Condividi tramite

Procedura: Analizzare i rischi

  • Articolo

Microsoft Entra ID Protection fornisce alle organizzazioni report che possono usare per analizzare i rischi di identità nel proprio ambiente. Questi report includono utenti rischiosi, accessi a rischio, identità del carico di lavoro rischiose e rilevamenti dei rischi. L'analisi degli eventi è fondamentale per comprendere meglio e identificare eventuali punti deboli nella strategia di sicurezza. Tutti questi report consentono il download di eventi in . Formato CSV o integrazione con altre soluzioni di sicurezza, ad esempio uno strumento SIEM (Security Information and Event Management) dedicato per ulteriori analisi. Le organizzazioni possono anche sfruttare le integrazioni dell'API Microsoft Defender e Microsoft Graph per aggregare i dati con altre origini.

I report sui rischi si trovano nell'interfaccia di amministrazione di Microsoft Entra in Protection>Identity Protection. È possibile passare direttamente ai report o visualizzare un riepilogo delle informazioni dettagliate importanti nella visualizzazione dashboard e passare ai report corrispondenti da questa posizione.

Screenshot che mostra il widget numero di utenti ad alto rischio dal dashboard di Protezione ID.

Ogni report viene avviato con un elenco di tutti i rilevamenti relativi al periodo indicato nella parte superiore del report. Gli amministratori possono facoltativamente filtrare e aggiungere o rimuovere colonne in base alle proprie preferenze. Gli amministratori possono scaricare i dati in . CSV o . Formato JSON per un'ulteriore elaborazione.

Quando gli amministratori selezionano una o più voci, le opzioni per confermare o ignorare i rischi vengono visualizzate nella parte superiore del report. La selezione di un singolo evento di rischio apre un riquadro con altri dettagli per facilitare le indagini.

Screenshot dell'intestazione del report Utenti rischiosi che mostra le opzioni disponibili per gli amministratori.

Report utenti a rischio

Il report utenti rischiosi include tutti gli utenti i cui account sono attualmente o sono stati considerati a rischio di compromissione. Gli utenti rischiosi devono essere esaminati e corretti per impedire l'accesso non autorizzato alle risorse. È consigliabile iniziare con utenti ad alto rischio a causa dell'elevata attendibilità della compromissione. Altre informazioni sui livelli che indicano

Perché un utente è a rischio?

Un utente diventa un utente rischioso quando:

  • Hanno uno o più accessi rischiosi.
  • Hanno uno o più rischi rilevati sul proprio account, ad esempio le credenziali perse.

Come analizzare gli utenti rischiosi?

Per visualizzare e analizzare gli utenti a rischio, passare al report Utenti rischiosi e usare i filtri per gestire i risultati. È disponibile un'opzione nella parte superiore della pagina per aggiungere altre colonne, ad esempio il livello di rischio, lo stato e i dettagli dei rischi.

Screenshot del report Utenti rischiosi che mostra esempi di utenti a rischio.

Quando gli amministratori selezionano un singolo utente, viene visualizzato il riquadro Dettagli utente rischioso. I dettagli dell'utente rischiosi forniscono informazioni come l'ID utente, la posizione dell'ufficio, l'accesso a rischio recente, i rilevamenti non collegati a un segno e la cronologia dei rischi. La scheda Cronologia rischi mostra gli eventi che hanno portato a una modifica del rischio utente negli ultimi 90 giorni. Questo elenco include i rilevamenti dei rischi che aumentano il rischio dell'utente. Può anche includere azioni correttive dell'utente o dell'amministratore che hanno ridotto il rischio dell'utente; ad esempio, un utente che reimposta la password o un amministratore ignora il rischio.

Screenshot che mostra il riquadro a comparsa Dettagli utente rischioso con esempi di cronologia dei rischi.

Se si ha Copilot for Security, è possibile accedere a un riepilogo in linguaggio naturale, tra cui: perché il livello di rischio utente è stato elevato, indicazioni su come attenuare e rispondere e collegamenti ad altri elementi o documentazione utili.

Screenshot che mostra il riepilogo del rischio fornito da Copilot nel riquadro a comparsa Dettagli utente rischiosi.

Con le informazioni fornite dal report Utenti rischiosi, gli amministratori possono visualizzare:

  • Rischio utente che è stato risolto, ignorato o è ancora a rischio e richiede un'indagine
  • Dettagli sui rilevamenti
  • Accessi a rischio associati a un determinato utente
  • Cronologia rischio

L'esecuzione di azioni a livello di utente si applica a tutti i rilevamenti attualmente associati a tale utente. Gli amministratori possono intervenire sugli utenti e scegliere di:

  • Reimposta password : questa azione revoca le sessioni correnti dell'utente.
  • Confermare la compromissione dell'utente: questa azione viene eseguita su un vero positivo. Protezione ID imposta il rischio utente su alto e aggiunge un nuovo rilevamento, l'amministratore ha confermato che l'utente è compromesso. L'utente viene considerato rischioso fino a quando non vengono eseguiti i passaggi di correzione.
  • Confermare la sicurezza dell'utente: questa azione viene eseguita su un falso positivo. In questo modo vengono rimossi i rischi e i rilevamenti su questo utente e lo inserisce in modalità di apprendimento per rivalutare le proprietà di utilizzo. È possibile usare questa opzione per contrassegnare i falsi positivi.
  • Ignorare il rischio utente: questa azione viene eseguita su un rischio utente positivo non dannoso. Questo rischio utente rilevato è reale, ma non dannoso, come quelli di un test di penetrazione noto. Gli utenti simili devono continuare a essere valutati per il rischio in futuro.
  • Blocca l'utente : questa azione impedisce a un utente di accedere se l'utente malintenzionato ha accesso alla password o la possibilità di eseguire l'autenticazione a più fattori.
  • Analizzare con Microsoft 365 Defender : questa azione consente agli amministratori di passare al portale di Microsoft Defender per consentire a un amministratore di indagare ulteriormente.

Screenshot che mostra il riquadro a comparsa Dettagli utente rischioso e le azioni aggiuntive che potrebbero essere eseguite da un amministratore.

Report sugli accessi a rischio

Il report sugli accessi a rischio contiene dati filtrabili per gli ultimi 30 giorni (un mese). Protezione ID valuta il rischio per tutti i flussi di autenticazione, sia interattivi che non interattivi. Il report Accessi a rischio mostra accessi interattivi e non interattivi. Per modificare questa visualizzazione, usare il filtro "tipo di accesso".

Screenshot che mostra il report accessi a rischio.

Con le informazioni fornite dal report Accessi a rischio, gli amministratori possono visualizzare:

  • Accessi a rischio, confermati compromessi, confermati sicuri, ignorati o corretti.
  • I livelli di rischio in tempo reale e aggregati associati ai tentativi di accesso.
  • I tipi di rilevamento attivati
  • I criteri di accesso condizionale applicati
  • Dettagli di MFA
  • Informazioni sul dispositivo
  • Informazioni sull'applicazione
  • Informazioni sulla posizione

Gli amministratori possono intervenire sugli eventi di accesso rischiosi e scegliere di:

  • Confermare la compromissione dell'accesso: questa azione conferma che l'accesso è un vero positivo. L'accesso viene considerato rischioso fino a quando non vengono eseguiti i passaggi di correzione. 
  • Confermare l'accesso sicuro : questa azione conferma che l'accesso è un falso positivo. Gli accessi simili non dovrebbero essere considerati rischiosi in futuro. 
  • Ignora rischio di accesso: questa azione viene usata per un vero positivo non dannoso. Questo rischio di accesso rilevato è reale, ma non dannoso, come quelli di un test di penetrazione noto o attività nota generata da un'applicazione approvata. Gli accessi simili devono continuare a essere valutati per il rischio in futuro.

Per altre informazioni su quando eseguire ognuna di queste azioni, vedere Come Microsoft usa il feedback sui rischi

Report dei rilevamenti dei rischi

Il report Rilevamenti dei rischi contiene dati filtrabili riferiti agli ultimi 90 giorni (3 mesi).

Screenshot che mostra il report Rilevamenti dei rischi.

Con le informazioni fornite dal report Rilevamenti dei rischi, gli amministratori possono trovare:

  • Informazioni su ogni rilevamento dei rischi
  • Tipo di attacco basato sul framework MITRE ATT&CK
  • Altri rischi attivati contemporaneamente
  • Posizione del tentativo di accesso
  • Collegarsi ad altri dettagli dalle app di Microsoft Defender per il cloud.

Gli amministratori possono quindi scegliere di tornare al report utenti a rischio o accessi a rischio per eseguire azioni in base alle informazioni raccolte.

Nota

Il sistema potrebbe rilevare che l'evento di rischio che ha contribuito al punteggio di rischio utente è stato falso positivo o che il rischio utente è stato risolto con l'imposizione dei criteri, ad esempio il completamento di una richiesta di autenticazione a più fattori o la modifica della password sicura. Di conseguenza, il sistema ignora lo stato di rischio e un dettaglio del rischio di "Accesso sicuro confermato dall'intelligenza artificiale" verrà visualizzato e non contribuirà più al rischio dell'utente.

Valutazione iniziale

Quando si avvia la valutazione iniziale, è consigliabile eseguire le azioni seguenti:

  1. Esaminare il dashboard protezione ID per visualizzare il numero di attacchi, il numero di utenti ad alto rischio e altre metriche importanti in base ai rilevamenti nell'ambiente.
  2. Esaminare la cartella di lavoro Analisi dell'impatto per comprendere gli scenari in cui il rischio è evidente nell'ambiente e i criteri di accesso basati sui rischi devono essere abilitati per gestire utenti e accessi ad alto rischio.
  3. Aggiungere VPN aziendali e intervalli di indirizzi IP a posizioni denominate per ridurre i falsi positivi.
  4. Prendere in considerazione la creazione di un database di viaggiatori noto per la creazione di report di viaggi aziendali aggiornati e usarlo per l'attività di viaggio tra riferimenti.
  5. Esaminare i log per identificare attività simili con le stesse caratteristiche. Questa attività potrebbe essere un'indicazione di account più compromessi.
    1. Se esistono caratteristiche comuni, ad esempio l'indirizzo IP, l'area geografica, l'esito positivo/negativo e così via, è consigliabile bloccarli con criteri di accesso condizionale.
    2. Esaminare le risorse che potrebbero essere compromesse, inclusi potenziali download di dati o modifiche amministrative.
    3. Abilitare i criteri di correzione automatica tramite l'accesso condizionale
  6. Verificare se l'utente ha eseguito altre attività rischiose, ad esempio il download di un volume elevato di file da una nuova posizione. Questo comportamento è un'indicazione forte di una possibile compromissione.

Se si sospetta che un utente malintenzionato possa rappresentare l'utente, è necessario richiedere all'utente di reimpostare la password ed eseguire l'autenticazione a più fattori o bloccare l'utente e revocare tutti i token di aggiornamento e di accesso.

Framework di monitoraggio e correzione dei rischi

Le organizzazioni possono usare il framework seguente per avviare l'indagine su qualsiasi attività sospetta. Il primo passaggio consigliato è la correzione automatica, se si tratta di un'opzione. La correzione automatica può essere eseguita tramite la reimpostazione della password self-service o tramite il flusso di correzione di un criterio di accesso condizionale basato sul rischio.

Se la correzione automatica non è un'opzione, un amministratore deve correggere il rischio. La correzione viene eseguita richiamando una reimpostazione della password, richiedendo all'utente di ripetere la registrazione per l'autenticazione a più fattori, bloccando l'utente o revocando le sessioni utente a seconda dello scenario. Il grafico di flusso seguente mostra il flusso consigliato una volta rilevato un rischio:

Diagramma che mostra il flusso di correzione dei rischi.

Una volta contenuto il rischio, potrebbero essere necessarie altre indagini per contrassegnare il rischio come sicuro, compromesso o per ignorarlo. Per giungere a una conclusione sicura, potrebbe essere necessario: avere una conversazione con l'utente in questione, esaminare i log di accesso, esaminare i log di controllo o eseguire query sui log di rischio in Log Analitica. Di seguito vengono descritte le azioni consigliate durante questa fase dell'indagine:

  1. Controllare i log e verificare se l'attività è normale per l'utente specificato.
    1. Esaminare le attività passate dell'utente, incluse le proprietà seguenti per verificare se sono normali per l'utente specificato.
      1. Applicazione
      2. Dispositivo: il dispositivo è registrato o conforme?
      3. Località: l'utente è in viaggio in una posizione diversa o accede ai dispositivi da più posizioni?
      4. Indirizzo IP
      5. Stringa agente utente
    2. Se si ha accesso ad altri strumenti di sicurezza come Microsoft Sentinel, verificare la presenza di avvisi corrispondenti che potrebbero indicare un problema più grande.
    3. Le organizzazioni con accesso a Microsoft 365 Defender possono seguire un evento di rischio utente tramite altri avvisi, eventi imprevisti e catena MITRE ATT&CK.
      1. Per spostarsi dal report Utenti rischiosi, selezionare l'utente nel report Utenti rischiosi e selezionare i puntini di sospensione (...) nella barra degli strumenti e quindi scegliere Analizza con Microsoft 365 Defender.
  2. Contattare l'utente per confermare se riconosce l'accesso; Tuttavia, prendere in considerazione metodi come la posta elettronica o Teams potrebbero essere compromessi.
    1. Confermare le informazioni disponibili, ad esempio:
      1. Timestamp:
      2. Applicazione
      3. Dispositivo
      4. Titolo
      5. Indirizzo IP
  3. A seconda dei risultati dell'indagine, contrassegnare l'utente o l'accesso come compromesso confermato, confermato sicuro o ignorare il rischio.
  4. Configurare criteri di accesso condizionale basati sul rischio per evitare attacchi simili o per risolvere eventuali lacune nella copertura.

Analizzare rilevamenti specifici

Intelligence sulle minacce per Microsoft Entra

Per analizzare un rilevamento dei rischi di Intelligence sulle minacce di Microsoft Entra, seguire questa procedura in base alle informazioni fornite nel campo "informazioni aggiuntive" del riquadro Dettagli rilevamento rischi:

  1. L'accesso proviene da un indirizzo IP sospetto:
    1. Verificare se l'indirizzo IP mostra un comportamento sospetto nell'ambiente in uso.
    2. L'INDIRIZZO IP genera un numero elevato di errori per un utente o un set di utenti nella directory?
    3. Il traffico dell'IP proveniente da un protocollo o da un'applicazione imprevista, ad esempio protocolli legacy di Exchange?
    4. Se l'indirizzo IP corrisponde a un provider di servizi cloud, escludere che non siano presenti applicazioni aziendali legittime in esecuzione dallo stesso INDIRIZZO IP.
  2. Questo account è stato vittima di un attacco password spraying:
    1. Verificare che nessun altro utente nella directory sia destinato allo stesso attacco.
    2. Gli altri utenti hanno accessi con modelli atipici simili visualizzati nell'accesso rilevato nello stesso intervallo di tempo? Gli attacchi password spraying potrebbero mostrare modelli insoliti in:
      1. Stringa agente utente
      2. Applicazione
      3. Protocollo
      4. Intervalli di indirizzi IP/ASN
      5. Tempo e frequenza degli accessi
  3. Questo rilevamento è stato attivato da una regola in tempo reale:
    1. Verificare che nessun altro utente nella directory sia destinato allo stesso attacco. Queste informazioni sono disponibili usando il numero TI_RI_#### assegnato alla regola.
    2. Le regole in tempo reale proteggono da nuovi attacchi identificati dall'intelligence sulle minacce di Microsoft. Se più utenti nella directory erano bersagli dello stesso attacco, analizzare modelli insoliti in altri attributi dell'accesso.

Analisi dei rilevamenti di viaggi atipici

  1. Se è possibile verificare che l'attività non sia stata eseguita da un utente legittimo:
    1. Azione consigliata: contrassegnare l'accesso come compromesso e richiamare una reimpostazione della password se non è già stata eseguita da correzione automatica. Bloccare l'utente se l'utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori e reimpostare la password.
  2. Se un utente è noto per usare l'indirizzo IP nell'ambito dei propri compiti:
    1. Azione consigliata: confermare l'accesso come sicuro.
  3. Se si è in grado di confermare che l'utente ha viaggiato di recente nella destinazione indicata in dettaglio nell'avviso:
    1. Azione consigliata: confermare l'accesso come sicuro.
  4. Se si è in grado di confermare che l'intervallo di indirizzi IP proviene da una VPN approvata.
    1. Azione consigliata: confermare l'accesso come sicuro e aggiungere l'intervallo di indirizzi IP VPN a posizioni denominate in Microsoft Entra ID e app Microsoft Defender per il cloud.

Analisi dei rilevamenti anomalie dell'autorità di certificazione di token e token anomali

  1. Se è possibile verificare che l'attività non sia stata eseguita da un utente legittimo usando una combinazione di avvisi di rischio, posizione, applicazione, indirizzo IP, agente utente o altre caratteristiche impreviste per l'utente:
    1. Azione consigliata: contrassegnare l'accesso come compromesso e richiamare una reimpostazione della password se non è già stata eseguita da correzione automatica. Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare o eseguire la password.
    2. Azione consigliata: configurare criteri di accesso condizionale basati sul rischio per richiedere la reimpostazione della password, eseguire l'autenticazione a più fattori o bloccare l'accesso per tutti gli accessi ad alto rischio.
  2. Se è possibile confermare la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono previste per l'utente e non ci sono altre indicazioni di compromissione:
    1. Azione consigliata: consentire all'utente di eseguire la correzione automatica con un criterio di accesso condizionale basato sul rischio o chiedere a un amministratore di confermare l'accesso come sicuro.
  3. Per altre indagini sui rilevamenti basati su token, vedere il post di blog Tattiche token: Come prevenire, rilevare e rispondere al furto di token cloud il playbook di indagine sul furto di token.

Analisi dei rilevamenti di browser sospetti

  • Il browser non viene comunemente usato dall'utente o dall'attività all'interno del browser non corrisponde al comportamento degli utenti normalmente.
    • Azione consigliata: confermare l'accesso come compromesso e richiamare una reimpostazione della password se non è già stata eseguita da correzione automatica. Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori.
    • Azione consigliata: configurare criteri di accesso condizionale basati sul rischio per richiedere la reimpostazione della password, eseguire l'autenticazione a più fattori o bloccare l'accesso per tutti gli accessi ad alto rischio.

Analisi dei rilevamenti di indirizzi IP dannosi

  1. Se è possibile confermare che l'attività non è stata eseguita da un utente legittimo:
    1. Azione consigliata: confermare l'accesso come compromesso e richiamare una reimpostazione della password se non è già stata eseguita da correzione automatica. Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori e reimpostare la password e revocare tutti i token.
    2. Azione consigliata: configurare criteri di accesso condizionale basati sul rischio per richiedere la reimpostazione della password o eseguire l'autenticazione a più fattori per tutti gli accessi ad alto rischio.
  2. Se un utente è noto per usare l'indirizzo IP nell'ambito dei propri compiti:
    1. Azione consigliata: confermare l'accesso come sicuro.

Analisi dei rilevamenti di password spraying

  1. Se è possibile confermare che l'attività non è stata eseguita da un utente legittimo:
    1. Azione consigliata: contrassegnare l'accesso come compromesso e richiamare una reimpostazione della password se non è già stata eseguita da correzione automatica. Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori e reimpostare la password e revocare tutti i token.
  2. Se un utente è noto per usare l'indirizzo IP nell'ambito dei propri compiti:
    1. Azione consigliata: confermare l'accesso sicuro.
  3. Se si è in grado di confermare che l'account non è compromesso e non viene visualizzato alcun indicatore di forza bruta o spraying delle password sull'account.
    1. Azione consigliata: consentire all'utente di eseguire la correzione automatica con un criterio di accesso condizionale basato sul rischio o chiedere a un amministratore di confermare l'accesso come sicuro.

Per altre indagini sui rilevamenti dei rischi di password spraying, vedere l'articolo Analisi password spraying.

Analisi dei rilevamenti delle credenziali perse

  • Se questo rilevamento ha identificato una credenziale persa per un utente:
    • Azione consigliata: confermare l'utente come compromesso e richiamare una reimpostazione della password se non è già stata eseguita da correzione automatica. Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori e reimpostare la password e revocare tutti i token.

Passaggi successivi