Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra ID Protection può offrire un'ampia gamma di rilevamenti di rischi che possono essere usati per identificare le attività sospette nell'organizzazione. Le tabelle incluse in questo articolo riepilogano l'elenco dei rilevamenti di rischio utente e di accesso, inclusi i requisiti di licenza o se il rilevamento si verifica in tempo reale o offline. Altre informazioni su ogni rilevamento dei rischi sono disponibili seguendo le tabelle.
- I dettagli completi sulla maggior parte dei rilevamenti dei rischi richiedono Microsoft Entra ID P2.
- I clienti senza licenze microsoft Entra ID P2 ricevono rilevamenti denominati Rischi aggiuntivi rilevati senza dettagli di rilevamento dei rischi.
- For more information, see the license requirements.
- Per informazioni sui rilevamenti dei rischi di identità del carico di lavoro, vedere Protezione delle identità del carico di lavoro.
Note
Per informazioni dettagliate sui rilevamenti in tempo reale e sui livelli di rischio offline, vedere Tipi e livelli di rilevamento dei rischi.
Rilevamenti dei rischi di accesso mappati a riskEventType
Selezionare un rilevamento dei rischi dall'elenco per visualizzare la descrizione del rilevamento dei rischi, il funzionamento e i requisiti di licenza. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license.
Nonpremium indicates the detection is available with Microsoft Entra ID Free. La riskEventType
colonna indica il valore visualizzato nelle query dell'API Microsoft Graph.
Rilevamento dei rischi di accesso | Detection type | Type | riskEventType |
---|---|---|---|
Attività dall'indirizzo IP anonimo | Offline | Premium | riskyIPAddress |
Rilevato rischio aggiuntivo (accesso) | In tempo reale o offline | Nonpremium | generic ^ |
Amministratore confermato che l'utente è stato compromesso | Offline | Nonpremium | adminConfirmedUserCompromised |
Token anomalo (autenticazione) | In tempo reale o offline | Premium | anomalousToken |
Indirizzo IP anonimo | Real-time | Nonpremium | anonymizedIPAddress |
Atypical travel | Offline | Premium | unlikelyTravel |
Impossible travel | Offline | Premium | mcasImpossibleTravel |
Indirizzo IP dannoso | Offline | Premium | maliciousIPAddress |
Accesso di massa ai file sensibili | Offline | Premium | mcasFinSuspiciousFileAccess |
Intelligence sulle minacce di Microsoft Entra (accesso) | In tempo reale o offline | Nonpremium | investigationsThreatIntelligence |
New country | Offline | Premium | newCountry |
Password spray | In tempo reale o offline | Premium | passwordSpray |
Suspicious browser | Offline | Premium | suspiciousBrowser |
Inoltro sospetto della Posta in arrivo | Offline | Premium | suspiciousInboxForwarding |
Regole sospette di manipolazione della Posta in arrivo | Offline | Premium | mcasSuspiciousInboxManipulationRules |
Anomalia dell'emittente del token | Offline | Premium | tokenIssuerAnomaly |
Proprietà di accesso non note | Real-time | Premium | unfamiliarFeatures |
IP dell'attore di minacce verificato | Real-time | Premium | nationStateIP |
^ Il riskEventType per il rilevamento di rischi aggiuntivi è generico per i tenant con ID Microsoft Entra Free o Microsoft Entra ID P1. È stato rilevato un elemento rischioso, ma i dettagli non sono disponibili senza una licenza Microsoft Entra ID P2.
Rilevamenti dei rischi utente mappati a riskEventType
Selezionare un rilevamento dei rischi dall'elenco per visualizzare la descrizione del rilevamento dei rischi, il funzionamento e i requisiti di licenza.
Rilevamento dei rischi utente | Detection type | Type | riskEventType |
---|---|---|---|
Rilevato rischio aggiuntivo (utente) | In tempo reale o offline | Nonpremium | generic ^ |
token anomalo (utente) | In tempo reale o offline | Premium | anomalousToken |
Attività utente anomale | Offline | Premium | anomalousUserActivity |
Attaccante nel mezzo | Offline | Premium | attackerinTheMiddle |
Leaked credentials | Offline | Nonpremium | leakedCredentials |
Intelligence sulle minacce di Microsoft Entra (utente) | In tempo reale o offline | Nonpremium | investigationsThreatIntelligence |
Possibile tentativo di accesso al token di aggiornamento primario (PRT) | Offline | Premium | attemptedPrtAccess |
Traffico API sospetto | Offline | Premium | suspiciousAPITraffic |
Modelli di invio sospetti | Offline | Premium | suspiciousSendingPatterns |
Attività sospetta segnalata dall'utente | Offline | Premium | userReportedSuspiciousActivity |
^ Il riskEventType per il rilevamento di rischi aggiuntivi è generico per i tenant con ID Microsoft Entra Free o Microsoft Entra ID P1. È stato rilevato un elemento rischioso, ma i dettagli non sono disponibili senza una licenza Microsoft Entra ID P2.
Rilevamenti dei rischi di accesso
Attività da un indirizzo IP anonimo
Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento identifica che gli utenti sono stati attivi da un indirizzo IP identificato come indirizzo IP proxy anonimo.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Rilevato rischio aggiuntivo (accesso)
Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.
- Calcolato in tempo reale o offline
- Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1
L'amministratore ha confermato che l'utente è compromesso
Questo rilevamento indica che un amministratore ha selezionato Confermare la compromissione dell'utente nell'interfaccia utente degli utenti a rischio o l'uso dell'API riskyUsers. Per vedere quale amministratore ha confermato questo utente compromesso, controllare la cronologia dei rischi dell'utente (tramite l'interfaccia utente o l'API).
- Calculated offline
- Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1
Token di accesso anomalo
Questo rilevamento indica caratteristiche anomale nel token, ad esempio una durata insolita o l'uso del token in un luogo non familiare. Questo rilevamento riguarda "Token di sessione" e "Token di aggiornamento".
Il token anomalo viene ottimizzato per generare più rumore rispetto ad altri rilevamenti allo stesso livello di rischio. Questo compromesso viene scelto per aumentare la probabilità di rilevare token riprodotti che altrimenti potrebbero non essere rilevati. C'è una probabilità superiore al normale che alcune delle sessioni contrassegnate da questo rilevamento siano falsi positivi. È consigliabile analizzare le sessioni contrassegnate da questo rilevamento nel contesto di altri accessi dell'utente. Se la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono impreviste per l'utente, l'amministratore deve considerare questo rischio come indicatore della potenziale riproduzione del token.
- Calcolato in tempo reale o offline
- Requisito di licenza: Microsoft Entra ID P2
- Suggerimenti per l'analisi dei rilevamenti di token anomali.
Indirizzo IP anonimo
Questo tipo di rilevamento dei rischi indica gli accessi da un indirizzo IP anonimo (ad esempio, browser Tor o VPN anonima). Questi indirizzi IP vengono in genere usati dagli attori che vogliono nascondere le informazioni di accesso (indirizzo IP, posizione, dispositivo e così via) per finalità potenzialmente dannose.
- Calcolato in tempo reale
- Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1
Atypical travel
Questo tipo di rilevamento dei rischi identifica due accessi provenienti da posizioni geograficamente distanti, in cui almeno una delle posizioni potrebbe anche essere atipica per l'utente, in base al comportamento passato. L'algoritmo tiene conto di più fattori, tra cui il tempo tra i due accessi e il tempo necessario per consentire all'utente di spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.
L'algoritmo ignora i "falsi positivi" evidenti che contribuiscono alle condizioni di impossibilità del trasferimento, ad esempio le VPN e le posizioni usate regolarmente da altri utenti nell'organizzazione. Il sistema ha un periodo di apprendimento iniziale dei primi di 14 giorni o 10 accessi, durante il quale apprende il comportamento di accesso di un nuovo utente.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2
- Suggerimenti per l'analisi dei rilevamenti di viaggi atipici.
Impossible travel
Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento identifica le attività utente (in una o più sessioni) provenienti da posizioni geograficamente distanti entro un periodo di tempo più breve rispetto al tempo necessario per spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Indirizzo IP dannoso
Questo rilevamento indica l'accesso da un indirizzo IP dannoso. Un indirizzo IP è considerato dannoso in base a tassi di errore elevati a causa di credenziali non valide ricevute dall'indirizzo IP o da altre origini di reputazione IP. In alcuni casi, questo rilevamento si attiva in caso di attività dannose precedenti.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2
- Suggerimenti per l'analisi dei rilevamenti di indirizzi IP dannosi.
Accesso di massa ai file sensibili
Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando gli utenti accedono a più file da Microsoft SharePoint Online o Microsoft OneDrive. Viene attivato un avviso solo se il numero di file a cui si accede non è comune per l'utente e i file potrebbero contenere informazioni riservate.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Intelligenza sulle minacce di Microsoft Entra (autenticazione)
Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle fonti di informazioni sulle minacce interne ed esterne di Microsoft.
- Calcolato in tempo reale o offline
- Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1
- Suggerimenti per l'analisi dei rilevamenti di Intelligence sulle minacce di Microsoft Entra.
New country
Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento prende in considerazione le posizioni relative alle attività usate in passato per determinare posizioni nuove e non frequenti. Il motore di rilevamento di anomalie archivia informazioni sulle località precedenti usate dagli utenti dell'organizzazione.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Password spray
Un attacco di password spray è un attacco in cui più identità vengono colpite usando password comuni in modo coordinato e forzato. Il rilevamento dei rischi viene attivato quando la password di un account è valida e ha un tentativo di accesso. Questo rilevamento segnala che la password dell'utente è stata identificata correttamente tramite un attacco di password spraying, ma non che l'attaccante sia stato in grado di accedere a risorse.
- Calcolato in tempo reale o offline
- Requisito di licenza: Microsoft Entra ID P2
- Suggerimenti per l'indagine sui rilevamenti di password spray.
Suspicious browser
Il rilevamento di browser sospetti indica un comportamento anomalo basato su attività di accesso sospette da parte di più tenant provenienti da paesi o regioni diverse utilizzando lo stesso browser.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2
- Suggerimenti per l'analisi dei rilevamenti sospetti del browser.
Inoltro sospetto della casella di posta
Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento consente di rilevare regole di inoltro della posta elettronica sospette, ad esempio se un utente ha creato una regola per la posta in arrivo che inoltra una copia di tutti i messaggi di posta elettronica a un indirizzo esterno.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Regole sospette di manipolazione della Posta in arrivo
Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando vengono impostate regole sospette che eliminano o spostano messaggi o cartelle nella posta in arrivo di un utente. Questo rilevamento potrebbe indicare: l'account di un utente viene compromesso, i messaggi vengono intenzionalmente nascosti e la cassetta postale viene usata per distribuire posta indesiderata o malware nell'organizzazione.
- Calculated offline
- License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.
Anomalia dell'emittente del token
Questo rilevamento dei rischi indica che l'autorità emittente del token SAML per il token SAML associato è potenzialmente compromessa. Le affermazioni incluse nel token sono insolite o corrispondono a modelli noti di attaccanti.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2
- Suggerimenti per l'indagine sui rilevamenti di anomalie dell'emittente di token.
Proprietà di accesso insolite
Questo tipo di rilevamento dei rischi considera la cronologia degli accessi precedenti per cercare accessi anomali. Il sistema archivia informazioni sugli accessi precedenti e attiva un rilevamento dei rischi quando si verifica un accesso con proprietà non note all'utente. Queste proprietà possono includere IP, ASN, posizione, dispositivo, browser e subnet IP del tenant. Gli utenti appena creati si trovano in un periodo di "modalità di apprendimento" in cui il rilevamento dei rischi delle proprietà di accesso non familiare viene disattivato mentre gli algoritmi apprendono il comportamento dell'utente. La durata della modalità di apprendimento è dinamica e dipende dal tempo necessario per raccogliere informazioni sufficienti sui modelli di accesso dell'utente. La durata minima è di cinque giorni. Un utente può tornare alla modalità di apprendimento dopo un lungo periodo di inattività.
È anche possibile eseguire questo rilevamento per l'autenticazione di base (o i protocolli legacy). Poiché questi protocolli non hanno proprietà moderne, ad esempio l'ID client, esistono dati limitati per ridurre i falsi positivi. È consigliabile passare all'autenticazione moderna.
Le proprietà di accesso non note possono essere rilevate sia negli accessi interattivi che non interattivi. Quando questo rilevamento viene rilevato sugli accessi non interattivi, merita un maggiore esame a causa del rischio di attacchi di riproduzione dei token.
La selezione delle proprietà di accesso non familiari consente di visualizzare ulteriori informazioni che mostrano più dettagli sul motivo per cui questo rischio è stato attivato.
- Calcolato in tempo reale
- Requisito di licenza: Microsoft Entra ID P2
IP dell'attore di minacce verificato
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica l'attività di accesso coerente con gli indirizzi IP noti associati agli attori dello stato nazionale o ai gruppi di criminalità informatica, in base ai dati di Microsoft Threat Intelligence Center (MSTIC).
- Calcolato in tempo reale
- Requisito di licenza: Microsoft Entra ID P2
Rilevamenti dei rischi utente
Rilevato rischio aggiuntivo (utente)
Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.
- Calcolato in tempo reale o offline
- Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1
Token anomalo (utente)
Questo rilevamento indica caratteristiche anomale nel token, ad esempio una durata insolita o l'uso del token in un luogo non familiare. Questo rilevamento riguarda "Token di sessione" e "Token di aggiornamento".
Il token anomalo viene ottimizzato per generare più rumore rispetto ad altri rilevamenti allo stesso livello di rischio. Questo compromesso viene scelto per aumentare la probabilità di rilevare token riprodotti che altrimenti potrebbero non essere rilevati. C'è una probabilità superiore al normale che alcune delle sessioni contrassegnate da questo rilevamento siano falsi positivi. È consigliabile analizzare le sessioni contrassegnate da questo rilevamento nel contesto di altri accessi dell'utente. Se la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono impreviste per l'utente, l'amministratore deve considerare questo rischio come indicatore della potenziale riproduzione del token.
- Calcolato in tempo reale o offline
- Requisito di licenza: Microsoft Entra ID P2
- Suggerimenti per l'analisi dei rilevamenti di token anomali.
Attività utente anomale
Questo rilevamento dei rischi indica il normale comportamento dell'utente amministrativo in Microsoft Entra ID e individua modelli anomali di comportamento, ad esempio modifiche sospette alla directory. Il rilevamento viene attivato in base all'amministratore che apporta la modifica o all'oggetto modificato.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2
Attacco del tipo 'Man in the Middle'
Detto anche antagonista nel centro, questo rilevamento ad alta precisione viene attivato quando una sessione di autenticazione è collegata a un proxy inverso dannoso. In questo tipo di attacco, l'antagonista può intercettare le credenziali dell'utente, inclusi i token emessi all'utente. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. È consigliabile che gli amministratori esaminino manualmente l'utente quando questo rilevamento viene attivato per assicurarsi che il rischio venga cancellato. La cancellazione di questo rischio potrebbe richiedere la reimpostazione sicura della password o la revoca delle sessioni esistenti.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2
Leaked credentials
Questo tipo di rilevamento dei rischi indica che le credenziali valide dell'utente sono perse. Quando i criminali informatici comprometteno password valide di utenti legittimi, spesso condividono queste credenziali raccolte. in genere condividendole pubblicamente sul dark web, su siti di pastebin, oppure scambiandole o vendendole al mercato nero. Quando il servizio di credenziali trapelate di Microsoft acquisisce le credenziali utente dal dark web, da siti di paste o da altre origini, tali credenziali vengono confrontate con le credenziali valide correnti degli utenti di Microsoft Entra per trovare corrispondenze valide. For more information about leaked credentials, see FAQs.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1
- Suggerimenti per l'indagine sulle individuazioni delle credenziali compromesse.
Intelligenza delle minacce di Microsoft Entra (utente)
Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle fonti di informazioni sulle minacce interne ed esterne di Microsoft.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1
- Suggerimenti per l'analisi dei rilevamenti di Intelligence sulle minacce di Microsoft Entra.
Possibile tentativo di accesso al token di aggiornamento primario (PRT)
Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per endpoint (MDE). Un token di aggiornamento primario (PRT) è un artefatto chiave dell'autenticazione di Microsoft Entra in Windows 10, Windows Server 2016 e versioni successive, iOS e dispositivi Android. Un token PRT è un token JSON Web (JWT) rilasciato ai broker di token di prima parte Microsoft per abilitare l'accesso Single Sign-On (SSO) tra le applicazioni usate in tali dispositivi. Gli utenti malintenzionati possono tentare di accedere a questa risorsa per spostarsi successivamente in un'organizzazione o eseguire il furto di credenziali. Questo rilevamento sposta gli utenti a rischio elevato e viene attivato solo nelle organizzazioni che implementano MDE. Questo rilevamento è ad alto rischio ed è consigliabile richiedere la correzione di questi utenti. Appare raramente nella maggior parte delle organizzazioni a causa del volume basso.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2
Traffico dell'API sospetto
Questo rilevamento dei rischi viene segnalato quando viene osservato il traffico GraphAPI anomalo o l'enumerazione della directory. Il traffico API sospetto potrebbe suggerire che un utente sia compromesso e che stia eseguendo operazioni di ricognizione nell'ambiente.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2
Modelli di invio sospetti
Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per Office 365 (MDO). Questo avviso viene generato quando un utente dell'organizzazione ha inviato un'email sospetta ed è a rischio di essere limitato o è già limitato a inviare email. Questo rilevamento sposta gli utenti a medio rischio e viene attivato solo nelle organizzazioni che implementano MDO. Questo rilevamento è basso volume ed è visto raramente nella maggior parte delle organizzazioni.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2
Attività sospetta segnalata dall'utente
Questo rilevamento dei rischi viene segnalato quando un utente nega una richiesta di autenticazione a più fattori (MFA) e la segnala come attività sospetta. Una richiesta di autenticazione a più fattori non avviata da un utente potrebbe significare che le credenziali sono compromesse.
- Calculated offline
- Requisito di licenza: Microsoft Entra ID P2