Informazioni su Identity Protection

Identity Protection usa gli apprendimento che Microsoft ha acquisito dalla propria posizione nelle organizzazioni con Azure Active Directory, lo spazio consumer con Gli account Microsoft e il gioco con Xbox per proteggere gli utenti. Microsoft analizza miliardi di segnali al giorno per identificare e proteggere i clienti dalle minacce. Identity Protection consente alle organizzazioni di eseguire tre attività chiave:

I segnali generati da e inseriti in Identity Protection possono essere ulteriormente inseriti in strumenti come l'accesso condizionale per prendere decisioni di accesso o tornare a uno strumento di gestione degli eventi e delle informazioni sulla sicurezza (SIEM) per ulteriori indagini.

Perché l'automazione è importante?

Nel post di blog Segnali informatici: Difesa contro le minacce informatiche con le ultime ricerche, informazioni dettagliate e tendenze datate 3 febbraio 2022 abbiamo condiviso una breve analisi delle minacce, incluse le statistiche seguenti:

  • Analizzato... 24 miliardi di segnali di sicurezza combinati con l'intelligence monitorata monitorando più di 40 gruppi di stati nazionali e oltre 140 gruppi di minacce...
  • ... Da gennaio 2021 a dicembre 2021, sono stati bloccati più di 25,6 miliardi di attacchi di autenticazione bruta di Azure AD...

La scala più ampia dei segnali e degli attacchi richiede un certo livello di automazione per essere in grado di mantenere il passo.

Rilevare il rischio

Identity Protection rileva i rischi di molti tipi, tra cui:

  • Uso dell'indirizzo IP anonimo
  • Spostamento fisico atipico
  • Indirizzo IP collegato a malware
  • Proprietà di accesso insolite
  • Credenziali perse
  • Password spraying
  • E altro ancora...

I segnali di rischio possono attivare operazioni di correzione come la richiesta: eseguire l'autenticazione a più fattori, reimpostare la password usando la reimpostazione della password self-service o bloccare l'accesso fino a quando un amministratore non esegue un'azione.

Altri dettagli su questi e altri rischi, tra cui come o quando vengono calcolati, vedere l'articolo Informazioni sui rischi.

Analizzare gli eventi di rischio

Gli amministratori possono esaminare i rilevamenti e, se necessario, intervenire manualmente. Sono tre i report chiave a disposizione degli amministratori per le analisi in Identity Protection:

  • Utenti a rischio
  • Accessi a rischio
  • Rilevamenti dei rischi

Per altre informazioni, vedere l'articolo Procedura: Analizzare i rischi.

Livelli di rischio

Identity Protection classifica i rischi in livelli: basso, medio e alto.

Microsoft non fornisce dettagli specifici sul modo in cui viene calcolato il rischio. Ogni livello di rischio offre maggiore attendibilità che l'utente o l'accesso venga compromesso. Ad esempio, un'istanza di proprietà di accesso insolite per un utente potrebbe non essere pericolosa quanto le credenziali perse per un altro utente.

Usare ulteriormente le informazioni sui rischi

I dati ottenuti con Identity Protection possono essere esportati in altri strumenti per l'archiviazione, oltre che per ulteriori analisi e per stabilire correlazioni. Le API basate su Microsoft Graph consentono alle organizzazioni di raccogliere questi dati per elaborarle ulteriormente in un altro strumento, ad esempio uno strumento Security Information and Event Management. Per informazioni su come accedere all'API di Identity Protection, vedere l'articolo Introduzione ad Azure Active Directory Identity Protection e a Microsoft Graph.

Informazioni sull'integrazione delle informazioni su Identity Protection con Microsoft Sentinel sono disponibili nell'articolo Connettere i dati da Azure AD Identity Protection.

Le organizzazioni possono scegliere di archiviare i dati per periodi più lunghi modificando le impostazioni di diagnostica in Azure AD. Possono scegliere di inviare dati a un'area di lavoro Log Analytics, archiviare i dati in un account di archiviazione, trasmettere dati a Hub eventi o inviare dati a una soluzione partner. Informazioni dettagliate su come eseguire questa operazione sono disponibili nell'articolo Procedura: Esportare i dati sui rischi.

Ruoli obbligatori

Per poter accedere, Identity Protection richiede che gli utenti abbiano uno dei ruoli seguenti: Ruolo con autorizzazioni di lettura per la sicurezza, Operatore per la sicurezza, Ruolo con autorizzazioni di lettura globali o Amministratore globale.

Ruolo Operazione consentita Non è possibile
Amministratore globale Accesso completo a Identity Protection
Amministratore della protezione Accesso completo a Identity Protection Reimpostare la password di un utente
Operatore di sicurezza Visualizzare tutti i report e la panoramica di Identity Protection

Ignorare i rischi per gli utenti, confermare l'accesso sicuro, confermare la compromissione
Configurare o cambiare i criteri

Reimpostare la password di un utente

Configurare gli avvisi
Ruolo con autorizzazioni di lettura per la sicurezza Visualizzare tutti i report e la panoramica di Identity Protection Configurare o cambiare i criteri

Reimpostare la password di un utente

Configurare gli avvisi

Inviare feedback sui rilevamenti
Ruolo con autorizzazioni di lettura globali Accesso in sola lettura a Identity Protection

Attualmente, il ruolo Operatore di sicurezza non può accedere al report Accessi rischiosi.

Gli amministratori di Accesso condizionale possono creare criteri che fattorino il rischio di accesso o utente come condizione. Per altre informazioni, vedere l'articolo Accesso condizionale: condizioni.

Requisiti relativi alle licenze

L'uso di questa funzionalità richiede licenze di Azure AD Premium P2. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Azure AD disponibili a livello generale.

Funzionalità Dettagli Azure AD Free/App di Microsoft 365 Azure AD Premium P1 Azure AD Premium P2
Criteri di rischio Criteri di rischio di accesso e utente (tramite Identity Protection o accesso condizionale) No No
Report sulla sicurezza Panoramica No No
Report sulla sicurezza Utenti a rischio Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. Accesso completo
Report sulla sicurezza Accessi a rischio Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. Accesso completo
Report sulla sicurezza Rilevamenti dei rischi No Informazioni limitate. Nessun pannello dei dettagli. Accesso completo
Notifiche Avvisi relativi a utenti a rischio rilevati No No
Notifiche Digest settimanale No No
Criteri di registrazione MFA No No

Altre informazioni su questi report avanzati sono reperibili nell'articolo Procedura: Analizzare i rischi.

Passaggi successivi