Informazioni su Identity Protection

Identity Protection è uno strumento che consente alle organizzazioni di eseguire tre attività principali:

Identity Protection usa le informazioni acquisite da Microsoft dalla propria posizione in organizzazioni che usano Azure AD, nello spazio consumer con account Microsoft e nelle piattaforme di gioco con Xbox per proteggere gli utenti. Microsoft analizza 6,5 mila miliardi di segnali al giorno per identificare le minacce e proteggere i clienti.

I segnali generati e inviati a Identity Protection possono essere ulteriormente inseriti in strumenti come l'accesso condizionale per prendere decisioni relative agli accessi o restituiti a uno strumento Security Information and Event Management per un'analisi più approfondita a seconda dei criteri applicati dall'organizzazione.

Perché l'automazione è importante?

Nel post di blog di ottobre 2018 Alex Weinert, a capo del team Identity Security and Protection di Microsoft, spiega perché l'automazione è così importante quando si gestiscono numerosi eventi:

Ogni giorno i sistemi di apprendimento automatico ed euristico forniscono punteggi di rischio per 18 miliardi di tentativi di accesso eseguiti da oltre 800 milioni di account distinti, 300 milioni dei quali sono visibilmente eseguiti da utenti malintenzionati, ovvero entità quali criminalità e hacker.

In occasione dell'evento Ignite l'anno scorso ho parlato dei tre attacchi più frequenti ai nostri sistemi di gestione dell'identità. Ecco il volume recente di questi attacchi

  • Ripetizione della violazione: 4,6 miliardi di attacchi rilevati nel mese di maggio 2018
  • Password spraying: 350.000 nel mese di aprile 2018
  • Phishing: questo valore è difficilmente quantificabile con esattezza, ma abbiamo riscontrato 23 milioni di eventi di rischio nel mese di marzo 2018, molti dei quali sono correlati al phishing

Rilevamento e correzione dei rischi

Identity Protection identifica i rischi di molti tipi, tra cui:

  • Indirizzo IP anonimo'uso
  • Trasferimento atipico
  • Indirizzo IP collegato a malware
  • Proprietà di accesso insolite
  • Credenziali perse
  • Password spraying
  • E altro ancora...

Informazioni più dettagliate su questi e altri rischi, tra cui il modo in cui vengono calcolati o quando vengono calcolati, sono disponibili nell'articolo Che cos'è il rischio.

I segnali di rischio possono attivare interventi di correzione, ad esempio richiedere agli utenti di eseguire Azure AD Multi-Factor Authentication, reimpostare la password usando la reimpostazione della password self-service o bloccare l'operazione finché un amministratore non interviene.

Analisi degli eventi di rischio

Gli amministratori possono esaminare i rilevamenti e, se necessario, intervenire manualmente. Sono tre i report chiave a disposizione degli amministratori per le analisi in Identity Protection:

  • Utenti a rischio
  • Accessi a rischio
  • Rilevamenti dei rischi

Per altre informazioni, vedere l'articolo Procedura: Analizzare i rischi.

Livelli di rischio

Identity Protection classifica il rischio in tre livelli: basso, medio e alto.

Microsoft non fornisce dettagli specifici sul modo in cui viene calcolato il rischio, ma ogni livello comporta una maggiore probabilità che l'utente o l'accesso sia compromesso. Ad esempio, un'istanza di proprietà di accesso insolite per un utente potrebbe non essere pericolosa quanto le credenziali perse per un altro utente.

Esportazione dei dati relativi ai rischi

I dati ottenuti con Identity Protection possono essere esportati in altri strumenti per l'archiviazione, oltre che per ulteriori analisi e per stabilire correlazioni. Le API basate su Microsoft Graph consentono alle organizzazioni di raccogliere questi dati per elaborarle ulteriormente in un altro strumento, ad esempio uno strumento Security Information and Event Management. Per informazioni su come accedere all'API di Identity Protection, vedere l'articolo Introduzione ad Azure Active Directory Identity Protection e a Microsoft Graph.

Per informazioni sull'integrazione delle informazioni di Identity Protection con Azure Sentinel, vedere l'articolo Connettere i dati da Azure AD Identity Protection.

Autorizzazioni

Per poter accedere, Identity Protection richiede che gli utenti abbiano uno dei ruoli seguenti: Ruolo con autorizzazioni di lettura per la sicurezza, Operatore per la sicurezza, Ruolo con autorizzazioni di lettura globali o Amministratore globale.

Ruolo Operazione consentita Non è possibile
Amministratore globale Accesso completo a Identity Protection
Amministratore della sicurezza Accesso completo a Identity Protection Reimpostare la password di un utente
Operatore per la sicurezza Visualizzazione di tutti i report di Identity Protection e del pannello Panoramica

Ignorare i rischi per gli utenti, confermare l'accesso sicuro, confermare la compromissione
Configurare o cambiare i criteri

Reimpostare la password di un utente

Configurare gli avvisi
Ruolo con autorizzazioni di lettura per la sicurezza Visualizzazione di tutti i report di Identity Protection e del pannello Panoramica Configurare o cambiare i criteri

Reimpostare la password di un utente

Configurare gli avvisi

Inviare feedback sui rilevamenti

Attualmente, il ruolo di operatore per la sicurezza non può accedere al report degli accessi a rischio.

Gli amministratori dell'accesso condizionale possono anche creare criteri che tengono conto del rischio di accesso come condizione. Per altre informazioni, vedere l'articolo Accesso condizionale: condizioni.

Requisiti relativi alle licenze

Per usare questa funzionalità è necessario avere una licenza di Azure AD Premium P2. Per trovare la licenza più valida per i propri requisiti, vedere Confronto tra le funzionalità disponibili a livello generale delle edizioni Gratuito, AppOffice 365 e Premium.

Funzionalità Dettagli Azure AD Free/App di Microsoft 365 Azure AD Premium P1 Azure AD Premium P2
Criteri di rischio Criteri di rischio utente (tramite Identity Protection) No No
Criteri di rischio Criteri di rischio di accesso (tramite Identity Protection o accesso condizionale) No No
Report sulla sicurezza Panoramica No No
Report sulla sicurezza Utenti a rischio Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. Accesso completo
Report sulla sicurezza Accessi a rischio Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. Accesso completo
Report sulla sicurezza Rilevamenti dei rischi No Informazioni limitate. Nessun pannello dei dettagli. Accesso completo
Notifiche Avvisi relativi a utenti a rischio rilevati No No
Notifiche Digest settimanale No No
Criteri di registrazione MFA No No

Altre informazioni su questi report avanzati sono reperibili nell'articolo Procedura: Analizzare i rischi.

Passaggi successivi