• Cloud, Guide, Microsoft 365, Sicurezza, Sistemi Operativi
• 14 Marzo 2024

La sicurezza al giorno d’oggi è di fondamentale importanza e proprio per questo avere a disposizione dei log, prevenienti dai nostri dispositivi, ci permette di avere la consapevolezza di capire cosa effettivamente “accade” nei nostri sistemi.

E’ inoltre vero che non è più sufficiente collezionare i log dei soli dispositivi Server, Switch, Firewall ecc.. perché altrimenti non avremmo visibilità e quindi rimarremmo “ciechi” di quanto accade all’interno dei computer dei nostri utenti.

A tutto questo Microsoft Sentinel ci viene incontro aiutandoci a collezionare i log dei vari dispositivi e automatizzare le risposte a questi eventi di sicurezza.

A tal proposito vi riporto alcune guide scritte nei mesi precedenti inerenti a Microsoft Sentinel

• Automatizzare le Remediations degli incidents in Microsoft Sentinel con i playbook – ICT Power
• Creare Data Collection Rule con Azure ARC e Microsoft Sentinel per il monitoraggio dei sistemi operativi Windows on-premises – ICT Power
• Configurare Microsoft Sentinel per ricevere Log da dispositivi On-Premises – ICT Power

In questo articolo invece vorrei parlarvi di come eseguire il deploy di Azure Monitor Agent (AMA) sui computer degli utenti, in modo centralizzato, attraverso Microsoft Intune.

NB: Diamo per “scontato” che il device in questione sia già “agganciato” in Microsoft Intune

Scenario

Lo scenario che vi troverete davanti è quello di un tenant Microsoft 365 ed un computer, nel mio caso una VM che simulerà il computer di utente.

Le licenze necessarie per svolgere l’attività sono:

• Sottoscrizione Microsoft Azure per Microsoft Sentinel
• Licenze di Microsoft Intune (nel mio caso suite Microsoft 365 E5)

Come primo step dovrete eseguire il download di Azure Monitor Agent, in formato MSI dal seguente link che installeremo su una macchina Windows 11

Figura 1: VM che simula il pc di un utente

Figura 2: MSI di Azure Monitor Agent

Ora che avrete a disposizione l’installer, recatevi in Intune Admin Center nella sezione app Windows Select app type – Microsoft Intune admin center

Figura 3: Creazione APP per Deploy in Microsoft Intune

Figura 4:Creazione APP per Deploy in Microsoft Intune

Figura 5:Creazione APP per Deploy in Microsoft Intune

Ora dovrete selezionare il gruppo a cui eseguire il deploy dell’applicazione, nel mio caso un gruppo di device chiamato “Intune Device”

Figura 6: Creazione APP per Deploy in Microsoft Intune

Figura 7:Creazione APP per Deploy in Microsoft Intune

Attendete ora il caricamento dell’applicazione.

Figura 8: Caricamento Applicazione

Nel mio caso, in circa 30 minuti, l’applicazione risultava correttamente installata all’interno del client.

Ora dovrete eseguire l’onboarding dell’agent all’interno del vostro ambiente Per farlo sfrutteremo PowerShell e a tal proposito vi lascio il link allo script Set up the Azure Monitor agent on Windows client devices – Azure Monitor | Microsoft Learn

Dovrete modificare:

• TenantID
• SubscriptionID
• ResourceGroup

Con i parametri del vostro tenant,SubscriptionID è l’identificativo nel quale risiede la vostra istanza di Sentinel, così come il Resource Group.

Figura 9: Modifica Script

Ora possiamo caricare il nostro script attraverso Microsoft Intune.

Figura 10: caricamento script in Microsoft Intune per “agganciare” ama al tenant

Figura 11: caricamento script in Microsoft Intune per “agganciare” ama al tenant

Figura 12: caricamento script

Figura 13: caricamento script

Figura 14: caricamento script

Figura 15: caricamento script

Figura 16: caricamento script

Ora che la vostra macchina risulterà “gestibile” con l’agent potete procedere a creare la DCR (Data Collection Rule) per poter eseguire log collection.

Figura 17: Creazione Data Collection Rule

Figura 18: Creazione data collection rule

Figura 19: Creazione data collection rule

Figura 20: Creazione data collection rule

Figura 21: Creazione data collection rule

Ora attendete qualche minuto, nel mio caso ne sono bastati 5, e la macchina comincerà a loggare gli eventi selezionati, nel mio caso Login Success / Failed. Recandovi in Sentinel ed eseguendo una KQL (Kusto Query) “union Event” vedrete i log del dispositivo

Figura 22: log dispositivo

Conclusioni

Come avete potuto notare, con pochi passaggi potete collezionare i log dei dispositivi degli utenti e creare eventualmente delle automazioni su di essi che possono, escludere il device in caso di accesso non autorizzato, resettare la password dell’utente e questo è un aiuto di estrema importanza per poter rispondere in modo efficiente ai sempre più sofisticati attacchi di sicurezza, mirati a compromettere i sistemi aziendali.