Condividi tramite


Che cosa sono i rilevamenti dei rischi?

Microsoft Entra ID Protection fornisce alle organizzazioni informazioni sulle attività sospette nel tenant e consente loro di rispondere rapidamente per evitare ulteriori rischi. I rilevamenti dei rischi sono una risorsa potente che può includere qualsiasi attività sospetta o anomala correlata a un account utente nella directory. I rilevamenti dei rischi di Protezione ID possono essere collegati a un singolo utente o evento di accesso e contribuiscono al punteggio di rischio utente complessivo trovato nel report Utenti rischiosi.

I rilevamenti dei rischi utente potrebbero contrassegnare un account utente legittimo come a rischio, quando un potenziale attore di minacce ottiene l'accesso a un account compromettendo le credenziali o quando rileva un tipo di attività utente anomale. I rilevamenti dei rischi di accesso rappresentano la probabilità che una determinata richiesta di autenticazione non sia il proprietario autorizzato dell'account. Avere la possibilità di identificare i rischi a livello di utente e di accesso è fondamentale per consentire ai clienti di proteggere il tenant.

Livelli di rischio

Protezione ID classifica i rischi in tre livelli: basso, medio e alto. I livelli di rischio calcolati dagli algoritmi di Machine Learning e rappresentano quanto Microsoft sia sicuro che una o più credenziali dell'utente siano note da un'entità non autorizzata.

  • Un rilevamento dei rischi con livello di rischio alto indica che Microsoft è altamente sicuro che l'account sia compromesso.
  • Un rilevamento dei rischi con livello di rischio basso indica che ci sono anomalie presenti nelle credenziali di accesso o di un utente, ma è meno sicuro che queste anomalie indicano che l'account è compromesso.

Molti rilevamenti possono essere attivati a più di uno dei livelli di rischio a seconda del numero o della gravità delle anomalie rilevate. Ad esempio, le proprietà di accesso non note potrebbero essere attivate ad alta, media o bassa in base alla probabilità nei segnali. Alcuni rilevamenti, ad esempio le credenziali perse e l'indirizzo IP dell'attore di minacce verificato, vengono sempre recapitati come ad alto rischio.

Questo livello di rischio è importante quando si decide quali rilevamenti assegnare priorità, analizzare e correggere. Svolgono anche un ruolo fondamentale nella configurazione dei criteri di accesso condizionale basati sui rischi, in quanto ogni criterio può essere impostato per attivare i criteri per i rischi bassi, medi, alti o non rilevati rischi. In base alla tolleranza di rischio dell'organizzazione, è possibile creare criteri che richiedono l'autenticazione a più fattori o la reimpostazione della password quando protezione ID rileva un determinato livello di rischio per uno degli utenti. Questi criteri possono guidare l'utente a correggere automaticamente il rischio.

Importante

Tutti i rilevamenti a livello di rischio "basso" e gli utenti rimarranno nel prodotto per 6 mesi, dopo di che verranno obsoleti automaticamente per offrire un'esperienza di indagine più pulita. I livelli di rischio medio e alto verranno mantenuti fino a quando non vengono corretti o ignorati.

In base alla tolleranza di rischio dell'organizzazione, è possibile creare criteri che richiedono l'autenticazione a più fattori o la reimpostazione della password quando protezione ID rileva un determinato livello di rischio. Questi criteri potrebbero guidare l'utente a correggere automaticamente e risolvere il rischio o il blocco a seconda delle tolleranze.

Rilevamenti in tempo reale e offline

Protezione ID usa tecniche per aumentare la precisione dei rilevamenti dei rischi di accesso e utente calcolando alcuni rischi in tempo reale o offline dopo l'autenticazione. Il rilevamento dei rischi in tempo reale all'accesso offre il vantaggio di identificare i rischi in anticipo in modo che i clienti possano analizzare rapidamente il potenziale compromesso. Nei rilevamenti che calcolano il rischio offline, possono fornire maggiori informazioni su come l'attore delle minacce ha ottenuto l'accesso all'account e l'impatto sull'utente legittimo. Alcuni rilevamenti possono essere attivati sia offline che durante l'accesso, aumentando così la probabilità di essere precisi sulla compromissione.

I rilevamenti attivati in tempo reale richiedono 5-10 minuti per visualizzare i dettagli nei report. I rilevamenti offline richiedono fino a 48 ore per essere visualizzati nei report, perché è necessario tempo per valutare le proprietà del potenziale rischio.

Nota

Il sistema potrebbe rilevare che l'evento di rischio che ha contribuito al punteggio di rischio utente è stato:

  • Falso positivo
  • Il rischio utente è stato risolto dai criteri in uno dei due casi:
    • Completamento dell'autenticazione a più fattori
    • Modifica della password sicura

Il sistema ignora lo stato di rischio e un dettaglio del rischio di sicurezza dell'accesso confermato dall'IA mostrerà e non contribuirà più al rischio complessivo dell'utente.

Nei dati dettagliati sui rischi, rilevamento tempo registra il momento esatto in cui viene identificato un rischio durante l'accesso di un utente, che consente la valutazione dei rischi in tempo reale e l'applicazione immediata dei criteri per proteggere l'utente e l'organizzazione. L'ultimo aggiornamento del rilevamento mostra l'aggiornamento più recente a un rilevamento dei rischi, che potrebbe essere dovuto a nuove informazioni, modifiche del livello di rischio o azioni amministrative e garantisce la gestione dei rischi aggiornata.

Questi campi sono essenziali per il monitoraggio in tempo reale, la risposta alle minacce e la gestione dell'accesso sicuro alle risorse dell'organizzazione.

Rilevamenti dei rischi mappati a riskEventType

Rilevamenti dei rischi Tipo di rilevamento Type riskEventType
Rilevamenti dei rischi di accesso
Attività dall'indirizzo IP anonimo Fuori rete Premium riskyIPAddress
Rilevato rischio aggiuntivo (accesso) In tempo reale o offline Nonpremium generic = Classificazione di rilevamento Premium per tenant non P2
Amministratore confermato che l'utente è stato compromesso Fuori rete Nonpremium adminConfirmedUserCompromised
Token anomalo In tempo reale o offline Premium anomalousToken
Indirizzo IP anonimo In tempo reale Nonpremium anonimizzatoIPAddress
Viaggio atipico Fuori rete Premium unlikelyGuide
Comunicazione impossibile Fuori rete Premium mcasImpossibleGuide
Indirizzo IP dannoso Fuori rete Premium maliciousIPAddress
Accesso di massa ai file sensibili Fuori rete Premium mcasFinSuspiciousFileAccess
Intelligence sulle minacce di Microsoft Entra (accesso) In tempo reale o offline Nonpremium indaginiThreatIntelligence
Nuovo paese Fuori rete Premium newCountry
Password spraying Fuori rete Premium passwordSpray
Browser sospetto Fuori rete Premium suspiciousBrowser
Inoltro sospetto per la Posta in arrivo Fuori rete Premium suspiciousInboxForwarding
Regole sospette di manipolazione della Posta in arrivo Fuori rete Premium mcasSuspiciousInboxManipulationRules
Anomalie dell'autorità di certificazione del token Fuori rete Premium tokenIssuerAnomaly
Proprietà di accesso non note In tempo reale Premium non familiareFeatures
IP dell'attore di minacce verificato In tempo reale Premium nationStateIP
Rilevamenti dei rischi utente
Rilevato rischio aggiuntivo (utente) In tempo reale o offline Nonpremium generic = Classificazione di rilevamento Premium per tenant non P2
Attività utente anomale Fuori rete Premium anomalousUserActivity
Utente malintenzionato al centro Fuori rete Premium attackerinTheMiddle
Credenziali perse Fuori rete Nonpremium leakedCredentials
Intelligence sulle minacce di Microsoft Entra (utente) In tempo reale o offline Nonpremium indaginiThreatIntelligence
Possibile tentativo di accesso al token di aggiornamento primario (PRT) Fuori rete Premium attemptedPrtAccess
Traffico API sospetto Fuori rete Premium suspiciousAPITraffic
Modelli di invio sospetti Fuori rete Premium suspiciousSendingPatterns
Attività sospetta segnalata dall'utente Fuori rete Premium userReportedSuspiciousActivity

Per altre informazioni sui rilevamenti dei rischi di identità del carico di lavoro, vedere Protezione delle identità del carico di lavoro.

Rilevamenti Premium

I rilevamenti Premium seguenti sono visibili solo ai clienti Microsoft Entra ID P2.

Rilevamenti dei rischi di accesso Premium

Attività da un indirizzo IP anonimo

Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento identifica che gli utenti sono stati attivi da un indirizzo IP identificato come indirizzo IP proxy anonimo.

Token anomalo

Calcolato in tempo reale o offline. Questo rilevamento indica caratteristiche anomale nel token, ad esempio una durata insolita o un token riprodotto da una posizione non familiare. Questo rilevamento illustra i token di sessione e i token di aggiornamento.

Il token anomalo viene ottimizzato per generare più rumore rispetto ad altri rilevamenti allo stesso livello di rischio. Questo compromesso viene scelto per aumentare la probabilità di rilevare token riprodotti che altrimenti potrebbero non essere rilevati. C'è una probabilità superiore al normale che alcune delle sessioni contrassegnate da questo rilevamento siano falsi positivi. È consigliabile analizzare le sessioni contrassegnate da questo rilevamento nel contesto di altri accessi dell'utente. Se la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono impreviste per l'utente, l'amministratore deve considerare questo rischio come indicatore della potenziale riproduzione del token.

Suggerimenti per l'analisi dei rilevamenti di token anomali.

Spostamento fisico atipico

Calcolato offline. Questo tipo di rilevamento dei rischi identifica due accessi provenienti da posizioni geograficamente distanti, in cui almeno una delle posizioni potrebbe anche essere atipica per l'utente, in base al comportamento passato. L'algoritmo tiene conto di più fattori, tra cui il tempo tra i due accessi e il tempo necessario per consentire all'utente di spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.

L'algoritmo ignora i "falsi positivi" evidenti che contribuiscono alle condizioni di impossibilità del trasferimento, ad esempio le VPN e le posizioni usate regolarmente da altri utenti nell'organizzazione. Il sistema ha un periodo di apprendimento iniziale dei primi di 14 giorni o 10 accessi, durante il quale apprende il comportamento di accesso di un nuovo utente.

Suggerimenti per l'analisi dei rilevamenti di viaggi atipici.

Spostamento fisico impossibile

Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento identifica le attività utente (in una o più sessioni) provenienti da posizioni geograficamente distanti entro un periodo di tempo più breve rispetto al tempo necessario per spostarsi dalla prima posizione alla seconda. Questo rischio potrebbe indicare che un utente diverso usa le stesse credenziali.

Indirizzo IP dannoso

Calcolato offline. Questo rilevamento indica l'accesso da un indirizzo IP dannoso. Un indirizzo IP è considerato dannoso in base a tassi di errore elevati a causa di credenziali non valide ricevute dall'indirizzo IP o da altre origini di reputazione IP. In alcuni casi, questo rilevamento si attiva in caso di attività dannose precedenti.

Suggerimenti per l'analisi dei rilevamenti di indirizzi IP dannosi.

Accesso di massa ai file sensibili

Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando gli utenti accedono a più file da Microsoft SharePoint Online o Microsoft OneDrive. Viene attivato un avviso solo se il numero di file a cui si accede non è comune per l'utente e i file potrebbero contenere informazioni riservate.

Nuovo paese

Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento prende in considerazione le posizioni relative alle attività usate in passato per determinare posizioni nuove e non frequenti. Il motore di rilevamento di anomalie archivia informazioni sulle località precedenti usate dagli utenti dell'organizzazione.

Password spraying

Calcolato offline. Un attacco password spraying è la posizione in cui più identità vengono attaccate usando password comuni in modo di forza bruta unificata. Il rilevamento dei rischi viene attivato quando la password di un account è valida e ha un tentativo di accesso. Questo rilevamento segnala che la password dell'utente è stata identificata correttamente tramite un attacco password spraying, non che l'utente malintenzionato sia riuscito ad accedere alle risorse.

Suggerimenti per l'analisi dei rilevamenti di indirizzi IP dannosi.

Browser sospetto

Calcolato offline. Il rilevamento sospetto del browser indica un comportamento anomalo in base all'attività di accesso sospetta in più tenant di paesi diversi nello stesso browser.

Suggerimenti per l'analisi dei rilevamenti sospetti del browser.

Inoltro sospetto della Posta in arrivo

Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento consente di rilevare regole di inoltro della posta elettronica sospette, ad esempio se un utente ha creato una regola per la posta in arrivo che inoltra una copia di tutti i messaggi di posta elettronica a un indirizzo esterno.

Regole sospette di manipolazione della Posta in arrivo

Calcolato offline. Questo rilevamento viene individuato usando le informazioni fornite da Microsoft Defender per il cloud App. Questo rilevamento esamina l'ambiente e attiva gli avvisi quando vengono impostate regole sospette che eliminano o spostano messaggi o cartelle nella posta in arrivo di un utente. Questo rilevamento potrebbe indicare: l'account di un utente viene compromesso, i messaggi vengono intenzionalmente nascosti e la cassetta postale viene usata per distribuire posta indesiderata o malware nell'organizzazione.

Anomalie dell'autorità di certificazione del token

Calcolato offline. Questo rilevamento dei rischi indica che l'autorità emittente del token SAML per il token SAML associato è potenzialmente compromessa. Le attestazioni incluse nel token sono insolite o corrispondono a modelli noti di utenti malintenzionati.

Suggerimenti per l'analisi dei rilevamenti anomalie dell'autorità di certificazione dei token.

Proprietà di accesso insolite

Calcolato in tempo reale. Questo tipo di rilevamento dei rischi considera la cronologia degli accessi precedenti per cercare accessi anomali. Il sistema archivia informazioni sugli accessi precedenti e attiva un rilevamento dei rischi quando si verifica un accesso con proprietà non note all'utente. Queste proprietà possono includere IP, ASN, posizione, dispositivo, browser e subnet IP tenant. Gli utenti appena creati si trovano in un periodo di "modalità di apprendimento" in cui il rilevamento dei rischi delle proprietà di accesso non familiare viene disattivato mentre gli algoritmi apprendono il comportamento dell'utente. La durata della modalità di apprendimento è dinamica e dipende dal tempo necessario per raccogliere informazioni sufficienti sui modelli di accesso dell'utente. La durata minima è di cinque giorni. Un utente può tornare alla modalità di apprendimento dopo un lungo periodo di inattività.

È anche possibile eseguire questo rilevamento per l'autenticazione di base (o i protocolli legacy). Poiché questi protocolli non hanno proprietà moderne, ad esempio l'ID client, esistono dati limitati per ridurre i falsi positivi. È consigliabile passare all'autenticazione moderna.

Le proprietà di accesso non note possono essere rilevate sia negli accessi interattivi che non interattivi. Quando questo rilevamento viene rilevato sugli accessi non interattivi, merita un maggiore esame a causa del rischio di attacchi di riproduzione dei token.

La selezione di un rischio di accesso non familiare consente di visualizzare altre informazioni sul motivo per cui questo rischio è stato attivato.

IP dell'attore di minacce verificato

Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica l'attività di accesso coerente con gli indirizzi IP noti associati agli attori dello stato nazionale o ai gruppi di criminalità informatica, in base ai dati di Microsoft Threat Intelligence Center (MSTIC).

Rilevamenti di rischi utente Premium

Attività utente anomale

Calcolato offline. Questo rilevamento dei rischi indica il normale comportamento dell'utente amministrativo in Microsoft Entra ID e individua modelli anomali di comportamento, ad esempio modifiche sospette alla directory. Il rilevamento viene attivato in base all'amministratore che apporta la modifica o all'oggetto modificato.

Utente malintenzionato al centro

Calcolato offline. Noto anche come antagonista nel centro, questo rilevamento ad alta precisione viene attivato quando una sessione di autenticazione è collegata a un proxy inverso dannoso. In questo tipo di attacco, l'antagonista può intercettare le credenziali dell'utente, inclusi i token emessi all'utente. Il team di Microsoft Security Research usa Microsoft 365 Defender per acquisire il rischio identificato e aumentare il rischio dell'utente ad alto rischio. È consigliabile che gli amministratori esaminino manualmente l'utente quando questo rilevamento viene attivato per assicurarsi che il rischio venga cancellato. La cancellazione di questo rischio potrebbe richiedere la reimpostazione sicura della password o la revoca delle sessioni esistenti.

Possibile tentativo di accesso al token di aggiornamento primario (PRT)

Calcolato offline. Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per endpoint (MDE). Un token di aggiornamento primario (PRT) è un artefatto chiave dell'autenticazione di Microsoft Entra in Windows 10, Windows Server 2016 e versioni successive, iOS e Dispositivi Android. Un token PRT è un token JSON Web (JWT) rilasciato ai broker di token di prima parte Microsoft per abilitare l'accesso Single Sign-On (SSO) tra le applicazioni usate in tali dispositivi. Gli utenti malintenzionati possono tentare di accedere a questa risorsa per spostarsi successivamente in un'organizzazione o eseguire il furto di credenziali. Questo rilevamento sposta gli utenti ad alto rischio e viene attivato solo nelle organizzazioni che distribuiscono MDE. Questo rilevamento è ad alto rischio ed è consigliabile richiedere la correzione di questi utenti. Appare raramente nella maggior parte delle organizzazioni a causa del volume basso.

Traffico dell'API sospetto

Calcolato offline. Questo rilevamento dei rischi viene segnalato quando viene osservato il traffico GraphAPI anomalo o l'enumerazione della directory. Il traffico dell'API sospetto potrebbe suggerire che un utente sia compromesso e che eseduca la ricognizione nell'ambiente.

Modelli di invio sospetti

Calcolato offline. Questo tipo di rilevamento dei rischi viene individuato usando le informazioni fornite da Microsoft Defender per Office 365 (MDO). Questo avviso viene generato quando un utente dell'organizzazione ha inviato un messaggio di posta elettronica sospetto ed è a rischio di essere o è limitato all'invio di messaggi di posta elettronica. Questo rilevamento sposta gli utenti a medio rischio e viene attivato solo nelle organizzazioni che distribuiscono MDO. Questo rilevamento è basso volume ed è visto raramente nella maggior parte delle organizzazioni.

Attività sospetta segnalata dall'utente

Calcolato offline. Questo rilevamento dei rischi viene segnalato quando un utente nega una richiesta di autenticazione a più fattori (MFA) e la segnala come attività sospetta. Una richiesta di autenticazione a più fattori non avviata da un utente potrebbe significare che le credenziali sono compromesse.

Rilevamenti nonpremium

I clienti senza licenze Microsoft Entra ID P2 ricevono rilevamenti denominati Rischio aggiuntivo rilevato senza le informazioni dettagliate relative al rilevamento che i clienti con licenze P2 fanno. Per altre informazioni, vedere i requisiti di licenza.

Rilevamenti dei rischi di accesso nonpremium

Rilevato rischio aggiuntivo (accesso)

Calcolato in tempo reale o offline. Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.

L'amministratore ha confermato che l'utente è compromesso

Calcolato offline. Questo rilevamento indica che un amministratore ha selezionato Confermare la compromissione dell'utente nell'interfaccia utente degli utenti a rischio o l'uso dell'API riskyUsers. Per vedere quale amministratore ha confermato questo utente compromesso, controllare la cronologia dei rischi dell'utente (tramite l'interfaccia utente o l'API).

Indirizzo IP anonimo

Calcolato in tempo reale. Questo tipo di rilevamento dei rischi indica gli accessi da un indirizzo IP anonimo (ad esempio, browser Tor o VPN anonima). Questi indirizzi IP vengono in genere usati dagli attori che vogliono nascondere le informazioni di accesso (indirizzo IP, posizione, dispositivo e così via) per finalità potenzialmente dannose.

Intelligence sulle minacce di Microsoft Entra (accesso)

Calcolato in tempo reale o offline. Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle origini di intelligence sulle minacce interne ed esterne di Microsoft.

Suggerimenti per l'analisi dei rilevamenti di Intelligence sulle minacce di Microsoft Entra.

Rilevamenti di rischi utente nonpremium

Rilevato rischio aggiuntivo (utente)

Calcolato in tempo reale o offline. Questo rilevamento indica che è stato rilevato uno dei rilevamenti Premium. Poiché i rilevamenti Premium sono visibili solo ai clienti Microsoft Entra ID P2, sono denominati Rischi aggiuntivi rilevati per i clienti senza licenze Microsoft Entra ID P2.

Credenziali perse

Calcolato offline. Questo tipo di rilevamento dei rischi indica che le credenziali valide dell'utente sono perse. Quando i criminali informatici comprometteno password valide di utenti legittimi, spesso condividono queste credenziali raccolte. in genere pubblicandole sul dark Web o su siti pastebin oppure scambiandole o vendendole al mercato nero. Quando il servizio Credenziali perse di Microsoft acquisisce le credenziali utente dal dark Web, da siti pastebin o da altre origini, tali credenziali vengono confrontate con le credenziali valide correnti degli utenti di Microsoft Entra ID per trovare corrispondenze valide. Per altre informazioni sulle credenziali perse, vedere domande comuni.

Suggerimenti per l'analisi dei rilevamenti delle credenziali perse.

Intelligence sulle minacce di Microsoft Entra (utente)

Calcolato offline. Questo tipo di rilevamento dei rischi indica l'attività dell'utente insolita per l'utente o coerente con i modelli di attacco noti. Questo rilevamento si basa sulle origini di intelligence sulle minacce interne ed esterne di Microsoft.

Suggerimenti per l'analisi dei rilevamenti di Intelligence sulle minacce di Microsoft Entra.

Domande frequenti

Cosa accade se sono state usate credenziali non corrette per tentare l'accesso?

Protezione ID genera rilevamenti dei rischi solo quando vengono usate le credenziali corrette. Se le credenziali non corrette vengono usate in un accesso, non rappresenta il rischio di compromissione delle credenziali.

È necessaria la sincronizzazione dell'hash delle password?

I rilevamenti dei rischi, ad esempio le credenziali perse, richiedono la presenza di hash delle password per il rilevamento. Per altre informazioni sulla sincronizzazione dell'hash delle password, vedere l'articolo Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync.

Perché i rilevamenti dei rischi vengono generati per gli account disabilitati?

Gli account utente in uno stato disabilitato possono essere riabilitato. Se le credenziali di un account disabilitato vengono compromesse e l'account viene riabilitato, gli attori malintenzionati potrebbero usare tali credenziali per ottenere l'accesso. Protezione ID genera rilevamenti dei rischi per attività sospette su questi account disabilitati per avvisare i clienti di potenziali compromissioni dell'account. Se un account non è più in uso e non verrà riabilitato, i clienti devono prendere in considerazione l'eliminazione per impedire la compromissione. Non vengono generati rilevamenti di rischi per gli account eliminati.

Domande comuni sulle credenziali perse

Dove Microsoft trova le credenziali perse?

Microsoft trova credenziali perse in varie posizioni, tra cui:

  • Siti incollare pubblici in cui gli attori malintenzionati in genere pubblicano tale materiale.
  • Forze dell'ordine.
  • Altri gruppi di Microsoft che eseguono ricerche sul Web scuro.

Perché non vengono visualizzate credenziali perse?

Le credenziali perse vengono elaborate ogni volta che Microsoft trova un nuovo batch disponibile pubblicamente. A causa della natura sensibile, le credenziali perse vengono eliminate poco dopo l'elaborazione. Solo le nuove credenziali perse rilevate dopo aver abilitato la sincronizzazione dell'hash delle password (PHS) vengono elaborate nel tenant. La verifica delle coppie di credenziali rilevate in precedenza non viene eseguita.

Non vengono visualizzati eventi di rischio delle credenziali perse

Se non vengono visualizzati eventi di rischio delle credenziali perse, è dovuto ai motivi seguenti:

  • Non è stato abilitato PHS per il tenant.
  • Microsoft non ha trovato coppie di credenziali perse che corrispondono agli utenti.

Con quale frequenza Microsoft elabora nuove credenziali?

Le credenziali vengono elaborate immediatamente dopo che vengono trovate, in genere in più batch al giorno.

Posizioni

La posizione nei rilevamenti dei rischi viene determinata usando la ricerca dell'indirizzo IP. Gli accessi da posizioni denominate attendibili migliorano l'accuratezza del calcolo dei rischi di Microsoft Entra ID Protection, riducendo il rischio di accesso di un utente quando eseguono l'autenticazione da una posizione contrassegnata come attendibile.