Protezione

Entrare in sintonia con un'impresa: rilevare il movimento laterale di Intune

Pubblicato il 4 settembre 2024
Mano di un uomo che usa un laptop per hackerare o rubare dati di notte in ufficio. Concetto di hacking

Autore

Brett Hawkins

Adversary Simulation

IBM X-Force Red

Le organizzazioni continuano a implementare servizi basati su cloud, un cambiamento che ha portato a una più ampia adozione di ambienti di identità ibridi che collegano Active Directory on-premises con Microsoft Entra ID (precedentemente Azure AD). Per gestire i dispositivi in questi ambienti di identità ibridi, Microsoft Intune (Intune) è emerso come una delle soluzioni di gestione dei dispositivi più popolari. Poiché questa piattaforma aziendale affidabile può essere facilmente integrata con dispositivi e servizi Active Directory on-premise, è un bersaglio ideale da sfruttare per gli aggressori che vogliono effettuare movimento laterale e esecuzione di codice.

Questa ricerca fornirà un contesto su Intune, su come viene utilizzato all'interno delle organizzazioni e mostrerà come utilizzare questa piattaforma basata su cloud per distribuire applicazioni Windows personalizzate al fine di eseguire codice sui dispositivi utente. Inoltre, questa ricerca include il rilascio pubblico di nuove regole Microsoft Sentinel per aiutare i difensori a rilevare l'uso di Intune per il movimento laterale e le linee guida per il rafforzamento difensivo della piattaforma Intune.

Background

Lavoro precedente

Abuso dell'implementazione di script PowerShell tramite Intune

Andy Robbins ha scritto un eccellente post sul blog nel 2020 intitolato "Death from Above: Lateral Movement from Azure to On-Prem AD", che spiega come sfruttare Intune per implementare uno script PowerShell per prendere di mira gli host, insieme a indicazioni difensive per proteggersi da quello scenario di attacco. La nostra ricerca su X-Force si basa sulle ricerche di Robbins mostrando come eseguire l'esecuzione mirata del codice utilizzando applicazioni Windows e come eseguire triggering ad hoc per permettere agli host Windows di scaricare ed eseguire tali applicazioni. Questa ricerca include anche le nuove regole Microsoft Sentinel per rilevare l'uso improprio di Intune per facilitare i movimenti laterali e rafforzare le linee guida per la piattaforma Intune.

Maestro – Abuso di Intune per il movimento laterale su C2

Chris Thompson ha rilasciato uno strumento chiamato Maestro presso DEF CON 32 Demo Labs che può essere utilizzato per eseguire ricognizione di utenti e dispositivi tramite Intune, oltre all'esecuzione di comandi tramite script PowerShell Intune o applicazioni Windows da un framework. Assicurati di dare un'occhiata a questo strumento e alle ricerche di Chris! La ricerca su X-Force è diversa perché mostra come condurre questa attività di movimento laterale tramite l'interfaccia web Microsoft Intune e come creare pacchetti di più file da implementare come parte di un'applicazione Windows personalizzata per l'esecuzione del codice. Inoltre, questa ricerca di X-Force include più modi per innescare l'esecuzione di script Intune PowerShell e applicazioni Windows, oltre al rilascio della logica delle regole di rilevamento di Microsoft Sentinel per rilevare l'attività di movimento laterale che abusa di Intune.

Newsletter di settore

Le ultime notizie nel campo della tecnologia, supportate dalle analisi degli esperti

Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e oltre con la newsletter Think. Leggi l' Informativa sulla privacy IBM.

Grazie per aver effettuato l'iscrizione!

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.

Ambienti di identità ibridi

Molte aziende hanno iniziato ad adottare un ambiente di identità ibrido, ovvero la connessione di un ambiente Active Directory on-premise con Microsoft Entra ID (in precedenza Azure AD). Questo permette alle organizzazioni di essere più flessibili ed efficienti, il che include una migliore gestione dei dispositivi utente e l'accesso degli utenti alle applicazioni basate su cloud. In particolare, quando i dispositivi sono ibridi, sono visibili e possono essere gestiti sia in Active Directory on-premise che in Microsoft Entra ID. Grazie a questa configurazione, la compromissione delle soluzioni di gestione dei dispositivi basate su cloud può facilitare il movimento laterale ai dispositivi on-premise, come le workstation utente unite in modo ibrido.

Mixture of Experts | 12 dicembre, episodio 85

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.
Guarda tutti gli episodi di Mixture of Experts

Microsoft Intune

Microsoft Intune è una soluzione di gestione dei dispositivi basata su cloud che può essere utilizzata per gestire la configurazione dei dispositivi collegati ad Azure, come i dispositivi ibridi. Le sezioni seguenti evidenziano come Intune può essere utilizzato e gestito dalle organizzazioni.

Soluzioni per la gestione dei dispositivi

Microsoft offre diverse soluzioni per la gestione dei dispositivi all'interno di un'azienda. Di seguito sono elencate alcune di queste soluzioni:

  • Azure Stack
  • Windows Admin Center
  • SCCM (Gestore della configurazione)
  • Azure Arc
  • Microsoft Intune

Casi d'uso di Microsoft Intune

I principali casi d'uso strategici per le organizzazioni che vogliono utilizzare Microsoft Intune sono:

  • Gestione delle patch
  • Consentire l'accesso sicuro a Office 365 da dispositivi personali
  • Abilitare un programma BYOD (Bring Your Own Device)
  • Gestire la configurazione del dispositivo
  • Capacità di gestire più piattaforme (Windows, macOS, Linux)

Accesso basato sui ruoli di Microsoft Intune

Microsoft fornisce una documentazione dettagliata sui diversi ruoli disponibili in Intune, insieme ai privilegi di ciascun ruolo. I due ruoli privilegiati all'interno di Intune che permettono la creazione di script PowerShell o applicazioni Windows sono Global Administrator e Intune Service Administrator (noto anche come Intune Administrator).

Script e applicazioni che possono essere implementate con Microsoft Intune

Ci sono diverse opzioni per eseguire l'esecuzione del codice su host Windows tramite Microsoft Intune. Script PowerShell possono essere implementati per consentire l'esecuzione del codice tramite esecuzione diretta di comandi all'interno dello script. Altri tipi di esecuzione di codice sui dispositivi Windows includono l'implementazione delle applicazioni. Di seguito sono elencati alcuni dei tipi di applicazione più importanti:

  • App Line of Business (LOB): può trattarsi di un file Microsoft Software Installer (MSI) o di un pacchetto di app sicuro (.appx, .appxbundle)
  • App per Windows (Win32): si tratta di un .intunewin che è un formato compresso che contiene i file di applicazione necessari

File di registro di Microsoft Intune

I file di log sono scritti da Intune Management Extension su C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. Questi registri possono essere utili per vedere quando un dispositivo ha effettuato il check-in con Intune e se sono stati eseguiti script di PowerShell o applicazioni Windows.

Quando Intune esegue uno script PowerShell, crea una copia temporanea dello script su disco a C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Scripts e poi memorizza i risultati dello script su C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Results. Dopo il completamento dello script, lo script temporaneo e i risultati vengono rimossi.

Quando Intune esegue un'applicazione Windows, l'applicazione viene distribuita ed eseguita da C:\Windows\IMECache\[UNIQUE_GUID]. Una volta terminata l'esecuzione dell'applicazione, la directory viene rimossa.

Tecniche comuni di esecuzione del movimento laterale

Esistono diverse tecniche di movimento laterale ben note ai fornitori di prodotti di sicurezza e ai professionisti della sicurezza difensiva, che dispongono di documentazione facilmente reperibile nel Framework MITRE ATT&CK. Queste tecniche di movimento laterale di Windows utilizzano i protocolli e i servizi amministrativi in grado di eseguire programmi o script. Alcune delle tecniche comuni di movimento laterale utilizzate dagli attori delle minacce e dai professionisti della sicurezza offensiva includono l'uso di Windows Management Instrumentation (WMI), compiti programmati, servizi e modello di oggetti a componente distribuito (DCOM) per eseguire programmi o script. Dal punto di vista della sicurezza operativa, trovare una tecnica unica che possa eseguire script e programmi provenendo da software affidabile è fondamentale. Queste tecniche possono confondersi con le attività tipiche dell'azienda e possono essere ignorate dai team di sicurezza difensiva.

Casi d'uso offensivi per Microsoft Intune

Se hai compromesso un utente Azure con i permessi appropriati mostrati nella sezione Microsoft Intune Role-Based Access, puoi eseguire l'esecuzione del codice su qualsiasi host Windows che abbia installato l'agente Intune distribuendo script PowerShell o un'applicazione Windows. Può essere utilizzato come trigger di esecuzione del movimento laterale furtivo e unico, proveniente da un software aziendale affidabile.

Lo scenario mostrato nella sezione seguente presuppone l'ottenimento di un accesso privilegiato all'interno dell'interfaccia di amministrazione di Intune. Inoltre, come parte di questo scenario, l'obiettivo è ottenere accesso interattivo di comando e controllo (C2) tramite un beacon Cobalt Strike su un host bersaglio, utilizzando Intune come trigger per l'esecuzione di movimento laterale.

Targeting per utenti e host

Intune utilizza gruppi Entra ID per controllare dove vengono eseguiti script o applicazioni. Pertanto, se un host o un gruppo di host a cui ti rivolgi non è già membro di un gruppo, dovrai crearne uno per loro, in modo da poter controllare dove viene eseguito il tuo script o la tua applicazione. In genere, negli ambienti di identità ibridi, è possibile visualizzare i dispositivi associati a un utente all'interno di Entra ID. Ciò ti consentirà di creare un elenco di host mirati. Queste informazioni possono essere recuperate anche tramite strumenti e script automatizzati, come ROADtools.

Se è necessario creare un nuovo gruppo ID Microsoft Entra per assegnare gli host di destinazione, selezionare "Gruppi" > "Nuovo gruppo" nell'interfaccia di amministrazione di Intune.

Schermata che evidenzia come creare un nuovo gruppo nel centro amministrativo Microsoft Intune
Figura 1: Creare un nuovo gruppo

Puoi scegliere di selezionare sia host target che utenti, come mostrato nelle schermate qui sotto. In questo caso, stiamo creando un gruppo per indirizzare l'host WIN-8675309.

Schermata che illustra come aggiungere il dispositivo di destinazione a un gruppo in Microsoft intune
Figura 2: Aggiungere il dispositivo di destinazione a un gruppo
Schermata che mostra come aggiungere l'utente target al gruppo in Microsoft Intune
Figura 3: Aggiungere l'utente target al gruppo

Verrà visualizzato un riepilogo del tuo gruppo e potrai crearlo.

Schermata del riepilogo di un gruppo da creare in Microsoft Intune
Figura 4: Riepilogo di un gruppo da creare

Attivazione ad hoc

Ci sono diversi modi per effettuare l'attivazione immediata ad hoc del tuo script PowerShell distribuito o dell'applicazione Windows da Intune. Tra questi troviamo:

  • Forzare il riavvio del dispositivo tramite il centro di amministrazione Intune
  • Forzare la sincronizzazione del dispositivo tramite il centro di amministrazione Intune
  • Riavviare il servizio Windows "IntuneManagementExtension" su un host di destinazione (se si dispone di connettività)

In alternativa, puoi aspettare il prossimo riavvio del dispositivo o il prossimo check-in con Intune effettuato dall'agente Intune dell'host per eventuali nuovi script PowerShell o applicazioni Windows.

Distribuzione di un'applicazione Windows

Distribuire un'applicazione Windows invece di uno script PowerShell è un metodo alternativo per eseguire l'esecuzione del codice. Questo metodo è più flessibile, poiché consente di impacchettare più file che vengono implementati ed eseguiti su un host target dall'agente Intune. Questo è vantaggioso dal punto di vista dell'attaccante per la distribuzione del payload, come nel distribuire un payload DLL sideloading che richiede più file. Di seguito descriveremo nel dettaglio il processo di distribuzione di un payload sideload DLL Dism.exe tramite un'applicazione Windows di Intune.

Utilizzare lo strumento Win32 Content Prep di Microsoft per preparare pacchetti di file di payload all'interno di un file .intunewin. Questo è un formato di file compresso che consente la distribuzione sicura di un'applicazione. Dettagli su come funziona questo packaging si trovano in questo post. In questo esempio, abbiamo una directory che contiene un file eseguibile e una DLL. Usiamo lo strumento di preparazione dei contenuti Win32 per impacchettare quei file in un file .intunewin.

Schermata del codice per il file .intunewin
Schermata del codice utilizzato per creare il file intunewin compresso
Figura 5: Creare un file intunewin compresso

Il file di output .intunewin verrà scritto nella directory di output che hai specificato. In questo caso abbiamo preparato pacchetti Dism.exe e DismCore.dll nel file Dism.intunewin.

Schermata ingrandita del codice per un file di output
Figura 6: File di output

Ora che hai creato il pacchetto applicazione Windows, puoi procedere con la sua implementazione. Nell'interfaccia di amministrazione di Intune, vai su "App" > "App Windows" > "Aggiungi".

Schermata che evidenzia come aggiungere un'app a Microsoft Intune
Figura 7: Aggiungere un'applicazione

Seleziona "App Windows (Win32)" dal menu a discesa:

Schermata che evidenzia come scegliere l'app Windows
Figura 8: Scegliere l'app Windows

Carica il file .intunewin precedentemente creato e compila le informazioni per la tua applicazione.

Schermata di come popolare le informazioni dell'app una volta aggiunte a Microsoft Intune
Figura 9: Inserire le informazioni sull'app

A seguire, aggiungi un comando di installazione , che in questo caso sarà l'eseguibile (Dism.exe). Per il comando di disinstallazione, puoi immettere qualsiasi cosa. Inoltre, abbiamo scelto di eseguire questa applicazione come "Sistema" e per il comportamento di riavvio del dispositivo abbiamo selezionato "Nessuna azione specifica". Se si sceglie "Sistema", significa che verrà eseguito come account NT AUTHORITY\SYSTEM .

Schermata che evidenzia come compilare le informazioni del programma
Figura 10: Inserire le informazioni sul programma

Le regole di rilevamento vengono utilizzate per impedire l'installazione di un'applicazione quando essa esiste già. Pertanto, se il risultato di una regola di rilevamento è positivo, un'applicazione non verrà installata. Poiché vogliamo che la nostra applicazione funzioni in ogni caso, in questo caso abbiamo caricato uno script PowerShell che tenta di eseguire un binario inesistente. In questo modo, lo script di rilevamento fallirà sempre, il che significa che l'applicazione non è presente e l'installazione continuerà.

Schermata che mostra come aggiungere regole di rilevamento
Figura 11: Aggiungere regole di rilevamento

Salta le sezioni "Dipendenze" e "Sostituzione" e aggiungi il gruppo con i tuoi host di destinazione nella sezione "Assegnazioni":

Schermata che mostra come aggiungere assegnazioni di gruppo
Figura 12: Aggiungere incarichi di gruppo

Dopo aver creato l'applicazione Windows, la vedrà nell'interfaccia di amministrazione di Intune e la colonna "Assegnato" dovrebbe indicare "Sì". Questo significa che l'applicazione Windows è stata assegnata ai gruppi che hai specificato ed è in attesa di essere implementata e eseguita.

Schermata che mostra l'app assegnata e il processo completato
Figura 13: Mostrare l'app assegnata

Per eseguire l'attivazione ad hoc dell'agente Intune sull'host di destinazione, riavvieremo il servizio "IntuneManagementExtension". Dopo il riavvio del servizio, l'host di destinazione può impiegare fino a cinque minuti per scaricare ed eseguire la sua applicazione Windows da Intune. Se l'host di destinazione non ha scaricato ed eseguito la tua applicazione Windows dopo cinque minuti, il servizio potrebbe dover essere riavviato di nuovo. Altri metodi per eseguire l'attivazione ad hoc sono nella sezione Attivazione ad hoc.

Schermata del codice per il riavvio del servizio IntuneManagementExtension
Figura 14: Riavviare il servizio IntuneManagementExtension

Dopo il riavvio del servizio, puoi monitorare AgentExecutor.log e IntuneManagementExtension.log all'interno della directory C:\ProgramData\Microsoft\IntuneManagementExtension\Logs sull'host di destinazione. Una volta che la data di ultima modifica sul file AgentExecutor.log è stata aggiornata, l'agente Intune dovrebbe aver scaricato ed eseguito l'applicazione Windows. Inoltre, puoi monitorare la directory C:\Windows\IMECache per vedere quando i file della tua applicazione sono stati scaricati. Verrà creata una sottocartella con un GUID univoco.

A questo punto, l'applicazione Windows è stata implementata ed eseguita e abbiamo ottenuto un beacon Cobalt Strike sull'host di destinazione WIN-8675309.

Grafico che mostra che l'app è stata distribuita ed eseguita e che è stato ottenuto un beacon Cobalt Strike
Figura 15: Ottenere il beacon

Rilevamento e prevenzione dell'attività di movimento laterale di Intune

In questa sezione verranno illustrate diverse considerazioni difensive per aumentare le capacità di consolidamento e rilevamento della configurazione di Intune rispetto agli scenari di attacco descritti in questa ricerca.

Impostazione della registrazione di audit di Intune

Per creare regole di rilevamento delle minacce per le attività di movimento laterale che abusano di Intune, è necessario innanzitutto attivare la registrazione degli audit. Nell'interfaccia di amministrazione di Intune, seleziona "Amministrazione tenant" > "Impostazioni di diagnostica" > "Aggiungi impostazione di diagnostica":

Schermata che mostra come aggiungere le impostazioni di diagnostica in Microsoft Intune
Figura 16: Aggiungere le impostazioni diagnostiche

Seleziona "AuditLogs" e "OperationalLogs", quindi scegli di inviare i tuoi log a uno spazio di lavoro di Log Analytics:

Schermata di come abilitare i log di audit nelle impostazioni diagnostiche di Microsoft Intune
Figura 17: Abilitazione dei log di audit

Inizierai a vedere gli schemi IntuneAuditLogs e IntuneOperationalLogs popolarsi all'interno del tuo spazio di lavoro Log Analytics.

Schermata degli schemi disponibili in Log Analytics Workspace in Microsoft Intune
Figura 18: Visualizzazione degli schemi disponibili in Log Analytics Workspace

Dopo aver iniziato a ricevere i log Intune nel tuo workspace Log Analytics, puoi utilizzare quell'area in un'istanza Microsoft Sentinel per iniziare a costruire  regole di rilevamento delle minacce e regole analitiche, che saranno illustrate nella sezione seguente.

Nuove regole di Microsoft Sentinel

Al momento non sono disponibili regole analitiche pubbliche per Microsoft Sentinel per rilevare gli scenari di attacco a Intune descritti in questa ricerca. Pertanto, nelle sezioni seguenti sono riportati più pezzi di logica di regola che possono essere applicati come regole analitiche programmate all'interno di Microsoft Sentinel per i seguenti scenari di attacco all'interno di Intune:

  • Script PowerShell creato dall'utente o applicazione Windows
  • Script PowerShell creato dall'utente e cancellato
  • Applicazione Windows creata ed eliminata dall'utente
  • Lo script PowerShell o l'applicazione Windows creati dall'utente hanno forzato il riavvio del dispositivo.
  • L'utente ha creato uno script PowerShell o un'applicazione Windows e ha forzato la sincronizzazione del dispositivo.

Per ciascuna di queste regole analitiche, si consiglia di effettuare test e ottimizzazioni adeguate nell'ambiente. Le query KQL evidenziate di seguito possono essere copiate e incollate da questo repository KQL-Queries.

Script PowerShell creato dall'utente o applicazione Windows

La logica delle regole linkata qui sotto avviserà ogni volta che un utente ha creato uno script PowerShell o un'applicazione Windows per l'implementazione.

CreatedPSScriptOrWindowsApp.kql

Un esempio di questa regola che si attiva in Microsoft Sentinel è mostrato nelle schermate qui sotto.

Schermata di esempio di attivazione delle regole in Microsoft Sentinel
Figura 19: Attivazione degli avvisi
Schermata dei dettagli dell'evento per l'allerta
Figura 20: Dettagli dell'evento per l'allerta

Script PowerShell creato dall'utente e cancellato

La logica della regola collegata di seguito restituisce tutti gli utenti che hanno creato ed eliminato uno script di PowerShell entro 24 ore. Questa potrebbe essere la prova di un aggressore che ha tentato di coprire le proprie tracce dopo aver distribuito uno script PowerShell.

CreatedAndDeletedPSScript.kql

Un esempio di questa regola che si attiva in Microsoft Sentinel è mostrato nelle schermate qui sotto:

esempio di attivazione di regole di script Powershell create ed eliminate in Microsoft Sentinel
Figura 21: Attivazione degli avvisi
Schermata dei dettagli dell'evento per il trigger/avviso di script Powershell creato ed eliminato
Figura 22: Dettagli dell'evento

Applicazione Windows creata ed eliminata dall'utente

La logica delle regole linkata qui sotto restituisce qualsiasi utente che abbia creato o eliminato un'applicazione Windows entro 24 ore. Questa potrebbe essere la prova del tentativo di un aggressore di coprire le proprie tracce dopo aver distribuito un'applicazione Windows.

CreatedAndDeletedWindowsApp.kql

Un esempio di questa regola che si attiva in Microsoft Sentinel è mostrato nelle schermate qui sotto:

Schermata dell'avviso che attiva la creazione e l'eliminazione di un'app Windows in Microsoft Sentinel
Figura 23: Attivazione degli avvisi
Schermata dei dettagli dell'evento per l'avviso di creazione/eliminazione delle app Windows Figura 24: Dettagli dell'evento

Lo script PowerShell o l'applicazione Windows creati dall'utente hanno forzato il riavvio del dispositivo.

La logica delle regole linkata qui sotto restituisce qualsiasi utente che abbia creato uno script PowerShell o un'applicazione Windows e abbia anche emesso un riavvio del dispositivo entro 24 ore.

CreatedPSScriptOrWindowsAppForcedRestart.kql

Un esempio di questa regola che si attiva in Microsoft Sentinel è mostrato nelle schermate qui sotto:

Schermata dell'avviso che un utente ha creato uno script PowerShell o un'applicazione Windows e ha anche emesso un riavvio del dispositivo entro 24 ore. Figura 25: Attivazione degli avvisi
Schermata dei dettagli dell'evento per l'avviso sopra riportato
Figura 26: Dettagli dell'evento

L'utente ha creato uno script PowerShell o un'applicazione Windows e ha forzato la sincronizzazione del dispositivo.

La logica della regola sottostante restituisce tutti gli utenti che hanno creato uno script PowerShell o un'applicazione Windows e che hanno anche emesso una sincronizzazione del dispositivo entro 24 ore.

CreatedPSScriptOrWindowsAppForcedSync.kql

Un esempio di questa regola che si attiva in Microsoft Sentinel è mostrato nelle schermate qui sotto:

esempio di avviso per qualsiasi utente che abbia creato uno script PowerShell o un'applicazione Windows e abbia anche emesso una sincronizzazione del dispositivo entro 24 ore
Figura 27: Attivazione degli avvisi
Schermata dei dettagli dell'evento per l'avviso sopra riportato
Figura 28: Dettagli dell'evento

Configurare l'approvazione amministrativa per l'implementazione di script o app

Possono essere create politiche di approvazione in modo che un membro di un gruppo specificato debba approvare qualsiasi nuova distribuzione di script o applicazione. Applicare queste politiche insieme alle regole di rilevamento precedentemente descritte può rafforzare notevolmente il livello di sicurezza della tua istanza Intune.

Approvazione per gli script

Vai su "Amministrazione tenant" > "Approvazione multi-amministratore" > "Criteri di accesso" > "Crea".

Schermata che mostra come creare una politica di accesso in Microsoft Intune
Figura 29: Creare una politica di accesso

Compila le informazioni richieste, come il nome della policy di accesso, la descrizione e il tipo di profilo. Per il tipo di profilo, seleziona "Script".

Schermata che mostra come compilare le informazioni sulla politica di accesso Figura 30: Compilazione delle informazioni sulla policy di accesso

Aggiungi uno o più gruppi che saranno responsabili di approvare eventuali nuove distribuzioni di script.

Schermata che mostra come aggiungere un gruppo di approvazione a una politica di accesso
Figura 31: Aggiunta del gruppo di approvazione

Dopo aver creato la politica, la vedrai compilata nella scheda "Criteri di accesso".

Schermata della politica creata completata
Figura 32: Visualizzazione della policy creata

Ora che la politica è stata applicata, quando un utente tenta di creare un nuovo script riceverà il messaggio seguente. Dopo aver inviato la richiesta con giustificazione aziendale, l'approvatore di un gruppo specificato dovrà autorizzare l'implementazione dello script.

Esempio del messaggio che gli utenti vedranno quando tenteranno di inviare un nuovo script, che va a un gruppo specificato per l'approvazione
Figura 33: Invio dello script per l'approvazione

Approvazione delle applicazioni

Gli stessi passaggi descritti in precedenza possono essere eseguiti per richiedere l'approvazione di qualsiasi distribuzione di applicazioni. Quando crei la politica di accesso, assicurati di selezionare "App" dal menu a discesa Tipo di profilo.

Una schermata che mostra che gli stessi passaggi descritti in precedenza può essere eseguita anche per richiedere l'approvazione per qualsiasi implementazione dell'applicazione
Figura 34: Creazione della politica di accesso alle applicazioni

Puoi vedere un riepilogo della nostra politica che abbiamo creato, che include il tipo di profilo "App".

Schermata del riassunto della policy di accesso all'applicazione
Figura 35: Riepilogo della politica di accesso alle applicazioni

Ora che la politica è applicata, quando un utente tenta di creare una nuova applicazione riceverà il messaggio seguente. Dopo aver inviato la richiesta con una giustificazione aziendale, l'approvatore di un gruppo di approvazione specificato dovrà approvarla prima che l'applicazione venga implementata.

Schermata del messaggio ricevuto quando gli utenti cercano di creare una nuova app
Figura 36: Presentazione della domanda di approvazione

Best practice per Microsoft Entra ID

Microsoft ha una guida alle best practice che evidenzia una guida dettagliata sulla protezione della configurazione di Microsoft Entra ID. Alcune delle raccomandazioni più importanti relative all'abuso dei ruoli privilegiati in Microsoft Intune sono:

  • Abilita l'autenticazione a più fattori (MFA) per i ruoli privilegiati di Azure
  • Rivedi regolarmente l'accesso privilegiato ad Azure
  • Gli account cloud-only dovrebbero essere utilizzati per ruoli Azure privilegiati

Conclusioni

L'adozione dell'architettura ibrida dell'identità e l'uso di servizi basati su cloud continua ad aumentare. Le organizzazioni dipendono da questi servizi basati sul cloud per gestire la loro infrastruttura aziendale, che include la gestione degli endpoint utente e dei dispositivi personali che si collegano a Office 365 e ad altri servizi basati su cloud. Per questo motivo, essere in grado di rilevare correttamente l'uso improprio di servizi basati sul cloud come Microsoft Intune è diventato più critico che mai. X-Force mira a mettere in evidenza e ispirare ulteriori indagini sulla difesa di altri servizi business-critical basati sul cloud che possono essere abusati dagli attori delle minacce per movimenti laterali ed esecuzione del codice.

Ringraziamenti

Un ringraziamento speciale alle persone indicate di seguito per aver fornito il proprio feedback su questa ricerca e per aver revisionato i contenuti del post:
Soluzioni correlate
Soluzioni di sicurezza aziendale

Trasforma il tuo programma di sicurezza con le soluzioni offerte dal più grande provider di sicurezza aziendale.

 Esplora le soluzioni di cybersecurity
Servizi di cybersecurity

Trasforma il tuo business e gestisci i rischi con la consulenza sulla cybersecurity, il cloud e i servizi di sicurezza gestiti.

         Scopri i servizi di sicurezza informatica
    Cybersecurity dell'intelligenza artificiale (AI)

    Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni di cybersecurity basate sull'AI.

         Esplora la cybersecurity dell'AI
    Fai il passo successivo

    Che tu abbia bisogno di soluzioni di sicurezza dei dati, di gestione degli endpoint, o di gestione delle identità e degli accessi (IAM), i nostri esperti sono pronti a collaborare con te per farti raggiungere un solido livello di sicurezza.Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.

         Esplora le soluzioni di cybersecurity Scopri i servizi di cybersecurity