Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le applicazioni hanno una superficie di attacco per le violazioni della sicurezza e devono essere monitorate. Sebbene non siano presi di mira con la stessa frequenza degli account utente, possono comunque verificarsi violazioni. Poiché le applicazioni vengono spesso eseguite senza intervento umano, gli attacchi possono essere più difficili da rilevare.
Questo articolo fornisce indicazioni per monitorare e avvisare gli eventi dell'applicazione. Viene aggiornato regolarmente per contribuire ad assicurarsi di:
Impedire alle applicazioni dannose di ottenere l'accesso non autorizzato ai dati
Impedire che le applicazioni vengano compromesse da attori malintenzionati
Raccogliere informazioni dettagliate che consentono di compilare e configurare nuove applicazioni in modo più sicuro
Se non si è familiari con il funzionamento delle applicazioni in Microsoft Entra ID, vedere Applicazioni e principali del servizio in Microsoft Entra ID.
Nota
Se non si ha ancora preso in esame la panoramica delle operazioni di sicurezza di Microsoft Entra, provare a farlo ora.
Cosa cercare
Quando si monitorano i log dell'applicazione per individuare gli incidenti di sicurezza, prendere in esame l'elenco seguente per contribuire a distinguere le normali attività dalle attività dannose. Gli eventi seguenti potrebbero indicare problemi di sicurezza. Ognuno di essi è trattato nell'articolo.
Eventuali modifiche che si verificano al di fuori dei normali processi aziendali e delle pianificazioni
Modifiche delle credenziali dell'applicazione
Autorizzazioni dell’applicazione
Principale del servizio assegnato a un Microsoft Entra ID o a un ruolo di controllo degli accessi in base al ruolo (RBAC) di Azure
Le applicazioni hanno concesso autorizzazioni con privilegi elevati
Modifiche di Azure Key Vault
L'utente finale concede il consenso alle applicazioni
Consenso dell'utente finale arrestato in base al livello di rischio
Modifiche alla configurazione delle applicazioni
URI (Universal Resource Identifier) modificato o non standard
Modifiche ai proprietari dell'applicazione
URL di logout modificati
Dove cercare
I file di log da usare per l'indagine e il monitoraggio sono:
Dal portale di Azure è possibile visualizzare i log di audit di Microsoft Entra e scaricarli come file con valori delimitati da virgole (CSV) o JSON (JavaScript Object Notation). Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti che consentono una maggiore automazione del monitoraggio e degli avvisi:
Microsoft Sentinel: consente l'analisi intelligente della sicurezza a livello aziendale con funzionalità SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza).
Regole Sigma: Sigma è uno standard aperto in evoluzione per la scrittura di regole e modelli che gli strumenti di gestione automatizzata possono usare per analizzare i file di log. Ove sono presenti modelli Sigma per i criteri di ricerca consigliati, è stato aggiunto un link al repository Sigma. I modelli Sigma non vengono scritti, testati e gestiti da Microsoft. Il repository e i modelli vengono creati e raccolti dalla community di sicurezza IT mondiale.
Monitoraggio di Azure: monitoraggio automatizzato e creazione di avvisi per varie condizioni. Può creare o usare cartelle di lavoro per combinare i dati di origini diverse.
Hub eventi di Azure integrato con un sistema SIEM- : è possibile integrare i log di Microsoft Entra con altri SIEM come Splunk, ArcSight, QRadar e Sumo Logic mediante l'integrazione con Hub eventi di Azure.
Microsoft Defender for Cloud Apps: individuare e gestire le app, regolamentare le app e le risorse e verificare la conformità delle app cloud.
Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection: rileva i rischi per le identità dei carichi di lavoro attraverso il comportamento di accesso e gli indicatori offline di compromissione.
Gran parte degli elementi che sono monitorati e su cui si ricevono avvisi rappresentano l'effetto dei criteri di Accesso condizionale. È possibile usare la cartella di lavoro di informazioni dettagliate e report di accesso condizionale per esaminare gli effetti di uno o più criteri di accesso condizionale sui tentativi di accesso e i risultati dei criteri, incluso lo stato del dispositivo. Usare la cartella di lavoro per visualizzare un riepilogo e identificare gli effetti in un periodo di tempo. È possibile usare la cartella di lavoro per prendere in esame gli accessi di un particolare utente.
Il resto di questo articolo è quello che consigliamo di monitorare e emettere avvisi. È organizzato in base al tipo di minaccia. Dove sono presenti soluzioni predefinite, è possibile collegarle o fornire esempi dopo la tabella. In caso contrario, è possibile creare avvisi usando gli strumenti precedenti.
Credenziali dell'applicazione
Molte applicazioni usano le credenziali per l'autenticazione in Microsoft Entra ID. Qualsiasi altra credenziale aggiunta all'esterno dei processi previsti potrebbe essere un attore malintenzionato usando tali credenziali. È consigliabile usare certificati X509 emessi da autorità attendibili o identità gestite anziché usare segreti client. Tuttavia, se è necessario usare segreti client, seguire le procedure di igiene consigliate per mantenere al sicuro le applicazioni. Si noti che gli aggiornamenti dell'applicazione e dell'entità servizio vengono registrati come due voci nel log di audit.
Monitorare le applicazioni per identificare i tempi di scadenza delle credenziali lunghi.
Sostituire le credenziali di lunga durata con una durata breve. Assicurarsi che le credenziali non vengano sottoposte a commit nei repository di codice e vengano archiviate in modo sicuro.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Aggiunta di credenziali alle applicazioni esistenti | Alto | Log di controllo di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare applicazione-certificati e gestione dei segreti -e- Attività: Aggiornare il principale del servizio/Aggiornare l'applicazione |
Creare un avviso quando le credenziali vengono: aggiunte al di fuori dei normali orari di ufficio o flussi di lavoro, di tipi non usati nell'ambiente, o aggiunte a un'entità servizio principale che non utilizza un flusso SAML. Modello di Microsoft Sentinel Regole Sigma |
| Credenziali con durata superiore a quella consentita dai criteri. | Medio | Microsoft Graph | Stato e data di fine delle credenziali della chiave dell'applicazione -e- Credenziali della password dell'applicazione |
È possibile usare l'API Microsoft Graph per trovare la data di inizio e di fine delle credenziali e valutare durate superiori a quelle consentite. Vedi lo script di PowerShell alla fine di questa tabella. |
Sono disponibili i seguenti avvisi e monitoraggio predefiniti:
Microsoft Sentinel: avvisa quando sono state aggiunte nuove credenziali per app o entità servizio
Monitoraggio di Azure: cartella di lavoro di Microsoft Entra per contribuire a valutare il rischio Solorigate - Microsoft Tech Community
App di Defender per il cloud – Guida all'indagine sugli avvisi di rilevamento delle anomalie di Defender for Cloud Apps
PowerShell: script di PowerShell di esempio per conoscere la durata delle credenziali.
Autorizzazioni dell’applicazione
Come un account amministratore, alle applicazioni possono essere assegnati ruoli con privilegi. È possibile assegnare alle app qualsiasi ruolo Microsoft Entra, ad esempio Amministratore utenti, o ruoli Azure RBAC, come Lettore fatturazione. Poiché possono essere eseguiti senza un utente e come servizio in background, monitorare attentamente quando a un'applicazione vengono concessi ruoli o autorizzazioni con privilegi.
Principale del servizio assegnato a un ruolo
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| App assegnata al ruolo RBAC di Azure o al ruolo Microsoft Entra | Alto a Medio | Log di controllo di Microsoft Entra | Tipo: principale di servizio Attività: "Aggiungere un membro al ruolo" o "Aggiungere un membro idoneo al ruolo” oppure Aggiungere un membro con funzione specifica a un ruolo. |
Per i ruoli con privilegi elevati il rischio è elevato. Per i ruoli con privilegi più bassi il rischio è medio. Invia un avviso ogni volta che un'applicazione viene assegnata a un ruolo di Azure o a un ruolo Microsoft Entra al di fuori delle normali procedure di gestione delle modifiche o di configurazione. Modello di Microsoft Sentinel Regole Sigma |
L'applicazione ha concesso autorizzazioni con privilegi elevati
Le applicazioni devono usare il principio dei privilegi minimi. Prendere in esame le autorizzazioni dell'applicazione per assicurarsi che siano necessarie. È possibile creare un report di concessione del consenso dell'app per contribuire a identificare le applicazioni ed evidenziare le autorizzazioni con privilegi.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| All'app sono concesse autorizzazioni con privilegi elevati, ad esempio le autorizzazioni con ".All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.) | Alto | Log di controllo di Microsoft Entra | Aggiungere un'assegnazione del ruolo dell'app a un principale del servizio - dove- La destinazione identifica un'API con dati sensibili, ad esempio Microsoft Graph. -e- AppRole.Value identifica un'autorizzazione dell'applicazione informatica con elevati privilegi (ruolo dell'app). |
Alle app sono concesse autorizzazioni generali, ad esempio le autorizzazioni ".All" (Directory.ReadWrite.All) o autorizzazioni di ampia portata (Mail.) Modello di Microsoft Sentinel Regole Sigma |
| Amministratore che concede le autorizzazioni dell'applicazione (ruoli dell'app) o autorizzazioni delegate con privilegi elevati | Alto | Portale Microsoft 365 | Aggiungere un'assegnazione del ruolo dell'app a un principale del servizio -dove- La/Le destinazione(i) identifica(no) un'API con dati sensibili (come Microsoft Graph) Aggiungere concessione di permesso delegato -dove- Il/i target identifica un'API con dati sensibili (ad esempio Microsoft Graph) -e- DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati. |
Avvisa quando un amministratore acconsente a un'applicazione. In particolare cercare il consenso all'esterno delle normali attività e delle procedure di modifica. Modello di Microsoft Sentinel Modello di Microsoft Sentinel Modello di Microsoft Sentinel Regole Sigma |
| All'applicazione vengono concesse le autorizzazioni per Microsoft Graph, Exchange, SharePoint o Microsoft Entra ID. | Alto | Log di controllo di Microsoft Entra | Aggiungere concessione di autorizzazione delegata oppure Aggiungere un'assegnazione di ruolo app a un'entità servizio principale -dove- La/le destinazione/i identifica/no un'API con dati sensibili (ad esempio Microsoft Graph, Exchange Online e così via) |
Avviso come nella riga precedente. Modello di Microsoft Sentinel Regole Sigma |
| Vengono concesse le autorizzazioni dell'applicazione (ruoli dell'app) per altre API | Medio | Log di controllo di Microsoft Entra | Aggiungere un'assegnazione del ruolo dell'app a un principale del servizio -dove- La destinazione identifica qualsiasi altra API. |
Avviso come nella riga precedente. Regole Sigma |
| Autorizzazioni delegate con privilegi elevati sono concesse per conto di tutti gli utenti | Alto | Log di controllo di Microsoft Entra | "Aggiungi concessione di autorizzazioni delegate", dove "Target(s)" identifica un'API con dati sensibili (come Microsoft Graph), DelegatedPermissionGrant.Scope include autorizzazioni con privilegi elevati, -e- DelegatedPermissionGrant.ConsentType è "AllPrincipals". |
Avviso come nella riga precedente. Modello di Microsoft Sentinel Modello di Microsoft Sentinel Modello di Microsoft Sentinel Regole Sigma |
Per altre informazioni sul monitoraggio delle autorizzazioni delle app, vedere l’esercitazione: Analizzare e correggere le app OAuth rischiose.
Azure Key Vault (Archivio chiavi di Azure)
Usare Azure Key Vault per archiviare i segreti del tenant. È consigliabile prestare attenzione alle modifiche apportate alla configurazione e alle attività di Key Vault.
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Come e quando vengono effettuati gli accessi ai Key Vault e da chi | Medio | Log di Azure Key Vault | Tipo di risorsa: Key Vaults | Controllare: qualsiasi accesso a Key Vault al di fuori delle procedure e orari standard, qualsiasi modifica apportata all'ACL di Key Vault. Modello di Microsoft Sentinel Regole Sigma |
Dopo aver configurato Azure Key Vault, abilitare la registrazione. Vedere come e quando i tuoi Key Vault vengono accessi e configurare gli avvisi su Key Vault per notificare agli utenti assegnati o alle liste di distribuzione tramite e-mail, telefono, SMS o notifica di Event Grid, se lo stato di integrità è compromesso. Inoltre, la configurazione del monitoraggio con le informazioni dettagliate di Key Vault offre uno snapshot delle richieste, delle prestazioni, degli errori e della latenza di Key Vault. Log Analytics include anche alcune query di esempio per Azure Key Vault a cui è possibile accedere dopo aver selezionato il Key Vault e successivamente in "Monitoraggio" selezionando "Log".
Consenso dell'utente finale
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Consenso dell'utente finale all'applicazione | Basso | Log di controllo di Microsoft Entra | Attività: Consenso all'applicazione / ConsentContext.IsAdminConsent = false | Cercare: account con profili elevati o con privilegi elevati, app che richiede autorizzazioni ad alto rischio, app con nomi sospetti, ad esempio generici, con errori di ortografia e così via. Modello di Microsoft Sentinel Regole Sigma |
L'atto di fornire il consenso a un'applicazione non è dannoso. Tuttavia, indagare sulle nuove concessioni di consenso dell'utente finale ricercando applicazioni sospette. È possibile limitare le operazioni di consenso utente.
Per altre informazioni sulle operazioni di consenso, vedere le risorse seguenti:
Rilevare e correggere le concessioni di consenso illecite - Office 365
Playbook di risposta agli incidenti - Indagine sulla concessione del consenso dell'app
L'utente finale è stato arrestato a causa del consenso basato sul rischio
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Il consenso dell'utente finale è stato arrestato a causa del consenso basato sul rischio | Medio | Log di controllo di Microsoft Entra | Directory principale - Gestione Applicazione - Consenso all'applicazione Motivo dello stato di errore = Microsoft.online.Security.userConsent BloccatoPerEccezioniDiAppRischiose |
Monitorare e analizzare eventuali interruzioni del consenso a causa del rischio. Cercare: account ad alto profilo o con privilegi elevati, app che richiede autorizzazioni ad alto rischio o app con nomi sospetti, ad esempio generici, con errori di ortografia e così via. Modello di Microsoft Sentinel Regole Sigma |
Flussi dell’autenticazione dell’applicazione
Esistono diversi flussi nel protocollo OAuth 2.0. Il flusso consigliato per un'applicazione dipende dal tipo di applicazione in fase di compilazione. In alcuni casi, è disponibile una scelta di flussi per l'applicazione. In questo caso, alcuni flussi di autenticazione sono consigliati rispetto ad altri. In particolare, evitare le credenziali di accesso del proprietario delle risorse (ROPC) perché richiedono all'utente di divulgare le proprie credenziali di accesso correnti all'applicazione. L'applicazione usa quindi le credenziali per autenticare l'utente presso il provider di identità. La maggior parte delle applicazioni deve usare il flusso del codice di autenticazione o il flusso del codice di autenticazione con la chiave di prova per Code Exchange (PKCE), perché questo flusso è consigliato.
L'unico scenario in cui è consigliato ROPC è per i test automatizzati delle applicazioni. Per informazioni dettagliate, vedere Eseguire test di integrazione automatizzati.
Il flusso di codice del dispositivo è un altro flusso di protocollo OAuth 2.0 per i dispositivi vincolati di input e non viene usato in tutti gli ambienti. Quando il flusso del codice del dispositivo appare nell'ambiente e non viene utilizzato in uno scenario di dispositivo con limitazioni di input. Altre indagini sono giustificate per un'applicazione non configurata correttamente o potenzialmente qualcosa di dannoso. Il flusso del codice del dispositivo può anche essere bloccato o consentito nell'Accesso condizionale. Per informazioni dettagliate, vedere Flussi di autenticazione dell'Accesso condizionale.
Monitorare l'autenticazione dell'applicazione usando la formazione seguente:
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Applicazioni che usano il flusso di autenticazione ROPC | Medio | Log di accesso di Microsoft Entra | Stato=Esito positivo Protocollo di autenticazione-ROPC |
L'elevato livello di attendibilità viene inserito in questa applicazione perché le credenziali possono essere memorizzate nella cache o archiviate. Passare, se possibile, a un flusso di autenticazione più sicuro. Questa operazione deve essere usata solo nei test automatizzati delle applicazioni, se necessario. Per altre informazioni, vedere Microsoft Identity Platform e credenziali di tipo password del proprietario della risorsa OAuth 2.0 Regole Sigma |
| Applicazioni che usano il flusso di codice del dispositivo | Da basso a medio | Log di accesso di Microsoft Entra | Stato=Successo Codice Protocol-Device di autenticazione |
I flussi di codice del dispositivo vengono usati per i dispositivi vincolati di input, che potrebbero non trovarsi in tutti gli ambienti. Se vengono visualizzati flussi di codice del dispositivo con esito positivo, senza che siano necessari, prendere in esame la validità. Per altre informazioni, vedere Microsoft Identity Platform e il flusso di concessione delle autorizzazioni per dispositivi OAuth 2.0 Regole Sigma |
Modifiche alla configurazione delle applicazioni
Monitorare le modifiche apportate alla configurazione dell'applicazione. In particolare, le modifiche alla configurazione vengono apportate allo Uniform Resource Identifier (URI), alla proprietà e all'URL di disconnessione.
Modifiche all'URI sospeso e all'URI di reindirizzamento
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| URI non referenziato | Alto | Log di Microsoft Entra e registrazione dell'applicazione | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare l'applicazione Esito positivo - Nome proprietà AppAddress |
Ad esempio, cerca URI sospesi che puntano a un nome di dominio che non esiste più o che non possiedi esplicitamente. Modello di Microsoft Sentinel Regole Sigma |
| Modifiche alla configurazione dell'URI di reindirizzamento | Alto | Log di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare l'applicazione Esito positivo – Nome proprietà AppAddress |
Individuare URI che non usano HTTPS*, URI con caratteri jolly alla fine dell'URL o nel dominio dell'URL, URI NON unici per l'applicazione, URI che puntano a un dominio non controllato da te. Modello di Microsoft Sentinel Regole Sigma |
Avvisa quando vengono rilevate queste modifiche.
URI AppID aggiunto, modificato o rimosso
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Modifiche agli URI di AppID | Alto | Log di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare Applicazione Attività: aggiornare un'entità servizio |
Cercare qualsiasi modifica dell'URI AppID, ad esempio l'aggiunta, la modifica o la rimozione dell'URI. Modello di Microsoft Sentinel Regole Sigma |
Avvisa quando queste modifiche vengono rilevate all'esterno delle procedure approvate per la gestione delle modifiche.
Nuovo proprietario
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Modifiche alla proprietà dell'applicazione | Medio | Log di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiungere il proprietario all'applicazione |
Cercare qualsiasi istanza di un utente che venga aggiunto come proprietario dell'applicazione al di fuori delle normali attività di gestione delle modifiche. Modello di Microsoft Sentinel Regole Sigma |
URL di disconnessione modificata o rimossa
| Cosa monitorare | Livello di rischio | Dove | Filtro/Filtro secondario | Note |
|---|---|---|---|---|
| Modifiche all'URL di disconnessione | Basso | Log di Microsoft Entra | Service-Core Directory, Category-ApplicationManagement Attività: aggiornare l'applicazione -e- Attività: aggiornare un principio di servizio |
Controllare eventuali modifiche apportate a un URL di disconnessione. Le voci vuote o in posizioni inesistenti potrebbero impedire all’utente di terminare una sessione. Modello di Microsoft Sentinel Regole Sigma |
Risorse
Toolkit Microsoft Entra di GitHub - https://github.com/microsoft/AzureADToolkit
Panoramica della sicurezza e linee guida sulla sicurezza di Azure Key Vault - Panoramica della sicurezza di Azure Key Vault
Informazioni e strumenti sui rischi di Solorigate - Cartella di lavoro di Microsoft Entra per aiutare ad accedere alle informazioni sui rischi di Solorigate
Linee guida per il rilevamento degli attacchi OAuth - Aggiunta insolita di credenziali a un'app OAuth
Informazioni di configurazione del monitoraggio di Microsoft Entra per SIEM - Strumenti dei partner con integrazione ad Azure Monitor
Passaggi successivi
Panoramica delle operazioni per la sicurezza di Microsoft Entra
Operazioni per la sicurezza per gli account utente
Operazioni di sicurezza per gli account dei consumatori
Operazioni per la sicurezza per gli account con privilegi
Operazioni per la sicurezza per Privileged Identity Management