Eventi di rischio di Azure Active DirectoryAzure Active Directory risk events

La maggior parte delle violazioni della sicurezza si verifica quando utenti malintenzionati ottengono l'accesso a un ambiente impadronendosi dell'identità di un utente.The vast majority of security breaches take place when attackers gain access to an environment by stealing a user’s identity. Trovare le identità compromesse non è un compito facile.Discovering compromised identities is no easy task. Azure Active Directory usa l'euristica e gli algoritmi adattivi di Machine Learning per rilevare azioni sospette correlate agli account dell'utente.Azure Active Directory uses adaptive machine learning algorithms and heuristics to detect suspicious actions that are related to your user accounts. Ogni azione sospetta rilevata viene archiviata in un record denominato evento di rischio.Each detected suspicious action is stored in a record called risk event.

Azure Active Directory rileva attualmente sei tipi di eventi di rischio:Currently, Azure Active Directory detects six types of risk events:

Evento di rischio

In questo argomento viene fatta una panoramica dettagliata della definizione di eventi di rischio e di come è possibile usarli per proteggere le identità di Azure AD.This topic gives you a detailed overview of what risk events are and how you can use them to protect your Azure AD identities.

Tipi di evento di rischioRisk event types

La proprietà dei tipi di evento di rischio è un identificatore dell'azione sospetta per cui è stato creato un record di evento.The risk event type property is an identifier for the suspicious action a risk event record has been created for.
Gli investimenti continui di Microsoft nel processo di rilevamento garantiscono:Microsoft's continuous investments into the detection process lead to:

  • Miglioramenti nell'accuratezza del rilevamento degli eventi di rischio esistentiImprovements to the detection accuracy of existing risk events
  • Nuovi tipi di eventi di rischio che verranno aggiunti in futuroNew risk event types that will be added in the future

Credenziali perseLeaked credentials

I criminali informatici, quando compromettono password valide di utenti legittimi, spesso condividono tali credenziali,When cybercriminals compromise valid passwords of legitimate users, the criminals often share those credentials. in genere pubblicandole sul dark Web o su pastebin oppure scambiandole o vendendole al mercato nero.This is usually done by posting them publicly on the dark web or paste sites or by trading or selling the credentials on the black market. Il servizio Credenziali perse di Microsoft acquisisce coppie di nome utente/password monitorando i siti Web pubblici e il dark Web e collaborando con:The Microsoft leaked credentials service acquires username / password pairs by monitoring public and dark web sites and by working with:

  • RicercatoriResearchers
  • Forze dell'ordineLaw enforcement
  • Team di sicurezza di MicrosoftSecurity teams at Microsoft
  • Altre fonti attendibiliOther trusted sources

Quando le coppie di nome utente/password vengono acquisite dal servizio, vengono confrontate con le credenziali valide correnti degli utenti AAD.When the service acquires username / password pairs, they are checked against AAD users' current valid credentials. Quando viene trovata una corrispondenza, significa che la password di un utente è stata compromessa e si crea un evento di rischio di credenziali perse.When a match is found, it means that a user's password has been compromised, and a leaked credentials risk event is created.

Accessi da indirizzi IP anonimiSign-ins from anonymous IP addresses

Questo tipo di evento di rischio identifica gli utenti che hanno eseguito l'accesso da un indirizzo IP riconosciuto come un indirizzo IP proxy anonimo.This risk event type identifies users who have successfully signed in from an IP address that has been identified as an anonymous proxy IP address. Questi proxy vengono usati da persone che vogliono nascondere l'indirizzo IP del dispositivo e possono essere usati per attacchi dannosi.These proxies are used by people who want to hide their device’s IP address, and may be used for malicious intent.

Trasferimento impossibile a posizioni atipicheImpossible travel to atypical locations

Questo tipo di evento di rischio identifica due accessi provenienti da posizioni geograficamente distanti, almeno una delle quali può anche essere atipica in base al comportamento passato dell'utente.This risk event type identifies two sign-ins originating from geographically distant locations, where at least one of the locations may also be atypical for the user, given past behavior. Viene preso in considerazione anche il tempo che intercorre tra i due accessi. Se è inferiore al tempo necessario all'utente per spostarsi dalla prima posizione alla seconda, ciò indica che un altro utente sta usando le stesse credenziali.In addition, the time between the two sign-ins is shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials.

Questo algoritmo di Machine Learning ignora i "falsi positivi" evidenti che contribuiscono alla condizione di trasferimento impossibile, ad esempio le VPN e le posizioni usate regolarmente da altri utenti nell'organizzazione.This machine learning algorithm that ignores obvious "false positives" contributing to the impossible travel condition, such as VPNs and locations regularly used by other users in the organization. Il sistema ha un periodo di apprendimento iniziale di 14 giorni, durante i quali apprende il comportamento di accesso di un nuovo utente.The system has an initial learning period of 14 days during which it learns a new user’s sign-in behavior.

Accessi da posizioni non noteSign-in from unfamiliar locations

Questo tipo di evento di rischio prende in considerazione le posizioni di accesso precedenti, come l'indirizzo IP, la latitudine, la longitudine e l'ASN, per determinare posizioni nuove o non note.This risk event type considers past sign-in locations (IP, Latitude / Longitude and ASN) to determine new / unfamiliar locations. Il sistema archivia le informazioni sulle posizioni usate in precedenza da un utente e le considera posizioni "note".The system stores information about previous locations used by a user, and considers these “familiar” locations. L'evento di rischio viene attivato quando viene eseguito l'accesso da una posizione non inclusa nell'elenco delle posizioni note.The risk event is triggered when the sign-in occurs from a location that's not already in the list of familiar locations. Il sistema ha un periodo di apprendimento iniziale di 30 giorni, durante i quali le nuove posizioni non vengono contrassegnate come posizioni non note.The system has an initial learning period of 30 days, during which it does not flag any new locations as unfamiliar locations. Il sistema ignora anche gli accessi da dispositivi noti e le posizioni geograficamente vicine a una posizione nota.The system also ignores sign-ins from familiar devices, and locations that are geographically close to a familiar location.

Accessi da dispositivi infettiSign-ins from infected devices

Questo tipo di evento rischio identifica accessi da dispositivi infettati da malware, che comunicano attivamente con un server bot.This risk event type identifies sign-ins from devices infected with malware, that are known to actively communicate with a bot server. Viene determinato mettendo in relazione gli indirizzi IP del dispositivo dell'utente con gli indirizzi IP che sono stati in contatto con un server bot.This is determined by correlating IP addresses of the user’s device against IP addresses that were in contact with a bot server.

Accessi da indirizzi IP con attività sospetteSign-ins from IP addresses with suspicious activity

Questo tipo di evento di rischio identifica gli indirizzi IP da cui si è verificato un numero elevato di tentativi di accesso non riusciti, per più account utente e in un periodo di tempo breve.This risk event type identifies IP addresses from which a high number of failed sign-in attempts were seen, across multiple user accounts, over a short period of time. Questo corrisponde ai modelli di traffico degli indirizzi IP usati da utenti malintenzionati e indica che gli account sono già compromessi o stanno per esserlo.This matches traffic patterns of IP addresses used by attackers, and is a strong indicator that accounts are either already or are about to be compromised. Questo algoritmo di Machine Learning ignora i "falsi positivi" evidenti, ad esempio gli indirizzi IP che vengono regolarmente usati da altri utenti nell'organizzazione.This is a machine learning algorithm that ignores obvious "false-positives", such as IP addresses that are regularly used by other users in the organization. Il sistema ha un periodo di apprendimento iniziale di 14 giorni, durante i quali apprende il comportamento di accesso di un nuovo utente e di un nuovo tenant.The system has an initial learning period of 14 days where it learns the sign-in behavior of a new user and new tenant.

Tipo di rilevamentoDetection type

La proprietà del tipo di rilevamento è un indicatore (Tempo reale oppure Offline) dell'intervallo di tempo del rilevamento di un evento di rischio.The detection type property is an indicator (Real-time or Offline) for the detection timeframe of a risk event.
La maggior parte degli eventi di rischio attualmente viene rilevata offline in un'operazione di post-elaborazione dopo che l'evento di rischio si è verificato.Currently, most risk events are detected offline in a post-processing operation after the risk event has occurred.

La tabella seguente elenca il periodo di tempo necessario per visualizzare un tipo di rilevamento in un report correlato:The following table lists the amount of time it takes for a detection type to show up in a related report:

Tipo di rilevamentoDetection Type Latenza creazione di reportReporting Latency
Tempo realeReal-time Da 5 a 10 minuti5 to 10 minutes
OfflineOffline Da 2 a 4 ore2 to 4 hours

Per i tipi di evento di rischio che Azure Active Directory rileva, i tipi di rilevamento sono:For the risk event types Azure Active Directory detects, the detection types are:

Tipo di evento di rischioRisk Event Type Tipo di rilevamentoDetection Type
Utenti con credenziali perseUsers with leaked credentials OfflineOffline
Accessi da indirizzi IP anonimiSign-ins from anonymous IP addresses Tempo realeReal-time
Trasferimento impossibile a posizioni atipicheImpossible travel to atypical locations OfflineOffline
Accessi da posizioni non noteSign-ins from unfamiliar locations Tempo realeReal-time
Accessi da dispositivi infettiSign-ins from infected devices OfflineOffline
Accessi da indirizzi IP con attività sospetteSign-ins from IP addresses with suspicious activity OfflineOffline

Livello di rischioRisk level

La proprietà del livello di rischio di un evento di rischio è un indicatore (Alto, Medio o Basso) della gravità e dell'affidabilità di un evento di rischio.The risk level property of a risk event is an indicator (High, Medium, or Low) for the severity and the confidence of a risk event. Questa proprietà consente di classificare in ordine di priorità le azioni da eseguire.This property helps you to prioritize the actions you must take.

La gravità dell'evento di rischio rappresenta il grado di probabilità che l'identità sia compromessa.The severity of the risk event represents the strength of the signal as a predictor of identity compromise.
Il livello di affidabilità è un indicatore della possibile presenza di falsi positivi.The confidence is an indicator for the possibility of false positives.

Ad esempio,For example,

  • Alta: evento di rischio con livello di gravità elevato e attendibilità elevata.High: High confidence and high severity risk event. Questi eventi sono fortemente indicativi di una compromissione dell'identità dell'utente e tutti gli account utente interessati devono essere corretti.These events are strong indicators that the user’s identity has been compromised, and any user accounts impacted should be remediated immediately.

  • Media: evento di rischio con livello di gravità elevato e minore attendibilità o viceversa.Medium: High severity, but lower confidence risk event, or vice versa. Questi eventi sono potenzialmente rischiosi e tutti gli account utente interessati devono essere corretti.These events are potentially risky, and any user accounts impacted should be remediated.

  • Bassa: evento di rischio con livello di gravità basso e attendibilità bassa.Low: Low confidence and low severity risk event. Questi eventi potrebbero non richiedere un'azione immediata, ma in combinazione con altri eventi di rischio possono essere fortemente indicativi di una compromissione dell'identità.This event may not require an immediate action, but when combined with other risk events, may provide a strong indication that the identity is compromised.

Livello di rischio

Credenziali perseLeaked credentials

Gli eventi di rischio correlati a credenziali perse è classificata come Alta, perché sono un chiaro indizio del fatto che il nome utente e la password sono a disposizione degli utenti malintenzionati.Leaked credentials risk events are classified as a High, because they provide a clear indication that the user name and password are available to an attacker.

Accessi da indirizzi IP anonimiSign-ins from anonymous IP addresses

Il livello di rischio per questo tipo di evento di rischio è Medio perché un IP anonimo non è di per sé un'indicazione sicura di una compromissione dell'account.The risk level for this risk event type is Medium because an anonymous IP address is not a strong indication of an account compromise.
È consigliabile contattare immediatamente l'utente per verificare se sta usando indirizzi IP anonimi.We recommend that you immediately contact the user to verify if they were using anonymous IP addresses.

Trasferimento impossibile a posizioni atipicheImpossible travel to atypical locations

Il trasferimento impossibile indica in genere che un pirata informatico è riuscito a ottenere l'accesso.Impossible travel is usually a good indicator that a hacker was able to successfully sign-in. Possono, tuttavia, verificarsi falsi positivi quando un utente è in viaggio e usa un nuovo dispositivo o una VPN che non viene in genere usata da altri utenti nell'organizzazione.However, false-positives may occur when a user is traveling using a new device or using a VPN that is typically not used by other users in the organization. Un'altra origine di falsi positivi è costituita dalle applicazioni che passano in modo errato gli indirizzi IP di server come indirizzi IP di client. Questo può dare l'impressione che gli accessi si verifichino dal data center in cui è ospitato il back-end dell'applicazione. Spesso si tratta di data center Microsoft e gli accessi possono risultare eseguiti da indirizzi IP di proprietà di Microsoft.Another source of false-positives is applications that incorrectly pass server IPs as client IPs, which may give the appearance of sign-ins taking place from the data center where that application’s back-end is hosted (often these are Microsoft datacenters, which may give the appearance of sign-ins taking place from Microsoft owned IP addresses). A causa di questi falsi positivi, il livello di rischio per questo evento di rischio è Medio.As a result of these false-positives, the risk level for this risk event is Medium.

Suggerimento

È possibile ridurre la quantità di falsi positivi segnalati per questo tipo di evento di rischio configurando le località denominate.You can reduce the amount of reported false-positves for this risk event type by configuring named locations.

Accessi da posizioni non noteSign-in from unfamiliar locations

Le posizioni non note possono indicare che un utente malintenzionato ha la possibilità di usare un'identità rubata.Unfamiliar locations can provide a strong indication that an attacker is able to use a stolen identity. Possono verificarsi falsi positivi quando un utente è in viaggio, sta provando un nuovo dispositivo o usando una nuova VPN.False-positives may occur when a user is traveling, is trying out a new device, or is using a new VPN. A causa di questi falsi positivi, il livello di rischio per questo tipo di evento è Medio.As a result of these false positives, the risk level for this event type is Medium.

Accessi da dispositivi infettiSign-ins from infected devices

Questo evento di rischio identifica gli indirizzi IP, non i dispositivi degli utenti.This risk event identifies IP addresses, not user devices. Se più dispositivi usano un unico indirizzo IP e solo alcuni sono controllati da una rete bot, gli accessi provenienti da altri dispositivi possono attivare l'evento inutilmente. Ecco perché il livello di questo evento di rischio è classificato come Basso.If several devices are behind a single IP address, and only some are controlled by a bot network, sign-ins from other devices my trigger this event unnecessarily, which is the reason for classifying this risk event as Low.

È consigliabile contattare l'utente e di eseguire la scansione di tutti i relativi dispositivi.We recommend that you contact the user and scan all the user's devices. È anche possibile che un dispositivo personale dell'utente sia stato infettato o, come indicato in precedenza, che qualcun altro stia usando un dispositivo infetto dallo stesso indirizzo IP dell'utente.It is also possible that a user's personal device is infected, or as mentioned earlier, that someone else was using an infected device from the same IP address as the user. I dispositivi infetti sono spesso infettati da malware non ancora identificati dai software antivirus e possono anche essere indicativi di abitudini errate dell'utente.Infected devices are often infected by malware that have not yet been identified by anti-virus software, and may also indicate as bad user habits that may have caused the device to become infected.

Per altre informazioni su come risolvere problemi correlati alle infezioni malware, vedere Malware Protection Center.For more information about how to address malware infections, see the Malware Protection Center.

Accessi da indirizzi IP con attività sospetteSign-ins from IP addresses with suspicious activity

È consigliabile contattare l'utente per verificare se ha effettivamente eseguito l'accesso da un indirizzo IP contrassegnato come sospetto.We recommend that you contact the user to verify if they actually signed in from an IP address that was marked as suspicious. Il livello di rischio per questo tipo di evento è "medio" perché lo stesso indirizzo IP può essere usato da più dispositivi, mentre solo alcuni di essi potrebbero essere responsabili dell'attività sospetta.The risk level for this event type is “Medium” because several devices may be behind the same IP address, while only some may be responsible for the suspicious activity.

Passaggi successiviNext steps

Gli eventi di rischio costituiscono la base per la protezione delle identità di Azure AD.Risk events are the foundation for protecting your Azure AD's identities. Azure AD attualmente è in grado di rilevare sei eventi di rischio:Azure AD can currently detect six risk events:

Tipo di evento di rischioRisk Event Type Livello di rischioRisk Level Tipo di rilevamentoDetection Type
Utenti con credenziali perseUsers with leaked credentials AltoHigh OfflineOffline
Accessi da indirizzi IP anonimiSign-ins from anonymous IP addresses MediaMedium Tempo realeReal-time
Trasferimento impossibile a posizioni atipicheImpossible travel to atypical locations MediaMedium OfflineOffline
Accessi da posizioni non noteSign-ins from unfamiliar locations MediaMedium Tempo realeReal-time
Accessi da dispositivi infettiSign-ins from infected devices BassoLow OfflineOffline
Accessi da indirizzi IP con attività sospetteSign-ins from IP addresses with suspicious activity MediaMedium OfflineOffline

Dove è possibile trovare gli eventi di rischio che sono stati rilevati nell'ambiente in uso?Where can you find the risk events that have been detected in your environment? Esistono due posizioni in cui è possibile esaminare gli eventi di rischio segnalati:There are two places where you review reported risk events:

Sebbene il rilevamento di eventi di rischio rappresenti un aspetto importante per la protezione delle identità, è anche possibile risolverli manualmente o implementare risposte automatiche mediante la configurazione di criteri di accesso condizionale.While the detection of risk events already represents an important aspect of protecting your identities, you also have the option to either manually address them or even implement automated responses by configuring conditional access policies. Per altre informazioni, consultare l'articolo su Azure Active Directory Identity Protection.For more details, see of Azure Active Directory Identity Protection's.