Informazioni su Identity ProtectionWhat is Identity Protection?

Identity Protection è uno strumento che consente alle organizzazioni di eseguire tre attività principali:Identity Protection is a tool that allows organizations to accomplish three key tasks:

  • Automatizzare il rilevamento e la correzione dei rischi basati sull'identità.Automate the detection and remediation of identity-based risks.
  • Esaminare i rischi usando i dati disponibili nel portale.Investigate risks using data in the portal.
  • Esportare i dati di rilevamento dei rischi in utilità di terze parti per analizzarli ulteriormente.Export risk detection data to third-party utilities for further analysis.

Identity Protection usa le informazioni acquisite da Microsoft dalla propria posizione in organizzazioni che usano Azure AD, nello spazio consumer con account Microsoft e nelle piattaforme di gioco con Xbox per proteggere gli utenti.Identity Protection uses the learnings Microsoft has acquired from their position in organizations with Azure AD, the consumer space with Microsoft Accounts, and in gaming with Xbox to protect your users. Microsoft analizza 6,5 mila miliardi di segnali al giorno per identificare le minacce e proteggere i clienti.Microsoft analyses 6.5 trillion signals per day to identify and protect customers from threats.

I segnali generati e inviati a Identity Protection possono essere ulteriormente inseriti in strumenti come l'accesso condizionale per prendere decisioni relative agli accessi o restituiti a uno strumento Security Information and Event Management per un'analisi più approfondita a seconda dei criteri applicati dall'organizzazione.The signals generated by and fed to Identity Protection, can be further fed into tools like Conditional Access to make access decisions, or fed back to a security information and event management (SIEM) tool for further investigation based on your organization's enforced policies.

Perché l'automazione è importante?Why is automation important?

Nel post di blog di ottobre 2018 Alex Weinert, a capo del team Identity Security and Protection di Microsoft, spiega perché l'automazione è così importante quando si gestiscono numerosi eventi:In his blog post in October of 2018 Alex Weinert, who leads Microsoft's Identity Security and Protection team, explains why automation is so important when dealing with the volume of events:

Ogni giorno i sistemi di apprendimento automatico ed euristico forniscono punteggi di rischio per 18 miliardi di tentativi di accesso eseguiti da oltre 800 milioni di account distinti, 300 milioni dei quali sono visibilmente eseguiti da utenti malintenzionati, ovvero entità quali criminalità e hacker.Each day, our machine learning and heuristic systems provide risk scores for 18 billion login attempts for over 800 million distinct accounts, 300 million of which are discernibly done by adversaries (entities like: criminal actors, hackers).

In occasione dell'evento Ignite l'anno scorso ho parlato dei tre attacchi più frequenti ai nostri sistemi di gestione dell'identità.At Ignite last year, I spoke about the top 3 attacks on our identity systems. Ecco il volume recente di questi attacchiHere is the recent volume of these attacks

  • Ripetizione della violazione: 4,6 miliardi di attacchi rilevati nel mese di maggio 2018Breach replay: 4.6BN attacks detected in May 2018
  • Password spraying: 350.000 nel mese di aprile 2018Password spray: 350k in April 2018
  • Phishing: questo valore è difficilmente quantificabile con esattezza, ma abbiamo riscontrato 23 milioni di eventi di rischio nel mese di marzo 2018, molti dei quali sono correlati al phishingPhishing: This is hard to quantify exactly, but we saw 23M risk events in March 2018, many of which are phish related

Rilevamento e correzione dei rischiRisk detection and remediation

Identity Protection consente di identificare i rischi suddivisi nelle classificazioni seguenti:Identity Protection identifies risks in the following classifications:

Tipo di rilevamento dei rischiRisk detection type DescrizioneDescription
Trasferimento atipicoAtypical travel Accesso da una posizione insolita in base agli accessi recenti dell'utente.Sign in from an atypical location based on the user's recent sign-ins.
Indirizzo IP anonimoAnonymous IP address Accesso da indirizzo IP anonimo (ad esempio Tor Browser, VPN per navigazione in anonimato).Sign in from an anonymous IP address (for example: Tor browser, anonymizer VPNs).
Proprietà di accesso insoliteUnfamiliar sign-in properties Accesso con proprietà non osservate di recente per l'utente specificato.Sign in with properties we've not seen recently for the given user.
Indirizzo IP collegato a malwareMalware linked IP address Accesso da indirizzo IP collegato a malware.Sign in from a malware linked IP address.
Credenziali perseLeaked Credentials Indica che le credenziali valide dell'utente sono andate perse.Indicates that the user's valid credentials have been leaked.
Password sprayingPassword spray Indica che è in corso un attacco unificato di forza bruta contro più nomi utente usando password comuni.Indicates that multiple usernames are being attacked using common passwords in a unified, brute-force manner.
Intelligence per le minacce di Azure ADAzure AD threat intelligence Le origini di intelligence Microsoft per le minacce interne ed esterne hanno identificato uno schema di attacco noto.Microsoft's internal and external threat intelligence sources have identified a known attack pattern.

Per maggiori dettagli su questi rischi e su come/quando vengono calcolati, vedere l'articolo Che cosa sono i rischi?.More detail on these risks and how/when they are calculated can be found in the article, What is risk.

I segnali di rischio possono attivare interventi di correzione, ad esempio richiedere agli utenti di eseguire Azure Multi-Factor Authentication, reimpostare la password usando la reimpostazione della password self-service o bloccare l'operazione finché un amministratore non interviene.The risk signals can trigger remediation efforts such as requiring users to: perform Azure Multi-Factor Authentication, reset their password using self-service password reset, or blocking until an administrator takes action.

Analisi degli eventi di rischioRisk investigation

Gli amministratori possono esaminare i rilevamenti e, se necessario, intervenire manualmente.Administrators can review detections and take manual action on them if needed. Sono tre i report chiave a disposizione degli amministratori per le analisi in Identity Protection:There are three key reports that administrators use for investigations in Identity Protection:

  • Utenti a rischioRisky users
  • Accessi a rischioRisky sign-ins
  • Rilevamenti dei rischiRisk detections

Per altre informazioni, vedere l'articolo Procedura: Analizzare i rischi.More information can be found in the article, How To: Investigate risk.

Livelli di rischioRisk levels

Identity Protection classifica il rischio in tre livelli: basso, medio e alto.Identity Protection categorizes risk into three tiers: low, medium, and high.

Microsoft non fornisce dettagli specifici sul modo in cui viene calcolato il rischio, ma ogni livello comporta una maggiore probabilità che l'utente o l'accesso sia compromesso.While Microsoft does not provide specific details about how risk is calculated, we will say that each level brings higher confidence that the user or sign-in is compromised. Ad esempio, un'istanza di proprietà di accesso insolite per un utente potrebbe non essere pericolosa quanto le credenziali perse per un altro utente.For example, something like one instance of unfamiliar sign-in properties for a user might not be as threatening as leaked credentials for another user.

Esportazione dei dati relativi ai rischiExporting risk data

I dati ottenuti con Identity Protection possono essere esportati in altri strumenti per l'archiviazione, oltre che per ulteriori analisi e per stabilire correlazioni.Data from Identity Protection can be exported to other tools for archive and further investigation and correlation. Le API basate su Microsoft Graph consentono alle organizzazioni di raccogliere questi dati per elaborarle ulteriormente in un altro strumento, ad esempio uno strumento Security Information and Event Management.The Microsoft Graph based APIs allow organizations to collect this data for further processing in a tool such as their SIEM. Per informazioni su come accedere all'API di Identity Protection, vedere l'articolo Introduzione ad Azure Active Directory Identity Protection e a Microsoft Graph.Information about how to access the Identity Protection API can be found in the article, Get started with Azure Active Directory Identity Protection and Microsoft Graph

Per informazioni sull'integrazione delle informazioni di Identity Protection con Azure Sentinel, vedere l'articolo Connettere i dati da Azure AD Identity Protection.Information about integrating Identity Protection information with Azure Sentinel can be found in the article, Connect data from Azure AD Identity Protection.

AutorizzazioniPermissions

Per poter accedere, Identity Protection richiede che gli utenti abbiano uno dei ruoli seguenti: Ruolo con autorizzazioni di lettura per la sicurezza, Operatore per la sicurezza, Ruolo con autorizzazioni di lettura globali o Amministratore globale.Identity Protection requires users be a Security Reader, Security Operator, Security Administrator, Global Reader, or Global Administrator in order to access.

RuoloRole Operazione consentitaCan do Non è possibileCan't do
Amministratore globaleGlobal administrator Accesso completo a Identity ProtectionFull access to Identity Protection
Amministratore della sicurezzaSecurity administrator Accesso completo a Identity ProtectionFull access to Identity Protection Reimpostare la password di un utenteReset password for a user
Operatore per la sicurezzaSecurity operator Visualizzazione di tutti i report di Identity Protection e del pannello PanoramicaView all Identity Protection reports and Overview blade

Ignorare i rischi per gli utenti, confermare l'accesso sicuro, confermare la compromissioneDismiss user risk, confirm safe sign-in, confirm compromise
Configurare o cambiare i criteriConfigure or change policies

Reimpostare la password di un utenteReset password for a user

Configurare gli avvisiConfigure alerts
Ruolo con autorizzazioni di lettura per la sicurezzaSecurity reader Visualizzazione di tutti i report di Identity Protection e del pannello PanoramicaView all Identity Protection reports and Overview blade Configurare o cambiare i criteriConfigure or change policies

Reimpostare la password di un utenteReset password for a user

Configurare gli avvisiConfigure alerts

Inviare feedback sui rilevamentiGive feedback on detections

Attualmente, il ruolo di operatore per la sicurezza non può accedere al report degli accessi a rischio.Currently, the security operator role cannot access the Risky sign-ins report.

Gli amministratori dell'accesso condizionale possono anche creare criteri che tengono conto del rischio di accesso come condizione.Conditional Access administrators can also create policies that factor in sign-in risk as a condition. Per altre informazioni, vedere l'articolo Accesso condizionale: condizioni.Find more information in the article Conditional Access: Conditions.

Requisiti relativi alle licenzeLicense requirements

Per usare questa funzionalità è necessario avere una licenza di Azure AD Premium P2.Using this feature requires an Azure AD Premium P2 license. Per trovare la licenza adatta ai propri requisiti, vedere il  confronto tra le funzionalità disponibili a livello generale per le edizioni gratuita, App di Office 365 e Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

FunzionalitàCapability DettagliDetails Azure AD Free/App di Microsoft 365Azure AD Free / Microsoft 365 Apps Azure AD Premium P1Azure AD Premium P1 Azure AD Premium P2Azure AD Premium P2
Criteri di rischioRisk policies Criteri di rischio utente (tramite Identity Protection)User risk policy (via Identity Protection) NoNo NoNo Yes
Criteri di rischioRisk policies Criteri di rischio di accesso (tramite Identity Protection o accesso condizionale)Sign-in risk policy (via Identity Protection or Conditional Access) NoNo NoNo Yes
Report sulla sicurezzaSecurity reports PanoramicaOverview NoNo NoNo Yes
Report sulla sicurezzaSecurity reports Utenti a rischioRisky users Informazioni limitateLimited Information Informazioni limitateLimited Information Accesso completoFull access
Report sulla sicurezzaSecurity reports Accessi a rischioRisky sign-ins Informazioni limitateLimited Information Informazioni limitateLimited Information Accesso completoFull access
Report sulla sicurezzaSecurity reports Rilevamenti dei rischiRisk detections NoNo Informazioni limitateLimited Information Accesso completoFull access
NotificheNotifications Avvisi relativi a utenti a rischio rilevatiUsers at risk detected alerts NoNo NoNo Yes
NotificheNotifications Digest settimanaleWeekly digest NoNo NoNo Yes
Criteri di registrazione MFAMFA registration policy NoNo NoNo Yes

Altre informazioni su questi report avanzati sono reperibili nell'articolo Procedura: Analizzare i rischi.More information on these rich reports can be found in the article, How To: Investigate risk.

Passaggi successiviNext steps