Defender for Identity: come combattere le minacce alle identità utente

L’identità dei dipendenti. La privacy dei dati aziendali. Proteggili con un solo servizio.

Cosa troverai in questo articolo

Cosa trovi in questo articolo

  • Cos’è e a cosa serve Microsoft Defender for Identity
  • Quali sono le possibili integrazioni di Microsoft Defender for Identity
  • Le 6 funzionalità principali di Microsoft Defender for Identity
  1. Protezione delle identità
  2. Analisi comportamentale
  3. Sistema di sicurezza multi-livello
  4. Risposta automatica
  5. Valutazione delle vulnerabilità
  6. Reportistica sulle attività

Defender for Identity: come combattere le minacce alle identità utente

Cos’è e a cosa serve Microsoft Defender for Identity

Microsoft Defender for Identity è il servizio cloud della soluzione di Microsoft 365 Defender specializzato nella protezione delle identità aziendali.

Il suo compito è controllare tramite i segnali provenienti dall’Active Directory locale, minacce avanzate, identità compromesse e azioni sospette potenzialmente dannose per l'organizzazione.

Vediamo come funziona.

Microsoft Defender for Identity protegge le identità aziendali utilizzando un ventaglio di funzionalità avanzate.

Tra queste, vi sono funzionalità basate sull’AI e il machine learning per monitorare i comportamenti degli utenti nella rete aziendale e bloccare le attività riconosciute come anomale o sospette.

Ciò consente di rilevare e rispondere alle minacce in tempo reale, riducendo al minimo la superficie d’attacco e imparando a riconoscere più facilmente futuri attacchi.

Questo importante vantaggio viene rafforzato dalla vista unificata sulle attività degli utenti e da un’interfaccia intuitiva, le quali contribuiscono insieme a semplificare la gestione della sicurezza da parte del team IT.

Defender for Identity si distingue quindi per l’efficienza operativa, che viene rafforzata dall’integrazione con gli altri prodotti di Microsoft 365 Defender.

Ne parliamo meglio nel prossimo capitolo.

Quali sono le possibili integrazioni di Microsoft Defender for Identity

Le integrazioni più importanti di Microsoft Defender for Identity coinvolgono i prodotti che lo accompagnano nella soluzione di Microsoft 365 Defender e i servizi di Microsoft Azure.

Di fatto, Microsoft ha sviluppato tali piattaforme per combinarne le funzionalità e garantire così un sistema di protezione olistico e flessibile.

Partendo dai prodotti di Microsoft 365 Defender, ritroviamo l’integrazione con:

  • Microsoft Defender for Endpoint.
    Defender for Endpoint collabora con Defender for Identity per proteggere gli endpoint aziendali (pc, laptop e mobile) da attacchi malware locali, che mirano a sottrarre le credenziali conservate nei dispositivi personali.

  • Microsoft Defender for Cloud Apps.
    Defender for Identity fornisce informazioni sugli utenti sospetti che navigano la rete aziendale, aiutando Defender for Cloud Apps a individuarli e a bloccarne l’accesso alle applicazioni e alle risorse cloud dell’organizzazione.

  • Microsoft Defender for Office 365.
    Come nel caso delle applicazioni cloud, Defender for Identity consente a Defender for Office 365 di riconoscere gli account sospetti e vietarne l’accesso ai servizi di Microsoft 365 (ex-Office).

Come anticipato, la seconda categoria di integrazioni capaci di completare le funzionalità di Defender for Identity riguarda i servizi di Microsoft Azure. In particolare:

  • Azure Active Directory.
    Azure AD è il servizio per la gestione delle identità basato sul cloud di Microsoft.
    È quindi naturale la sua stretta integrazione con Defender for Identity.
    Quest’ultima può portare infatti all’utilizzo delle informazioni di accesso e di autenticazione di Azure AD per rilevare attività sospette. O ancora, Defender for Identity può sfruttare la risposta automatica di Azure per imporre restrizioni sugli account riconosciuti come minacce.

  • Azure Security Center.
    Defender for Identity si integra con il centro operativo di Azure per dar vita a una visione unificata delle minacce.
    I rilevamenti effettuati da Defender for Identity possono essere infatti raccolti e rielaborati direttamente in Azure, così da semplificare il lavoro del team IT e velocizzare la risposta agli attacchi.

  • Azure Sentinel.
    Sentinel è il servizio basato su cloud che permette di raccogliere e analizzare i dati di sicurezza a livello di scala.
    Defender for Identity invia dati di log per supportare Sentinel nel suo compito, consentendogli di svolgere analisi più approfondite e con informazioni provenienti da diverse sorgenti.

Sai che aiutiamo i nostri clienti nella gestione dei loro tenant Azure?

Abbiamo creato il team interno Infra& Security, verticale sul cloud Azure per rispondere meglio alle esigenze dei nostri clienti che ci coinvolgono nelle decisioni tecniche e strategiche.

Oltre a configurare e gestire il tenant, ci occupiamo anche di:

  • ottimizzazione dei costi delle risorse
  • implementazione procedure di scaling e high availability
  • creazione dei deployment applicativi tramite le pipelines di DevOps
  • monitoring
  • e soprattutto security!

Con Dev4Side Software, puoi avere un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.

Le 6 funzionalità principali di Microsoft Defender for Identity

Microsoft Defender for Identity è un servizio completo per la protezione delle identità aziendali.

Come abbiamo visto, è in grado di ridurre la superficie di rischio grazie all’integrazione nativa con i più importanti prodotti per la sicurezza di Microsoft.

Tuttavia, ciò è possibile grazie anche alla presenza di funzionalità avanzate, spesso basate sull’AI e specializzate nel rilevare e contrastare attività sospette nell’infrastruttura IT di un’organizzazione.

Di seguito, elenchiamo le principali.

1) Protezione delle identità

Oltre a identificare le attività sospette, Defender for Identity aiuta a capire come utenti malintenzionati siano penetrati nella rete aziendale. Soprattutto, aiuta a capire come prevenire futuri attacchi.

2) Analisi comportamentale

Defender for Identity utilizza algoritmi di machine learning e intelligenza artificiale per analizzare i comportamenti degli utenti e ricavarne degli schemi comportamentali.

Nel momento in cui tali schemi vengono rotti, il sistema rileva e risponde immediatamente. Per esempio, potrebbe rifiutare l’accesso a determinate risorse a un utente che non le utilizza abitualmente o che, per il suo ruolo, non dovrebbe avere interesse a consultarle.

3) Sistema di sicurezza multi-livello

La protezione offerta da Defender for Identity copre molteplici livelli, dai singoli account all’infrastruttura globale.

Previene quindi una vasta gamma di attacchi, mirati alla sottrazione delle credenziali così come dei dati di rete.

4) Risposta automatica

Defender for Identity può rispondere alle minacce, imponendo restrizioni automatiche agli account potenzialmente compromessi.

5) Valutazione delle vulnerabilità

L’infrastruttura di Azure Active Directory viene costantemente esaminata per ricercare configurazioni di sicurezza deboli o vulnerabilità.

Una volta individuati i principali punti di debolezza, Defender for Identity notifica la loro esistenza al team IT affinché possa risolverli.

6) Reportistica sulle attività

Defender for Identity non si limita a monitorare le attività degli utenti, ma raccoglie insight rilevanti sui dispositivi che utilizzano, l’orario in cui accedono alle risorse aziendali e il luogo da cui effettuano l’autenticazione.

Scopri perché scegliere il team

Infra & Sec

Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).