Condividi tramite


Che cosa sono i rilevamenti dei rischi?

Microsoft Entra ID Protection può offrire un'ampia gamma di rilevamenti di rischi che possono essere usati per identificare le attività sospette nell'organizzazione. Le tabelle incluse in questo articolo riepilogano l'elenco dei rilevamenti di rischio utente e di accesso, inclusi i requisiti di licenza o se il rilevamento si verifica in tempo reale o offline. Altre informazioni su ogni rilevamento dei rischi sono disponibili seguendo le tabelle.

  • I dettagli completi sulla maggior parte dei rilevamenti dei rischi richiedono Microsoft Entra ID P2.
    • I clienti senza licenze microsoft Entra ID P2 ricevono rilevamenti denominati Rischi aggiuntivi rilevati senza dettagli di rilevamento dei rischi.
    • For more information, see the license requirements.
  • Per informazioni sui rilevamenti dei rischi di identità del carico di lavoro, vedere Protezione delle identità del carico di lavoro.

Note

Per informazioni dettagliate sui rilevamenti in tempo reale e sui livelli di rischio offline, vedere Tipi e livelli di rilevamento dei rischi.

Rilevamenti dei rischi di accesso mappati a riskEventType

Selezionare un rilevamento dei rischi dall'elenco per visualizzare la descrizione del rilevamento dei rischi, il funzionamento e i requisiti di licenza. In the table, Premium indicates the detection requires at least a Microsoft Entra ID P2 license. Nonpremium indicates the detection is available with Microsoft Entra ID Free. La riskEventType colonna indica il valore visualizzato nelle query dell'API Microsoft Graph.

Rilevamento dei rischi di accesso Detection type Type riskEventType
Attività dall'indirizzo IP anonimo Offline Premium riskyIPAddress
Rilevato rischio aggiuntivo (accesso) In tempo reale o offline Nonpremium generic ^
Amministratore confermato che l'utente è stato compromesso Offline Nonpremium adminConfirmedUserCompromised
Token anomalo (autenticazione) In tempo reale o offline Premium anomalousToken
Indirizzo IP anonimo Real-time Nonpremium anonymizedIPAddress
Atypical travel Offline Premium unlikelyTravel
Impossible travel Offline Premium mcasImpossibleTravel
Indirizzo IP dannoso Offline Premium maliciousIPAddress
Accesso di massa ai file sensibili Offline Premium mcasFinSuspiciousFileAccess
Intelligence sulle minacce di Microsoft Entra (accesso) In tempo reale o offline Nonpremium investigationsThreatIntelligence
New country Offline Premium newCountry
Password spray In tempo reale o offline Premium passwordSpray
Suspicious browser Offline Premium suspiciousBrowser
Inoltro sospetto della Posta in arrivo Offline Premium suspiciousInboxForwarding
Regole sospette di manipolazione della Posta in arrivo Offline Premium mcasSuspiciousInboxManipulationRules
Anomalia dell'emittente del token Offline Premium tokenIssuerAnomaly
Proprietà di accesso non note Real-time Premium unfamiliarFeatures
IP dell'attore di minacce verificato Real-time Premium nationStateIP

^ Il riskEventType per il rilevamento di rischi aggiuntivi è generico per i tenant con ID Microsoft Entra Free o Microsoft Entra ID P1. È stato rilevato un elemento rischioso, ma i dettagli non sono disponibili senza una licenza Microsoft Entra ID P2.

Rilevamenti dei rischi utente mappati a riskEventType

Selezionare un rilevamento dei rischi dall'elenco per visualizzare la descrizione del rilevamento dei rischi, il funzionamento e i requisiti di licenza.

Rilevamento dei rischi utente Detection type Type riskEventType
Rilevato rischio aggiuntivo (utente) In tempo reale o offline Nonpremium generic ^
token anomalo (utente) In tempo reale o offline Premium anomalousToken
Attività utente anomale Offline Premium anomalousUserActivity
Attaccante nel mezzo Offline Premium attackerinTheMiddle
Leaked credentials Offline Nonpremium leakedCredentials
Intelligence sulle minacce di Microsoft Entra (utente) In tempo reale o offline Nonpremium investigationsThreatIntelligence
Possibile tentativo di accesso al token di aggiornamento primario (PRT) Offline Premium attemptedPrtAccess
Traffico API sospetto Offline Premium suspiciousAPITraffic
Modelli di invio sospetti Offline Premium suspiciousSendingPatterns
Attività sospetta segnalata dall'utente Offline Premium userReportedSuspiciousActivity

^ Il riskEventType per il rilevamento di rischi aggiuntivi è generico per i tenant con ID Microsoft Entra Free o Microsoft Entra ID P1. È stato rilevato un elemento rischioso, ma i dettagli non sono disponibili senza una licenza Microsoft Entra ID P2.

Rilevamenti dei rischi di accesso

Attività da un indirizzo IP anonimo

Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento identifica che gli utenti sono stati attivi da un indirizzo IP identificato come indirizzo IP proxy anonimo.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Rilevato rischio aggiuntivo (accesso)

Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.

  • Calcolato in tempo reale o offline
  • Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1

L'amministratore ha confermato che l'utente è compromesso

Questo rilevamento indica che un amministratore ha selezionato Confermare la compromissione dell'utente nell'interfaccia utente degli utenti a rischio o l'uso dell'API riskyUsers. Per vedere quale amministratore ha confermato questo utente compromesso, controllare la cronologia dei rischi dell'utente (tramite l'interfaccia utente o l'API).

  • Calculated offline
  • Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1

Token di accesso anomalo

Questo rilevamento indica caratteristiche anomale nel token, ad esempio una durata insolita o l'uso del token in un luogo non familiare. Questo rilevamento riguarda "Token di sessione" e "Token di aggiornamento".

Il token anomalo viene ottimizzato per generare più rumore rispetto ad altri rilevamenti allo stesso livello di rischio. Questo compromesso viene scelto per aumentare la probabilità di rilevare token riprodotti che altrimenti potrebbero non essere rilevati. C'è una probabilità superiore al normale che alcune delle sessioni contrassegnate da questo rilevamento siano falsi positivi. È consigliabile analizzare le sessioni contrassegnate da questo rilevamento nel contesto di altri accessi dell'utente. Se la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono impreviste per l'utente, l'amministratore deve considerare questo rischio come indicatore della potenziale riproduzione del token.

Indirizzo IP anonimo

Questo tipo di rilevamento dei rischi indica gli accessi da un indirizzo IP anonimo (ad esempio, browser Tor o VPN anonima). Questi indirizzi IP vengono in genere usati dagli attori che vogliono nascondere le informazioni di accesso (indirizzo IP, posizione, dispositivo e così via) per finalità potenzialmente dannose.

  • Calcolato in tempo reale
  • Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1

Atypical travel

Questo tipo di rilevamento dei rischi identifica due accessi provenienti da posizioni geograficamente distanti, in cui almeno una delle posizioni potrebbe anche essere atipica per l'utente, in base al comportamento passato. L'algoritmo tiene conto di più fattori, tra cui il tempo tra i due accessi e il tempo necessario per consentire all'utente di spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.

L'algoritmo ignora i "falsi positivi" evidenti che contribuiscono alle condizioni di impossibilità del trasferimento, ad esempio le VPN e le posizioni usate regolarmente da altri utenti nell'organizzazione. Il sistema ha un periodo di apprendimento iniziale dei primi di 14 giorni o 10 accessi, durante il quale apprende il comportamento di accesso di un nuovo utente.

Impossible travel

Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento identifica le attività utente (in una o più sessioni) provenienti da posizioni geograficamente distanti entro un periodo di tempo più breve rispetto al tempo necessario per spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Indirizzo IP dannoso

Questo rilevamento indica l'accesso da un indirizzo IP dannoso. Un indirizzo IP è considerato dannoso in base a tassi di errore elevati a causa di credenziali non valide ricevute dall'indirizzo IP o da altre origini di reputazione IP. In alcuni casi, questo rilevamento si attiva in caso di attività dannose precedenti.

Accesso di massa ai file sensibili

Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando gli utenti accedono a più file da Microsoft SharePoint Online o Microsoft OneDrive. Viene attivato un avviso solo se il numero di file a cui si accede non è comune per l'utente e i file potrebbero contenere informazioni riservate.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Intelligenza sulle minacce di Microsoft Entra (autenticazione)

Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle fonti di informazioni sulle minacce interne ed esterne di Microsoft.

New country

Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento prende in considerazione le posizioni relative alle attività usate in passato per determinare posizioni nuove e non frequenti. Il motore di rilevamento di anomalie archivia informazioni sulle località precedenti usate dagli utenti dell'organizzazione.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Password spray

Un attacco di password spray è un attacco in cui più identità vengono colpite usando password comuni in modo coordinato e forzato. Il rilevamento dei rischi viene attivato quando la password di un account è valida e ha un tentativo di accesso. Questo rilevamento segnala che la password dell'utente è stata identificata correttamente tramite un attacco di password spraying, ma non che l'attaccante sia stato in grado di accedere a risorse.

Suspicious browser

Il rilevamento di browser sospetti indica un comportamento anomalo basato su attività di accesso sospette da parte di più tenant provenienti da paesi o regioni diverse utilizzando lo stesso browser.

Inoltro sospetto della casella di posta

Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento consente di rilevare regole di inoltro della posta elettronica sospette, ad esempio se un utente ha creato una regola per la posta in arrivo che inoltra una copia di tutti i messaggi di posta elettronica a un indirizzo esterno.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Regole sospette di manipolazione della Posta in arrivo

Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando vengono impostate regole sospette che eliminano o spostano messaggi o cartelle nella posta in arrivo di un utente. Questo rilevamento potrebbe indicare: l'account di un utente viene compromesso, i messaggi vengono intenzionalmente nascosti e la cassetta postale viene usata per distribuire posta indesiderata o malware nell'organizzazione.

  • Calculated offline
  • License requirement: Microsoft Entra ID P2 and Microsoft 365 E5, Enterprise Mobility + Security E5, or standalone license for Microsoft Defender for Cloud Apps.

Anomalia dell'emittente del token

Questo rilevamento dei rischi indica che l'autorità emittente del token SAML per il token SAML associato è potenzialmente compromessa. Le affermazioni incluse nel token sono insolite o corrispondono a modelli noti di attaccanti.

Proprietà di accesso insolite

Questo tipo di rilevamento dei rischi considera la cronologia degli accessi precedenti per cercare accessi anomali. Il sistema archivia informazioni sugli accessi precedenti e attiva un rilevamento dei rischi quando si verifica un accesso con proprietà non note all'utente. Queste proprietà possono includere IP, ASN, posizione, dispositivo, browser e subnet IP del tenant. Gli utenti appena creati si trovano in un periodo di "modalità di apprendimento" in cui il rilevamento dei rischi delle proprietà di accesso non familiare viene disattivato mentre gli algoritmi apprendono il comportamento dell'utente. La durata della modalità di apprendimento è dinamica e dipende dal tempo necessario per raccogliere informazioni sufficienti sui modelli di accesso dell'utente. La durata minima è di cinque giorni. Un utente può tornare alla modalità di apprendimento dopo un lungo periodo di inattività.

È anche possibile eseguire questo rilevamento per l'autenticazione di base (o i protocolli legacy). Poiché questi protocolli non hanno proprietà moderne, ad esempio l'ID client, esistono dati limitati per ridurre i falsi positivi. È consigliabile passare all'autenticazione moderna.

Le proprietà di accesso non note possono essere rilevate sia negli accessi interattivi che non interattivi. Quando questo rilevamento viene rilevato sugli accessi non interattivi, merita un maggiore esame a causa del rischio di attacchi di riproduzione dei token.

La selezione delle proprietà di accesso non familiari consente di visualizzare ulteriori informazioni che mostrano più dettagli sul motivo per cui questo rischio è stato attivato.

  • Calcolato in tempo reale
  • Requisito di licenza: Microsoft Entra ID P2

IP dell'attore di minacce verificato

Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica l'attività di accesso coerente con gli indirizzi IP noti associati agli attori dello stato nazionale o ai gruppi di criminalità informatica, in base ai dati di Microsoft Threat Intelligence Center (MSTIC).

  • Calcolato in tempo reale
  • Requisito di licenza: Microsoft Entra ID P2

Rilevamenti dei rischi utente

Rilevato rischio aggiuntivo (utente)

Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.

  • Calcolato in tempo reale o offline
  • Requisito di licenza: Microsoft Entra ID Free o Microsoft Entra ID P1

Token anomalo (utente)

Questo rilevamento indica caratteristiche anomale nel token, ad esempio una durata insolita o l'uso del token in un luogo non familiare. Questo rilevamento riguarda "Token di sessione" e "Token di aggiornamento".

Il token anomalo viene ottimizzato per generare più rumore rispetto ad altri rilevamenti allo stesso livello di rischio. Questo compromesso viene scelto per aumentare la probabilità di rilevare token riprodotti che altrimenti potrebbero non essere rilevati. C'è una probabilità superiore al normale che alcune delle sessioni contrassegnate da questo rilevamento siano falsi positivi. È consigliabile analizzare le sessioni contrassegnate da questo rilevamento nel contesto di altri accessi dell'utente. Se la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono impreviste per l'utente, l'amministratore deve considerare questo rischio come indicatore della potenziale riproduzione del token.

Attività utente anomale

Questo rilevamento dei rischi indica il normale comportamento dell'utente amministrativo in Microsoft Entra ID e individua modelli anomali di comportamento, ad esempio modifiche sospette alla directory. Il rilevamento viene attivato in base all'amministratore che apporta la modifica o all'oggetto modificato.

  • Calculated offline
  • Requisito di licenza: Microsoft Entra ID P2

Attacco del tipo 'Man in the Middle'

Detto anche antagonista nel centro, questo rilevamento ad alta precisione viene attivato quando una sessione di autenticazione è collegata a un proxy inverso dannoso. In questo tipo di attacco, l'antagonista può intercettare le credenziali dell'utente, inclusi i token emessi all'utente. The Microsoft Security Research team uses Microsoft 365 Defender for Office to capture the identified risk and raises the user to High risk. È consigliabile che gli amministratori esaminino manualmente l'utente quando questo rilevamento viene attivato per assicurarsi che il rischio venga cancellato. La cancellazione di questo rischio potrebbe richiedere la reimpostazione sicura della password o la revoca delle sessioni esistenti.

  • Calculated offline
  • Requisito di licenza: Microsoft Entra ID P2

Leaked credentials

Questo tipo di rilevamento dei rischi indica che le credenziali valide dell'utente sono perse. Quando i criminali informatici comprometteno password valide di utenti legittimi, spesso condividono queste credenziali raccolte. in genere condividendole pubblicamente sul dark web, su siti di pastebin, oppure scambiandole o vendendole al mercato nero. Quando il servizio di credenziali trapelate di Microsoft acquisisce le credenziali utente dal dark web, da siti di paste o da altre origini, tali credenziali vengono confrontate con le credenziali valide correnti degli utenti di Microsoft Entra per trovare corrispondenze valide. For more information about leaked credentials, see FAQs.

Intelligenza delle minacce di Microsoft Entra (utente)

Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle fonti di informazioni sulle minacce interne ed esterne di Microsoft.

Possibile tentativo di accesso al token di aggiornamento primario (PRT)

Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per endpoint (MDE). Un token di aggiornamento primario (PRT) è un artefatto chiave dell'autenticazione di Microsoft Entra in Windows 10, Windows Server 2016 e versioni successive, iOS e dispositivi Android. Un token PRT è un token JSON Web (JWT) rilasciato ai broker di token di prima parte Microsoft per abilitare l'accesso Single Sign-On (SSO) tra le applicazioni usate in tali dispositivi. Gli utenti malintenzionati possono tentare di accedere a questa risorsa per spostarsi successivamente in un'organizzazione o eseguire il furto di credenziali. Questo rilevamento sposta gli utenti a rischio elevato e viene attivato solo nelle organizzazioni che implementano MDE. Questo rilevamento è ad alto rischio ed è consigliabile richiedere la correzione di questi utenti. Appare raramente nella maggior parte delle organizzazioni a causa del volume basso.

  • Calculated offline
  • Requisito di licenza: Microsoft Entra ID P2

Traffico dell'API sospetto

Questo rilevamento dei rischi viene segnalato quando viene osservato il traffico GraphAPI anomalo o l'enumerazione della directory. Il traffico API sospetto potrebbe suggerire che un utente sia compromesso e che stia eseguendo operazioni di ricognizione nell'ambiente.

  • Calculated offline
  • Requisito di licenza: Microsoft Entra ID P2

Modelli di invio sospetti

Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per Office 365 (MDO). Questo avviso viene generato quando un utente dell'organizzazione ha inviato un'email sospetta ed è a rischio di essere limitato o è già limitato a inviare email. Questo rilevamento sposta gli utenti a medio rischio e viene attivato solo nelle organizzazioni che implementano MDO. Questo rilevamento è basso volume ed è visto raramente nella maggior parte delle organizzazioni.

  • Calculated offline
  • Requisito di licenza: Microsoft Entra ID P2

Attività sospetta segnalata dall'utente

Questo rilevamento dei rischi viene segnalato quando un utente nega una richiesta di autenticazione a più fattori (MFA) e la segnala come attività sospetta. Una richiesta di autenticazione a più fattori non avviata da un utente potrebbe significare che le credenziali sono compromesse.

  • Calculated offline
  • Requisito di licenza: Microsoft Entra ID P2