Informazioni su Identity Protection

Microsoft Entra ID Protection consente alle organizzazioni di rilevare, analizzare e correggere i rischi basati sull'identità. Questi rischi basati sull'identità possono essere ulteriormente inseriti in strumenti come l'accesso condizionale per prendere decisioni di accesso o reinserci in uno strumento siem (Security Information and Event Management) per ulteriori indagini e correlazioni.

Diagramma che illustra il funzionamento di Identity Protection a un livello elevato.

Rilevare i rischi

Microsoft aggiunge e aggiorna continuamente i rilevamenti nel catalogo per proteggere le organizzazioni. Questi rilevamenti provengono dalle nostre informazioni basate sull'analisi di trilioni di segnali ogni giorno da Active Directory, account Microsoft e nei giochi con Xbox. Questa ampia gamma di segnali consente a Identity Protection di rilevare comportamenti rischiosi come:

  • Utilizzo degli indirizzi IP anonimi
  • Attacchi password spray
  • Credenziali perse
  • E altro ancora...

Durante ogni accesso, Identity Protection esegue tutti i rilevamenti di accesso in tempo reale che generano un livello di rischio di sessione di accesso, che indica la probabilità che l'accesso sia stato compromesso. In base a questo livello di rischio, i criteri vengono quindi applicati per proteggere l'utente e l'organizzazione.

Per un elenco completo dei rischi e del modo in cui vengono rilevati, vedere l'articolo Che cos'è il rischio.

Analizzare

Tutti i rischi rilevati in un'identità vengono rilevati con la creazione di report. Identity Protection offre tre report chiave per gli amministratori per analizzare i rischi e intervenire:

  • Rilevamenti dei rischi: Ogni rischio rilevato viene segnalato come rilevamento dei rischi.
  • Accessi a rischio: Un accesso rischioso viene segnalato quando sono presenti uno o più rilevamenti di rischi segnalati per l'accesso.
  • Utenti rischiosi: Un utente rischioso viene segnalato quando una o entrambe le condizioni seguenti sono vere:
    • L'utente ha uno o più accessi rischiosi.
    • Sono stati segnalati uno o più rilevamenti di rischi.

Per altre informazioni su come usare i report, vedere l'articolo Procedura: Analizzare i rischi.

Correggere i rischi

Perché l'automazione è fondamentale per la sicurezza?

Nel post di blog Cyber Signals: Defenseing against cyber threat with the latest research, insights, and trends dated 3 febbraio 2022 Microsoft shared a threat intelligence brief including the following statistics:

Analizzato... 24 trilioni di segnali di sicurezza combinati con l'intelligenza monitorata monitorando più di 40 gruppi di stati nazionali e oltre 140 gruppi di minacce...

... Da gennaio 2021 a dicembre 2021 sono stati bloccati più di 25,6 miliardi di Microsoft Entra attacchi di autenticazione di forza bruta...

La scalabilità dei segnali e degli attacchi richiede un certo livello di automazione solo per tenersi al passo.

Correzione automatica

I criteri di accesso condizionale basati sul rischio possono essere abilitati per richiedere controlli di accesso, ad esempio fornire un metodo di autenticazione avanzata, eseguire l'autenticazione a più fattori o eseguire una reimpostazione sicura della password in base al livello di rischio rilevato. Se l'utente completa correttamente il controllo di accesso, il rischio viene automaticamente corretto.

Correzione manuale

Quando la correzione dell'utente non è abilitata, un amministratore deve esaminarli manualmente nei report nel portale, tramite l'API o in Microsoft 365 Defender. Gli amministratori possono eseguire azioni manuali per ignorare, confermare la sicurezza o confermare la compromissione dei rischi.

Uso dei dati

I dati di Identity Protection possono essere esportati in altri strumenti per l'archiviazione, ulteriori indagini e correlazioni. Le API basate su Microsoft Graph consentono alle organizzazioni di raccogliere questi dati per elaborarle ulteriormente in un altro strumento, ad esempio uno strumento Security Information and Event Management. Per informazioni su come accedere all'API Identity Protection, vedere l'articolo Introduzione a Microsoft Entra ID Protection e Microsoft Graph

Per informazioni sull'integrazione delle informazioni di Identity Protection con Microsoft Sentinel, vedere l'articolo Connettere i dati da Microsoft Entra ID Protection.

Le organizzazioni possono archiviare i dati per periodi più lunghi modificando le impostazioni di diagnostica in Microsoft Entra ID. Possono scegliere di inviare dati a un'area di lavoro Log Analytics, archiviare i dati a un account di archiviazione, trasmettere dati a Hub eventi o inviare dati a un'altra soluzione. Per informazioni dettagliate su come eseguire questa operazione, vedere l'articolo Procedura: Esportare i dati sui rischi.

Ruoli obbligatori

Per poter accedere, Identity Protection richiede che gli utenti abbiano uno dei ruoli seguenti: Ruolo con autorizzazioni di lettura per la sicurezza, Operatore per la sicurezza, Ruolo con autorizzazioni di lettura globali o Amministratore globale.

Ruolo Operazione consentita Non è possibile
Amministratore della sicurezza Accesso completo a Identity Protection Reimpostare la password di un utente
Operatore di sicurezza Visualizzare tutti i report di Identity Protection e panoramica

Ignorare i rischi per gli utenti, confermare l'accesso sicuro, confermare la compromissione
Configurare o cambiare i criteri

Reimpostare la password di un utente

Configurare gli avvisi
Ruolo con autorizzazioni di lettura per la sicurezza Visualizzare tutti i report di Identity Protection e panoramica Configurare o cambiare i criteri

Reimpostare la password di un utente

Configurare gli avvisi

Inviare feedback sui rilevamenti
Ruolo con autorizzazioni di lettura globali Accesso in sola lettura a Identity Protection
Amministratore globale Accesso completo a Identity Protection

Attualmente, il ruolo Operatore di sicurezza non può accedere al report Accessi a rischio.

Gli amministratori dell'accesso condizionale possono creare criteri che fattorino il rischio di accesso o utente come condizione. Per altre informazioni, vedere l'articolo Accesso condizionale: condizioni.

Requisiti relativi alle licenze

Per usare questa funzionalità sono necessarie licenze di Azure AD Premium P2. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Azure AD disponibili a livello generale.

Funzionalità Dettagli ID Microsoft Entra gratuito/Microsoft 365 Apps ID Microsoft Entra P1 ID Microsoft Entra P2
Criteri di rischio Criteri di accesso e rischio utente (tramite Identity Protection o accesso condizionale) No No
Report sulla sicurezza Panoramica No No
Report sulla sicurezza Utenti a rischio Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. Accesso completo
Report sulla sicurezza Accessi a rischio Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. Accesso completo
Report sulla sicurezza Rilevamenti dei rischi No Informazioni limitate. Nessun pannello dei dettagli. Accesso completo
Notifiche Avvisi relativi a utenti a rischio rilevati No No
Notifiche Digest settimanale No No
Criteri di registrazione MFA No No

Altre informazioni su questi report avanzati sono reperibili nell'articolo Procedura: Analizzare i rischi.

Passaggi successivi