Che cosa sono i rilevamenti dei rischi?
Microsoft Entra ID Protection fornisce alle organizzazioni informazioni sulle attività sospette nel tenant e consente loro di rispondere rapidamente per evitare ulteriori rischi. I rilevamenti dei rischi sono una risorsa potente che può includere qualsiasi attività sospetta o anomala correlata a un account utente nella directory. I rilevamenti dei rischi di Protezione ID possono essere collegati a un singolo utente o evento di accesso e contribuiscono al punteggio di rischio utente complessivo trovato nel report Utenti rischiosi.
I rilevamenti dei rischi utente potrebbero contrassegnare un account utente legittimo come a rischio, quando un potenziale attore di minacce ottiene l'accesso a un account compromettendo le credenziali o quando rileva un tipo di attività utente anomale. I rilevamenti dei rischi di accesso rappresentano la probabilità che una determinata richiesta di autenticazione non sia il proprietario autorizzato dell'account. Avere la possibilità di identificare i rischi a livello di utente e di accesso è fondamentale per consentire ai clienti di proteggere il tenant.
Livelli di rischio
Protezione ID classifica i rischi in tre livelli: basso, medio e alto. I livelli di rischio calcolati dagli algoritmi di Machine Learning e rappresentano quanto Microsoft sia sicuro che una o più credenziali dell'utente siano note da un'entità non autorizzata.
- Un rilevamento dei rischi con livello di rischio alto indica che Microsoft è altamente sicuro che l'account sia compromesso.
- Un rilevamento dei rischi con livello di rischio basso indica che ci sono anomalie presenti nelle credenziali di accesso o di un utente, ma è meno sicuro che queste anomalie indicano che l'account è compromesso.
Molti rilevamenti possono essere attivati a più di uno dei livelli di rischio a seconda del numero o della gravità delle anomalie rilevate. Ad esempio, le proprietà di accesso non note potrebbero essere attivate ad alta, media o bassa in base alla probabilità nei segnali. Alcuni rilevamenti, ad esempio le credenziali perse e l'indirizzo IP dell'attore di minacce verificato, vengono sempre recapitati come ad alto rischio.
Questo livello di rischio è importante quando si decide quali rilevamenti assegnare priorità, analizzare e correggere. Svolgono anche un ruolo fondamentale nella configurazione dei criteri di accesso condizionale basati sui rischi, in quanto ogni criterio può essere impostato per attivare i criteri per i rischi bassi, medi, alti o non rilevati rischi. In base alla tolleranza di rischio dell'organizzazione, è possibile creare criteri che richiedono l'autenticazione a più fattori o la reimpostazione della password quando protezione ID rileva un determinato livello di rischio per uno degli utenti. Questi criteri possono guidare l'utente a correggere automaticamente il rischio.
Importante
Tutti i rilevamenti a livello di rischio "basso" e gli utenti rimarranno nel prodotto per 6 mesi, dopo di che verranno obsoleti automaticamente per offrire un'esperienza di indagine più pulita. I livelli di rischio medio e alto verranno mantenuti fino a quando non vengono corretti o ignorati.
In base alla tolleranza di rischio dell'organizzazione, è possibile creare criteri che richiedono l'autenticazione a più fattori o la reimpostazione della password quando protezione ID rileva un determinato livello di rischio. Questi criteri potrebbero guidare l'utente a correggere automaticamente e risolvere il rischio o il blocco a seconda delle tolleranze.
Rilevamenti in tempo reale e offline
Protezione ID usa tecniche per aumentare la precisione dei rilevamenti dei rischi di accesso e utente calcolando alcuni rischi in tempo reale o offline dopo l'autenticazione. Il rilevamento dei rischi in tempo reale all'accesso offre il vantaggio di identificare i rischi in anticipo in modo che i clienti possano analizzare rapidamente il potenziale compromesso. Nei rilevamenti che calcolano il rischio offline, possono fornire maggiori informazioni su come l'attore delle minacce ha ottenuto l'accesso all'account e l'impatto sull'utente legittimo. Alcuni rilevamenti possono essere attivati sia offline che durante l'accesso, aumentando così la probabilità di essere precisi sulla compromissione.
I rilevamenti attivati in tempo reale richiedono 5-10 minuti per visualizzare i dettagli nei report. I rilevamenti offline richiedono fino a 48 ore per essere visualizzati nei report, perché è necessario tempo per valutare le proprietà del potenziale rischio.
Nota
Il sistema potrebbe rilevare che l'evento di rischio che ha contribuito al punteggio di rischio utente è stato:
- Falso positivo
- Il rischio utente è stato risolto dai criteri in uno dei due casi:
- Completamento dell'autenticazione a più fattori
- Modifica della password sicura
Il sistema ignora lo stato di rischio e un dettaglio del rischio di sicurezza dell'accesso confermato dall'IA mostrerà e non contribuirà più al rischio complessivo dell'utente.
Rilevamenti dei rischi mappati a riskEventType
| Rilevamenti dei rischi | Tipo di rilevamento | Type | riskEventType |
|---|---|---|---|
| Rilevamenti dei rischi di accesso | |||
| Attività dall'indirizzo IP anonimo | Offline | Premium | riskyIPAddress |
| Rilevato rischio aggiuntivo (accesso) | In tempo reale o offline | Nonpremium | generic = Classificazione di rilevamento Premium per tenant non P2 |
| Amministrazione utente confermato compromesso | Offline | Nonpremium | adminConfirmedUserCompromised |
| Token anomalo | In tempo reale o offline | Premium | anomalousToken |
| Indirizzo IP anonimo | In tempo reale | Nonpremium | anonimizzatoIPAddress |
| Viaggio atipico | Offline | Premium | unlikelyGuide |
| Comunicazione impossibile | Offline | Premium | mcasImpossibleGuide |
| Indirizzo IP dannoso | Offline | Premium | maliciousIPAddress |
| Accesso di massa ai file sensibili | Offline | Premium | mcasFinSuspiciousFileAccess |
| Intelligence sulle minacce di Microsoft Entra (accesso) | In tempo reale o offline | Nonpremium | indaginiThreatIntelligence |
| Nuovo paese | Offline | Premium | newCountry |
| Password spraying | Offline | Premium | passwordSpray |
| Browser sospetto | Offline | Premium | suspiciousBrowser |
| Inoltro sospetto per la Posta in arrivo | Offline | Premium | suspiciousInboxForwarding |
| Regole sospette di manipolazione della Posta in arrivo | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Anomalie dell'autorità di certificazione del token | Offline | Premium | tokenIssuerAnomaly |
| Proprietà di accesso non note | In tempo reale | Premium | non familiareFeatures |
| IP dell'attore di minacce verificato | In tempo reale | Premium | nationStateIP |
| Rilevamenti dei rischi utente | |||
| Rilevato rischio aggiuntivo (utente) | In tempo reale o offline | Nonpremium | generic = Classificazione di rilevamento Premium per tenant non P2 |
| Attività utente anomale | Offline | Premium | anomalousUserActivity |
| Utente malintenzionato al centro | Offline | Premium | attackerinTheMiddle |
| Credenziali perse | Offline | Nonpremium | leakedCredentials |
| Intelligence sulle minacce di Microsoft Entra (utente) | In tempo reale o offline | Nonpremium | indaginiThreatIntelligence |
| Possibile tentativo di accesso al token di aggiornamento primario (PRT) | Offline | Premium | attemptedPrtAccess |
| Traffico API sospetto | Offline | Premium | suspiciousAPITraffic |
| Modelli di invio sospetti | Offline | Premium | suspiciousSendingPatterns |
| Attività sospetta segnalata dall'utente | Offline | Premium | userReportedSuspiciousActivity |
Rilevamenti Premium
I rilevamenti Premium seguenti sono visibili solo ai clienti Microsoft Entra ID P2.
Rilevamenti dei rischi di accesso Premium
Attività da indirizzi IP anonimi
Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento identifica che gli utenti sono stati attivi da un indirizzo IP identificato come indirizzo IP proxy anonimo.
Token anomalo
Calcolato in tempo reale o offline. Questo rilevamento indica caratteristiche anomale nel token, ad esempio una durata insolita o un token riprodotto da una posizione non familiare. Questo rilevamento illustra i token di sessione e i token di aggiornamento.
Il token anomalo viene ottimizzato per generare più rumore rispetto ad altri rilevamenti allo stesso livello di rischio. Questo compromesso viene scelto per aumentare la probabilità di rilevare token riprodotti che altrimenti potrebbero non essere rilevati. C'è una probabilità superiore al normale che alcune delle sessioni contrassegnate da questo rilevamento siano falsi positivi. È consigliabile analizzare le sessioni contrassegnate da questo rilevamento nel contesto di altri accessi dell'utente. Se la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono impreviste per l'utente, l'amministratore deve considerare questo rischio come indicatore della potenziale riproduzione del token.
Spostamento fisico atipico
Calcolato offline. Questo tipo di rilevamento dei rischi identifica due accessi provenienti da posizioni geograficamente distanti, in cui almeno una delle posizioni potrebbe anche essere atipica per l'utente, in base al comportamento passato. L'algoritmo tiene conto di più fattori, tra cui il tempo tra i due accessi e il tempo necessario per consentire all'utente di spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.
L'algoritmo ignora i "falsi positivi" evidenti che contribuiscono alle condizioni di impossibilità del trasferimento, ad esempio le VPN e le posizioni usate regolarmente da altri utenti nell'organizzazione. Il sistema ha un periodo di apprendimento iniziale dei primi di 14 giorni o 10 accessi, durante il quale apprende il comportamento di accesso di un nuovo utente.
Comunicazione impossibile
Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento identifica le attività utente (in una o più sessioni) provenienti da posizioni geograficamente distanti entro un periodo di tempo più breve rispetto al tempo necessario per spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.
Indirizzo IP dannoso
Calcolato offline. Questo rilevamento indica l'accesso da un indirizzo IP dannoso. Un indirizzo IP è considerato dannoso in base a tassi di errore elevati a causa di credenziali non valide ricevute dall'indirizzo IP o da altre origini di reputazione IP.
Accesso di massa ai file sensibili
Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando gli utenti accedono a più file da Microsoft SharePoint Online o Microsoft OneDrive. Viene attivato un avviso solo se il numero di file a cui si accede non è comune per l'utente e i file potrebbero contenere informazioni riservate.
Nuovo paese
Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento prende in considerazione le posizioni relative alle attività usate in passato per determinare posizioni nuove e non frequenti. Il motore di rilevamento di anomalie archivia informazioni sulle località precedenti usate dagli utenti dell'organizzazione.
Password spraying
Calcolato offline. Un attacco password spray è la posizione in cui più nomi utente vengono attaccati usando password comuni in modo di forza bruta unificata per ottenere l'accesso non autorizzato. Questo rilevamento dei rischi viene attivato quando viene eseguito un attacco password spraying. Ad esempio, l'autore dell'attacco viene autenticato correttamente nell'istanza rilevata.
Browser sospetto
Calcolato offline. Il rilevamento sospetto del browser indica un comportamento anomalo in base all'attività di accesso sospetta in più tenant di paesi diversi nello stesso browser.
Inoltro sospetto per la Posta in arrivo
Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento consente di rilevare regole di inoltro della posta elettronica sospette, ad esempio se un utente ha creato una regola per la posta in arrivo che inoltra una copia di tutti i messaggi di posta elettronica a un indirizzo esterno.
Regole sospette di manipolazione della Posta in arrivo
Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando vengono impostate regole sospette che eliminano o spostano messaggi o cartelle nella posta in arrivo di un utente. Questo rilevamento potrebbe indicare: l'account di un utente viene compromesso, i messaggi vengono intenzionalmente nascosti e la cassetta postale viene usata per distribuire posta indesiderata o malware nell'organizzazione.
Anomalie dell'autorità di certificazione del token
Calcolato offline. Questo rilevamento dei rischi indica che l'autorità emittente del token SAML per il token SAML associato è potenzialmente compromessa. Le attestazioni incluse nel token sono insolite o corrispondono a modelli noti di utenti malintenzionati.
Proprietà di accesso insolite
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi considera la cronologia degli accessi precedenti per cercare accessi anomali. Il sistema archivia informazioni sugli accessi precedenti e attiva un rilevamento dei rischi quando si verifica un accesso con proprietà non note all'utente. Queste proprietà possono includere IP, ASN, posizione, dispositivo, browser e subnet IP tenant. Gli utenti appena creati si trovano in un periodo di "modalità di apprendimento" in cui il rilevamento dei rischi delle proprietà di accesso non familiare viene disattivato mentre gli algoritmi apprendono il comportamento dell'utente. La durata della modalità di apprendimento è dinamica e dipende dal tempo necessario per raccogliere informazioni sufficienti sui modelli di accesso dell'utente. La durata minima è di cinque giorni. Un utente può tornare alla modalità di apprendimento dopo un lungo periodo di inattività.
È anche possibile eseguire questo rilevamento per l'autenticazione di base (o i protocolli legacy). Poiché questi protocolli non hanno proprietà moderne, ad esempio l'ID client, esistono dati limitati per ridurre i falsi positivi. È consigliabile passare all'autenticazione moderna.
Le proprietà di accesso non note possono essere rilevate sia negli accessi interattivi che non interattivi. Quando questo rilevamento viene rilevato sugli accessi non interattivi, merita un maggiore esame a causa del rischio di attacchi di riproduzione dei token.
La selezione di un rischio sconosciuto per le proprietà di accesso consente di visualizzare informazioni aggiuntive che mostrano maggiori dettagli sul motivo per cui questo rischio è stato attivato.
IP dell'attore di minacce verificato
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica l'attività di accesso coerente con gli indirizzi IP noti associati agli attori dello stato nazionale o ai gruppi di criminalità informatica, in base ai dati di Microsoft Threat Intelligence Center (MSTIC).
Rilevamenti di rischi utente Premium
Attività utente anomale
Calcolato offline. Questo rilevamento dei rischi indica il normale comportamento dell'utente amministrativo in Microsoft Entra ID e individua modelli anomali di comportamento, ad esempio modifiche sospette alla directory. Il rilevamento viene attivato dall'amministratore che apporta la modifica o l'oggetto modificato.
Utente malintenzionato al centro
Calcolato offline. Noto anche come antagonista nel centro, questo rilevamento ad alta precisione viene attivato quando una sessione di autenticazione è collegata a un proxy inverso dannoso. In questo tipo di attacco, l'antagonista può intercettare le credenziali dell'utente, inclusi i token emessi all'utente. Il team di Microsoft Security Research sfrutta Microsoft 365 Defender per acquisire il rischio identificato e aumentare il rischio dell'utente ad alto rischio. È consigliabile che gli amministratori esaminino manualmente l'utente quando questo rilevamento viene attivato per assicurarsi che il rischio venga cancellato. La cancellazione di questo rischio potrebbe richiedere la reimpostazione sicura della password o la revoca delle sessioni esistenti.
Possibile tentativo di accesso al token di aggiornamento primario (PRT)
Calcolato offline. Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per endpoint (MDE). Un token di aggiornamento primario (PRT) è un artefatto chiave dell'autenticazione di Microsoft Entra in Windows 10, Windows Server 2016 e versioni successive, iOS e Dispositivi Android. Un token PRT è un token JSON Web (JWT) rilasciato ai broker di token di prima parte Microsoft per abilitare l'accesso Single Sign-On (SSO) tra le applicazioni usate in tali dispositivi. Gli utenti malintenzionati possono tentare di accedere a questa risorsa per spostarsi successivamente in un'organizzazione o eseguire il furto di credenziali. Questo rilevamento sposta gli utenti ad alto rischio e viene attivato solo nelle organizzazioni che distribuiscono MDE. Questo rilevamento è ad alto rischio ed è consigliabile richiedere la correzione di questi utenti. Appare raramente nella maggior parte delle organizzazioni a causa del volume basso.
Traffico dell'API sospetto
Calcolato offline. Questo rilevamento dei rischi viene segnalato quando viene osservato il traffico GraphAPI anomalo o l'enumerazione della directory. Il traffico dell'API sospetto potrebbe suggerire che un utente sia compromesso e che eseduca la ricognizione nell'ambiente.
Modelli di invio sospetti
Calcolato offline. Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per Office 365 (MDO). Questo avviso viene generato quando un utente dell'organizzazione ha inviato un messaggio di posta elettronica sospetto ed è a rischio di essere o è limitato all'invio di messaggi di posta elettronica. Questo rilevamento sposta gli utenti a medio rischio e viene attivato solo nelle organizzazioni che distribuiscono MDO. Questo rilevamento è basso volume ed è visto raramente nella maggior parte delle organizzazioni.
Attività sospetta segnalata dall'utente
Calcolato offline. Questo rilevamento dei rischi viene segnalato quando un utente nega una richiesta di autenticazione a più fattori (MFA) e la segnala come attività sospetta. Una richiesta di autenticazione a più fattori non avviata da un utente potrebbe significare che le credenziali sono compromesse.
Rilevamenti nonpremium
I clienti senza licenze Microsoft Entra ID P2 ricevono rilevamenti denominati Rischio aggiuntivo rilevato senza le informazioni dettagliate relative al rilevamento che i clienti con licenze P2 fanno. Per altre informazioni, vedere i requisiti di licenza.
Rilevamenti dei rischi di accesso nonpremium
Rilevato rischio aggiuntivo (accesso)
Calcolato in tempo reale o offline. Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.
L'amministratore ha confermato che l'utente è compromesso
Calcolato offline. Questo rilevamento indica che un amministratore ha selezionato Confermare la compromissione dell'utente nell'interfaccia utente degli utenti a rischio o l'uso dell'API riskyUsers. Per vedere quale amministratore ha confermato questo utente compromesso, controllare la cronologia dei rischi dell'utente (tramite l'interfaccia utente o l'API).
Indirizzo IP anonimo
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica gli accessi da un indirizzo IP anonimo (ad esempio, browser Tor o VPN anonima). Questi indirizzi IP vengono in genere usati dagli attori che vogliono nascondere le informazioni di accesso (indirizzo IP, posizione, dispositivo e così via) per finalità potenzialmente dannose.
Intelligence sulle minacce di Microsoft Entra (accesso)
Calcolato in tempo reale o offline. Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle origini di intelligence sulle minacce interne ed esterne di Microsoft.
Rilevamenti di rischi utente nonpremium
Rilevato rischio aggiuntivo (utente)
Calcolato in tempo reale o offline. Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.
Credenziali perse
Calcolato offline. Questo tipo di rilevamento dei rischi indica che le credenziali valide dell'utente sono perse. Quando i criminali informatici comprometteno password valide di utenti legittimi, spesso condividono queste credenziali raccolte. in genere pubblicandole sul dark Web o su siti pastebin oppure scambiandole o vendendole al mercato nero. Quando il servizio Credenziali perse di Microsoft acquisisce le credenziali utente dal dark Web, da siti pastebin o da altre origini, tali credenziali vengono confrontate con le credenziali valide correnti degli utenti di Microsoft Entra ID per trovare corrispondenze valide. Per altre informazioni sulle credenziali perse, vedere domande comuni.
Intelligence sulle minacce di Microsoft Entra (utente)
Calcolato offline. Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle origini di intelligence sulle minacce interne ed esterne di Microsoft.
Domande frequenti
Cosa accade se sono state usate credenziali non corrette per tentare l'accesso?
Protezione ID genera rilevamenti dei rischi solo quando vengono usate le credenziali corrette. Se le credenziali non corrette vengono usate in un accesso, non rappresenta il rischio di compromissione delle credenziali.
È necessaria la sincronizzazione dell'hash delle password?
I rilevamenti dei rischi, ad esempio le credenziali perse, richiedono la presenza di hash delle password per il rilevamento. Per altre informazioni sulla sincronizzazione dell'hash delle password, vedere l'articolo Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync.
Perché i rilevamenti dei rischi vengono generati per gli account disabilitati?
Gli account utente in uno stato disabilitato possono essere riabilitato. Se le credenziali di un account disabilitato vengono compromesse e l'account viene riabilitato, gli attori malintenzionati potrebbero usare tali credenziali per ottenere l'accesso. Protezione ID genera rilevamenti dei rischi per attività sospette su questi account disabilitati per avvisare i clienti di potenziali compromissioni dell'account. Se un account non è più in uso e non verrà riabilitato, i clienti devono prendere in considerazione l'eliminazione per evitare la compromissione. Non vengono generati rilevamenti di rischi per gli account eliminati.
Domande comuni sulle credenziali perse
Dove Microsoft trova le credenziali perse?
Microsoft trova credenziali perse in varie posizioni, tra cui:
- Siti incollare pubblici in cui gli attori malintenzionati in genere pubblicano tale materiale.
- Forze.
- Altri gruppi di Microsoft che eseguono ricerche sul Web scuro.
Perché non vengono visualizzate credenziali perse?
Le credenziali perse vengono elaborate ogni volta che Microsoft trova un nuovo batch disponibile pubblicamente. A causa della natura sensibile, le credenziali perse vengono eliminate poco dopo l'elaborazione. Solo le nuove credenziali perse rilevate dopo aver abilitato la sincronizzazione dell'hash delle password (PHS) vengono elaborate nel tenant. La verifica delle coppie di credenziali rilevate in precedenza non viene eseguita.
Non vengono visualizzati eventi di rischio delle credenziali perse
Se non vengono visualizzati eventi di rischio delle credenziali perse, è dovuto ai motivi seguenti:
- Non è stato abilitato PHS per il tenant.
- Microsoft non ha trovato coppie di credenziali perse che corrispondono agli utenti.
Con quale frequenza Microsoft elabora nuove credenziali?
Le credenziali vengono elaborate immediatamente dopo che vengono trovate, in genere in più batch al giorno.
Posizioni
La posizione nei rilevamenti dei rischi viene determinata usando la ricerca dell'indirizzo IP. Gli accessi da posizioni denominate attendibili migliorano l'accuratezza del calcolo dei rischi di Microsoft Entra ID Protection, riducendo il rischio di accesso di un utente quando eseguono l'autenticazione da una posizione contrassegnata come attendibile.