Cos'è Microsoft Entra ID Protection?
Microsoft Entra ID Protection consente alle organizzazioni di rilevare, analizzare e correggere i rischi basati sull'identità. Questi rischi basati sull'identità possono essere poi inseriti in strumenti come l'accesso condizionale per prendere decisioni relative agli accessi oppure inviati a uno strumento per informazioni di sicurezza e gestione degli eventi (SIEM, Security Information and Event Management) per ulteriori indagini e per la correlazione.
Rilevare i rischi
Microsoft aggiunge e aggiorna continuamente i rilevamenti nel catalogo per proteggere le organizzazioni. Questi rilevamenti derivano dalle informazioni apprese in base all'analisi di trilioni di segnali ogni giorno da Active Directory, account Microsoft e nei giochi con Xbox. Questa ampia gamma di segnali consente a ID Protection di rilevare comportamenti rischiosi come i seguenti:
- Utilizzo di indirizzi IP anonimi
- Attacchi di tipo password spraying
- Credenziali perse
- e altro ancora...
Durante ogni accesso, ID Protection esegue tutti i rilevamenti di accesso in tempo reale che generano un livello di rischio per la sessione di accesso, che indica la probabilità che l'accesso sia compromesso. In base a questo livello di rischio, vengono quindi applicati criteri per proteggere l'utente e l'organizzazione.
Per un elenco completo dei rischi e del modo in cui vengono rilevati, vedere l'articolo Che cos'è il rischio.
Indagine
Tutti i rischi rilevati per un'identità vengono registrati con la creazione di report. ID Protection offre agli amministratori tre report chiave per analizzare i rischi e intervenire:
- Rilevamenti dei rischi: ogni rischio rilevato viene segnalato come un rilevamento.
- Accessi a rischio: viene segnalato un accesso a rischio in presenza di uno o più rilevamenti di rischio per tale accesso.
- Utenti a rischio: Utenti a rischio: un utente a rischio viene segnalato quando una o entrambe delle operazioni seguenti sono vere:
- L'utente ha uno o più accessi rischiosi.
- Sono stati segnalati uno o più rilevamenti dei rischi.
Per altre informazioni su come usare i report, vedere l'articolo Procedura: Analizzare gli eventi di rischio.
Correggere i rischi
Perché l'automazione è fondamentale per la sicurezza?
Nel post di blog Cyber Signals: Defenseing against cyber threat with the latest research, insights, and trends del 3 febbraio 2022 Microsoft ha condiviso un briefing di threat intelligence che include le statistiche seguenti:
Analizzato... 24 trilioni di segnali di sicurezza combinati con l'intelligenza che monitoriamo monitorando più di 40 gruppi di stati nazionali e oltre 140 gruppi di minacce...
... Da gennaio 2021 a dicembre 2021, sono stati bloccati più di 25,6 miliardi di attacchi di forza bruta di Microsoft Entra...
La scalabilità dei segnali e degli attacchi richiede un certo livello di automazione solo per mantenersi al passo.
Correzione automatica
Possono essere abilitati criteri di accesso condizionale basati sui rischi per richiedere controlli di accesso, come fornire un metodo di autenticazione sicuro, eseguire l'autenticazione a più fattori o eseguire una reimpostazione della password sicura in base al livello di rischio rilevato. Se l'utente completa correttamente il controllo di accesso, il rischio viene automaticamente corretto.
Correzione manuale
Quando la correzione utente non è abilitata, un amministratore deve esaminare manualmente i rischi nei report nel portale, tramite l'API o in Microsoft 365 Defender. Gli amministratori possono eseguire azioni manuali per ignorare, confermare la sicurezza o confermare la compromissione dei rischi.
Uso dei dati
I dati ottenuti con ID Protection possono essere esportati in altri strumenti per l'archiviazione, oltre che per ulteriori analisi e per stabilire correlazioni. Le API basate su Microsoft Graph consentono alle organizzazioni di raccogliere questi dati per elaborarle ulteriormente in un altro strumento, ad esempio uno strumento Security Information and Event Management. Informazioni su come accedere all'API ID Protection sono disponibili nell'articolo Introduzione a Microsoft Entra ID Protection e Microsoft Graph
Le informazioni sull'integrazione delle informazioni di ID Protection con Microsoft Sentinel sono disponibili nell'articolo Connettere i dati da Microsoft Entra ID Protection.
Le organizzazioni potrebbero archiviare i dati per periodi più lunghi modificando le impostazioni di diagnostica in Microsoft Entra ID. Possono scegliere di inviare i dati a un'area di lavoro Log Analytics, archiviarli in un account di archiviazione, trasmetterli a Hub eventi o inviarli a un'altra soluzione. Informazioni dettagliate su come eseguire questa operazione sono disponibili nell'articolo Procedura: Esportare dati sui rischi.
Ruoli richiesti
ID Protection richiede che agli utenti siano assegnati uno o più dei ruoli seguenti per poter accedere.
| Ruolo | Può eseguire | Non può eseguire |
|---|---|---|
| Amministratore della sicurezza | Accesso completo a ID Protection | Reimpostare la password di un utente |
| Operatore per la sicurezza | Visualizzazione di tutti i report di ID Protection e della Panoramica Ignorare i rischi per gli utenti, confermare l'accesso sicuro, confermare la compromissione |
Configurare o cambiare i criteri Reimpostare la password di un utente Configura avvisi |
| Ruolo con autorizzazioni di lettura per la sicurezza | Visualizzazione di tutti i report di ID Protection e della Panoramica | Configurare o cambiare i criteri Reimpostare la password di un utente Configura avvisi Inviare feedback sui rilevamenti |
| Ruolo con autorizzazioni di lettura globali | Accesso in sola lettura a ID Protection | |
| Amministratore utenti | Reimpostare le password utente |
Attualmente, il ruolo Operatore per la sicurezza non può accedere al report degli accessi a rischio.
Gli amministratori dell'accesso condizionale possono creare criteri che tengono conto del rischio di accesso o utente come condizione. Per altre informazioni, vedere l'articolo Accesso condizionale: Condizioni.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze Microsoft Entra ID P2. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
| Capacità | Dettagli | App Microsoft Entra ID gratuita / Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Criteri di rischio | Criteri di rischio di accesso e utente (tramite ID Protection o accesso condizionale) | No | No | Sì |
| Report di sicurezza | Panoramica | No | No | Sì |
| Report di sicurezza | Utenti a rischio | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Accesso completo |
| Report di sicurezza | Accessi a rischio | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Accesso completo |
| Report di sicurezza | Rilevamenti dei rischi | No | Informazioni limitate. Nessun pannello dei dettagli. | Accesso completo |
| Notifiche | Avvisi relativi a utenti a rischio rilevati | No | No | Sì |
| Notifiche | Riepilogo settimanale | No | No | Sì |
| Criteri di registrazione MFA | No | No | Sì |
Altre informazioni su questi report avanzati sono disponibili nell'articolo Procedura: Analizzare i rischi.
Per usare il rischio di identità del carico di lavoro, incluse le identità del carico di lavoro rischiose e i rilevamenti delle identità del carico di lavoro nei riquadri Rilevamenti dei rischi nell'interfaccia di amministrazione, è necessario avere licenze Premium per le identità del carico di lavoro. Per altre informazioni, vedere l'articolo Protezione delle identità del carico di lavoro.