Studio sulla protezione delle identità di Azure Active DirectoryAzure Active Directory Identity Protection playbook

Questo studio consente di:This playbook helps you to:

  • Inserire i dati nell'ambiente Identity Protection simulando eventi di rischio e vulnerabilitàPopulate data in the Identity Protection environment by simulating risk events and vulnerabilities
  • Impostare criteri di accesso condizionali basati sui rischi e testare l'impatto di questi criteriSet up risk-based conditional access policies and test the impact of these policies

Simulazione di eventi di rischioSimulating Risk Events

Questa sezione riporta i passaggi per la simulazione dei seguenti tipi di eventi di rischio:This section provides you with steps for simulating the following risk event types:

  • Accessi da indirizzi IP anonimi (facile)Sign-ins from anonymous IP addresses (easy)
  • Accessi da posizioni non note (intermedio)Sign-ins from unfamiliar locations (moderate)
  • Trasferimento impossibile a posizioni atipiche (difficile)Impossible travel to atypical locations (difficult)

Non è possibile simulare altri eventi di rischio in modo sicuro.Other risk events cannot be simulated in a secure manner.

Accessi da indirizzi IP anonimiSign-ins from anonymous IP addresses

Questo tipo di evento di rischio identifica gli utenti che hanno eseguito l'accesso da un indirizzo IP riconosciuto come un indirizzo IP proxy anonimo.This risk event type identifies users who have successfully signed in from an IP address that has been identified as an anonymous proxy IP address. Questi proxy vengono usati da persone che vogliono nascondere l'indirizzo IP del dispositivo e possono essere usati per attacchi dannosi.These proxies are used by people who want to hide their device’s IP address and may be used for malicious intent.

Per simulare un accesso da un IP anonimo, seguire questa procedura:To simulate a sign-in from an anonymous IP, perform the following steps:

  1. Scaricare Tor Browser.Download the Tor Browser.
  2. Usando Tor Browser, passare ad https://myapps.microsoft.com.Using the Tor Browser, navigate to https://myapps.microsoft.com.
  3. Immettere le credenziali dell'account da visualizzare nel report Accessi da indirizzi IP anonimi .Enter the credentials of the account you want to appear in the Sign-ins from anonymous IP addresses report.

L’accesso verrà visualizzato nel dashboard Identity Protection entro 5 minuti.The sign-in will show up on the Identity Protection dashboard within 5 minutes.

Accessi da posizioni non noteSign-ins from unfamiliar locations

L'evento di rischio per gli accessi da posizioni non note è un meccanismo di valutazione dell'accesso in tempo reale che prende in considerazione le posizioni di accesso precedenti, come l'indirizzo IP, la latitudine, la longitudine e l'ASN, per determinare posizioni nuove o non note.The unfamiliar locations risk is a real-time sign-in evaluation mechanism that considers past sign-in locations (IP, Latitude / Longitude and ASN) to determine new / unfamiliar locations. Il sistema archivia gli indirizzi IP, la latitudine, la longitudine e gli ASN usati in precedenza da un utente e li considera posizioni "note".The system stores previous IPs, Latitude / Longitude, and ASNs of a user and considers these to be familiar locations. Una posizione di accesso viene considerata non nota se non corrisponde a nessuna delle posizioni note esistenti.A sign-in location is considered unfamiliar if the sign-in location does not match any of the existing familiar locations.

Azure Active Directory Identity Protection:Azure Active Directory Identity Protection:

  • ha un periodo di apprendimento iniziale di 14 giorni, durante i quali le nuove posizioni non vengono contrassegnate come posizioni non note.has an initial learning period of 14 days during which it does not flag any new locations as unfamiliar locations.
  • ignora gli accessi da dispositivi noti e le posizioni geograficamente vicine a una posizione nota esistente.ignores sign-ins from familiar devices and locations that are geographically close to an existing familiar location.

Per simulare posizioni non note, è necessario accedere da una posizione e da un dispositivo mai usati prima con l'account.To simulate unfamiliar locations, you have to sign in from a location and device that the account has not signed in from before.

Per simulare un accesso da una posizione non nota, seguire questa procedura:To simulate a sign-in from an unfamiliar location, perform the following steps:

  1. Scegliere un account che abbia una cronologia di accesso di almeno 14 giorni.Choose an account that has at least a 14-day sign-in history.
  2. È possibile procedere in due modi:Do either:

    a.a. Mentre si usa una VPN, passare ad https://myapps.microsoft.com e immettere le credenziali dell'account per cui si vuole simulare l'evento di rischio.While using a VPN, navigate to https://myapps.microsoft.com and enter the credentials of the account you want to simulate the risk event for.

    b.b. Chiedere a un collega in un’altra posizione di accedere usando le credenziali dell'account (scelta non consigliata).Ask an associate in a different location to sign in using the account’s credentials (not recommended).

L’accesso verrà visualizzato nel dashboard Identity Protection entro 5 minuti.The sign-in will show up on the Identity Protection dashboard within 5 minutes.

Trasferimento impossibile a posizioni atipicheImpossible travel to atypical location

La condizione di trasferimento impossibile è difficile da simulare perché l'algoritmo usa Machine Learning per eliminare i falsi positivi, ad esempio il trasferimento impossibile da dispositivi noti o l'accesso da VPN usate da altri utenti nella directory.Simulating the impossible travel condition is difficult because the algorithm uses machine learning to weed out false-positives such as impossible travel from familiar devices, or sign-ins from VPNs that are used by other users in the directory. Per iniziare a generare eventi di rischio, l'algoritmo richiede anche una cronologia di accesso da 3 a 14 giorni per l'utente.Additionally, the algorithm requires a sign-in history of 3 to 14 days for the user before it begins generating risk events.

Per simulare un trasferimento impossibile a posizioni atipiche, seguire questa procedura:To simulate an impossible travel to atypical location, perform the following steps:

  1. Usando il browser standard, passare ad https://myapps.microsoft.com.Using your standard browser, navigate to https://myapps.microsoft.com.
  2. Immettere le credenziali dell'account per cui si vuole generare un evento di rischio trasferimento impossibile.Enter the credentials of the account you want to generate an impossible travel risk event for.
  3. Modificare l'agente utente.Change your user agent. Per modificare l'agente utente in Internet Explorer, usare Strumenti di sviluppo. Per modificare l'agente utente in Firefox o Chrome, usare un componente aggiuntivo di selezione dell'agente utente.You can change user agent in Internet Explorer from Developer Tools, or change your user agent in Firefox or Chrome using a user-agent switcher add-on.
  4. Modificare l'indirizzo IP.Change your IP address. È possibile modificare l'indirizzo IP usando una VPN, un componente aggiuntivo Tor o avviare un nuovo computer in Azure in un altro data center.You can change your IP address by using a VPN, a Tor add-on, or spinning up a new machine in Azure in a different data center.
  5. Accedere ad https://myapps.microsoft.com con le stesse credenziali usate in precedenza ed entro pochi minuti dall'accesso precedente.Sign-in to https://myapps.microsoft.com using the same credentials as before and within a few minutes after the previous sign-in.

L’accesso verrà visualizzato nel dashboard Identity Protection entro 2-4 ore.The sign-in will show up in the Identity Protection dashboard within 2-4 hours.
A causa dei complessi modelli di Machine Learning coinvolti, potrebbe non essere rilevato.Because of the complex machine learning models involved, there is a chance it will not get picked up.
Potrebbe essere utile ripetere questi passaggi per più account Azure AD.You might want to replicate these steps for multiple Azure AD accounts.

Simulazione di vulnerabilitàSimulating vulnerabilities

Le vulnerabilità sono punti deboli in un ambiente Azure AD che possono essere sfruttati da un utente malintenzionato.Vulnerabilities are weaknesses in an Azure AD environment that can be exploited by a bad actor. In Azure AD Identity Protection sono attualmente visibili 3 tipi di vulnerabilità che consentono di sfruttare altre funzionalità di Azure AD.Currently 3 types of vulnerabilities are surfaced in Azure AD Identity Protection that leverage other features of Azure AD. Tali vulnerabilità verranno visualizzate automaticamente nel dashboard Identity Protection dopo aver impostato le funzionalità seguenti.These Vulnerabilities will be displayed on the Identity Protection dashboard automatically once these features are set up.

Rischio di compromissione dell'utenteUser compromise risk

Per testare il rischio di compromissione dell'utente, seguire questa procedura:To test User compromise risk, perform the following steps:

  1. Accedere ad https://portal.azure.com con le credenziali di amministratore globale del tenant.Sign-in to https://portal.azure.com with global administrator credentials for your tenant.
  2. Passare a Identity Protection.Navigate to Identity Protection.
  3. Nel pannello principale di Azure AD Identity Protection fare clic su Impostazioni.On the main Azure AD Identity Protection blade, click Settings.
  4. Nel pannello Impostazioni del portale in Regole di sicurezza fare clic su Rischio di compromissione dell'utente.On the Portal Settings blade, under Security rules, click User compromise risk.
  5. Nel pannello Rischio di accesso disattivare Abilita regola e quindi fare clic su Salva per salvare le impostazioni.On the Sign in Risk blade, turn Enable rule off, and then click Save settings.
  6. Per un determinato account utente, simulare un evento di rischio IP anonimo o posizione non nota.For a given user account, simulate an unfamiliar locations or anonymous IP risk event. In questo modo il livello di rischio utente verrà innalzato a Medioper tale utente.This will elevate the user risk level for that user to Medium.
  7. Attendere alcuni minuti e poi verificare che il livello utente sia Medio.Wait a few minutes, and then verify that user level for your user is Medium.
  8. Passare al pannello Impostazioni del portale .Go to the Portal Settings blade.
  9. Nel pannello Rischio di compromissione dell'utente in Abilita regola selezionare .On the User Compromise Risk blade, under Enable rule, select On .
  10. Selezionare una delle opzioni seguenti:Select one of the following options:

    a.a. Per bloccare, selezionare Medio in Blocca l'accesso.To block, select Medium under Block sign in.

    b.b. Per applicare la modifica della password di protezione, selezionare Medio in Richiedi autenticazione a più fattori.To enforce secure password change, select Medium under Require multi-factor authentication.

  11. Fare clic su Save.Click Save.
  12. A questo punto è possibile testare l'accesso condizionale basato sul rischio eseguendo l'accesso come un utente con un livello di rischio elevato.You can now test risk-based conditional access by signing in using a user with an elevated risk level. Se il rischio dell'utente è medio, l'accesso verrà bloccato o verrà richiesto di modificare la password, a seconda della configurazione dei criteri.If the user risk is Medium, depending on the configuration of your policy, your sign-in is be either blocked or you are forced to change your password.

    PlaybookPlaybook

Rischio di accessoSign-in risk

Per testare un rischio di accesso, seguire questa procedura:To test a sign in risk, perform the following steps:

  1. Accedere ad https://portal.azure.com con le credenziali di amministratore globale del tenant.Sign-in to https://portal.azure.com with global administrator credentials for your tenant.
  2. Passare a Identity Protection.Navigate to Identity Protection.
  3. Nel pannello principale di Azure AD Identity Protection fare clic su Impostazioni.On the main Azure AD Identity Protection blade, click Settings.
  4. Nel pannello Impostazioni del portale in Regole di sicurezza fare clic su Rischio di accesso.On the Portal Settings blade, under Security rules, click Sign in risk.
  5. Nel pannello Rischio di accesso selezionare in Abilita regola.On the Sign in Risk **blade, select **On under Enable rule.
  6. Selezionare una delle opzioni seguenti:Select one of the following options:

    a.a. Per bloccare, selezionare Medio in Blocca l'accessoTo block, select Medium under Block sign in

    b.b. Per applicare la modifica della password di protezione, selezionare Medio in Richiedi autenticazione a più fattori.To enforce secure password change, select Medium under Require multi-factor authentication.

  7. Per bloccare, selezionare Medio in Blocca l'accesso.To block, select Medium under Block sign in.
  8. Per applicare l'autenticazione a più fattori, selezionare Medio in Richiedi autenticazione a più fattori.To enforce multi-factor authentication, select Medium under Require multi-factor authentication.
  9. Fare clic su Save.Click on Save.
  10. A questo punto è possibile testare l'accesso condizionale basato sul rischio simulando gli eventi di rischio relativi a posizioni insolite o indirizzi IP anonimi, perché sono entrambi eventi di rischio di livello Medio .You can now test risk-based conditional access by simulating the unfamiliar locations or anonymous IP risk events because they are both Medium risk events.

PlaybookPlaybook

Vedere anche See also