Che cosa sono i rilevamenti dei rischi?
Microsoft Entra ID Protection fornisce alle organizzazioni informazioni sulle attività sospette nel tenant e consente loro di rispondere rapidamente per evitare ulteriori rischi. I rilevamenti dei rischi sono una risorsa potente che può includere qualsiasi attività sospetta o anomala correlata a un account utente nella directory. I rilevamenti dei rischi di Protezione ID possono essere collegati a un singolo utente o evento di accesso e contribuiscono al punteggio di rischio utente complessivo trovato nel report Utenti rischiosi.
I rilevamenti dei rischi utente potrebbero contrassegnare un account utente legittimo come a rischio, quando un potenziale attore di minacce ottiene l'accesso a un account compromettendo le credenziali o quando rileva un tipo di attività utente anomale. I rilevamenti dei rischi di accesso rappresentano la probabilità che una determinata richiesta di autenticazione non sia il proprietario autorizzato dell'account. Avere la possibilità di identificare i rischi a livello di utente e di accesso è fondamentale per consentire ai clienti di proteggere il tenant.
Livelli di rischio
Protezione ID classifica i rischi in tre livelli: basso, medio e alto. I livelli di rischio calcolati dagli algoritmi di Machine Learning e rappresentano quanto Microsoft sia sicuro che una o più credenziali dell'utente siano note da un'entità non autorizzata.
- Un rilevamento dei rischi con livello di rischio alto indica che Microsoft è altamente sicuro che l'account sia compromesso.
- Un rilevamento dei rischi con livello di rischio basso indica che ci sono anomalie presenti nelle credenziali di accesso o di un utente, ma è meno sicuro che queste anomalie indicano che l'account è compromesso.
Molti rilevamenti possono essere attivati a più di uno dei livelli di rischio a seconda del numero o della gravità delle anomalie rilevate. Ad esempio, le proprietà di accesso non note potrebbero essere attivate ad alta, media o bassa in base alla probabilità nei segnali. Alcuni rilevamenti, ad esempio credenziali trapelate e IP di attore di minaccia verificato, vengono sempre classificati come ad alto rischio.
Questo livello di rischio è importante quando si decide quali rilevamenti assegnare priorità, analizzare e correggere. Svolgono anche un ruolo fondamentale nella configurazione dei criteri di accesso condizionale basati sui rischi, in quanto ogni criterio può essere impostato per attivare i criteri per i rischi bassi, medi, alti o non rilevati rischi. In base alla tolleranza di rischio dell'organizzazione, è possibile creare criteri che richiedono l'autenticazione a più fattori o la reimpostazione della password quando protezione ID rileva un determinato livello di rischio per uno degli utenti. Questi criteri possono guidare l'utente a correggere automaticamente il rischio.
Importante
Tutti i rilevamenti di rischio "basso" e i relativi utenti rimarranno nel prodotto per sei mesi, dopodiché verranno automaticamente rimossi per rendere le indagini più efficienti. I livelli di rischio medio e alto verranno mantenuti fino a quando non vengono corretti o ignorati.
In base alla tolleranza di rischio dell'organizzazione, è possibile creare criteri che richiedono l'autenticazione a più fattori o la reimpostazione della password quando protezione ID rileva un determinato livello di rischio. Questi criteri potrebbero guidare l'utente ad auto-correggere e risolvere il rischio o il blocco in base alla vostra tolleranza.
Rilevamenti in tempo reale e offline
Protezione ID usa tecniche per aumentare la precisione dei rilevamenti dei rischi di accesso e utente calcolando alcuni rischi in tempo reale o offline dopo l'autenticazione. Il rilevamento dei rischi in tempo reale all'accesso offre il vantaggio di identificare i rischi in anticipo in modo che i clienti possano analizzare rapidamente il potenziale compromesso. Nei rilevamenti che calcolano il rischio offline, possono fornire maggiori informazioni su come l'attore della minaccia ha ottenuto l'accesso all'account e l'effetto sull'utente legittimo. Alcuni rilevamenti possono essere attivati sia offline che durante l'accesso, aumentando così la probabilità di essere precisi sulla compromissione.
I rilevamenti attivati in tempo reale richiedono 5-10 minuti per visualizzare i dettagli nei report. I rilevamenti offline richiedono fino a 48 ore per essere visualizzati nei report, perché è necessario tempo per valutare le proprietà del potenziale rischio.
Nota
Il sistema potrebbe rilevare che l'evento di rischio che ha contribuito al punteggio di rischio utente è stato:
- Falso positivo
- Il rischio utente è stato mitigato dalle politiche in uno dei seguenti modi:
- Completamento dell'autenticazione a più fattori
- Modifica della password sicura
Il nostro sistema ignora lo stato di rischio e appare un dettaglio del rischio di AI che conferma l'accesso sicuro, quindi lo stato di rischio non contribuisce più al rischio complessivo dell'utente.
Nei dati dettagliati sui rischi, Time Detection registra il momento esatto in cui viene identificato un rischio durante l'accesso di un utente, consentendo la valutazione dei rischi in tempo reale e l'applicazione immediata delle politiche per proteggere l'utente e l'organizzazione. L'ultimo aggiornamento del rilevamento mostra l'aggiornamento più recente a un rilevamento dei rischi, che potrebbe essere dovuto a nuove informazioni, modifiche del livello di rischio o azioni amministrative e garantisce la gestione dei rischi aggiornata.
Questi campi sono essenziali per il monitoraggio in tempo reale, la risposta alle minacce e la gestione dell'accesso sicuro alle risorse dell'organizzazione.
Rilevamenti dei rischi mappati a riskEventType
| Rilevamenti dei rischi | Tipo di rilevamento | Tipo | tipoDiEventoDiRischio |
|---|---|---|---|
| Rilevamento dei rischi di accesso | |||
| Attività dall'indirizzo IP anonimo | Fuori rete | Premium | indirizzo IP rischioso |
| Rilevato rischio aggiuntivo (accesso) | In tempo reale o offline | Nonpremium | generic = Classificazione di rilevamento Premium per tenant non P2 |
| Amministratore confermato che l'utente è stato compromesso | Fuori rete | Nonpremium | amministratoreConfermaUtenteCompromesso |
| Token anomalo (autenticazione) | In tempo reale o offline | Premium | anomalousToken |
| Indirizzo IP anonimo | In tempo reale | Non di fascia premium | indirizzoIPAnonimizzato |
| Viaggio atipico | Fuori rete | Premium | viaggio improbabile |
| Viaggio impossibile | Fuori rete | Di lusso | mcasImpossibleViaggio |
| Indirizzo IP dannoso | Fuori rete | Premium | indirizzoIP malevolo |
| Accesso di massa ai file sensibili | Fuori rete | Di alta qualità | mcasFinSuspiciousFileAccess |
| Intelligence sulle minacce di Microsoft Entra (accesso) | In tempo reale o offline | Non esclusivo | indagini sull'intelligence delle minacce |
| Nuovo paese | Fuori rete | Di lusso | nuovoPaese |
| Attacco a spruzzo di password | In tempo reale o offline | Premium | passwordSpray |
| Browser sospetto | Fuori rete | Premium | browserSospetto |
| Inoltro sospetto della Posta in arrivo | Fuori rete | Premium | inoltro sospetto della posta in arrivo |
| Regole sospette di manipolazione della Posta in arrivo | Fuori rete | Premium | mcasRegoleDiManipolazioneDellaPostaInArrivoSospette |
| Anomalia dell'emittente del token | Fuori rete | Premium | tokenIssuerAnomaly |
| Proprietà di accesso non note | In tempo reale | Premium | non familiareFeatures |
| IP dell'attore di minacce verificato | In tempo reale | Premium | IP di stato nazionale |
| Rilevamenti dei rischi utente | |||
| Rilevato rischio aggiuntivo (utente) | In tempo reale o offline | Nonpremium | generic = Classificazione di rilevamento Premium per tenant che non sono P2 |
| token anomalo (utente) | In tempo reale o offline | Di alta qualità | anomalousToken |
| Attività utente anomale | Fuori rete | Premium | attività utente anomala |
| Attaccante nel mezzo | Fuori rete | Di lusso | attackerinTheMiddle |
| Credenziali trapelate | Fuori rete | Non di lusso | credenziali trapelate |
| Intelligence sulle minacce di Microsoft Entra (utente) | In tempo reale o offline | Nonpremium | indagini di intelligence sulle minacce |
| Possibile tentativo di accesso al token di aggiornamento primario (PRT) | Fuori rete | Premium | tentativo di accesso alla stampante |
| Traffico API sospetto | Fuori rete | di alta qualità | traffico API sospetto |
| Modelli di invio sospetti | Fuori rete | Premium | modelli di invio sospetti |
| Attività sospetta segnalata dall'utente | Fuori rete | Premium | attività sospetta segnalata dall'utente |
Per altre informazioni sui rilevamenti dei rischi di identità del carico di lavoro, vedere Protezione delle identità del carico di lavoro.
Rilevamenti Premium
I rilevamenti Premium seguenti sono visibili solo ai clienti Microsoft Entra ID P2.
Rilevamenti dei rischi di accesso Premium
Attività da un indirizzo IP anonimo
Calcolato offline. Questo rilevamento viene effettuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento identifica che gli utenti sono stati attivi da un indirizzo IP identificato come indirizzo IP proxy anonimo.
Token di accesso anomalo
Calcolato in tempo reale o offline. Questo rilevamento indica caratteristiche anomale nel token, ad esempio una durata insolita o l'uso del token in un luogo non familiare. Questo rilevamento copre i token di sessione e i token di aggiornamento.
Il token anomalo viene ottimizzato per generare più rumore rispetto ad altri rilevamenti allo stesso livello di rischio. Questo compromesso viene scelto per aumentare la probabilità di rilevare token riprodotti che altrimenti potrebbero non essere rilevati. C'è una probabilità superiore al normale che alcune delle sessioni contrassegnate da questo rilevamento siano falsi positivi. È consigliabile analizzare le sessioni contrassegnate da questo rilevamento nel contesto di altri accessi dell'utente. Se la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono impreviste per l'utente, l'amministratore deve considerare questo rischio come indicatore della potenziale riproduzione del token.
Suggerimenti per l'analisi dei rilevamenti di token anomali.
Viaggio atipico
Calcolato offline. Questo tipo di rilevamento dei rischi identifica due accessi provenienti da posizioni geograficamente distanti, in cui almeno una delle posizioni potrebbe anche essere atipica per l'utente, in base al comportamento passato. L'algoritmo tiene conto di più fattori, tra cui il tempo tra i due accessi e il tempo necessario per consentire all'utente di spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.
L'algoritmo ignora i "falsi positivi" evidenti che contribuiscono alle condizioni di impossibilità del trasferimento, ad esempio le VPN e le posizioni usate regolarmente da altri utenti nell'organizzazione. Il sistema ha un periodo di apprendimento iniziale dei primi di 14 giorni o 10 accessi, durante il quale apprende il comportamento di accesso di un nuovo utente.
Suggerimenti per l'analisi dei rilevamenti di viaggi atipici.
Spostamento fisico impossibile
Calcolato in modalità offline. Questo rilevamento è stato scoperto usando informazioni fornite da Microsoft Defender per Cloud Apps. Questo rilevamento identifica le attività utente (in una o più sessioni) provenienti da posizioni geograficamente distanti entro un periodo di tempo più breve rispetto al tempo necessario per spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.
Indirizzo IP dannoso
Calcolato offline. Questo rilevamento indica l'accesso da un indirizzo IP dannoso. Un indirizzo IP è considerato dannoso in base a tassi di errore elevati a causa di credenziali non valide ricevute dall'indirizzo IP o da altre origini di reputazione IP. In alcuni casi, questo rilevamento si attiva in caso di attività dannose precedenti.
Suggerimenti per l'analisi dei rilevamenti di indirizzi IP dannosi.
Accesso di massa ai file sensibili
Calcolato offline. Questo rilevamento è stato scoperto usando le informazioni fornite da Microsoft Defender per le app Cloud. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando gli utenti accedono a più file da Microsoft SharePoint Online o Microsoft OneDrive. Viene attivato un avviso solo se il numero di file a cui si accede non è comune per l'utente e i file potrebbero contenere informazioni riservate.
Nuovo paese
Calcolato offline. Questo rilevamento è stato scoperto usando le informazioni fornite da Microsoft Defender per le app per il cloud. Questo rilevamento prende in considerazione le posizioni relative alle attività usate in passato per determinare posizioni nuove e non frequenti. Il motore di rilevamento di anomalie archivia informazioni sulle località precedenti usate dagli utenti dell'organizzazione.
Password spraying
Calcolato in tempo reale o offline. Un attacco di password spray è un attacco in cui più identità vengono colpite usando password comuni in modo coordinato e forzato. Il rilevamento dei rischi viene attivato quando la password di un account è valida e ha un tentativo di accesso. Questo rilevamento segnala che la password dell'utente è stata identificata correttamente tramite un attacco di password spraying, ma non che l'attaccante sia stato in grado di accedere a risorse.
Suggerimenti per l'indagine sui rilevamenti di password spray.
Browser sospetto
Calcolato offline. Il rilevamento di browser sospetti indica un comportamento anomalo basato su attività di accesso sospette da parte di più tenant provenienti da paesi o regioni diverse utilizzando lo stesso browser.
Suggerimenti per l'analisi dei rilevamenti sospetti del browser.
Inoltro sospetto della casella di posta
Calcolo effettuato offline. Questo rilevamento è stato scoperto usando le informazioni fornite da Microsoft Defender per Cloud Apps. Questo rilevamento consente di rilevare regole di inoltro della posta elettronica sospette, ad esempio se un utente ha creato una regola per la posta in arrivo che inoltra una copia di tutti i messaggi di posta elettronica a un indirizzo esterno.
Regole sospette di manipolazione della Posta in arrivo
Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender for Cloud Apps. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando vengono impostate regole sospette che eliminano o spostano messaggi o cartelle nella posta in arrivo di un utente. Questo rilevamento potrebbe indicare: l'account di un utente viene compromesso, i messaggi vengono intenzionalmente nascosti e la cassetta postale viene usata per distribuire posta indesiderata o malware nell'organizzazione.
Anomalia dell'emittente del token
Calcolato offline. Questo rilevamento dei rischi indica che l'autorità emittente del token SAML per il token SAML associato è potenzialmente compromessa. Le affermazioni incluse nel token sono insolite o corrispondono a modelli noti di attaccanti.
Suggerimenti per l'indagine sui rilevamenti di anomalie dell'emittente di token.
Proprietà di accesso insolite
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi considera la cronologia degli accessi precedenti per cercare accessi anomali. Il sistema archivia informazioni sugli accessi precedenti e attiva un rilevamento dei rischi quando si verifica un accesso con proprietà non note all'utente. Queste proprietà possono includere IP, ASN, posizione, dispositivo, browser e subnet IP del tenant. Gli utenti appena creati si trovano in un periodo di "modalità di apprendimento" in cui il rilevamento dei rischi delle proprietà di accesso non familiare viene disattivato mentre gli algoritmi apprendono il comportamento dell'utente. La durata della modalità di apprendimento è dinamica e dipende dal tempo necessario per raccogliere informazioni sufficienti sui modelli di accesso dell'utente. La durata minima è di cinque giorni. Un utente può tornare alla modalità di apprendimento dopo un lungo periodo di inattività.
È anche possibile eseguire questo rilevamento per l'autenticazione di base (o i protocolli legacy). Poiché questi protocolli non hanno proprietà moderne, ad esempio l'ID client, esistono dati limitati per ridurre i falsi positivi. È consigliabile passare all'autenticazione moderna.
Le proprietà di accesso non note possono essere rilevate sia negli accessi interattivi che non interattivi. Quando questo rilevamento viene rilevato sugli accessi non interattivi, merita un maggiore esame a causa del rischio di attacchi di riproduzione dei token.
La selezione delle proprietà di accesso non familiari consente di visualizzare ulteriori informazioni che mostrano più dettagli sul motivo per cui questo rischio è stato attivato.
IP dell'attore di minacce verificato
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica l'attività di accesso coerente con gli indirizzi IP noti associati agli attori dello stato nazionale o ai gruppi di criminalità informatica, in base ai dati di Microsoft Threat Intelligence Center (MSTIC).
Rilevamenti di rischi utente Premium
Token anomalo (utente)
Calcolato in tempo reale o offline. Questo rilevamento indica caratteristiche anomale nel token, ad esempio una durata insolita o un token proveniente da una località sconosciuta. Questo rilevamento copre i token di sessione e i token di aggiornamento.
Il token anomalo viene ottimizzato per generare più rumore rispetto ad altri rilevamenti allo stesso livello di rischio. Questo compromesso viene scelto per aumentare la probabilità di rilevare token riprodotti che altrimenti potrebbero non essere rilevati. C'è una probabilità superiore al normale che alcune delle sessioni contrassegnate da questo rilevamento siano falsi positivi. È consigliabile analizzare le sessioni contrassegnate da questo rilevamento nel contesto di altri accessi dell'utente. Se la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono impreviste per l'utente, l'amministratore deve considerare questo rischio come indicatore della potenziale riproduzione del token.
Suggerimenti per l'analisi dei rilevamenti di token anomali.
Attività utente anomale
Calcolato offline. Questo rilevamento dei rischi indica il normale comportamento dell'utente amministrativo in Microsoft Entra ID e individua modelli anomali di comportamento, ad esempio modifiche sospette alla directory. Il rilevamento viene attivato in base all'amministratore che apporta la modifica o all'oggetto modificato.
Attacco del tipo 'Man in the Middle'
Calcolato offline. Noto anche come Avversario nel Mezzo, questo rilevamento ad alta precisione viene attivato quando una sessione di autenticazione è collegata a un reverse proxy dannoso. In questo tipo di attacco, l'antagonista può intercettare le credenziali dell'utente, inclusi i token emessi all'utente. Il team di Microsoft Security Research usa Microsoft 365 Defender per catturare il rischio identificato e valutare l'utente a livello alto di rischio. È consigliabile che gli amministratori esaminino manualmente l'utente quando questo rilevamento viene attivato per assicurarsi che il rischio venga cancellato. La cancellazione di questo rischio potrebbe richiedere la reimpostazione sicura della password o la revoca delle sessioni esistenti.
Possibile tentativo di accesso al token di aggiornamento primario (PRT)
Calcolato offline. Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per endpoint (MDE). Un token di aggiornamento primario (PRT) è un artefatto chiave dell'autenticazione di Microsoft Entra in Windows 10, Windows Server 2016 e versioni successive, iOS e dispositivi Android. Un token PRT è un token JSON Web (JWT) rilasciato ai broker di token di prima parte Microsoft per abilitare l'accesso Single Sign-On (SSO) tra le applicazioni usate in tali dispositivi. Gli utenti malintenzionati possono tentare di accedere a questa risorsa per spostarsi successivamente in un'organizzazione o eseguire il furto di credenziali. Questo rilevamento sposta gli utenti a rischio elevato e viene attivato solo nelle organizzazioni che implementano MDE. Questo rilevamento è ad alto rischio ed è consigliabile richiedere la correzione di questi utenti. Appare raramente nella maggior parte delle organizzazioni a causa del volume basso.
Traffico dell'API sospetto
Calcolato offline. Questo rilevamento dei rischi viene segnalato quando viene osservato il traffico GraphAPI anomalo o l'enumerazione della directory. Il traffico API sospetto potrebbe suggerire che un utente sia compromesso e che stia eseguendo operazioni di ricognizione nell'ambiente.
Modelli di invio sospetti
Calcolato offline. Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per Office 365 (MDO). Questo avviso viene generato quando un utente dell'organizzazione ha inviato un'email sospetta ed è a rischio di essere limitato o è già limitato a inviare email. Questo rilevamento sposta gli utenti a medio rischio e viene attivato solo nelle organizzazioni che implementano MDO. Questo rilevamento è basso volume ed è visto raramente nella maggior parte delle organizzazioni.
Attività sospetta segnalata dall'utente
Calcolato offline. Questo rilevamento dei rischi viene segnalato quando un utente nega una richiesta di autenticazione a più fattori (MFA) e la segnala come attività sospetta. Una richiesta di autenticazione a più fattori non avviata da un utente potrebbe significare che le credenziali sono compromesse.
Rilevamenti non premium
I clienti senza licenze Microsoft Entra ID P2 ricevono rilevamenti denominati Rischio aggiuntivo rilevato senza le informazioni dettagliate relative al rilevamento che i clienti con licenze P2 fanno. Per altre informazioni, vedere i requisiti di licenza.
Rilevamenti dei rischi di accesso non-premium
Rilevato rischio aggiuntivo (accesso)
Calcolato in tempo reale o offline. Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.
L'amministratore ha confermato che l'utente è compromesso
Calcolato offline. Questo rilevamento indica che un amministratore ha selezionato Confermare la compromissione dell'utente nell'interfaccia utente degli utenti a rischio o l'uso dell'API riskyUsers. Per vedere quale amministratore ha confermato questo utente compromesso, controllare la cronologia dei rischi dell'utente (tramite l'interfaccia utente o l'API).
Indirizzo IP anonimo
Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica gli accessi da un indirizzo IP anonimo (ad esempio, browser Tor o VPN anonima). Questi indirizzi IP vengono in genere usati dagli attori che vogliono nascondere le informazioni di accesso (indirizzo IP, posizione, dispositivo e così via) per finalità potenzialmente dannose.
Intelligenza sulle minacce di Microsoft Entra (autenticazione)
Calcolato in tempo reale o offline. Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle fonti di informazioni sulle minacce interne ed esterne di Microsoft.
Suggerimenti per l'analisi dei rilevamenti di Intelligence sulle minacce di Microsoft Entra.
Rilevamenti di rischi per utenti non-premium
Rilevato rischio aggiuntivo (utente)
Calcolato in tempo reale o offline. Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.
Credenziali trapelate
Calcolato offline. Questo tipo di rilevamento dei rischi indica che le credenziali valide dell'utente sono perse. Quando i criminali informatici comprometteno password valide di utenti legittimi, spesso condividono queste credenziali raccolte. in genere condividendole pubblicamente sul dark web, su siti di pastebin, oppure scambiandole o vendendole al mercato nero. Quando il servizio di credenziali trapelate di Microsoft acquisisce le credenziali utente dal dark web, da siti di paste o da altre origini, tali credenziali vengono confrontate con le credenziali valide correnti degli utenti di Microsoft Entra per trovare corrispondenze valide. Per altre informazioni sulle credenziali perse, vedere domande comuni.
Suggerimenti per l'indagine sulle individuazioni delle credenziali compromesse.
Intelligenza delle minacce di Microsoft Entra (utente)
Calcolato offline. Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle fonti di informazioni sulle minacce interne ed esterne di Microsoft.
Suggerimenti per l'analisi dei rilevamenti di Intelligence sulle minacce di Microsoft Entra.
Domande frequenti
Cosa accade se sono state usate credenziali non corrette per tentare l'accesso?
Protezione ID genera rilevamenti dei rischi solo quando vengono usate le credenziali corrette. Se le credenziali non corrette vengono usate in un accesso, non rappresenta il rischio di compromissione delle credenziali.
È necessaria la sincronizzazione dell'hash delle password?
I rilevamenti dei rischi, ad esempio le credenziali perse, richiedono la presenza di hash delle password per il rilevamento. Per altre informazioni sulla sincronizzazione dell'hash delle password, vedere l'articolo Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync.
Perché i rilevamenti dei rischi vengono generati per gli account disabilitati?
Gli account utente in uno stato disabilitato possono essere nuovamente abilitati. Se le credenziali di un account disabilitato vengono compromesse e l'account viene riabilitato, gli attori malintenzionati potrebbero usare tali credenziali per ottenere l'accesso. Protezione ID genera rilevamenti dei rischi per attività sospette su questi account disabilitati per avvisare i clienti di potenziali compromissioni dell'account. Se un account non è più in uso e non verrà riabilitato, i clienti devono prendere in considerazione l'eliminazione per impedire la compromissione. Non vengono generati rilevamenti di rischi per gli account eliminati.
Ho provato a ordinare il report Rilevamenti dei rischi usando la colonna tempo di rilevamento, ma non funziona.
L'ordinamento per tempo di rilevamento nel report sui rilevamenti di rischi potrebbe non fornire sempre il risultato corretto a causa di un vincolo tecnico noto. Per ordinare in base al tempo di rilevamento , selezionare Scarica per esportare i dati come file CSV e ordinare di conseguenza.
Domande comuni sulle credenziali trapelate
Dove trova Microsoft le credenziali trapelate?
Microsoft trova credenziali compromesse in varie posizioni, tra cui:
- Siti di condivisione pubblica dove i malintenzionati di solito pubblicano tale materiale.
- Forze dell'ordine.
- Altri gruppi di Microsoft che eseguono ricerche sul Web scuro.
Perché non vedo credenziali compromesse?
Le credenziali compromesse vengono elaborate tutte le volte che Microsoft trova un nuovo insieme disponibile pubblicamente. A causa della natura sensibile, le credenziali perse vengono eliminate poco dopo l'elaborazione. Solo le nuove credenziali compromesse rilevate dopo aver abilitato la sincronizzazione dell'hash delle password (PHS) vengono elaborate contro il tenant. La verifica delle coppie di credenziali rilevate in precedenza non viene eseguita.
Non vengono visualizzati eventi di rischio delle credenziali perse
Se non vengono visualizzati eventi di rischio delle credenziali compromesse, è dovuto ai seguenti motivi:
- Non hai attivato PHS per il tuo tenant.
- Microsoft non ha trovato coppie di credenziali compromesse che corrispondono ai tuoi utenti.
Con quale frequenza Microsoft elabora nuove credenziali?
Le credenziali vengono elaborate immediatamente dopo che vengono trovate, in genere in più batch al giorno.
Posizioni
La posizione nei rilevamenti dei rischi viene determinata usando la ricerca dell'indirizzo IP. Gli accessi da posizioni denominate attendibili migliorano l'accuratezza del calcolo dei rischi di Microsoft Entra ID Protection, riducendo il rischio di accesso di un utente quando eseguono l'autenticazione da una posizione contrassegnata come attendibile.