Descrivere Microsoft Entra ID Protection

  • 7 minuti

Identity Protection è uno strumento che consente alle organizzazioni di eseguire tre attività principali:

  • Automatizzare il rilevamento e la correzione dei rischi in base all'identità.
  • Esaminare i rischiusando i dati nel portale.
  • Esportare i dati di rilevamento dei rischi in utilità di terze parti per analizzarli ulteriormente.

Microsoft analizza trilioni di segnali al giorno per identificare potenziali minacce. Questi segnali sono ricavati dalle informazioni acquisite da Microsoft dalla propria posizione in organizzazioni che usano Microsoft Entra ID, nello spazio dei consumatori con gli account Microsoft e nel settore dei giochi con Xbox.

I segnali generati da questi servizi vengono inseriti in Identity Protection. Questi segnali possono quindi essere usati da strumenti come l'accesso condizionale per prendere decisioni in merito agli accessi. I segnali vengono forniti anche a strumenti SIEM (Security Information and Event Management), tra cui Microsoft Sentinel, per ulteriori indagini.

Rilevare i rischi

Con Identity Protection è possibile rilevare il rischio a livello di utente e accesso, per poi classificarlo come basso, medio o alto e calcolarlo in tempo reale o offline.

Un rischio di accesso rappresenta la probabilità che una richiesta di autenticazione specificata non sia stata autorizzata dal proprietario dell'identità. Ecco alcuni esempi dei rischi di accesso che Microsoft Entra Identity Protection è in grado di identificare:

  • Indirizzo IP anonimo. Questo tipo di rilevamento di rischi indica gli accessi da un indirizzo IP anonimo, ad esempio un browser Tor o VPN rese anonime.
  • Spostamento fisico atipico. Questo tipo di rilevamento di rischi identifica due accessi provenienti da posizioni geograficamente distanti, almeno una delle quali può anche essere atipica rispetto al comportamento passato dell'utente.
  • Proprietà di accesso insolite. Questo tipo di rilevamento di rischi considera la cronologia degli accessi passati per individuare accessi anomali. Il sistema archivia le informazioni sulle posizioni precedenti usate da un utente e considera tali posizioni "familiari". Il rilevamento di rischi viene attivato quando l'accesso avviene da una posizione che non è già presente nell'elenco delle località familiari.
  • Intelligence sulle minacce Microsoft Entra. Questo rilevamento di rischi indica un'attività di accesso insolita per l'utente specificato oppure coerente con modelli di attacco noti basati sulle origini di intelligence sulle minacce interne ed esterne di Microsoft.

Un rischio utente rappresenta la probabilità di che un'identità o un account sia compromesso. Ecco alcuni esempi di alcuni rischi degli utenti che Microsoft Entra Identity Protection è in grado di identificare:

  • Attività utente anomala. Questo rilevamento di rischi inserisce come baseline il normale comportamento degli utenti amministrativi in Microsoft Entra e individua modelli anomali di comportamento come modifiche sospette alla directory.
  • L'utente ha segnalato attività sospette. Questo rilevamento dei rischi viene segnalato da un utente che ha negato un prompt di autenticazione a più fattori e lo ha segnalato come attività sospetta. Un prompt MFA che non è stato avviato dall'utente può significare che le credenziali dell'utente sono state compromesse,
  • Credenziali perse. Questo tipo di rilevamento di rischi indica che le credenziali valide dell'utente sono andate perse. Quando i criminali informatici compromettono password valide di utenti legittimi, spesso condividono tali credenziali, in genere pubblicandole sul dark Web o su siti pastebin oppure scambiandole o vendendole al mercato nero. Quando il servizio Credenziali perse di Microsoft acquisisce le credenziali utente dal dark Web, da siti pastebin o da altre origini, tali credenziali vengono confrontate con le credenziali valide correnti degli utenti di Microsoft Entra ID per trovare corrispondenze valide.
  • Intelligence sulle minacce Microsoft Entra. Questo rilevamento di rischi indica un'attività utente insolita per l'utente specificato oppure coerente con modelli di attacco noti basati sulle origini di intelligence sulle minacce interne ed esterne di Microsoft.

Identity Protection genera rilevamenti di rischi solo quando vengono usate le credenziali corrette nella richiesta di autenticazione. Se un utente usa credenziali non corrette, non verrà contrassegnato da Identity Protection perché il rischio di compromissione delle credenziali esiste solo se un attore dannoso usa le credenziali corrette. I rilevamenti dei rischi possono quindi attivare azioni come richiedere agli utenti di fornire l'autenticazione a più fattori, reimpostare la password o bloccare l'accesso fino a quando un amministratore non interviene.

Analizzare i rischi

Identity Protection offre alle organizzazioni tre report utilizzabili per eseguire indagini sui rischi relativi alle identità nell'ambiente in uso. Questi report sono Utenti a rischio, Accessi a rischio e Rilevamento di rischi. Indagare sugli eventi è fondamentale per comprendere e identificare eventuali punti deboli nella strategia di sicurezza.

  • Rilevamenti dei rischi: ogni rischio rilevato viene segnalato come un rilevamento.
  • Accessi a rischio: viene segnalato un accesso a rischio quando sono presenti uno o più rilevamenti di rischio per tale accesso.
  • Utenti a rischio: Utenti a rischio: un utente a rischio viene segnalato quando una o entrambe delle operazioni seguenti sono vere:
    • L'utente ha uno o più accessi rischiosi.
    • Sono stati segnalati uno o più rilevamenti di rischi.

Screen capture showing details from a risky user report.

Correggere

Dopo aver completato un'indagine, gli amministratori potranno intervenire per correggere la condizione di rischio o sbloccare gli utenti. Le organizzazioni possono abilitare la correzione automatica usando i criteri di rischio. Ad esempio, i criteri di accesso condizionale basati sui rischi possono essere abilitati per richiedere controlli di accesso, come fornire un metodo di autenticazione sicuro, eseguire l'autenticazione a più fattori o eseguire una reimpostazione della password sicura in base al livello di rischio rilevato. Se l'utente completa correttamente il controllo di accesso, il rischio viene automaticamente corretto.

Quando la correzione automatica non è abilitata, un amministratore deve esaminare manualmente i rischi identificati nei report tramite il portale, tramite l'API o in Microsoft Defender XDR. Gli amministratori possono eseguire azioni manuali per ignorare, confermare la sicurezza o confermare la compromissione dei rischi.

Esportazione

I dati ottenuti con Identity Protection possono essere esportati in altri strumenti per l'archiviazione, oltre che per ulteriori analisi e per stabilire correlazioni. Le API basate su Microsoft Graph consentono alle organizzazioni di raccogliere questi dati per elaborarle ulteriormente in un altro strumento, ad esempio uno strumento Security Information and Event Management. I dati possono anche essere inviati a un'area di lavoro Log Analytics, dati archiviati in un account di archiviazione, trasmessi a Hub eventi o soluzioni.

Identità del carico di lavoro

Microsoft Entra Identity Protection protegge da sempre gli utenti rilevando, analizzando e correggendo i rischi basati sulle identità. Queste funzionalità vengono ora estese alle identità del carico di lavoro per proteggere applicazioni ed entità servizio.

Un'identità del carico di lavoro è un'identità che consente a un'applicazione o a un'entità servizio di accedere alle risorse. Queste identità differiscono dagli account utente tradizionali in quanto:

  • Non è possibile eseguire l'autenticazione a più fattori.
  • Spesso non hanno un processo del ciclo di vita formale.
  • Devono archiviare le credenziali o i segreti da qualche parte.

Queste differenze rendono le identità del carico di lavoro più difficili da gestire e le mettono a rischio di compromissione.

Microsoft Entra ID Protection consente alle organizzazioni di gestire questo rischio fornendo i rilevamenti del rischio di identità del carico di lavoro nel comportamento di accesso e altri indicatori di compromissione.