Informazioni su Identity Protection
Microsoft Entra ID Protection consente alle organizzazioni di rilevare, analizzare e correggere i rischi basati sull'identità. Questi rischi basati sull'identità possono essere poi inseriti in strumenti come l'accesso condizionale per prendere decisioni relative agli accessi oppure inviati a uno strumento per informazioni di sicurezza e gestione degli eventi (SIEM, Security Information and Event Management) per ulteriori indagini e per la correlazione.
Rilevare i rischi
Microsoft aggiunge e aggiorna continuamente i rilevamenti nel catalogo per proteggere le organizzazioni. Questi rilevamenti derivano dalle informazioni apprese in base all'analisi di trilioni di segnali ogni giorno da Active Directory, account Microsoft e nei giochi con Xbox. Questa ampia gamma di segnali consente a Identity Protection di rilevare comportamenti rischiosi come i seguenti:
- Utilizzo di indirizzi IP anonimi
- Attacchi di tipo password spraying
- Credenziali perse
- e altro ancora...
Durante ogni accesso, Identity Protection esegue tutti i rilevamenti di accesso in tempo reale che generano un livello di rischio di sessione di accesso, che indica la probabilità che l'accesso venga compromesso. In base a questo livello di rischio, vengono quindi applicati criteri per proteggere l'utente e l'organizzazione.
Per un elenco completo dei rischi e del modo in cui vengono rilevati, vedere l'articolo Che cos'è il rischio.
Indagine
Tutti i rischi rilevati per un'identità vengono registrati con la creazione di report. Identity Protection offre agli amministratori tre report chiave per analizzare i rischi e intervenire:
- Rilevamenti dei rischi: ogni rischio rilevato viene segnalato come un rilevamento.
- Accessi a rischio: viene segnalato un accesso a rischio in presenza di uno o più rilevamenti di rischio per tale accesso.
- Utenti a rischio: Utenti a rischio: un utente a rischio viene segnalato quando una o entrambe delle operazioni seguenti sono vere:
- L'utente ha uno o più accessi rischiosi.
- Vengono segnalati uno o più rilevamenti di rischi.
Per altre informazioni su come usare i report, vedere l'articolo Procedura: Analizzare i rischi.
Correggere i rischi
Perché l'automazione è fondamentale per la sicurezza?
Nel post di blog Cyber Signals: Defenseing against cyber threat with the latest research, insights, and trends dated 3 febbraio 2022 Microsoft shared a threat intelligence brief include le statistiche seguenti:
Analizzato... 24 trilioni di segnali di sicurezza combinati con l'intelligenza che monitoriamo monitorando più di 40 gruppi di stati nazionali e oltre 140 gruppi di minacce...
... Da gennaio 2021 a dicembre 2021, sono stati bloccati più di 25,6 miliardi di attacchi di forza bruta di Microsoft Entra...
La scalabilità dei segnali e degli attacchi richiede un certo livello di automazione solo per mantenersi al passo.
Correzione automatica
I criteri di accesso condizionale basati sul rischio possono essere abilitati per richiedere controlli di accesso, ad esempio fornire un metodo di autenticazione avanzata, eseguire l'autenticazione a più fattori o eseguire una reimpostazione della password sicura in base al livello di rischio rilevato. Se l'utente completa correttamente il controllo di accesso, il rischio viene automaticamente corretto.
Correzione manuale
Quando la correzione utente non è abilitata, un amministratore deve esaminare manualmente i rischi nei report nel portale, tramite l'API o in Microsoft 365 Defender. Gli amministratori possono eseguire azioni manuali per ignorare, confermare la sicurezza o confermare la compromissione dei rischi.
Uso dei dati
I dati ottenuti con Identity Protection possono essere esportati in altri strumenti per l'archiviazione, oltre che per ulteriori analisi e per stabilire correlazioni. Le API basate su Microsoft Graph consentono alle organizzazioni di raccogliere questi dati per elaborarle ulteriormente in un altro strumento, ad esempio uno strumento Security Information and Event Management. Informazioni su come accedere all'API Identity Protection sono disponibili nell'articolo Introduzione a Microsoft Entra ID Protection e Microsoft Graph
Le informazioni sull'integrazione delle informazioni di Identity Protection con Microsoft Sentinel sono disponibili nell'articolo Connessione dati di Microsoft Entra ID Protection.
Le organizzazioni potrebbero archiviare i dati per periodi più lunghi modificando le impostazioni di diagnostica in Microsoft Entra ID. Possono scegliere di inviare i dati a un'area di lavoro Log Analytics, archiviarli in un account di archiviazione, trasmetterli a Hub eventi o inviarli a un'altra soluzione. Informazioni dettagliate su come eseguire questa operazione sono disponibili nell'articolo Procedura: Esportare i dati sui rischi.
Ruoli richiesti
Identity Protection richiede che agli utenti venga assegnato uno dei ruoli seguenti per poter accedere.
| Ruolo | Può eseguire | Non può eseguire |
|---|---|---|
| Amministratore della sicurezza | Accesso completo a Identity Protection | Reimpostare la password di un utente |
| Operatore di sicurezza | Visualizzare tutti i report di Identity Protection e panoramica Ignorare i rischi per gli utenti, confermare l'accesso sicuro, confermare la compromissione |
Configurare o modificare i criteri Reimpostare la password per un utente Configura avvisi |
| Ruolo con autorizzazioni di lettura per la sicurezza | Visualizzare tutti i report di Identity Protection e panoramica | Configurare o modificare i criteri Reimpostare la password per un utente Configurare gli avvisi Inviare feedback sui rilevamenti |
| Ruolo con autorizzazioni di lettura globali | Accesso in sola lettura a Identity Protection | |
| Amministratore globale | Accesso completo a Identity Protection |
Attualmente, il ruolo Operatore di sicurezza non può accedere al report Accessi a rischio.
Gli amministratori dell'accesso condizionale possono creare criteri che fattorino il rischio di accesso o utente come condizione. Per altre informazioni, vedere l'articolo Accesso condizionale: Condizioni.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze Microsoft Entra ID P2. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
| Funzionalità | Dettagli | App Microsoft Entra ID gratuita / Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Criteri di rischio | Criteri di rischio di accesso e utente (tramite Identity Protection o accesso condizionale) | No | No | Sì |
| Report di sicurezza. | Panoramica | No | No | Sì |
| Report di sicurezza. | Utenti a rischio | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Accesso completo |
| Report di sicurezza. | Accessi a rischio | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Accesso completo |
| Report di sicurezza. | Rilevamenti dei rischi | No | Informazioni limitate. Nessun pannello dei dettagli. | Accesso completo |
| Notifications | Avvisi relativi a utenti a rischio rilevati | No | No | Sì |
| Notifications | Digest settimanale | No | No | Sì |
| Criteri di registrazione MFA | No | No | Sì |
Altre informazioni su questi report avanzati sono disponibili nell'articolo Procedura: Analizzare i rischi.
Per usare il rischio di identità del carico di lavoro, incluse le identità del carico di lavoro rischiose e i rilevamenti delle identità del carico di lavoro nei riquadri Rilevamenti dei rischi nell'interfaccia di amministrazione, è necessario avere licenze Premium per le identità del carico di lavoro. Per altre informazioni, vedere l'articolo Protezione delle identità del carico di lavoro.