learn.microsoft.com
Open in
urlscan Pro
184.30.46.66
Public Scan
Submitted URL: https://go.microsoft.com/fwlink/?linkid=2016528
Effective URL: https://learn.microsoft.com/it-it/entra/id-protection/concept-identity-protection-risks
Submission: On October 21 via api from DE — Scanned from IT
Effective URL: https://learn.microsoft.com/it-it/entra/id-protection/concept-identity-protection-risks
Submission: On October 21 via api from DE — Scanned from IT
Form analysis 3 forms found in the DOM
Name: site-header-search-form-mobile — GET /it-it/search/
<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form-mobile" data-bi-name="site-header-search-form-mobile" name="site-header-search-form-mobile" aria-label="Ricerca" action="/it-it/search/">
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control ">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input-mobile"
data-test-id="site-header-search-autocomplete-input-mobile" class="autocomplete-input input
width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-3-listbox" aria-controls="ax-3-listbox" aria-activedescendant="" aria-label="Ricerca" aria-describedby="ms--site-header-search-autocomplete-input-mobile-description"
placeholder="Ricerca" data-bi-name="site-header-search-autocomplete-input-mobile" pattern=".*">
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--site-header-search-autocomplete-input-mobile-description"> I suggerimenti verranno filtrati durante la digitazione </span>
</div>
<ul role="listbox" id="ax-3-listbox" data-test-id="site-header-search-autocomplete-input-mobile-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Suggerimenti" hidden="">
</ul>
<!---->
</div>
<!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
<button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
<input name="category" hidden="" value="">
</form>Name: site-header-search-form — GET /it-it/search/
<form class="flex-grow-1" method="GET" role="search" id="ms--site-header-search-form" data-bi-name="site-header-search-form" name="site-header-search-form" aria-label="Ricerca" action="/it-it/search/">
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control ">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="site-header-search-autocomplete-input" data-test-id="site-header-search-autocomplete-input" class="autocomplete-input input input-sm
width-full" type="search" name="terms" aria-expanded="false" aria-owns="ax-2-listbox" aria-controls="ax-2-listbox" aria-activedescendant="" aria-label="Ricerca" aria-describedby="ms--site-header-search-autocomplete-input-description"
placeholder="Ricerca" data-bi-name="site-header-search-autocomplete-input" pattern=".*">
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--site-header-search-autocomplete-input-description"> I suggerimenti verranno filtrati durante la digitazione </span>
</div>
<ul role="listbox" id="ax-2-listbox" data-test-id="site-header-search-autocomplete-input-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Suggerimenti" hidden="">
</ul>
<!---->
</div>
<!-- mobile safari will not dispatch submit event unless there's a submit button that is not display:none -->
<button type="submit" class="visually-hidden" tabindex="-1" aria-hidden="true"></button>
<input name="category" hidden="" value="">
</form>javascript:
<form action="javascript:" role="search" aria-label="Ricerca" class="margin-bottom-xxs"><label class="visually-hidden" for="ax-0">Ricerca</label>
<div class="autocomplete display-block" data-bi-name="autocomplete"><!---->
<div class="field-body control has-icons-left">
<input role="combobox" maxlength="100" aria-autocomplete="list" autocapitalize="off" autocomplete="off" autocorrect="off" spellcheck="false" id="ax-0" data-test-id="ax-0" class="autocomplete-input input input-sm
control has-icons-left
width-full" type="text" aria-expanded="false" aria-owns="ax-1-listbox" aria-controls="ax-1-listbox" aria-activedescendant="" aria-describedby="ms--ax-0-description" placeholder="Filtra in base al titolo" pattern=".*">
<span aria-hidden="true" class="icon is-small is-left">
<span class="has-text-primary docon docon-filter-settings"></span>
</span>
<span aria-hidden="true" class="autocomplete-loader loader has-text-primary " hidden=""></span>
<span hidden="" id="ms--ax-0-description"> I suggerimenti verranno filtrati durante la digitazione </span>
</div>
<ul role="listbox" id="ax-1-listbox" data-test-id="ax-0-listbox" class="autocomplete-suggestions is-vertically-scrollable padding-xxs " aria-label="Suggerimenti" hidden="">
</ul>
<!---->
</div>
</form>Text Content
Ignora e passa al contenuto principale
Microsoft utilizza i cookie opzionali per migliorare l'esperienza dell'utente
sui nostri siti Web, ad esempio tramite connessioni ai social media, e per
visualizzare annunci pubblicitari personalizzati in base alla sua attività
online. Qualora l'utente rifiuti i cookie opzionali, saranno utilizzati solo i
cookie necessari per fornirgli i servizi. La selezione può essere modificata
facendo clic su 'Gestisci cookie' in fondo alla pagina. Informativa sulla
privacy Cookie di terza parti
Accetta Rifiuta Gestisci i cookie
VERIFICA DELLE COMPETENZE CLOUD
24 set – 01 nov 2024
Excel nelle tecnologie IA con Microsoft Copilot, Azure e Fabric. Inizia la sfida
oggi.
Iscriviti subito
Ignora l'avviso
Questo browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità
più recenti, aggiornamenti della sicurezza e supporto tecnico.
Scarica Microsoft Edge Scopri di più su Internet Explorer e Microsoft Edge
Learn
I suggerimenti verranno filtrati durante la digitazione
Accedi
* Profilo
* Impostazioni
Disconnetti
Learn
* Rilevazione
* Documentazione
Articoli approfonditi sugli strumenti e le tecnologie Microsoft per
sviluppatori
* Formazione
Percorsi di apprendimento personalizzati e corsi
* Titolo
Credenziali riconosciute a livello globale, approvate dal settore
* Domande e risposte
Domande tecniche e risposte moderate da Microsoft
* Esempi di codice
Libreria di esempi di codice per strumenti e tecnologie di sviluppo
Microsoft
* Valutazioni
Indicazioni e consigli interattivi e curati
* Mostra
Migliaia di ore di programmazione originale degli esperti Microsoft
Microsoft Learn per le organizzazioni
Migliorare le competenze tecniche del team
Accedere alle risorse curate per migliorare le competenze del team e colmare
le lacune nelle competenze.
* Documentazione del prodotto
* ASP.NET
* Azure
* Dynamics 365
* Microsoft 365
* Microsoft Edge
* Microsoft Entra
* Microsoft Graph
* Microsoft Intune
* Microsoft Purview
* Microsoft Teams
* .NET
* Power Apps
* Power Automate
* Power BI
* Power Platform
* PowerShell
* SQL
* Sysinternals
* Visual Studio
* Windows
* Windows Server
Visualizzare tutti i prodotti
Microsoft Learn per le organizzazioni
Migliorare le competenze tecniche del team
Accedere alle risorse curate per migliorare le competenze del team e colmare
le lacune nelle competenze.
* Linguaggi di sviluppo
* C++
* C#
* DAX
* Java
* OData
* OpenAPI
* Power Query M
* VBA
Microsoft Learn per le organizzazioni
Migliorare le competenze tecniche del team
Accedere alle risorse curate per migliorare le competenze del team e colmare
le lacune nelle competenze.
* Argomenti
* Intelligenza artificiale
* Conformità
* DevOps
* Progettazione della piattaforma
* Sicurezza
Microsoft Learn per le organizzazioni
Migliorare le competenze tecniche del team
Accedere alle risorse curate per migliorare le competenze del team e colmare
le lacune nelle competenze.
I suggerimenti verranno filtrati durante la digitazione
Accedi
* Profilo
* Impostazioni
Disconnetti
Microsoft Entra
* Microsoft Entra ID
* ID esterno
* Accesso sicuro globale
* ID Governance
* Gestione delle autorizzazioni
* Documentazione di Microsoft Security
* Più informazioni
* Microsoft Entra ID
* ID esterno
* Accesso sicuro globale
* ID Governance
* Gestione delle autorizzazioni
* Documentazione di Microsoft Security
Interfaccia di amministrazione
Sommario Esci dalla modalità messa a fuoco
È possibile che parte di questo argomento sia stato tradotto automaticamente.
Ignora l'avviso
Ricerca
I suggerimenti verranno filtrati durante la digitazione
* Documentazione di Microsoft Entra ID Protection
* Panoramica
* Concetti
* Dashboard di Microsoft Entra ID Protection
* Che cosa sono i rischi?
* Criteri di controllo degli accessi in base al rischio
* Esperienza di accesso utente
* Protezione delle identità del carico di lavoro
* Microsoft Entra ID Protection e utenti B2B
* Guide pratiche
* Distribuire Microsoft Entra ID Protection
* Configurare le notifiche
* Configurazione dei criteri
* Simulare rilevamenti degli eventi di rischio
* Analizzare e correggere
* Fornire feedback su rilevamenti degli eventi di rischio
* Cartella di lavoro di analisi dell'impatto
* Domande frequenti
* Riferimento
* Risorse
Scarica il PDF
1. Learn
2. Documentazione
3. Microsoft Entra
4. Microsoft Entra ID
1. Learn
2. Documentazione
3. Microsoft Entra
4. Microsoft Entra ID
Leggere in inglese Salva
* Aggiungi a raccolte
* Aggiungi al piano
Sommario Leggere in inglese Aggiungi a raccolte Aggiungi al piano
--------------------------------------------------------------------------------
CONDIVIDI TRAMITE
Facebook x.com LinkedIn E-mail
--------------------------------------------------------------------------------
Stampa
Sommario
CHE COSA SONO I RILEVAMENTI DEI RISCHI?
* Articolo
* 25/08/2024
* 22 contributori
Commenti e suggerimenti
IN QUESTO ARTICOLO
1. Livelli di rischio
2. Rilevamenti in tempo reale e offline
3. Rilevamenti dei rischi mappati a riskEventType
4. Rilevamenti Premium
5. Rilevamenti nonpremium
6. Domande frequenti
7. Contenuto correlato
Mostra 3 in più
Microsoft Entra ID Protection fornisce alle organizzazioni informazioni sulle
attività sospette nel tenant e consente loro di rispondere rapidamente per
evitare ulteriori rischi. I rilevamenti dei rischi sono una risorsa potente che
può includere qualsiasi attività sospetta o anomala correlata a un account
utente nella directory. I rilevamenti dei rischi di Protezione ID possono essere
collegati a un singolo utente o evento di accesso e contribuiscono al punteggio
di rischio utente complessivo trovato nel report Utenti rischiosi.
I rilevamenti dei rischi utente potrebbero contrassegnare un account utente
legittimo come a rischio, quando un potenziale attore di minacce ottiene
l'accesso a un account compromettendo le credenziali o quando rileva un tipo di
attività utente anomale. I rilevamenti dei rischi di accesso rappresentano la
probabilità che una determinata richiesta di autenticazione non sia il
proprietario autorizzato dell'account. Avere la possibilità di identificare i
rischi a livello di utente e di accesso è fondamentale per consentire ai clienti
di proteggere il tenant.
LIVELLI DI RISCHIO
Protezione ID classifica i rischi in tre livelli: basso, medio e alto. I livelli
di rischio calcolati dagli algoritmi di Machine Learning e rappresentano quanto
Microsoft sia sicuro che una o più credenziali dell'utente siano note da
un'entità non autorizzata.
* Un rilevamento dei rischi con livello di rischio alto indica che Microsoft è
altamente sicuro che l'account sia compromesso.
* Un rilevamento dei rischi con livello di rischio basso indica che ci sono
anomalie presenti nelle credenziali di accesso o di un utente, ma è meno
sicuro che queste anomalie indicano che l'account è compromesso.
Molti rilevamenti possono essere attivati a più di uno dei livelli di rischio a
seconda del numero o della gravità delle anomalie rilevate. Ad esempio, le
proprietà di accesso non note potrebbero essere attivate ad alta, media o bassa
in base alla probabilità nei segnali. Alcuni rilevamenti, ad esempio le
credenziali perse e l'indirizzo IP dell'attore di minacce verificato, vengono
sempre recapitati come ad alto rischio.
Questo livello di rischio è importante quando si decide quali rilevamenti
assegnare priorità, analizzare e correggere. Svolgono anche un ruolo
fondamentale nella configurazione dei criteri di accesso condizionale basati sui
rischi, in quanto ogni criterio può essere impostato per attivare i criteri per
i rischi bassi, medi, alti o non rilevati rischi. In base alla tolleranza di
rischio dell'organizzazione, è possibile creare criteri che richiedono
l'autenticazione a più fattori o la reimpostazione della password quando
protezione ID rileva un determinato livello di rischio per uno degli utenti.
Questi criteri possono guidare l'utente a correggere automaticamente il rischio.
Importante
Tutti i rilevamenti a livello di rischio "basso" e gli utenti rimarranno nel
prodotto per 6 mesi, dopo di che verranno obsoleti automaticamente per offrire
un'esperienza di indagine più pulita. I livelli di rischio medio e alto verranno
mantenuti fino a quando non vengono corretti o ignorati.
In base alla tolleranza di rischio dell'organizzazione, è possibile creare
criteri che richiedono l'autenticazione a più fattori o la reimpostazione della
password quando protezione ID rileva un determinato livello di rischio. Questi
criteri potrebbero guidare l'utente a correggere automaticamente e risolvere il
rischio o il blocco a seconda delle tolleranze.
RILEVAMENTI IN TEMPO REALE E OFFLINE
Protezione ID usa tecniche per aumentare la precisione dei rilevamenti dei
rischi di accesso e utente calcolando alcuni rischi in tempo reale o offline
dopo l'autenticazione. Il rilevamento dei rischi in tempo reale all'accesso
offre il vantaggio di identificare i rischi in anticipo in modo che i clienti
possano analizzare rapidamente il potenziale compromesso. Nei rilevamenti che
calcolano il rischio offline, possono fornire maggiori informazioni su come
l'attore delle minacce ha ottenuto l'accesso all'account e l'impatto sull'utente
legittimo. Alcuni rilevamenti possono essere attivati sia offline che durante
l'accesso, aumentando così la probabilità di essere precisi sulla
compromissione.
I rilevamenti attivati in tempo reale richiedono 5-10 minuti per visualizzare i
dettagli nei report. I rilevamenti offline richiedono fino a 48 ore per essere
visualizzati nei report, perché è necessario tempo per valutare le proprietà del
potenziale rischio.
Nota
Il sistema potrebbe rilevare che l'evento di rischio che ha contribuito al
punteggio di rischio utente è stato:
* Falso positivo
* Il rischio utente è stato risolto dai criteri in uno dei due casi:
* Completamento dell'autenticazione a più fattori
* Modifica della password sicura
Il sistema ignora lo stato di rischio e un dettaglio del rischio di sicurezza
dell'accesso confermato dall'IA mostrerà e non contribuirà più al rischio
complessivo dell'utente.
Nei dati dettagliati sui rischi, rilevamento tempo registra il momento esatto in
cui viene identificato un rischio durante l'accesso di un utente, che consente
la valutazione dei rischi in tempo reale e l'applicazione immediata dei criteri
per proteggere l'utente e l'organizzazione. L'ultimo aggiornamento del
rilevamento mostra l'aggiornamento più recente a un rilevamento dei rischi, che
potrebbe essere dovuto a nuove informazioni, modifiche del livello di rischio o
azioni amministrative e garantisce la gestione dei rischi aggiornata.
Questi campi sono essenziali per il monitoraggio in tempo reale, la risposta
alle minacce e la gestione dell'accesso sicuro alle risorse dell'organizzazione.
RILEVAMENTI DEI RISCHI MAPPATI A RISKEVENTTYPE
Espandi la tabella
Rilevamenti dei rischi Tipo di rilevamento Type riskEventType Rilevamenti dei
rischi di accesso Attività dall'indirizzo IP anonimo Fuori rete Premium
riskyIPAddress Rilevato rischio aggiuntivo (accesso) In tempo reale o offline
Nonpremium generic = Classificazione di rilevamento Premium per tenant non P2
Amministratore confermato che l'utente è stato compromesso Fuori rete Nonpremium
adminConfirmedUserCompromised Token anomalo In tempo reale o offline Premium
anomalousToken Indirizzo IP anonimo In tempo reale Nonpremium
anonimizzatoIPAddress Viaggio atipico Fuori rete Premium unlikelyGuide
Comunicazione impossibile Fuori rete Premium mcasImpossibleGuide Indirizzo IP
dannoso Fuori rete Premium maliciousIPAddress Accesso di massa ai file sensibili
Fuori rete Premium mcasFinSuspiciousFileAccess Intelligence sulle minacce di
Microsoft Entra (accesso) In tempo reale o offline Nonpremium
indaginiThreatIntelligence Nuovo paese Fuori rete Premium newCountry Password
spraying Fuori rete Premium passwordSpray Browser sospetto Fuori rete Premium
suspiciousBrowser Inoltro sospetto per la Posta in arrivo Fuori rete Premium
suspiciousInboxForwarding Regole sospette di manipolazione della Posta in arrivo
Fuori rete Premium mcasSuspiciousInboxManipulationRules Anomalie dell'autorità
di certificazione del token Fuori rete Premium tokenIssuerAnomaly Proprietà di
accesso non note In tempo reale Premium non familiareFeatures IP dell'attore di
minacce verificato In tempo reale Premium nationStateIP Rilevamenti dei rischi
utente Rilevato rischio aggiuntivo (utente) In tempo reale o offline Nonpremium
generic = Classificazione di rilevamento Premium per tenant non P2 Attività
utente anomale Fuori rete Premium anomalousUserActivity Utente malintenzionato
al centro Fuori rete Premium attackerinTheMiddle Credenziali perse Fuori rete
Nonpremium leakedCredentials Intelligence sulle minacce di Microsoft Entra
(utente) In tempo reale o offline Nonpremium indaginiThreatIntelligence
Possibile tentativo di accesso al token di aggiornamento primario (PRT) Fuori
rete Premium attemptedPrtAccess Traffico API sospetto Fuori rete Premium
suspiciousAPITraffic Modelli di invio sospetti Fuori rete Premium
suspiciousSendingPatterns Attività sospetta segnalata dall'utente Fuori rete
Premium userReportedSuspiciousActivity
RILEVAMENTI PREMIUM
I rilevamenti Premium seguenti sono visibili solo ai clienti Microsoft Entra ID
P2.
RILEVAMENTI DEI RISCHI DI ACCESSO PREMIUM
ATTIVITÀ DA INDIRIZZI IP ANONIMI
Calcolato offline. Questo rilevamento viene individuato usando le informazioni
fornite da Microsoft Defender per il cloud App. Questo rilevamento identifica
che gli utenti sono stati attivi da un indirizzo IP identificato come indirizzo
IP proxy anonimo.
TOKEN ANOMALO
Calcolato in tempo reale o offline. Questo rilevamento indica caratteristiche
anomale nel token, ad esempio una durata insolita o un token riprodotto da una
posizione non familiare. Questo rilevamento illustra i token di sessione e i
token di aggiornamento.
Il token anomalo viene ottimizzato per generare più rumore rispetto ad altri
rilevamenti allo stesso livello di rischio. Questo compromesso viene scelto per
aumentare la probabilità di rilevare token riprodotti che altrimenti potrebbero
non essere rilevati. C'è una probabilità superiore al normale che alcune delle
sessioni contrassegnate da questo rilevamento siano falsi positivi. È
consigliabile analizzare le sessioni contrassegnate da questo rilevamento nel
contesto di altri accessi dell'utente. Se la posizione, l'applicazione,
l'indirizzo IP, l'agente utente o altre caratteristiche sono impreviste per
l'utente, l'amministratore deve considerare questo rischio come indicatore della
potenziale riproduzione del token.
Suggerimenti per l'analisi dei rilevamenti di token anomali.
SPOSTAMENTO FISICO ATIPICO
Calcolato offline. Questo tipo di rilevamento dei rischi identifica due accessi
provenienti da posizioni geograficamente distanti, in cui almeno una delle
posizioni potrebbe anche essere atipica per l'utente, in base al comportamento
passato. L'algoritmo tiene conto di più fattori, tra cui il tempo tra i due
accessi e il tempo necessario per consentire all'utente di spostarsi dalla prima
posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso
usa le stesse credenziali.
L'algoritmo ignora i "falsi positivi" evidenti che contribuiscono alle
condizioni di impossibilità del trasferimento, ad esempio le VPN e le posizioni
usate regolarmente da altri utenti nell'organizzazione. Il sistema ha un periodo
di apprendimento iniziale dei primi di 14 giorni o 10 accessi, durante il quale
apprende il comportamento di accesso di un nuovo utente.
Suggerimenti per l'analisi dei rilevamenti di viaggi atipici.
COMUNICAZIONE IMPOSSIBILE
Calcolato offline. Questo rilevamento viene individuato usando le informazioni
fornite da Microsoft Defender per il cloud App. Questo rilevamento identifica le
attività utente (in una o più sessioni) provenienti da posizioni geograficamente
distanti entro un periodo di tempo più breve rispetto al tempo necessario per
spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare
che un utente diverso usa le stesse credenziali.
INDIRIZZO IP DANNOSO
Calcolato offline. Questo rilevamento indica l'accesso da un indirizzo IP
dannoso. Un indirizzo IP è considerato dannoso in base a tassi di errore elevati
a causa di credenziali non valide ricevute dall'indirizzo IP o da altre origini
di reputazione IP. In alcuni casi, questo rilevamento si attiva in caso di
attività dannose precedenti.
Suggerimenti per l'analisi dei rilevamenti di indirizzi IP dannosi.
ACCESSO DI MASSA AI FILE SENSIBILI
Calcolato offline. Questo rilevamento viene individuato usando le informazioni
fornite da Microsoft Defender per il cloud App. Questo rilevamento esamina
l'ambiente e attiva gli avvisi quando gli utenti accedono a più file da
Microsoft SharePoint Online o Microsoft OneDrive. Viene attivato un avviso solo
se il numero di file a cui si accede non è comune per l'utente e i file
potrebbero contenere informazioni riservate.
NUOVO PAESE
Calcolato offline. Questo rilevamento viene individuato usando le informazioni
fornite da Microsoft Defender per il cloud App. Questo rilevamento prende in
considerazione le posizioni relative alle attività usate in passato per
determinare posizioni nuove e non frequenti. Il motore di rilevamento di
anomalie archivia informazioni sulle località precedenti usate dagli utenti
dell'organizzazione.
PASSWORD SPRAYING
Calcolato offline. Un attacco password spraying è la posizione in cui più
identità vengono attaccate usando password comuni in modo di forza bruta
unificata. Il rilevamento dei rischi viene attivato quando la password di un
account è valida e ha un tentativo di accesso. Questo rilevamento segnala che la
password dell'utente è stata identificata correttamente tramite un attacco
password spraying, non che l'utente malintenzionato sia riuscito ad accedere
alle risorse.
Suggerimenti per l'analisi dei rilevamenti di indirizzi IP dannosi.
BROWSER SOSPETTO
Calcolato offline. Il rilevamento sospetto del browser indica un comportamento
anomalo in base all'attività di accesso sospetta in più tenant di paesi diversi
nello stesso browser.
Suggerimenti per l'analisi dei rilevamenti sospetti del browser.
INOLTRO SOSPETTO PER LA POSTA IN ARRIVO
Calcolato offline. Questo rilevamento viene individuato usando le informazioni
fornite da Microsoft Defender per il cloud App. Questo rilevamento consente di
rilevare regole di inoltro della posta elettronica sospette, ad esempio se un
utente ha creato una regola per la posta in arrivo che inoltra una copia di
tutti i messaggi di posta elettronica a un indirizzo esterno.
REGOLE SOSPETTE DI MANIPOLAZIONE DELLA POSTA IN ARRIVO
Calcolato offline. Questo rilevamento viene individuato usando le informazioni
fornite da Microsoft Defender per il cloud App. Questo rilevamento esamina
l'ambiente e attiva gli avvisi quando vengono impostate regole sospette che
eliminano o spostano messaggi o cartelle nella posta in arrivo di un utente.
Questo rilevamento potrebbe indicare: l'account di un utente viene compromesso,
i messaggi vengono intenzionalmente nascosti e la cassetta postale viene usata
per distribuire posta indesiderata o malware nell'organizzazione.
ANOMALIE DELL'AUTORITÀ DI CERTIFICAZIONE DEL TOKEN
Calcolato offline. Questo rilevamento dei rischi indica che l'autorità emittente
del token SAML per il token SAML associato è potenzialmente compromessa. Le
attestazioni incluse nel token sono insolite o corrispondono a modelli noti di
utenti malintenzionati.
Suggerimenti per l'analisi dei rilevamenti anomalie dell'autorità di
certificazione dei token.
PROPRIETÀ DI ACCESSO INSOLITE
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi considera la
cronologia degli accessi precedenti per cercare accessi anomali. Il sistema
archivia informazioni sugli accessi precedenti e attiva un rilevamento dei
rischi quando si verifica un accesso con proprietà non note all'utente. Queste
proprietà possono includere IP, ASN, posizione, dispositivo, browser e subnet IP
tenant. Gli utenti appena creati si trovano in un periodo di "modalità di
apprendimento" in cui il rilevamento dei rischi delle proprietà di accesso non
familiare viene disattivato mentre gli algoritmi apprendono il comportamento
dell'utente. La durata della modalità di apprendimento è dinamica e dipende dal
tempo necessario per raccogliere informazioni sufficienti sui modelli di accesso
dell'utente. La durata minima è di cinque giorni. Un utente può tornare alla
modalità di apprendimento dopo un lungo periodo di inattività.
È anche possibile eseguire questo rilevamento per l'autenticazione di base (o i
protocolli legacy). Poiché questi protocolli non hanno proprietà moderne, ad
esempio l'ID client, esistono dati limitati per ridurre i falsi positivi. È
consigliabile passare all'autenticazione moderna.
Le proprietà di accesso non note possono essere rilevate sia negli accessi
interattivi che non interattivi. Quando questo rilevamento viene rilevato sugli
accessi non interattivi, merita un maggiore esame a causa del rischio di
attacchi di riproduzione dei token.
La selezione di un rischio di accesso non familiare consente di visualizzare
altre informazioni sul motivo per cui questo rischio è stato attivato.
IP DELL'ATTORE DI MINACCE VERIFICATO
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica
l'attività di accesso coerente con gli indirizzi IP noti associati agli attori
dello stato nazionale o ai gruppi di criminalità informatica, in base ai dati di
Microsoft Threat Intelligence Center (MSTIC).
RILEVAMENTI DI RISCHI UTENTE PREMIUM
ATTIVITÀ UTENTE ANOMALE
Calcolato offline. Questo rilevamento dei rischi indica il normale comportamento
dell'utente amministrativo in Microsoft Entra ID e individua modelli anomali di
comportamento, ad esempio modifiche sospette alla directory. Il rilevamento
viene attivato in base all'amministratore che apporta la modifica o all'oggetto
modificato.
UTENTE MALINTENZIONATO AL CENTRO
Calcolato offline. Noto anche come antagonista nel centro, questo rilevamento ad
alta precisione viene attivato quando una sessione di autenticazione è collegata
a un proxy inverso dannoso. In questo tipo di attacco, l'antagonista può
intercettare le credenziali dell'utente, inclusi i token emessi all'utente. Il
team di Microsoft Security Research usa Microsoft 365 Defender per acquisire il
rischio identificato e aumentare il rischio dell'utente ad alto rischio. È
consigliabile che gli amministratori esaminino manualmente l'utente quando
questo rilevamento viene attivato per assicurarsi che il rischio venga
cancellato. La cancellazione di questo rischio potrebbe richiedere la
reimpostazione sicura della password o la revoca delle sessioni esistenti.
POSSIBILE TENTATIVO DI ACCESSO AL TOKEN DI AGGIORNAMENTO PRIMARIO (PRT)
Calcolato offline. Questo tipo di rilevamento dei rischi viene individuato
usando le informazioni fornite da Microsoft Defender per endpoint (MDE). Un
token di aggiornamento primario (PRT) è un artefatto chiave dell'autenticazione
di Microsoft Entra in Windows 10, Windows Server 2016 e versioni successive, iOS
e Dispositivi Android. Un token PRT è un token JSON Web (JWT) rilasciato ai
broker di token di prima parte Microsoft per abilitare l'accesso Single Sign-On
(SSO) tra le applicazioni usate in tali dispositivi. Gli utenti malintenzionati
possono tentare di accedere a questa risorsa per spostarsi successivamente in
un'organizzazione o eseguire il furto di credenziali. Questo rilevamento sposta
gli utenti ad alto rischio e viene attivato solo nelle organizzazioni che
distribuiscono MDE. Questo rilevamento è ad alto rischio ed è consigliabile
richiedere la correzione di questi utenti. Appare raramente nella maggior parte
delle organizzazioni a causa del volume basso.
TRAFFICO DELL'API SOSPETTO
Calcolato offline. Questo rilevamento dei rischi viene segnalato quando viene
osservato il traffico GraphAPI anomalo o l'enumerazione della directory. Il
traffico dell'API sospetto potrebbe suggerire che un utente sia compromesso e
che eseduca la ricognizione nell'ambiente.
MODELLI DI INVIO SOSPETTI
Calcolato offline. Questo tipo di rilevamento dei rischi viene individuato
usando le informazioni fornite da Microsoft Defender per Office 365 (MDO).
Questo avviso viene generato quando un utente dell'organizzazione ha inviato un
messaggio di posta elettronica sospetto ed è a rischio di essere o è limitato
all'invio di messaggi di posta elettronica. Questo rilevamento sposta gli utenti
a medio rischio e viene attivato solo nelle organizzazioni che distribuiscono
MDO. Questo rilevamento è basso volume ed è visto raramente nella maggior parte
delle organizzazioni.
ATTIVITÀ SOSPETTA SEGNALATA DALL'UTENTE
Calcolato offline. Questo rilevamento dei rischi viene segnalato quando un
utente nega una richiesta di autenticazione a più fattori (MFA) e la segnala
come attività sospetta. Una richiesta di autenticazione a più fattori non
avviata da un utente potrebbe significare che le credenziali sono compromesse.
RILEVAMENTI NONPREMIUM
I clienti senza licenze Microsoft Entra ID P2 ricevono rilevamenti denominati
Rischio aggiuntivo rilevato senza le informazioni dettagliate relative al
rilevamento che i clienti con licenze P2 fanno. Per altre informazioni, vedere i
requisiti di licenza.
RILEVAMENTI DEI RISCHI DI ACCESSO NONPREMIUM
RILEVATO RISCHIO AGGIUNTIVO (ACCESSO)
Calcolato in tempo reale o offline. Questo rilevamento indica che è stato
rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili
solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi
rilevati per i clienti senza licenze Microsoft Entra ID P2.
L'AMMINISTRATORE HA CONFERMATO CHE L'UTENTE È COMPROMESSO
Calcolato offline. Questo rilevamento indica che un amministratore ha
selezionato Confermare la compromissione dell'utente nell'interfaccia utente
degli utenti a rischio o l'uso dell'API riskyUsers. Per vedere quale
amministratore ha confermato questo utente compromesso, controllare la
cronologia dei rischi dell'utente (tramite l'interfaccia utente o l'API).
INDIRIZZO IP ANONIMO
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica gli
accessi da un indirizzo IP anonimo (ad esempio, browser Tor o VPN anonima).
Questi indirizzi IP vengono in genere usati dagli attori che vogliono nascondere
le informazioni di accesso (indirizzo IP, posizione, dispositivo e così via) per
finalità potenzialmente dannose.
INTELLIGENCE SULLE MINACCE DI MICROSOFT ENTRA (ACCESSO)
Calcolato in tempo reale o offline. Questo tipo di rilevamento dei rischi indica
l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco
noti. Questo rilevamento si basa sulle origini di intelligence sulle minacce
interne ed esterne di Microsoft.
Suggerimenti per l'analisi dei rilevamenti di Intelligence sulle minacce di
Microsoft Entra.
RILEVAMENTI DI RISCHI UTENTE NONPREMIUM
RILEVATO RISCHIO AGGIUNTIVO (UTENTE)
Calcolato in tempo reale o offline. Questo rilevamento indica che è stato
rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili
solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi
rilevati per i clienti senza licenze Microsoft Entra ID P2.
CREDENZIALI PERSE
Calcolato offline. Questo tipo di rilevamento dei rischi indica che le
credenziali valide dell'utente sono perse. Quando i criminali informatici
comprometteno password valide di utenti legittimi, spesso condividono queste
credenziali raccolte. in genere pubblicandole sul dark Web o su siti pastebin
oppure scambiandole o vendendole al mercato nero. Quando il servizio Credenziali
perse di Microsoft acquisisce le credenziali utente dal dark Web, da siti
pastebin o da altre origini, tali credenziali vengono confrontate con le
credenziali valide correnti degli utenti di Microsoft Entra ID per trovare
corrispondenze valide. Per altre informazioni sulle credenziali perse, vedere
domande comuni.
Suggerimenti per l'analisi dei rilevamenti delle credenziali perse.
INTELLIGENCE SULLE MINACCE DI MICROSOFT ENTRA (UTENTE)
Calcolato offline. Questo tipo di rilevamento dei rischi indica l'attività
dell'utente insolita per l'utente o coerente con i modelli di attacco noti.
Questo rilevamento si basa sulle origini di intelligence sulle minacce interne
ed esterne di Microsoft.
Suggerimenti per l'analisi dei rilevamenti di Intelligence sulle minacce di
Microsoft Entra.
DOMANDE FREQUENTI
COSA ACCADE SE SONO STATE USATE CREDENZIALI NON CORRETTE PER TENTARE L'ACCESSO?
Protezione ID genera rilevamenti dei rischi solo quando vengono usate le
credenziali corrette. Se le credenziali non corrette vengono usate in un
accesso, non rappresenta il rischio di compromissione delle credenziali.
È NECESSARIA LA SINCRONIZZAZIONE DELL'HASH DELLE PASSWORD?
I rilevamenti dei rischi, ad esempio le credenziali perse, richiedono la
presenza di hash delle password per il rilevamento. Per altre informazioni sulla
sincronizzazione dell'hash delle password, vedere l'articolo Implementare la
sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync.
PERCHÉ I RILEVAMENTI DEI RISCHI VENGONO GENERATI PER GLI ACCOUNT DISABILITATI?
Gli account utente in uno stato disabilitato possono essere riabilitato. Se le
credenziali di un account disabilitato vengono compromesse e l'account viene
riabilitato, gli attori malintenzionati potrebbero usare tali credenziali per
ottenere l'accesso. Protezione ID genera rilevamenti dei rischi per attività
sospette su questi account disabilitati per avvisare i clienti di potenziali
compromissioni dell'account. Se un account non è più in uso e non verrà
riabilitato, i clienti devono prendere in considerazione l'eliminazione per
impedire la compromissione. Non vengono generati rilevamenti di rischi per gli
account eliminati.
DOMANDE COMUNI SULLE CREDENZIALI PERSE
DOVE MICROSOFT TROVA LE CREDENZIALI PERSE?
Microsoft trova credenziali perse in varie posizioni, tra cui:
* Siti incollare pubblici in cui gli attori malintenzionati in genere
pubblicano tale materiale.
* Forze dell'ordine.
* Altri gruppi di Microsoft che eseguono ricerche sul Web scuro.
PERCHÉ NON VENGONO VISUALIZZATE CREDENZIALI PERSE?
Le credenziali perse vengono elaborate ogni volta che Microsoft trova un nuovo
batch disponibile pubblicamente. A causa della natura sensibile, le credenziali
perse vengono eliminate poco dopo l'elaborazione. Solo le nuove credenziali
perse rilevate dopo aver abilitato la sincronizzazione dell'hash delle password
(PHS) vengono elaborate nel tenant. La verifica delle coppie di credenziali
rilevate in precedenza non viene eseguita.
NON VENGONO VISUALIZZATI EVENTI DI RISCHIO DELLE CREDENZIALI PERSE
Se non vengono visualizzati eventi di rischio delle credenziali perse, è dovuto
ai motivi seguenti:
* Non è stato abilitato PHS per il tenant.
* Microsoft non ha trovato coppie di credenziali perse che corrispondono agli
utenti.
CON QUALE FREQUENZA MICROSOFT ELABORA NUOVE CREDENZIALI?
Le credenziali vengono elaborate immediatamente dopo che vengono trovate, in
genere in più batch al giorno.
POSIZIONI
La posizione nei rilevamenti dei rischi viene determinata usando la ricerca
dell'indirizzo IP. Gli accessi da posizioni denominate attendibili migliorano
l'accuratezza del calcolo dei rischi di Microsoft Entra ID Protection, riducendo
il rischio di accesso di un utente quando eseguono l'autenticazione da una
posizione contrassegnata come attendibile.
CONTENUTO CORRELATO
* Informazioni sui criteri di accesso basati sui rischi
* Informazioni su come eseguire un'analisi del rischio
--------------------------------------------------------------------------------
COMMENTI E SUGGERIMENTI
Questa pagina è stata utile?
Sì No
Inviare commenti e suggerimenti per il prodotto
--------------------------------------------------------------------------------
RISORSE AGGIUNTIVE
--------------------------------------------------------------------------------
Formazione
Modulo
Examine Microsoft Entra ID Protection - Training
This module examines how Azure Identity Protection provides organizations the
same protection systems used by Microsoft to secure identities. MS-102
Certificazione
Microsoft Certified: Information Protection and Compliance Administrator
Associate - Certifications
Illustrare i concetti fondamentali della protezione dei dati, della gestione del
ciclo di vita, della protezione delle informazioni e della conformità per
proteggere una distribuzione di Microsoft 365.
Italiano
Icona di disattivazione California Consumer Privacy Act (CCPA) Scelte sulla
privacy
Tema
* Chiaro
* Scuro
* Contrasto elevato
* Gestisci i cookie
* Versioni precedenti
* Blog
* Collabora
* Privacy
* Condizioni per l'utilizzo
* Accessibilità
* Marchi
* © Microsoft 2024
RISORSE AGGIUNTIVE
--------------------------------------------------------------------------------
Formazione
Modulo
Examine Microsoft Entra ID Protection - Training
This module examines how Azure Identity Protection provides organizations the
same protection systems used by Microsoft to secure identities. MS-102
Certificazione
Microsoft Certified: Information Protection and Compliance Administrator
Associate - Certifications
Illustrare i concetti fondamentali della protezione dei dati, della gestione del
ciclo di vita, della protezione delle informazioni e della conformità per
proteggere una distribuzione di Microsoft 365.
IN QUESTO ARTICOLO
Italiano
Icona di disattivazione California Consumer Privacy Act (CCPA) Scelte sulla
privacy
Tema
* Chiaro
* Scuro
* Contrasto elevato
* Gestisci i cookie
* Versioni precedenti
* Blog
* Collabora
* Privacy
* Condizioni per l'utilizzo
* Accessibilità
* Marchi
* © Microsoft 2024