Sempre più organizzazioni e aziende si affidano alle piattaforme cloud per la produttività. L’utilizzo del cloud è molto diffuso, e gli aggressori informatici che prendono di mira queste piattaforme stanno aumentando. Gli attacchi vengono sferrati attraverso il furto di credenziali. In Microsoft 365, un account utente compromesso a causa del furto di credenziali può portare all’accesso non autorizzato alla casella di posta elettronica, all’esfiltrazione di dati sensibili di SharePoint e OneDrive, alla compromissione della posta elettronica aziendale (BEC) e persino all’escalation dei privilegi all’interno dell’organizzazione.
Fortunatamente, Microsoft 365 offre diversi strumenti integrati che i fornitori di servizi gestiti (MSP) o gli amministratori di sistema possono utilizzare per combattere il furto di credenziali. Questi strumenti, tra cui ci sono log di accesso, tracce di audit e criteri di accesso condizionato, possono aiutare a rilevare i segni di compromissione e a rispondere alle minacce in tempo reale. In questa guida illustreremo le strategie per rilevare e rispondere al furto di credenziali negli ambienti Microsoft 365.
Attività | Scopo |
| Fase 1: Abilitare il logging a scopo di audit e gli avvisi relativi agli accessi | Garantisce che le attività critiche di utenti e amministratori siano registrate e possano generare avvisi. |
| Fase 2: Rilevamento di attività sospette nei log di accesso | Identifica gli account potenzialmente compromessi che utilizzano modelli di login rischiosi |
| Passo 3: Indagare sulle attività sospette delle cassette postali | Tiene traccia di possibili utilizzi non autorizzati degli account, controllando aspetti come regole di inoltro o accessi insoliti |
| Passo 4: Isolare e ripristinare gli account interessati | Contiene la violazione revocando le sessioni e reimpostando le credenziali |
| Passo 5: Configurare criteri di accesso più rigidi | Previene futuri furti di credenziali grazie a controlli di accesso più rigorosi |
| Passo 6: Monitoraggio delle recidive e automazione della risposta | Rileva le minacce ricorrenti e automatizza la correzione tramite strumenti/script |
Prerequisiti per la gestione del furto di credenziali negli ambienti Microsoft 365
Prima di procedere con la gestione del furto di credenziali, assicurati che il tuo ambiente soddisfi i seguenti requisiti:
- Tenant Microsoft 365 con Azure AD Premium P1 o superiore
- Microsoft Defender for Cloud Apps o Microsoft Entra ID Protection (consigliato)
- Logging per audit e Log di audit unificato (UAL) abilitati
- Account amministratore con i ruoli Amministratore globale o Amministratore della sicurezza
- Accesso PowerShell con i moduli Microsoft Graph o Exchange Online
- (Opzionale) Integrazione SIEM per la gestione centralizzata degli avvisi
Fase 1: Abilitare il logging di audit e gli avvisi di accesso
📌 Caso d’uso:
Questa fase serve a garantire che i log delle attività degli utenti e degli amministratori critici siano registrati e possano generare avvisi.
Per abilitare il logging di audit:
- Accedi al Centro conformità Microsoft 365.
- Vai su Audit > Cerca Audit
- Se il logging di audit non è abilitato, clicca su Avvia la registrazione delle attività degli utenti e degli amministratori.
Per controllare i log di accesso di Azure AD:
- Accedi a Azure AD > Monitoraggio > Accessi.
- Utilizza i filtri per identificare:
- Accessi rischiosi
- Accessi avvenuti da posizioni/luoghi non usuali
- Utilizzo dell’autenticazione legacy
Questi filtri aiutano a far emergere eventi come accessi da indirizzi IP sconosciuti o applicazioni che utilizzano protocolli obsoleti.
Fase 2: Rilevamento di attività sospette nei log di accesso
📌 Caso d’uso:
In questa fase si analizzano i log di accesso per rilevare azioni anomale che potrebbero indicare un potenziale furto di credenziali.
Cerca i seguenti segnali:
- Viaggi impossibili: Un buon esempio è rappresentato dal rilevamento di attività di login da New York e Singapore nel giro di pochi minuti.
- Tentativi di accesso multipli falliti: Sebbene questo possa sembrare un caso innocente di dimenticanza della password, potrebbe anche essere indice di un attacco brute-force.
- Uso di protocolli legacy: I protocolli più vecchi, come IMAP o POP, non supportano l’autenticazione moderna o l’MFA, cosa che li rende un punto di ingresso comune per gli aggressori.
- Accessi basati su browser: Gli accessi da IP sospetti possono indicare un tentativo di accesso non autorizzato con credenziali rubate.
Per iniziare a esaminare i log degli accessi, utilizza PowerShell per interrogare gli accessi. Esegui i seguenti comandi:
- Per Microsoft Graph:
Connect-MgGraph -Scopes “AuditLog.Read.All”
Get-MgAuditLogSignIn -Top 50 | Where-Object
{$_.RiskLevelAggregated -ne “none”}
- Per il modulo AzureAD:
Connect-AzureAD
Get-AzureADAuditSignInLogs | Where-Object
{$_.Status.ErrorCode -ne 0}
Queste query consentono un filtraggio e uno scripting più granulare su più tenant, utile per gli MSP.
Passo 3: Indagare sulle attività sospette delle cassette postali
📌 Caso d’uso:
Questa fase può essere utilizzata per tenere traccia di possibili utilizzi impropri degli account, controllando aspetti come regole di inoltro o accessi insoliti. Gli attori delle minacce spesso creano regole di inoltro per esfiltrare i dati in modo silenzioso.
- Apri PowerShell come amministratore. Premi il tasto Windows, digita PowerShell, quindi clicca con il pulsante destro del mouse su Windows PowerShell e seleziona Esegui come amministratore.
- Esegui il seguente comando:
- Per cercare i log di audit con PowerShell:
Connect-ExchangeOnline
Search-MailboxAuditLog -Mailboxes [email protected] –
ShowDetails -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)
- Per verificare la presenza di regole di posta in arrivo potenzialmente dannose:
Get-InboxRule -Mailbox [email protected] | Where-Object
{$_.RedirectTo -ne $null -or $_.ForwardTo -ne $null}
Passo 4: Isolare e reimpostare gli account interessati
📌 Caso d’uso:
Questa fase affronta con urgenza un furto di credenziali confermato, revocando le sessioni e reimpostando le credenziali.
- Apri PowerShell come amministratore. Premi il tasto Windows, digita PowerShell, quindi clicca con il pulsante destro del mouse su Windows PowerShell e seleziona Esegui come amministratore.
- Esegui i seguenti comandi:
- Per revocare le sessioni:
Revoke-AzureADUserAllRefreshToken -ObjectId <UserObjectId>
- Per forzare la reimpostazione della password:
Set-AzureADUserPassword -ObjectId <UserObjectId> –
Password “NewTempPassword123!”
-ForceChangePasswordNextLogin $true
- Per bloccare temporaneamente l’accesso:
Set-MsolUser -UserPrincipalName
[email protected] -BlockCredential $true
Passo 5: Configurare criteri di accesso più rigidi
📌 Caso d’uso:
Questa fase deve essere eseguita per evitare che l’attacco si ripeta, rafforzando i controlli di accesso con strumenti quali GPO (Oggetti dei criteri di gruppo), regole di accesso condizionale in Azure e modifiche del registro.
Raccomandazioni per i GPO:
- Applica criteri di password forti tramite:
Configurazione del computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri dell’account > Criteri per le password - Abilita il supporto per Smart Card o autenticazione a più fattori (MFA) .
- Applica la cronologia delle password e imposta i criteri in modo che le password debbano soddisfare i requisiti di complessità.
Criteri di accesso condizionale di Azure AD:
- Richiedi l’MFA per tutti gli utenti.
- Blocca l’autenticazione tradizionale.
- Applica restrizioni di accesso basate sulla posizione.
Fase 6: Monitoraggio delle recidive e automazione della risposta
📌 Caso d’uso:
Questo è un altro passo per prevenire il ripetersi del passaggio legato delle credenziali impostando avvisi e automazione con strumenti come gli oggetti dei Criteri di gruppo (GPO), l’accesso condizionale in Azure e le modifiche del registro.
Strumenti da utilizzare:
- Avvisi di Microsoft Defender for Identity o Cloud App Security
- Abilita gli avvisi di inoltro e-mail nel centro di amministrazione di Exchange.
Monitoraggio degli eventi PowerShell:
- Apri PowerShell come amministratore. Premi il tasto Windows, digita PowerShell, quindi clicca con il pulsante destro del mouse su Windows PowerShell e seleziona Esegui come amministratore.
- Esegui il seguente comando:
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4625 -or $_.Id -eq 4624}
Questo comando aiuta a rilevare gli accessi falliti o riusciti su macchine o server locali.
Integrazione SIEM o RMM:
Se gestisci più tenant, puoi valutare la possibilità di usare un’integrazione con uno strumento SIEM o di implementare una piattaforma RMM come NinjaOne per ottimizzare il rilevamento e gli avvisi.
⚠️ Cose da tenere d’occhio
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| L’MFA viene aggirato | Gli utenti possono autenticarsi senza MFA, lasciando gli account vulnerabili al furto di credenziali. | Verifica se l’autenticazione legacy è ancora abilitata e bloccala tramite i criteri di accesso condizionale. |
| Furto ripetuto di credenziali | Indica che le password compromesse vengono riutilizzate, mettendo a rischio più account. | Applica criteri più severi per le password e abilita la reimpostazione self-service delle password (SSPR) per migliorare le capacità di recupero e l’inattaccabilità delle password. |
| Blocco degli utenti | Gli utenti potrebbero essere bloccati per errore, causando disagi e potenziali lacune di sicurezza. | Esamina le configurazioni dei criteri di accesso condizionale e assicurati che siano stati definiti degli account “break-glass” per le emergenze. |
| I log di audit non mostrano l’attività | La mancanza di visibilità sulle azioni degli utenti ostacola le indagini e la risposta agli incidenti. | Se necessario, attiva manualmente i log di audit e delle caselle di posta unificati tramite il Centro per la conformità e PowerShell. |
Ulteriori considerazioni per la risposta al furto di credenziali
Per ridurre ulteriormente il rischio di furto di credenziali e accelerare il recupero, puoi implementare quanto segue:
- Reimpostazione self-service delle password (SSPR): Consentire agli utenti di reimpostare le proprie password senza l’intervento dell’amministratore può contribuire a velocizzare la risposta al furto di credenziali, anche senza la necessità di contattare gli amministratori IT.
- Just-in-Time (JIT): La concessione di un accesso limitato nel tempo per gli account con privilegi elevati può ridurre la superficie di attacco.
- Workstation ad accesso privilegiato (PAW): La distribuzione di PAW limita le attività amministrative a dispositivi isolati e protetti per ridurre l’esposizione al furto di credenziali e al malware.
- Verifica regolare dell’accesso alle caselle di posta: Una verifica costante dell’accesso alle caselle di posta, soprattutto per quelle condivise, può ridurre al minimo i casi di furto di credenziali e garantire che solo le persone autorizzate possano accedere alle e-mail dell’organizzazione.
Servizi NinjaOne per rispondere al furto di credenziali
NinjaOne e i suoi strumenti possono contribuire a migliorare il rilevamento e la risposta proattiva al furto di credenziali.
Servizio NinjaOne | Che cos’è | Come aiuta il rilevamento e la risposta al furto di credenziali |
| Monitoraggio dei log degli endpoint | Monitora i log eventi di Windows, come gli ID evento 4624 (accesso riuscito) e 4625 (accesso non riuscito) | Rileva gli attacchi brute-force e le attività di accesso sospette sui dispositivi gestiti quasi in tempo reale |
| Automazione PowerShell | Esegue script PowerShell personalizzati per interrogare gli accessi in Azure AD, revocare le sessioni o contrassegnare gli account | Consente indagini rapide e misure automatizzate di riduzione del rischio, come la revoca dei token o la reimpostazione forzata delle password |
| Avviso di accesso ad alto rischio | Invia avvisi in caso di accessi da IP sospetti, luoghi insoliti o comportamenti rischiosi degli utenti | Notifica ai team IT il potenziale uso improprio delle credenziali, consentendo un più rapido contenimento |
| Isolamento degli endpoint | Tagga o mette in quarantena i dispositivi interessati per limitare l’accesso alla rete in caso di furto di credenziali | Contribuisce a contenere la minaccia impedendo all’endpoint compromesso di comunicare con altri sistemi |
| Flussi di lavoro per la correzione delle credenziali | Automatizza attività come la reimpostazione forzata delle password, il blocco degli account o la rimozione delle regole di posta in arrivo | Semplifica la risposta agli incidenti riducendo i tempi di intervento e limitando il tempo di permanenza degli aggressori |
Affrontare con urgenza il furto di credenziali
Il furto di credenziali può avere un impatto dirompente su un’organizzazione se non viene affrontato con strategie efficaci. I passaggi descritti in precedenza dovrebbero aiutarti a rilevare e a rispondere a questo problema urgente utilizzando metodi diversi, come l’analisi dei log di accesso, delle attività di mailbox e di audit, la revoca dell’accesso e l’applicazione di controlli più severi con l’accesso condizionale e la configurazione di criteri.
Il furto di credenziali può essere affrontato anche combinando la difesa integrata di Microsoft 365 con soluzioni automatizzate come NinjaOne. In questo modo si ottimizzano le operazioni di MSP e amministratori di sistema non solo per rispondere, ma anche per rilevare un furto di credenziali prima che abbia un impatto sulle operazioni.
Argomenti correlati:
- Che cos’è la gestione delle credenziali? Definizione e best practice
- Google Workspace e Microsoft 365: Qual è il migliore per le aziende?
- Come verificare se Credential Guard è abilitato o disabilitato in Windows
- Interrompere le catene di attacchi informatici con 5 strumenti
- Le 10 migliori soluzioni di protezione dai malware
