Share via

Esercitazione: Configurare l'analisi della sicurezza per i dati di Azure Active Directory B2C con Microsoft Sentinel

  • Articolo

Aumentare la sicurezza dell'ambiente Di Azure Active Directory B2C (Azure AD B2C) instradando i log e le informazioni di controllo a Microsoft Sentinel. Microsoft Sentinel scalabile è una soluzione di orchestrazione, automazione e risposta (SOAR) nativa del cloud, informazioni sulla sicurezza e gestione degli eventi (SIEM). Usare la soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce per Azure AD B2C.

Altre informazioni:

Altri usi per Microsoft Sentinel, con Azure AD B2C, sono:

  • Rilevare minacce non rilevate in precedenza e ridurre al minimo i falsi positivi con funzionalità di analisi e intelligence sulle minacce
  • Analizzare le minacce con l'intelligenza artificiale
    • Cercare attività sospette su larga scala e trarre vantaggio dall'esperienza di anni di lavoro sulla cybersecurity in Microsoft
  • Rispondere rapidamente agli eventi imprevisti con l'orchestrazione e l'automazione comuni delle attività
  • Soddisfare i requisiti di sicurezza e conformità dell'organizzazione

In questa esercitazione si apprenderà come:

  • Trasferire i log di Azure AD B2C in un'area di lavoro Log Analytics
  • Abilitare Microsoft Sentinel in un'area di lavoro Log Analytics
  • Creare una regola di esempio in Microsoft Sentinel per attivare un evento imprevisto
  • Configurare una risposta automatica

Configurare Azure AD B2C con Log Analytics di Monitoraggio di Azure

Per definire dove vengono inviati i log e le metriche per una risorsa,

  1. Abilitare le impostazioni di diagnostica in Microsoft Entra ID nel tenant di Azure AD B2C.
  2. Configurare Azure AD B2C per inviare i log a Monitoraggio di Azure.

Per altre informazioni, vedere Monitorare Azure AD B2C con Monitoraggio di Azure.

Distribuire un'istanza di Microsoft Sentinel

Dopo aver configurato l'istanza di Azure AD B2C per inviare i log a Monitoraggio di Azure, abilitare un'istanza di Microsoft Sentinel.

Importante

Per abilitare Microsoft Sentinel, ottenere le autorizzazioni di Collaboratore per la sottoscrizione in cui risiede l'area di lavoro di Microsoft Sentinel. Per usare Microsoft Sentinel, usare le autorizzazioni Collaboratore o Lettore per il gruppo di risorse a cui appartiene l'area di lavoro.

  1. Accedere al portale di Azure.

  2. Selezionare la sottoscrizione in cui viene creata l'area di lavoro Log Analytics.

  3. Cercare e selezionare Microsoft Sentinel.

    Screenshot di Azure Sentinel immesso nel campo di ricerca e nell'opzione Azure Sentinel visualizzata.

  4. Selezionare Aggiungi.

  5. Nel campo Aree di lavoro di ricerca selezionare la nuova area di lavoro.

    Screenshot del campo Aree di lavoro di ricerca in Scegliere un'area di lavoro da aggiungere ad Azure Sentinel.

  6. Selezionare Aggiungi Microsoft Sentinel.

    Nota

    È possibile eseguire Microsoft Sentinel in più di un'area di lavoro, ma i dati sono isolati in una singola area di lavoro.
    Vedere Guida introduttiva: Eseguire l'onboarding di Microsoft Sentinel

Creare una regola di Microsoft Sentinel

Dopo aver abilitato Microsoft Sentinel, ricevere una notifica quando si verifica un evento sospetto nel tenant di Azure AD B2C.

È possibile creare regole di analisi personalizzate per individuare minacce e comportamenti anomali nell'ambiente. Queste regole cercano eventi o set di eventi specifici e segnalano quando vengono soddisfatte le soglie o le condizioni degli eventi. Vengono quindi generati eventi imprevisti per l'indagine.

Vedere Creare regole di analisi personalizzate per rilevare le minacce

Nota

Microsoft Sentinel include modelli per creare regole di rilevamento delle minacce per la ricerca di attività sospette nei dati. Per questa esercitazione si crea una regola.

Regola di notifica per l'accesso forzato non riuscito

Usare la procedura seguente per ricevere una notifica su due o più tentativi di accesso forzato non riusciti nell'ambiente. Un esempio è l'attacco di forza bruta.

  1. Nel menu a sinistra di Microsoft Sentinel selezionare Analisi.

  2. Nella barra superiore selezionare + Crea>regola di query pianificata.

    Screenshot dell'opzione Crea in Analisi.

  3. Nella procedura guidata regole di analisi passare a Generale.

  4. In Nome immettere un nome per gli account di accesso non riusciti.

  5. Per Descrizione, indicare che la regola invia una notifica per due o più accessi non riusciti, entro 60 secondi.

  6. Per Tattiche selezionare una categoria. Ad esempio, selezionare PreAttack.

  7. Per Gravità selezionare un livello di gravità.

  8. Lo stato è Abilitato per impostazione predefinita. Per modificare una regola, passare alla scheda Regole attive .

    Screenshot di Crea nuova regola con opzioni e selezioni.

  9. Selezionare la scheda Imposta logica regola .

  10. Immettere una query nel campo Query regola . L'esempio di query organizza gli accessi in base a UserPrincipalName.

    Screenshot del testo della query nel campo Query regola in Imposta logica regola.

  11. Passare a Pianificazione query.

  12. Per Esegui query ogni immettere 5 e Minuti.

  13. Per Dati di ricerca dall'ultimo, immettere 5 e minuti.

  14. Per Genera avviso quando il numero di risultati della query selezionare Maggiore di e 0.

  15. Per Raggruppamento di eventi selezionare Raggruppa tutti gli eventi in un singolo avviso.

  16. Per Interrompi esecuzione della query dopo la generazione dell'avviso, selezionare Disattivato.

  17. Selezionare Avanti: Impostazioni evento imprevisto (anteprima).

Screenshot delle opzioni e delle selezioni di pianificazione delle query.

  1. Passare alla scheda Rivedi e crea per esaminare le impostazioni delle regole.

  2. Quando viene visualizzato il banner Convalida superata , selezionare Crea.

    Screenshot delle impostazioni selezionate, il banner Convalida superata e l'opzione Crea.

Visualizzare la regola e gli eventi imprevisti generati. Trovare la regola personalizzata appena creata di tipo Pianificato nella tabella nella scheda Regole attive del main

  1. Passare alla schermata Analisi .
  2. Selezionare la scheda Regole attive .
  3. Nella tabella, in Pianificato, trovare la regola.

È possibile modificare, abilitare, disabilitare o eliminare la regola.

Screenshot delle regole attive con le opzioni Abilita, Disabilita, Elimina e Modifica.

Valutazione, analisi e correzione degli eventi imprevisti

Un evento imprevisto può includere più avvisi ed è un'aggregazione di prove rilevanti per un'indagine. A livello di evento imprevisto, è possibile impostare proprietà quali Gravità e Stato.

Altre informazioni: Analizzare gli eventi imprevisti con Microsoft Sentinel.

  1. Passare alla pagina Eventi imprevisti .

  2. Selezionare un evento imprevisto.

  3. A destra, appaiono informazioni dettagliate sugli eventi imprevisti, tra cui gravità, entità, eventi e ID evento imprevisto.

    Screenshot che mostra le informazioni sugli eventi imprevisti.

  4. Nel riquadro Eventi imprevisti scegliere Visualizza dettagli completi.

  5. Esaminare le schede che riepilogano l'evento imprevisto.

    Screenshot di un elenco di eventi imprevisti.

  6. Selezionare EvidenceEventsLink to Log Analytics (Eventi>di evidenza) a Log Analytics(Collegamento eventi di evidenza > a Log Analytics).

  7. Nei risultati, vedere il valore di identità UserPrincipalName che tenta di accedere.

    Screenshot dei dettagli dell'evento imprevisto.

Risposta automatica

Microsoft Sentinel ha funzioni di orchestrazione della sicurezza, automazione e risposta (SOAR). Allegare azioni automatizzate o un playbook alle regole di analisi.

Vedi, Che cos'è SOAR?

Email notifica per un evento imprevisto

Per questa attività, usare un playbook dal repository GitHub di Microsoft Sentinel.

  1. Passare a un playbook configurato.
  2. Modificare la regola.
  3. Nella scheda Risposta automatica selezionare il playbook.

Altre informazioni: Notifica di eventi imprevisti Email

Screenshot delle opzioni di risposta automatizzate per una regola.

Risorse

Per altre informazioni su Microsoft Sentinel e Azure AD B2C, vedere:

Passaggio successivo

Gestire i falsi positivi in Microsoft Sentinel