valutazioni del comportamento di sicurezza di Microsoft Defender per identità
In genere, le organizzazioni di tutte le dimensioni hanno una visibilità limitata sul fatto che le app e i servizi locali possano introdurre o meno una vulnerabilità di sicurezza per l'organizzazione. Il problema della visibilità limitata è particolarmente vero per quanto riguarda l'uso di componenti non supportati o obsoleti.
Anche se l'azienda potrebbe investire tempo e impegno significativi per la protezione avanzata delle identità e dell'infrastruttura delle identità (ad esempio Active Directory, Active Directory Connect) come progetto in corso, è facile rimanere inconsapevoli delle configurazioni non corrette comuni e dell'uso di componenti legacy che rappresentano uno dei maggiori rischi di minaccia per l'organizzazione.
La ricerca sulla sicurezza Microsoft rivela che la maggior parte degli attacchi alle identità utilizza configurazioni errate comuni in Active Directory e l'uso continuo di componenti legacy (ad esempio il protocollo NTLMv1) per compromettere le identità e violare correttamente l'organizzazione. Per contrastare questo aspetto in modo efficace, Microsoft Defender per identità offre ora valutazioni proattive del comportamento di sicurezza delle identità per rilevare e consigliare azioni nelle configurazioni di Active Directory locale.
Cosa forniscono le valutazioni di sicurezza di Defender per identità?
Le valutazioni del comportamento di sicurezza di Defender per identità sono disponibili in Microsoft Secure Score e forniscono:
Rilevamenti e dati contestuali su componenti sfruttabili noti e configurazioni errate, insieme ai percorsi pertinenti per la correzione.
Monitoraggio attivo per le identità locali e l'infrastruttura di identità, per individuare i punti deboli con il sensore Defender per identità esistente.
Report di valutazione accurati del comportamento di sicurezza dell'organizzazione corrente, per risposte rapide e monitoraggio degli effetti in un ciclo continuo.
Microsoft Secure Score è una misura del comportamento di sicurezza di un'organizzazione, con un numero più elevato che indica le azioni consigliate. È disponibile https://security.microsoft.com/securescore nel portale di Microsoft Defender.
Categorizzazione delle valutazioni del comportamento di sicurezza di Defender per identità
Le valutazioni del comportamento di sicurezza di Defender per identità hanno cinque categorie chiave. Ogni categoria risolve specifici rischi di sicurezza delle identità e fornisce indicazioni per la correzione.
- Sicurezza ibrida: identifica le configurazioni non corrette negli ambienti che integrano i provider di identità locali (ad esempio Active Directory) e basati sul cloud (ad esempio, Entra ID, Okta). Valuta i rischi correlati alla sincronizzazione, all'autenticazione e all'autorizzazione tra piattaforme.
- Infrastruttura di identità: rileva errori di configurazione e vulnerabilità nei componenti di base delle identità, inclusi i controller di dominio.
- Certificati: valuta Servizi certificati Active Directory per individuare eventuali lacune nella sicurezza, ad esempio modelli di certificato non configurati correttamente o impostazioni di autorità di certificazione deboli. Identificare e risolvere questi problemi consente di impedire l'accesso non autorizzato che potrebbe derivare da vulnerabilità correlate ai certificati.
- Criteri di gruppo: analizza le configurazioni Criteri di gruppo per identificare le impostazioni che potrebbero consentire l'escalation dei privilegi o lo spostamento laterale non autorizzato all'interno della rete. Garantire impostazioni di Criteri di gruppo sicure consente di mantenere i controlli di accesso e le configurazioni di sistema appropriati.
- Account: esamina utenti, dispositivi e gruppi per individuare i rischi per la sicurezza, ad esempio password deboli, account inattivi o autorizzazioni non corrette.
Valutazioni del comportamento di sicurezza di Access Defender per identità
Nota
È necessario disporre di una licenza di Defender per identità per visualizzare le valutazioni del comportamento di sicurezza di Defender per identità in Microsoft Secure Score. Anche se le valutazioni dei modelli di certificato sono disponibili per tutti i clienti con Servizi certificati Active Directory installato nel proprio ambiente, le valutazioni dell'autorità di certificazione sono disponibili solo per i clienti che hanno installato un sensore in un server servizi certificati Active Directory. Per altre informazioni, vedere Configurazione dei sensori per AD FS e AD CS.
Per accedere alle valutazioni del comportamento di sicurezza delle identità:
Aprire il dashboard di Microsoft Secure Score.
Selezionare la scheda Azioni consigliate . È possibile cercare una particolare azione consigliata o filtrare i risultati, ad esempio in base alla categoria Identity.
Per altri dettagli, selezionare la valutazione.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.