensibili prima di poter risolvere il problema. Senza la notifica proattiva dei rilevamenti dei rischi, le organizzazioni devono basarsi esclusivamente sul monitoraggio manuale dei report sui rischi, aumentando in modo significativo il tempo necessario per rilevare e rispondere agli attacchi basati sull'identità.

Azione di correzione

• Configura avvisi di utenti a rischio rilevati

Nessuna attività di accesso all'autenticazione legacy

I protocolli di autenticazione legacy, ad esempio l'autenticazione di base per SMTP e IMAP, non supportano funzionalità di sicurezza moderne come l'autenticazione a più fattori (MFA), fondamentale per la protezione da accessi non autorizzati. Questa mancanza di protezione rende gli account che usano questi protocolli vulnerabili agli attacchi basati su password e fornisce agli utenti malintenzionati un mezzo per ottenere l'accesso iniziale usando credenziali rubate o indovinate.

Quando un utente malintenzionato ottiene correttamente l'accesso non autorizzato alle credenziali, può usarle per accedere ai servizi collegati, usando il metodo di autenticazione debole come punto di ingresso. Gli utenti malintenzionati che ottengono l'accesso tramite l'autenticazione legacy potrebbero apportare modifiche a Microsoft Exchange, ad esempio la configurazione delle regole di inoltro della posta o la modifica di altre impostazioni, consentendo loro di mantenere l'accesso continuo alle comunicazioni sensibili.

L'autenticazione legacy fornisce anche agli utenti malintenzionati un metodo coerente per reinserire un sistema usando credenziali compromesse senza attivare avvisi di sicurezza o richiedere la riautenticazione.

Da qui, gli utenti malintenzionati possono usare protocolli legacy per accedere ad altri sistemi accessibili tramite l'account compromesso, semplificando lo spostamento laterale. Gli utenti malintenzionati che usano protocolli legacy possono fondersi con attività utente legittime, rendendo difficile per i team di sicurezza distinguere tra l'utilizzo normale e il comportamento dannoso.

Azione di correzione

• protocolli exchange possono essere disattivati in Exchange
• I protocolli di autenticazione legacy possono essere bloccati con l'accesso condizionale
• La cartella di lavoro per le autenticazioni legacy aiuta a determinare se è sicuro disattivare l'autenticazione legacy per gli accessi

Tutte le raccomandazioni di Microsoft Entra sono affrontate

Le raccomandazioni di Microsoft Entra offrono alle organizzazioni opportunità di implementare le procedure consigliate e ottimizzare il comportamento di sicurezza. La mancata esecuzione di questi elementi potrebbe comportare un aumento della superficie di attacco, operazioni non ottimali o un'esperienza utente scarsa.

Azione di correzione

• Indirizzare tutte le raccomandazioni attive o posticipate nell'interfaccia di amministrazione di Microsoft Entra

L'attività di accesso alla rete è visibile alle operazioni di sicurezza per il rilevamento e la risposta alle minacce

Senza i log di accesso sicuro globale integrati in un'area di lavoro di Microsoft Sentinel, i team delle operazioni di sicurezza non hanno visibilità centralizzata sui modelli di traffico di rete, sui tentativi di connessione e sulle anomalie di accesso tra accesso privato, Accesso Internet e inoltro del traffico di Microsoft 365. Gli attori delle minacce che compromettono le credenziali utente o i dispositivi possono usare questi percorsi di accesso alla rete per eseguire ricognizioni, spostare in modo successivo o esfiltrare i dati senza rilevamento.

Senza questa integrazione:

• I team di sicurezza non possono correlare le attività a livello di rete con i segnali basati sull'identità nei rilevamenti di endpoint o ID Microsoft Entra.
• I sistemi SIEM (Security Information and Event Management) non possono applicare analisi comportamentali, correlazione di intelligence sulle minacce o playbook di risposta automatizzati al traffico di accesso sicuro globale.
• I team di sicurezza non possono analizzare i modelli di accesso alla rete cronologici o cercare minacce tra segnali di rete e identità.

Azione di correzione

• Configurare le impostazioni di diagnostica di Microsoft Entra per inviare i log di accesso sicuro globale a un'area di lavoro Log Analytics per l'integrazione di Microsoft Sentinel.
• Abilitare tutte le categorie di log delle identità di accesso sicuro globale necessarie, tra cui NetworkAccessTrafficLogs, EnrichedOffice365AuditLogsRemoteNetworkHealthLogsNetworkAccessAlertsNetworkAccessConnectionEvents, e NetworkAccessGenerativeAIInsights nelle impostazioni di diagnostica.
• Integrare i log attività di Microsoft Entra con Azure Monitor per raccogliere centralmente i log.
• Configurare un'area di lavoro di Microsoft Sentinel e installare la soluzione Accesso sicuro globale dall'hub del contenuto.

I log di accesso alla rete vengono conservati per l'analisi della sicurezza e i requisiti di conformità

Senza conservazione estesa per i log di controllo e del traffico di accesso sicuro globale, gli attori delle minacce possono operare oltre la finestra di conservazione predefinita di 30 giorni, sapendo che le attività vengono eliminate automaticamente prima che si verifichi il rilevamento. Le indagini sulla sicurezza richiedono spesso analisi cronologiche che durano settimane o mesi per identificare vettori di compromissione, modelli di spostamento laterale e canali di esfiltrazione dei dati.

Senza conservazione dei log adeguata:

• I team di sicurezza non possono stabilire modelli di comportamento di base, eseguire la ricerca retrospettiva delle minacce o correlare gli eventi di accesso alla rete in intervalli di tempo estesi.
• Le organizzazioni soggette a framework normativi come GDPR, HIPAA, PCI DSS e SOX affrontano violazioni di conformità quando non sono in grado di produrre audit trail per periodi di conservazione imposti.
• L'analisi della causa radice durante la risposta agli eventi imprevisti è limitata, consentendo potenzialmente agli attori delle minacce di mantenere la persistenza mentre le organizzazioni si concentrano sui sintomi visibili.

Azione di correzione

• Configurare le impostazioni di diagnostica con un'area di lavoro Log Analytics per una conservazione estesa di 90-730 giorni, con funzionalità di query.
• Configurare la conservazione dell'area di lavoro Log Analytics per soddisfare i requisiti di sicurezza e conformità dell'organizzazione (minimo 90 giorni consigliati).
• Abilitare la conservazione a livello di tabella per tabelle specifiche di Accesso sicuro globale per estendersi oltre le impostazioni predefinite dell'area di lavoro.

I log di distribuzione di Accesso sicuro globale vengono popolati ed esaminati

I log di implementazione di Accesso Globale Sicuro tengono traccia dello stato e del progresso delle modifiche di configurazione nella rete globale. Queste modifiche includono la ridistribuzione dei profili di inoltro, gli aggiornamenti della rete remota, le modifiche del profilo di filtro e le modifiche alle impostazioni di accesso condizionale. Se i log di distribuzione mostrano distribuzioni non riuscite, gli attori delle minacce possono sfruttare configurazioni di sicurezza incoerenti in cui alcune posizioni perimetrali hanno criteri obsoleti o non configurati correttamente.

Se non si monitorano i log di distribuzione:

• Le distribuzioni non riuscite possono lasciare lacune nella sicurezza, ad esempio profili di inoltro obsoleti che non instradano il traffico tramite ispezione di sicurezza, o profili di filtro che non bloccano siti dannosi.
• Gli amministratori potrebbero non essere a conoscenza delle configurazioni obsolete, credendo che le modifiche vengano applicate in modo uniforme.
• Gli errori di distribuzione che creano gap sfruttabili possono non essere rilevati.

Azione di correzione

• Seguire la procedura descritta in Come usare i log di distribuzione di Accesso sicuro globale per:
  • Accedere ed esaminare i log di distribuzione nell'interfaccia di amministrazione di Microsoft Entra per identificare le distribuzioni non riuscite.
  • Per le distribuzioni non riuscite, esaminare il messaggio di errore nel status.message campo e ripetere la modifica di configurazione che ha attivato l'errore.
  • Monitorare le notifiche di distribuzione visualizzate nell'interfaccia di amministrazione quando si apportano modifiche alla configurazione per rilevare gli errori in tempo reale.
• Se le distribuzioni hanno esito negativo in modo coerente per le reti remote, esaminare la configurazione di rete remota sottostante per individuare gli errori.
• Per gli errori di distribuzione del profilo di inoltro, verificare la configurazione dell'inoltro del traffico.