Dashboard di Microsoft Entra ID Protection

Microsoft Entra ID Protection impedisce compromissioni dell'identità rilevando attacchi di identità e segnalando rischi. Consente ai clienti di proteggere le organizzazioni monitorando i rischi, analizzandoli e configurando criteri di accesso basati sul rischio per proteggere l'accesso sensibile e correggere automaticamente i rischi.

Il dashboard consente ai clienti di analizzare meglio il comportamento di sicurezza, comprendere il livello di protezione, identificare le vulnerabilità ed eseguire azioni consigliate.

Screenshot che mostra il dashboard di panoramica di Microsoft Entra ID Protection.

Questo dashboard è progettato per consentire alle organizzazioni di ottenere informazioni dettagliate dettagliate e consigli interattivi personalizzati per il tenant. Queste informazioni offrono una visualizzazione migliore del comportamento di sicurezza dell'organizzazione e consentono di abilitare di conseguenza protezioni efficaci. È possibile accedere alle metriche chiave, alla grafica degli attacchi, a una mappa che evidenzia le posizioni rischiose, alle raccomandazioni principali per migliorare il comportamento di sicurezza e le attività recenti.

Prerequisiti

Per accedere a questo dashboard, è necessario:

  • Licenze Microsoft Entra ID Free o Microsoft Entra ID P1 o Microsoft Entra ID P2 per gli utenti.
  • Per visualizzare un elenco completo delle raccomandazioni e selezionare i collegamenti di azione consigliati, sono necessarie licenze microsoft Entra ID P2.

Accedere al dashboard

È possibile accedere al dashboard tramite:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
  2. Passare a Protection Identity Protection>Dashboard (Dashboard protezione>identità).

Schede delle metriche

Man mano che si implementano altre misure di sicurezza, ad esempio i criteri basati sui rischi, la protezione del tenant rafforza. Di conseguenza, vengono ora disponibili quattro metriche chiave per comprendere l'efficacia delle misure di sicurezza disponibili.

Screenshot che mostra i grafici delle metriche nel dashboard.

Metric Definizione della metrica Frequenza di aggiornamento Dove visualizzare i dettagli
Numero di attacchi bloccati Numero di attacchi bloccati per questo tenant ogni giorno.

Un attacco viene considerato bloccato se l'accesso rischioso viene interrotto da qualsiasi criterio di accesso. Il controllo di accesso richiesto dai criteri deve impedire all'utente malintenzionato di accedere, bloccando quindi l'attacco in tempo reale.
Ogni 24 ore. Visualizzare i rilevamenti dei rischi che hanno determinato gli attacchi nel report Rilevamenti dei rischi, filtrare "Stato rischio" in base a:

- Correzione
- Respinto
-** Confermato sicuro**
Numero di utenti protetti Numero di utenti in questo tenant il cui stato di rischio è cambiato da A rischio a Correzione o Ignorato ogni giorno.

Uno stato di rischio risolto indica che l'utente ha corretto il rischio dell'utente completando l'autenticazione a più fattori o la modifica sicura della password e il relativo account è quindi protetto.

Uno stato di rischio Ignorato indica che un amministratore ha ignorato il rischio dell'utente perché ha identificato l'account dell'utente in modo che sia sicuro.
Ogni 24 ore. Visualizzare gli utenti protetti nel report Utenti rischiosi, filtrare "Stato rischio" in base a:

- Correzione
- Respinto
Tempo medio risolto dai tuoi utenti Tempo medio per lo stato di rischio degli utenti a rischio nel tenant per passare da A rischio a Correzione.

Lo stato di rischio di un utente cambia in Correzione quando ha corretto il rischio utente tramite MFA o la modifica della password sicura.

Per ridurre il tempo di correzione automatica nel tenant, distribuire criteri di accesso condizionale basati sul rischio.
Ogni 24 ore. Visualizzare gli utenti corretti nel report Utenti rischiosi, filtrare "Stato rischio" in base a:

- Correzione
Numero di nuovi utenti ad alto rischio rilevati Numero di nuovi utenti rischiosi con livello di rischio Elevato rilevato ogni giorno. Ogni 24 ore. Visualizzare gli utenti ad alto rischio nel report Utenti rischiosi, filtrare il livello di rischio in base a

- "Alto"

L'aggregazione dei dati per le tre metriche seguenti è iniziata il 22 giugno 2023, quindi queste metriche sono disponibili da tale data. Stiamo lavorando per aggiornare il grafico in modo che rifletta questo.

  • Numero di attacchi bloccati
  • Numero di utenti protetti
  • Tempo medio per correggere il rischio utente

I grafici forniscono una finestra di dati di 12 mesi in sequenza.

Immagine attacco

Per comprendere meglio l'esposizione ai rischi, viene introdotto un elemento grafico di attacco innovativo che mostra i modelli di attacco comuni basati sull'identità rilevati per il tenant. I modelli di attacco sono rappresentati dalle tecniche MITRE ATT&CK e sono determinati dai rilevamenti avanzati dei rischi. Per altre informazioni, vedere la sezione Tipo di rilevamento dei rischi per il mapping dei tipi di attacco MITRE.

Screenshot che mostra l'immagine dell'attacco nel dashboard.

Cosa viene considerato un attacco in Microsoft Entra ID Protection?

Un attacco è un evento in cui viene rilevato un attore non valido che tenta di accedere all'ambiente. Questo evento attiva un rilevamento dei rischi di accesso in tempo reale mappato a una tecnica MITRE ATT&CK corrispondente. Fare riferimento alla tabella seguente per il mapping tra i rilevamenti e gli attacchi di rischio di accesso in tempo reale di Microsoft Entra ID Protection in base alle tecniche MITRE ATT&CK.

Poiché il grafico degli attacchi illustra solo l'attività di rischio di accesso in tempo reale, l'attività dell'utente rischiosa non è inclusa. Per visualizzare le attività utente rischiose nell'ambiente, è possibile passare al report utenti rischiosi.

Come interpretare la grafica dell'attacco?

L'immagine presenta tipi di attacco che hanno interessato il tenant negli ultimi 30 giorni e indica se sono stati bloccati durante l'accesso. Sul lato sinistro viene visualizzato il volume di ogni tipo di attacco. A destra vengono visualizzati i numeri di attacchi bloccati e ancora da correggere. Il grafico viene aggiornato ogni 24 ore e conta i rilevamenti di accessi ai rischi che si verificano in tempo reale; pertanto, il numero totale di attacchi non corrisponde al numero totale di rilevamenti.

  • Bloccato: un attacco viene classificato come bloccato se l'accesso a rischio associato viene interrotto da un criterio di accesso, ad esempio richiedendo l'autenticazione a più fattori. Questa azione impedisce l'accesso dell'utente malintenzionato e blocca l'attacco.
  • Non risolti: accessi rischiosi riusciti che non sono stati interrotti e devono essere risolti. Di conseguenza, i rilevamenti dei rischi associati a questi accessi a rischio richiedono anche una correzione. È possibile visualizzare questi accessi e i rilevamenti dei rischi associati nel report Accessi a rischio filtrando con lo stato di rischio "A rischio".

Dove posso visualizzare gli attacchi?

Per visualizzare i dettagli degli attacchi, è possibile selezionare il numero di attacchi sul lato sinistro del grafico. Questo grafico consente di visualizzare il report dei rilevamenti dei rischi filtrato in base al tipo di attacco.

È possibile passare direttamente al report sui rilevamenti dei rischi e filtrare i tipi di attacco. Il numero di attacchi e rilevamenti non è uno a un mapping.

Tipo di rilevamento dei rischi per il mapping dei tipi di attacco MITRE

Rilevamento dei rischi di accesso in tempo reale Tipo di rilevamento Mapping delle tecniche MITRE ATT&CK Nome visualizzato dell'attacco Type
Token anomalo In tempo reale o offline T1539 Ruba cookie sessione Web/furto di token Premium
Proprietà di accesso insolite In tempo reale T1078 Accesso con un account valido (rilevato all'accesso) Premium
IP dell'attore di minacce verificato In tempo reale T1078 Accesso con un account valido (rilevato all'accesso) Premium
Indirizzo IP anonimo In tempo reale T1090 Offuscamento/accesso tramite proxy Nonpremium
Intelligence sulle minacce per Microsoft Entra In tempo reale o offline T1078 Accesso con un account valido (rilevato all'accesso) Nonpremium

Mapping

Viene fornita una mappa per visualizzare la posizione geografica degli accessi a rischio nel tenant. Le dimensioni della bolla riflettono il volume degli accessi a rischio in tale posizione. Passando il puntatore del mouse sulla bolla viene visualizzata una casella di chiamata, specificando il nome del paese e il numero di accessi a rischio da tale posizione.

Screenshot che mostra l'immagine della mappa nel dashboard.

Contiene gli elementi seguenti:

  • Intervallo di date: scegliere l'intervallo di date e visualizzare gli accessi a rischio dall'interno di tale intervallo di tempo sulla mappa. I valori disponibili sono: ultime 24 ore, ultimi sette giorni e ultimo mese.
  • Livello di rischio: scegliere il livello di rischio degli accessi a rischio da visualizzare. I valori disponibili sono: Alta, Media, Bassa.
  • Conteggio posizioni rischiose:
    • Definizione: numero di posizioni da cui provengono gli accessi a rischio del tenant.
    • L'intervallo di date e il filtro a livello di rischio si applicano a questo conteggio.
    • Selezionando questo conteggio si passa al report Accessi a rischio filtrato in base all'intervallo di date e al livello di rischio selezionato.
  • Conteggio accessi a rischio:
    • Definizione: numero di accessi a rischio totali con il livello di rischio selezionato nell'intervallo di date selezionato.
    • L'intervallo di date e il filtro a livello di rischio si applicano a questo conteggio.
    • Selezionando questo conteggio si passa al report Accessi a rischio filtrato in base all'intervallo di date e al livello di rischio selezionato.

Consigli

Le raccomandazioni di Microsoft Entra ID Protection consentono ai clienti di configurare il proprio ambiente per aumentare il comportamento di sicurezza. Questi Consigli si basano sugli attacchi rilevati nel tenant negli ultimi 30 giorni. Le raccomandazioni sono fornite per guidare il personale addetto alla sicurezza con le azioni consigliate da intraprendere.

Screenshot che mostra le raccomandazioni nel dashboard.

Gli attacchi comuni rilevati, ad esempio password spraying, credenziali perse nel tenant e accesso di massa ai file sensibili possono informare l'utente che si è verificato un potenziale violazione. Nello screenshot precedente, l'esempio di Identity Protection ha rilevato almeno 20 utenti con credenziali perse nel tenant , l'azione consigliata in questo caso consiste nel creare un criterio di accesso condizionale che richiede la reimpostazione della password sicura per gli utenti rischiosi.

Nel componente raccomandazioni nel dashboard, i clienti vedono:

  • Fino a tre raccomandazioni se si verificano attacchi specifici nel tenant.
  • Informazioni dettagliate sull'impatto dell'attacco.
  • Collegamenti diretti per eseguire azioni appropriate per la correzione.

I clienti con licenze P2 possono visualizzare un elenco completo di raccomandazioni che forniscono informazioni dettagliate sulle azioni. Quando si seleziona "Visualizza tutto", viene aperto un pannello che mostra altre raccomandazioni attivate in base agli attacchi nel proprio ambiente.

Attività recenti

Attività recente fornisce un riepilogo delle attività recenti correlate al rischio nel tenant. I tipi di attività possibili sono:

  1. Attività di attacco
  2. attività di correzione Amministrazione
  3. Attività di correzione automatica
  4. Nuovi utenti ad alto rischio

Screenshot che mostra le attività recenti nel dashboard.

Problemi noti

A seconda della configurazione del tenant, potrebbero non esserci raccomandazioni o attività recenti nel dashboard.