Utilizzo di Azure AD Identity Protection per il rilevamento e la correzione dei rischi

Utilizzo di Azure AD Identity Protection per il rilevamento e la correzione dei rischi

14/12/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare gli analisti della sicurezza, gli amministratori IT e gli ingegneri di sistema nell'uso di Azure AD Identity Protection per rilevare, analizzare e correggere i rischi legati all'identità nei loro ambienti. Azure AD Identity Protection è una funzionalità di Microsoft Entra ID (in precedenza Azure Active Directory) che automatizza il rilevamento e la correzione dei rischi basati sull'identità, proteggendo le organizzazioni da minacce quali credenziali compromesse, attacchi di forza bruta e accesso non autorizzato [1].

Introduzione

Le identità sono il nuovo perimetro di sicurezza. Con il passaggio al cloud e al lavoro remoto, la protezione delle identità degli utenti è diventata più critica che mai. Attacchi di phishing, fuga di credenziali, password spraying e accesso da luoghi insoliti sono minacce costanti che possono portare alla compromissione degli account e, di conseguenza, alla violazione dei dati e all'interruzione del servizio. Azure AD Identity Protection fornisce una soluzione proattiva e automatizzata per identificare le attività rischiose, valutare il livello di rischio associato agli utenti e agli accessi e applicare criteri di correzione in tempo reale per proteggere le identità dell'organizzazione [2].

Questa guida pratica tratterà i concetti fondamentali di Azure AD Identity Protection, inclusi i tipi di rilevamento dei rischi, i criteri di rischio per utenti e accesso, la configurazione di tali criteri, l'integrazione con Azure AD Accesso condizionale e l'indagine e la correzione dei rischi. Verranno fornite istruzioni passo passo ed esempi di configurazione in modo che il lettore possa implementare e convalidare Azure AD Identity Protection, rafforzando la sicurezza delle proprie identità e garantendo una risposta efficace agli incidenti di sicurezza dell'identità in modo autonomo, professionale e affidabile.

Perché Azure AD Identity Protection è fondamentale?

  • Rilevamento dei rischi in tempo reale: utilizza gli algoritmi di machine learning e intelligence sulle minacce di Microsoft per rilevare automaticamente attività sospette come accessi da posizioni anonime, IP infetti, viaggi impossibili e credenziali trapelate.
  • Valutazione adattiva del rischio: assegna un livello di rischio (basso, medio, alto) a ciascun utente e input in base a una varietà di fattori, consentendo risposte proporzionate alla minaccia.
  • Policy di riparazione automatizzata: consente di configurare policy che richiedono automaticamente MFA, reimpostare le password o bloccare l'accesso in risposta a livelli di rischio specifici.
  • Integrazione dell'accesso condizionale: funziona insieme all'accesso condizionale di Azure AD per applicare controlli di accesso adattivi in ​​base al rischio di identità.
  • Visibilità e indagine: fornisce report dettagliati sui rilevamenti dei rischi, sugli utenti dei rischi e sugli input di rischio, facilitando le indagini e la risposta agli incidenti.
  • Riduci il carico di lavoro del SOC: automatizza la valutazione e la risoluzione di molti incidenti di identità, consentendo al personale addetto alla sicurezza di concentrarsi su minacce più complesse.

Prerequisiti

Per utilizzare Azure AD Identity Protection, saranno necessari i seguenti elementi:

  1. Licenza: Azure AD Identity Protection richiede una licenza Microsoft Entra ID P2 (in precedenza Azure AD Premium P2) [3].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore della sicurezza", "Amministratore dell'accesso condizionale" o "Amministratore globale" nel portale di Azure (https://portal.azure.com).
  3. MFA configurato: affinché i criteri di accesso e di rischio utente funzionino in modo efficace, gli utenti devono avere configurato e registrato la Multi-Factor Authentication (MFA). Si consiglia di utilizzare l'autenticazione a più fattori di Azure AD.

Passo dopo passo: configurazione di Azure AD Identity Protection

Configureremo le policy di rischio per proteggere le vostre identità.

1. Accesso ad Azure AD Identity Protection

  1. Apri il browser e accedi al portale di Azure: "https://portal.azure.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel campo di ricerca in alto, digita "Azure AD Identity Protection" e selezionalo dai risultati.

2. Configurazione della politica di rischio utente

Questa policy definisce l'azione da intraprendere quando viene rilevato un utentecome a rischio (ad esempio, credenziali trapelate, attività anomala persistente).

  1. Nel riquadro di spostamento sinistro di Azure AD Identity Protection selezionare Criteri di rischio utente.

  2. Responsabilità:

    • In "Utenti", seleziona "Tutti gli utenti" o "Seleziona individui e gruppi" per applicare la policy a utenti o gruppi di test specifici. Per cominciare, si consiglia di candidarsi a un gruppo di prova.
    • Facoltativamente, puoi "Eliminare utenti e gruppi" (ad esempio account di servizio, amministratori di emergenza).

  3. Condizioni:

    • In "Rischio utente", imposta il livello di rischio che attiverà la policy (ad esempio "Alto"). Puoi iniziare con "Medio e superiore" e apportare modifiche secondo necessità.

  4. Controlli:

    • Accesso: seleziona "Consenti accesso".
    • Applica policy: seleziona "Richiedi modifica password sicura".
      • Spiegazione: Se un utente raggiunge il livello di rischio configurato, sarà costretto a modificare la propria password all'accesso successivo. Questo è fondamentale per le credenziali trapelate.

  5. Abilita criterio: impostare su "On".

  6. Fare clic su Salva.

3. Configurazione della policy sui rischi di accesso

Questa policy definisce l'azione da intraprendere quando un tentativo di accesso viene rilevato come rischioso (ad esempio da una posizione insolita, IP anonimo, IP infetto).

  1. Nel riquadro di spostamento sinistro di Azure AD Identity Protection selezionare Criteri di rischio in entrata.

  2. Responsabilità:

    • In "Utenti", seleziona "Tutti gli utenti" o "Seleziona individui e gruppi".
    • Facoltativamente, puoi "Eliminare utenti e gruppi".

  3. Condizioni:

    • In "Rischio di ingresso", definire il livello di rischio che attiverà la politica (ad esempio "Medio").

  4. Controlli:

    • Accesso: seleziona "Consenti accesso".
    • Applica criteri: seleziona "Richiedi autenticazione a più fattori".
      • Spiegazione: Se una voce viene rilevata come rischiosa, all'utente verrà richiesto di completare una verifica MFA, anche se normalmente non è richiesta. Ciò aiuta a verificare l'identità dell'utente.

  5. Abilita criterio: impostare su "On".

  6. Fare clic su Salva.

4. Configurazione della politica MFA del registro

Questa policy garantisce che ai nuovi utenti o agli utenti che non hanno ancora registrato l'MFA venga richiesto di farlo, il che costituisce un prerequisito per le policy di rischio.

  1. Nel riquadro di spostamento sinistro di Azure AD Identity Protection, selezionare Criteri di registrazione MFA.

  2. Responsabilità:

    • In "Utenti", seleziona "Tutti gli utenti" o "Seleziona individui e gruppi".
    • Facoltativamente, puoi "Eliminare utenti e gruppi".

  3. Applica policy: impostare su "Abilitato".

  4. Fare clic su Salva.

5. Investigare su utenti e input rischiosi

Identity Protection fornisce report per monitorare e indagare sulle attività rischiose.

  1. Nel riquadro di spostamento sinistro di Azure AD Identity Protection selezionare Utenti a rischio.

    • Questo rapporto elenca gli utenti che sono stati rilevati come a rischio, insieme al loro livello di rischio e all'ultimo rilevamento del rischio.

  2. Fare clic su un utente per visualizzare i dettagli del rischio, inclusi rilevamenti di rischi specifici (ad esempio "Credenziali trapelate", "Voce IP anonima").

  3. Nel riquadro di navigazione a sinistra, seleziona Ingressi di rischio. *Questo report elenca i tentativi di accesso rilevati come rischiosi, insieme al livello di rischio e ai dettagli di accesso.

  4. Fare clic su una voce di rischio per visualizzare i dettagli completi, inclusi tipo di rilevamento, posizione, dispositivo e applicazione.

6. Correzione manuale dei rischi

Sebbene le policy automatizzino la riparazione, potrebbe essere necessario correggere manualmente i rischi.

  1. Per utenti a rischio:

    • Nel rapporto "Utenti a rischio", seleziona un utente.
    • Puoi scegliere "Conferma utente compromesso" (questo attiverà la politica di rischio utente, forzando la modifica della password) o "Ignora rischio utente" (se determini che il rischio è un falso positivo).

  2. Per gli input di rischio:

    • Nel rapporto "Ingressi di rischio", seleziona una voce.
    • Puoi scegliere "Conferma compromesso" o "Conferma sicurezza" (se si tratta di un falso positivo).

Convalida e test

Il test di Azure AD Identity Protection è fondamentale per garantire che i criteri funzionino correttamente.come previsto.

1. Simulazione del rischio in entrata (IP anonimo)

  1. Utilizza una VPN o un proxy per connetterti a Internet da una posizione diversa dal tuo solito posto di lavoro che può essere classificata come IP anonimo (ad esempio un server proxy pubblico, Tor).

  2. Prova ad accedere al portale di Azure o a un'applicazione connessa ad Azure AD con un account di prova.

    • Risultato previsto: se la policy di rischio di accesso è impostata su "Medio" o "Alto" e "Richiedi autenticazione a più fattori", ti verrà richiesto di completare l'AMF. Se il rischio è "Alto" e la policy è impostata su "Blocca accesso", l'accesso verrà negato.

  3. Controlla il report "Voci di rischio" in Azure AD Identity Protection. Dovresti vedere una voce di rischio per l'account di prova con il tipo di rilevamento "Voce IP anonimo".

2. Simulazione del rischio utente (credenziali trapelate)

Non è possibile simulare direttamente le credenziali trapelate, ma è possibile testare la politica di rischio dell'utente impostando manualmente un utente di prova sul livello di rischio "Alto" (solo a scopo di test in un ambiente controllato).

  1. Nel rapporto "Utenti a rischio", seleziona un utente di prova.
  2. Fare clic su "Conferma utente compromesso" (questo imposterà il rischio dell'utente su "Alto" e attiverà la policy).
  3. Chiedi all'utente di prova di provare ad accedere.
    • Risultato previsto: all'utente dovrebbe essere richiesto di modificare la password all'accesso successivo, come configurato nella policy di rischio utente.

3. Controllo dei registri di controllo e dei registri di input

  1. Nel portale di Azure, accedere a "Azure Active Directory" > "Monitoraggio" > "Log in entrata".
  2. Filtra i registri per "Stato rischio input" e "Stato rischio utente" per visualizzare gli input valutati e le azioni intraprese.

Suggerimenti e best practice per la sicurezza

  • Inizia con la modalità di reporting: quando si configurano le policy di rischio, iniziare con la modalità "Solo report" per comprendere l'impatto delle policy prima di applicarle in modalità di applicazione. Ciò aiuta a identificare i falsi positivi senza interrompere gli utenti.
  • Formazione degli utenti: istruisci gli utenti sull'importanza dell'MFA e su come rispondere alle richieste di modifica della password o alle sfide dell'MFA. Spiegare loro i vantaggi della protezione dell'identità.
  • Integrazione con accesso condizionale: utilizza la protezione dell'identità insieme all'accesso condizionale per creare policy di accesso adattivo più sofisticate. Ad esempio, bloccando l'accesso alle applicazioni critiche se il rischio di ingresso è "alto".
  • Monitoraggio continuo: monitora regolarmente i rapporti "Utenti a rischio" e "Ingressi a rischio" per indagare su attività sospette e garantire che le politiche funzionino come previsto.
  • Revisione periodica delle politiche: rivedi e adatta regolarmente le tue politiche di rischio per adattarle ai cambiamenti nel panorama delle minacce e ai requisiti aziendali.
  • Integrazione SIEM/SOAR: integra gli avvisi di Azure AD Identity Protection con il tuo SIEM (ad esempio Microsoft Sentinel) per una visualizzazione centralizzata e un'automazione più completa della risposta agli incidenti.
  • Dai priorità agli utenti privilegiati: concentrati sulla protezione degli utenti con privilegi elevati (amministratori) con le politiche di rischio più rigorose.

Risoluzione dei problemi comuni

  • Agli utenti non viene richiesta la modifica dell'autenticazione a più fattori o della password: verificare che l'utente disponga di una licenza di Azure AD P2. Assicurati che le politiche di rischio siano "Abilitate" e che l'utente sia incluso nelle assegnazioni. Controlla se l'utente ha già registrato MFA.
  • Rischio falsi positivi: esamina i rilevamenti dei rischi per comprendere il motivo per cui sono stati attivati. Puoi "Conferma sicurezza" per le voci o "Ignora rischio utente" per gli utenti se sei sicuro che non vi sia alcuna minaccia. Se necessario, adeguare le condizioni della politica di rischio (ad esempio, aumentare il livello di rischio che fa scattare la politica).
  • Utenti bloccati in modo improprio: se la politica di rischio di accesso è impostata su "Blocca accesso" per un rischio "Medio" o "Basso", ciò potrebbe comportare blocchi eccessivi. Esaminare il livello di rischio e l'azione politica. Prendi in considerazione l'utilizzo di "Richiedi autenticazione a più fattori" invece di "Blocca accesso" per rischi medi.
  • Problemi di registrazione MFA: assicurati che la politica di registrazione MFA sia "Abilitata" e che gli utenti siano inclusiVoi. Verificare la presenza di altri criteri di accesso condizionale che potrebbero interferire.
  • I rilevamenti dei rischi non vengono visualizzati: verificare che la protezione dell'identità sia abilitata e che sia presente traffico di autenticazione in Azure AD. Potrebbe essere necessario del tempo prima che vengano visualizzati i rilevamenti dei rischi, in particolare per i rischi utente.

Conclusione

Azure AD Identity Protection è uno strumento indispensabile per proteggere le identità nei moderni ambienti basati su cloud. Automatizzando il rilevamento e la risoluzione dei rischi legati all'identità, consente alle organizzazioni di rispondere rapidamente alle minacce, ridurre la superficie di attacco e rafforzare il proprio livello di sicurezza generale. Un'attenta implementazione delle policy di rischio, combinata con la formazione degli utenti e il monitoraggio continuo, consente ai team di sicurezza di proteggere in modo proattivo le identità più critiche. Con questa guida pratica, i professionisti della sicurezza saranno ben attrezzati per configurare, convalidare e gestire Azure AD Identity Protection, garantendo che le loro identità rimangano sicure e resilienti contro le minacce informatiche in continua evoluzione.

Riferimenti:

[1]Microsoft Learn. Che cos'è la protezione ID Microsoft Entra?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2]Microsoft Learn. Cosa sono i rilevamenti dei rischi?. Disponibile su: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3]Microsoft Learn. Requisiti di licenza per la protezione dell'ID Microsoft Entra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4]Microsoft Learn. Configura le policy di rischio per la protezione dell'ID Microsoft Entra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5]Microsoft Learn. Esamina i rischi con la protezione dell'ID Microsoft Entra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6]Microsoft Learn. Rimediare ai rischi e sbloccare gli utenti. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock