Threat Alerts
Le scansioni periodiche ti offrono un'immagine puntuale di come è configurato il tuo tenant. Threat Alerts è diverso: ti mostra cosa sta accadendo proprio ora. Raccoglie i segnali di rischio di identità attuali dal tuo tenant Microsoft 365 e li presenta in un unico punto, così puoi individuare un account compromesso e intervenire senza uscire da Aether365.
Threat Alerts utilizza la tua connessione AI Pilot. È in sola lettura per la consultazione e aggiunge un modo, con un clic, di contenere un utente a rischio quando devi reagire in fretta.
Richiede una connessione AI Pilot
Threat Alerts legge i segnali di rischio in tempo reale tramite la connessione AI Pilot. Se non ne hai ancora configurata una, vedi AI Pilot per sapere come collegarla. La tua connessione di scansione in sola lettura, da sola, non alimenta Threat Alerts.
Cosa mostra Threat Alerts
La pagina Threat Alerts è organizzata in tre fonti. Ciascuna risponde a una domanda diversa sul rischio di identità nel tuo tenant.
Utenti a rischio
Le persone del tuo tenant i cui account Microsoft considera attualmente a rischio. Per ciascun utente vedi chi è, il suo livello di rischio attuale e perché è segnalato. È il modo più rapido per individuare un account potenzialmente compromesso e decidere se contenerlo.
Rilevamenti di rischio
I singoli segnali di rischio dietro a quegli utenti: cose come accessi da posizioni insolite, indirizzi IP anonimi, credenziali divulgate o schemi di viaggio impossibile. Dove una vista a livello di utente ti dice «questo account sembra a rischio», i rilevamenti di rischio ti indicano cosa ha innescato concretamente quella conclusione.
Richiede Microsoft Entra ID P2
I rilevamenti di rischio provengono da Microsoft Entra ID Protection, che richiede una licenza Microsoft Entra ID P2. Se il tuo tenant non ne dispone, questa fonte mostra una nota «Non ancora disponibile» al posto dei dati. Vedi Licenze e la nota «Non ancora disponibile» più avanti.
Avvisi di sicurezza
Avvisi di sicurezza di livello superiore generati per il tuo tenant: attività sospette che sono state correlate in un avviso che merita un esame più approfondito. Ti offrono un quadro di sicurezza più ampio accanto ai segnali specifici dell'identità.
Richiede Microsoft Defender
Gli avvisi di sicurezza provengono da Microsoft Defender. Se il tuo tenant non dispone di un piano Microsoft Defender che genera questi avvisi, questa fonte mostra una nota «Non ancora disponibile» al posto dei dati.
Threat Alerts è in sola lettura per la consultazione
Consultare Threat Alerts non modifica mai nulla nel tuo tenant. Legge lo stato di rischio attuale e lo mostra. L'unica azione che produce davvero una modifica è la risposta alle compromissioni descritta di seguito, e si esegue solo quando la attivi esplicitamente su un utente specifico.
Risposta alle compromissioni: contenere un utente a rischio con un clic
Quando individui un account compromesso o dal comportamento sospetto, puoi contenerlo direttamente dall'elenco degli utenti a rischio. Contenere un utente fa due cose contemporaneamente:
- Revoca le sessioni attive dell'utente, così qualunque aggressore con sessione aperta è costretto a riautenticarsi.
- Disabilita l'account, così nessun nuovo accesso può andare a buon fine finché non lo riabiliti.
Insieme, questo recide rapidamente l'accesso di un aggressore mentre indaghi.
Per contenere un utente:
- Apri Threat Alerts dalla barra laterale.
- Nell'elenco degli utenti a rischio, individua l'account che vuoi contenere.
- Fai clic su Contieni su quell'utente e conferma.
- Aether365 revoca le sessioni dell'utente e disabilita l'account tramite la tua connessione AI Pilot.
Il contenimento è reversibile
Disabilitare un account non lo elimina. Una volta che hai indagato e l'account è sicuro, puoi riabilitarlo dall'interfaccia di amministrazione di Microsoft Entra. Contieni prima, indaga poi: è molto più semplice riabilitare un account pulito che recuperare da un'intrusione attiva.
Poiché la risposta alle compromissioni scrive nel tuo tenant, si basa sulla connessione in scrittura di AI Pilot. Se un tenant ha solo una connessione di scansione in sola lettura, i dati di origine possono comunque comparire, ma contenere un utente non è disponibile finché AI Pilot non è collegato.
Licenze e la nota «Non ancora disponibile»
Threat Alerts porta in primo piano tutti i segnali Microsoft che il tuo tenant è autorizzato a generare. Le fonti che dipendono da una licenza di cui non disponi mostrano una chiara nota «Non ancora disponibile» al posto di dati vuoti o fuorvianti:
| Fonte | Richiede | Se non in licenza |
|---|---|---|
| Utenti a rischio | Segnali di rischio di identità | Mostrato quando disponibile |
| Rilevamenti di rischio | Microsoft Entra ID P2 | Nota «Non ancora disponibile» |
| Avvisi di sicurezza | Microsoft Defender | Nota «Non ancora disponibile» |
La nota è informativa, non un errore. Significa che la fonte è pronta ad attivarsi nel momento in cui il tenant ottiene la licenza giusta, senza ulteriore configurazione da parte tua. Le fonti per cui sei in licenza continuano a funzionare normalmente in ogni caso.
Correlati
- AI Pilot: la connessione in scrittura che alimenta Threat Alerts e la risposta alle compromissioni
- Policy Management: esaminare e rafforzare le policy di sicurezza del tuo tenant
- Collegare un tenant: configurare le tue connessioni
- Modello di sicurezza: sola lettura predefinita e accesso in scrittura opzionale