In un approccio Zero Trust Security, dove l’identità è un elemento fondamentale, la sicurezza delle autenticazioni è in qualche modo misurabile in base ai cosiddetti “segnali”. L’analisi di questi segnali restituisce quindi un livello di “rischio” di un certo utente quando effettua l’autenticazione ai servizi Microsoft 365. Oggi ti racconto cos’è Entra ID Protection e cosa significa il concetto di “rischio”.

Come sempre, prima di buttarci a capofitto in questo viaggio “rischioso” (battutaccia 🤣), serve introdurre un altro concetto: devi capire cosa siano i segnali.

Cos’è un segnale?

In Entra ID si definisce segnale una proprietà o una condizione particolare che un utente e un’autenticazione hanno. Ecco alcuni esempi:

• indirizzo IP dell’utente;

• geolocalizzazione dell’IP e dell’utente;

• applicazione a cui sta tentando di accedere;

• sistema operativo del dispositivo che sta usando (Windows, Linux, macOs, iOS, Android?);

• che tipo di client sta usando l’utente per accedere ai servizi di M365? Un’app che supporta Modern Authentication, un browser o un’app che supporta solo legacy authentication?

• se è un browser, quale browser?

• a quali gruppi di Entra ID appartiene la sua utenza?

• e via dicendo…

Questi sono tutti segnali e, come vedi, Entra ID è in grado di rilevarne molti.

Ti starai chiedendo: “Rick, perché mi stai ammorbando con questa storia dei segnali?”

Rispondo subito e senza troppi giri di parole: perché il “rischio” è un segnale!

E quindi, come si inserisce il rischio tra i segnali e che cos’è?

Cos’è il rischio in Entra ID Protection?

Il rischio in Entra ID Protection è una valutazione delle azioni degli utenti, delle autenticazioni e delle loro proprietà. L’analisi incrociata delle proprietà e delle azioni effettuate dagli utenti, fornisce una valutazione di quanto l’autenticazione sia pulita o sospetta e di quanto l’utente sia in sicurezza o meno.

Il rischio può essere:

• calcolato in tempo reale (valutazioni disponibili in 5/10 minuti);

• calcolato dall’intelligenza del cloud Microsoft, sulla base di un’analisi degli eventi di autenticazione del tuo tenant, che avviene in background (valutazioni disponibili in qualche ora).

A sua volta, si distingue in due tipologie:

• User Risk;

• Sign-in Risk.

User Risk

Ecco i segnali di rischio associati ad un utente.

I segnali sono in costante aggiornamento e miglioramento. Quelli riportati qui sopra sono quelli disponibili al momento della scrittura di questo articolo. Se vuoi avere la sicurezza di essere sempre aggiornato, ti consiglio di fare riferimento alla documentazione ufficiale:

• What are risk detections? | Microsoft Docs

Sign-in Risk

Ecco i segnali di rischio associati ad una singola autenticazione.

I segnali sono in costante aggiornamento e miglioramento. Quelli riportati qui sopra sono quelli disponibili al momento della scrittura di questo articolo. Se vuoi avere la sicurezza di essere sempre aggiornato, ti consiglio di fare riferimento alla documentazione ufficiale:

• What are risk detections? | Microsoft Docs

Come può essere utile il rischio in Entra ID Protection?

Il concetto di rischio è utilissimo se usato in maniera combinata con Conditional Access e Multi Factor Authentication! Ancora di più se hai a disposizione Azure Sentinel e vuoi automatizzare delle reazioni automatiche.

Esempi concreti? Eccoli:

• se vengono rilevate due autenticazioni da Italia e Spagna a distanza di 5 minuti (viaggio impossibile), richiedo la Multi Factor Authentication per accedere (Conditional Access + MFA);

• se viene rilevato che la password utilizzata dall’utente combacia con una password comparsa in elenchi pubblici di credenziali compromesse (rischio), blocco l’autenticazione (Conditional Access), alzo un incident e blocco l’utenza (Azure Sentinel).

Dove si trovano le valutazioni di rischio e gli eventi?

È sufficiente navigare nel portale di Entra ID alla sezione Microsoft Entra ID –> Security –> Identity Protection

Requisiti di licenza per Entra ID Protection

Ecco un documento ufficiale Microsoft che ti chiarirà quali licenze servono per poter usufruire di queste funzionalità:

• License Requirements | Microsoft Docs

Conclusioni su rischio e Entra ID Protection

Come vedi, il limite per mettere in sicurezza in maniera semplice ed automatica le tue identità è solo la fantasia e, naturalmente, un’attenta analisi delle tue esigenze e dell’ambiente.

E tu stai già utilizzando Entra ID Protection? Hai già automatizzato delle reazioni in caso di rischio alto? Parliamone nei commenti o sui miei social, ti aspetto!

Il tuo IT Specialist,
Riccardo