Come analizzare i rischi

2025-10-08

Microsoft Entra ID Protection fornisce diversi report sui rischi che possono essere usati per analizzare i rischi di identità nell'ambiente in uso. L'analisi degli eventi è fondamentale per comprendere meglio e identificare eventuali punti deboli nella strategia di sicurezza. I report di Protezione ID possono essere archiviati per l'archiviazione o integrati con strumenti SIEM (Security Information and Event Management) per ulteriori analisi. Le organizzazioni possono anche sfruttare le integrazioni dell'API Microsoft Defender, Microsoft Sentinel e Microsoft Graph per aggregare i dati con altre origini.

Esistono molti modi per analizzare i rischi nell'ambiente e altri dettagli da considerare durante l'indagine. Questo articolo fornisce un framework che consente di iniziare e delinea alcuni degli scenari più comuni e le azioni consigliate.

Prerequisiti

La licenza Microsoft Entra ID P2 o Microsoft Entra Suite è necessaria per l'accesso completo alle funzionalità di Microsoft Entra ID Protection.
Lettore globale è il ruolo con privilegi minimi necessario per visualizzare i report sui rischi.
Lettore report è il ruolo con privilegi minimi necessari per visualizzare i log di accesso e di controllo.

Valutazione iniziale

Quando si avvia la valutazione iniziale, è consigliabile eseguire le azioni seguenti:

Esaminare il dashboard protezione ID per visualizzare il numero di attacchi, il numero di utenti ad alto rischio e altre metriche importanti in base ai rilevamenti nell'ambiente.
Esaminare i report sui rischi per esaminare i dettagli di eventuali utenti a rischio recenti, accessi o rilevamenti.
Esaminare la cartella di lavoro Analisi dell'impatto per comprendere gli scenari in cui il rischio è evidente nell'ambiente e quali criteri di accesso basati sui rischi devono essere abilitati per gestire utenti e accessi ad alto rischio.
Esaminare i log di accesso per identificare attività simili con le stesse caratteristiche. Questa attività potrebbe essere un'indicazione di account più compromessi.
1. Se esistono caratteristiche comuni, ad esempio l'indirizzo IP, l'area geografica, l'esito positivo/negativo e così via, è consigliabile bloccarli con criteri di accesso condizionale.
2. Esaminare le risorse che potrebbero essere compromesse, inclusi potenziali download di dati o modifiche amministrative.
3. Abilitare i criteri di correzione automatica tramite l'accesso condizionale.
Con La gestione dei rischi Insider tramite Microsoft Purview, è possibile verificare se l'utente ha eseguito altre attività rischiose, ad esempio il download di un volume elevato di file da una nuova posizione. Questo comportamento è un'indicazione forte di una possibile compromissione.

Se si sospetta che un utente malintenzionato possa rappresentare l'utente, è necessario richiedere all'utente di reimpostare la password ed eseguire l'autenticazione a più fattori o bloccare l'utente e revocare tutti i token di aggiornamento e di accesso.

Framework di monitoraggio e correzione dei rischi

Le organizzazioni possono usare il framework seguente per analizzare le attività sospette. Quando viene rilevato il rischio, il primo passaggio consigliato è la correzione automatica, se si tratta di un'opzione. La correzione automatica può essere eseguita tramite la reimpostazione della password self-service o tramite il flusso di correzione di un criterio di accesso condizionale basato sul rischio.

Se la correzione automatica non è un'opzione, un amministratore deve correggere il rischio. La correzione viene eseguita richiamando una reimpostazione della password, richiedendo all'utente di ripetere la registrazione per l'autenticazione a più fattori, bloccando l'utente o revocando le sessioni utente. Il grafico di flusso seguente mostra il flusso consigliato una volta rilevato un rischio:

Una volta contenuto il rischio, potrebbero essere necessarie ulteriori indagini per contrassegnare il rischio come sicuro, compromesso o per ignorarlo.

Controllare i log di accesso e verificare se l'attività è normale per l'utente specificato.
1. Esaminare le attività passate dell'utente, incluse le proprietà seguenti per verificare se sono normali per l'utente specificato.
  - Applicazione: l'app viene comunemente usata dall'utente?
  - Dispositivo: il dispositivo è registrato o conforme?
  - Località: l'utente è in viaggio in una posizione diversa o accede ai dispositivi da più posizioni?
  - Indirizzo IP
  - Stringa dell'agente utente
Esaminare l'uso di altri strumenti di sicurezza, se disponibili.
- Se si dispone di Microsoft Sentinel, verificare la presenza di avvisi corrispondenti che potrebbero indicare un problema più grande.
- Se si dispone di Microsoft Defender XDR, è possibile seguire un evento di rischio utente tramite altri avvisi, eventi imprevisti e catena MITRE ATT&CK.
  - Per spostarsi dal report Utenti rischiosi, selezionare un utente > selezionare i puntini di sospensione (...) > selezionare Ricerca con Microsoft 365 Defender.
Contattare l'utente per confermare se riconosce l'accesso; Tenere tuttavia presente che la posta elettronica o Teams potrebbe essere compromessa.
1. Confermare le informazioni disponibili, ad esempio:
  - Timestamp:
  - Applicazione
  - Dispositivo
  - Titolo
  - Indirizzo IP
A seconda dei risultati dell'indagine, contrassegnare l'utente o l'accesso come compromesso confermato, confermato sicuro o ignorare il rischio.
Configurare criteri di accesso condizionale basati sul rischio per evitare attacchi simili o per risolvere eventuali lacune nella copertura.

Analizzare rilevamenti specifici

Alcuni rilevamenti dei rischi richiedono passaggi di indagine specifici. Le sezioni seguenti illustrano alcune delle azioni consigliate e i rilevamenti dei rischi più comuni.

Intelligence sulle minacce per Microsoft Entra

Per analizzare un rilevamento dei rischi di Intelligence per le minacce di Microsoft Entra, seguire questa procedura in base alle informazioni fornite nel campo "informazioni aggiuntive" del riquadro Dettagli rilevamento rischi:

Se l'accesso proviene da un indirizzo IP sospetto:
1. Verificare se l'indirizzo IP mostra un comportamento sospetto nell'ambiente in uso.
2. L'INDIRIZZO IP genera un numero elevato di errori per un utente o un set di utenti nella directory?
3. Il traffico dell'IP proveniente da un protocollo o da un'applicazione imprevista, ad esempio protocolli legacy di Exchange?
4. Se l'indirizzo IP corrisponde a un provider di servizi cloud, escludere che non siano presenti applicazioni aziendali legittime in esecuzione dallo stesso INDIRIZZO IP.
L'account è stato vittima di un attacco password spray
1. Verificare che nessun altro utente nella directory sia destinato allo stesso attacco.
2. Determinare se altri utenti hanno accessi con modelli atipici simili visualizzati nell'accesso rilevato nello stesso intervallo di tempo. Gli attacchi password spraying potrebbero mostrare modelli insoliti in:
  - Stringa agente utente
  - Applicazione
  - Protocollo
  - Intervalli di indirizzi IP/ASN
  - Tempo e frequenza degli accessi
Il rilevamento è stato attivato da una regola in tempo reale
1. Verificare che nessun altro utente nella directory sia destinato allo stesso attacco. Queste informazioni sono disponibili usando il numero TI_RI_#### assegnato alla regola.
2. Le regole in tempo reale proteggono da nuovi attacchi identificati dall'intelligence sulle minacce di Microsoft. Se più utenti nella directory erano bersagli dello stesso attacco, analizzare modelli insoliti in altri attributi dell'accesso.

Rilevamenti di viaggi atipici

Se si conferma che l'attività non è stata eseguita da un utente legittimo:
1. Contrassegnare l'accesso come compromesso e richiamare una reimpostazione della password se non è già stata eseguita dalla correzione automatica.
2. Bloccare l'utente se l'utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori e reimpostare la password.
Se un utente è noto per usare l'indirizzo IP nell'ambito dei propri compiti, confermare l'accesso come sicuro.
Se si conferma che l'utente ha viaggiato di recente nella destinazione indicata in dettaglio nell'avviso, confermare l'accesso come sicuro.
Se si conferma che l'intervallo di indirizzi IP proviene da una VPN approvata, confermare l'accesso come sicuro e aggiungere l'intervallo di indirizzi IP VPN a posizioni denominate in Microsoft Entra ID e Microsoft Defender for Cloud Apps.

Rilevamenti di token anomalo e anomalie dell'emittente di token

Se si conferma che l'attività non è stata eseguita da un utente legittimo usando una combinazione di avvisi di rischio, posizione, applicazione, indirizzo IP, agente utente o altre caratteristiche impreviste per l'utente:
1. Contrassegnare l'accesso come compromesso e avviare una reimpostazione della password se non è già stata effettuata tramite auto-correzione.
2. Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare o eseguire la password.
3. Configurare criteri di accesso condizionale basati sul rischio per richiedere la reimpostazione della password, eseguire l'autenticazione a più fattori o bloccare l'accesso per tutti gli accessi ad alto rischio.
Se si conferma che la posizione, l'applicazione, l'indirizzo IP, l'agente utente o altre caratteristiche sono attese per l'utente e non ci sono altre indicazioni di compromissione, si può consentire all'utente di gestire autonomamente i criteri di accesso condizionale basato sul rischio oppure far sì che un amministratore confermi l'accesso come sicuro.

Per altre indagini sui rilevamenti basati su token, vedere il post di blog Tattiche token: Come prevenire, rilevare e rispondere al furto di token cloud il playbook di indagine sul furto di token.

Rilevamenti di attività sospette del browser

Questo rilevamento indica che l'utente non usa in genere il browser o l'attività all'interno del browser non corrisponde al comportamento normale dell'utente.

Confermare l'accesso come compromesso e richiamare una reimpostazione della password se non è già stata eseguita dalla correzione automatica. Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori.
Configurare criteri di accesso condizionale basati sul rischio per richiedere la reimpostazione della password, eseguire l'autenticazione a più fattori o bloccare l'accesso per tutti gli accessi ad alto rischio.

Rilevamenti di indirizzi IP dannosi

Se confermi che l'attività non è stata eseguita da un utente legittimo:
1. Confermare l'accesso come compromesso e richiamare una reimpostazione della password se non è già stata eseguita dalla correzione automatica.
2. Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori e reimpostare la password e revocare tutti i token.
3. Configurare criteri di accesso condizionale basati sul rischio per richiedere la reimpostazione della password o eseguire l'autenticazione a più fattori per tutti gli accessi ad alto rischio.
Se si conferma che l'utente usa l'indirizzo IP nell'ambito dei propri compiti, confermare l'accesso come sicuro.

Rilevamento di attacchi di password spray

Se confermi che l'attività non è stata eseguita da un utente legittimo:
1. Contrassegnare l'accesso come compromesso e richiamare una reimpostazione della password se non è già stata eseguita dalla correzione automatica.
2. Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori e reimpostare la password e revocare tutti i token.
Se si conferma che l'utente usa l'indirizzo IP nell'ambito dei propri compiti, confermare l'accesso come sicuro.
Se si conferma che l'account non è compromesso e non viene visualizzato alcun indicatore di forza bruta o password spraying sull'account:
1. Consentire all'utente di eseguire la correzione automatica con un criterio di accesso condizionale basato sul rischio o chiedere a un amministratore di confermare l'accesso come sicuro.
2. Assicurarsi che il blocco intelligente di Microsoft Entra sia configurato in modo appropriato per evitare blocchi di account non necessari.

Per altre indagini sui rilevamenti dei rischi di password spraying, vedere l'articolo Analisi password spraying.

Rilevamenti delle credenziali compromesse

Se questo rilevamento ha identificato una credenziale persa per un utente:

Confermare l'utente come compromesso e richiamare una reimpostazione della password se non è già stata eseguita da correzione automatica.
Bloccare l'utente se un utente malintenzionato ha accesso per reimpostare la password o eseguire l'autenticazione a più fattori e reimpostare la password e revocare tutti i token.

Attenuare i rischi futuri

Aggiungere VPN aziendali e intervalli di indirizzi IP a posizioni denominate nei criteri di Accesso Condizionale per ridurre i falsi positivi.
Prendere in considerazione la creazione di un database di viaggiatori noto per la creazione di report di viaggi aziendali aggiornati e usarlo per l'attività di viaggio tra riferimenti.
Fornire commenti e suggerimenti in Protezione ID per migliorare l'accuratezza del rilevamento e ridurre i falsi positivi.

Passaggi successivi

Commenti e suggerimenti

Questa pagina è stata utile?