Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=identity-detection-findings

Risultati

La pagina Risultati mostra una tabella di tutti i risultati delle analisi, ordinati in base al rischio. I Risultati sono l’output dei controlli del profilo di rischio che vengono eseguiti sulle infrastrutture di identità. Ogni risultato ha uno stato, un livello di rischio assegnato e una categoria.

Risultati di identità.

Stato dei risultati

I nuovi risultati hanno uno stato Aperto, che può essere modificato dai dettagli del risultato durante i processi di classificazione e mitigazione dei problemi. Lo stato può essere uno dei seguenti:

  • Aperto: il risultato non è ancora stato gestito o è ancora presente nell’ambiente.
  • Risolto: il risultato è stato gestito o mitigato.
  • Ignorato: il risultato è previsto e non ha bisogno di essere gestito.

Livello di rischio dei risultati

A ogni risultato viene assegnato uno dei seguenti livelli di rischio, in base al controllo effettuato e al potenziale rischio di sicurezza che presenta per l’organizzazione:

  • Critico: il risultato deve essere gestito immediatamente, perché costituisce un rischio significativo.
  • Alto: il risultato deve essere gestito immediatamente.
  • Medio: il risultato deve essere gestito, ma non costituisce un rischio significativo.
  • Basso: il risultato rappresenta un rischio minore.
  • Info: il risultato comporta poco o nessun rischio, ma deve essere controllato quando si ha tempo.

Livelli di rischio di identità.

Categoria dei risultati

I risultati vengono classificati come segue, in base al tipo di controllo che è stato eseguito, in linea con il framework MITRE ATT&CK, se applicabile:

  • Comportamento dell'utente
  • Configurazione
  • Lacune nell’accesso condizionale di Entra
  • Risorse inattive
  • Movimenti laterali
  • Compromissione delle credenziali
  • Persistenza
  • Privilege escalation
  • Elusione dei tentativi di difesa
  • Esfiltrazione

Risultati dell’assegnazione di priorità

Assegnare priorità ai risultati per gestire prima quelli con il livello di rischio più alto, al fine di incrementare l’impatto sulla riduzione della superficie di attacco dell’identità e migliorare il punteggio del profilo di rischio. Valutare ogni risultato in base alle esigenze dell’azienda, nonché al suo ambiente unico, alla tolleranza al rischio e alla propria capacità di gestire il risultato. Questo è importante perché le modifiche alla configurazione potrebbero avere un impatto negativo sugli utenti, sulle applicazioni e sull’accesso.

Potrebbe non essere fattibile correggere tutti i problemi emersi dai risultati, poiché potrebbero essere al di fuori del proprio controllo, ad esempio nel caso di applicazioni di terze parti che richiedono autorizzazioni elevate o che supportano solo meccanismi di autenticazione meno sicuri. Tuttavia, questi rappresentano comunque un potenziale rischio per la propria organizzazione di cui bisogna essere a conoscenza e occorre continuare a monitorarli.

Dopo aver valutato il risultato, intraprendere una delle seguenti azioni:

  • Risolvere i problemi emersi dal risultato, correggendoli all’interno del sistema di identità nel quale è stato individuato; sarà così rimosso dal proprio punteggio di rischio complessivo quando verrà calcolato di nuovo (il calcolo viene effettuato ogni 24 ore).
  • Ignorare il risultato; questa azione disattiverà le future istanze di questo risultato per l’oggetto in questione e lo escluderà dal punteggio di rischio complessivo. Il risultato continuerà a essere disponibile nella tabella dei risultati, ma non sarà incluso nella dashboard.
  • Lasciare aperto il risultato per monitorare i risultati che non possono essere gestiti; questi risultati continueranno a essere tenuti in considerazione per il punteggio di rischio complessivo.

Tabella Risultati di identità

La tabella Risultati di identità include controlli per ordinare, filtrare e organizzare i dati. Utilizzare il menu dei filtri espandibile situato a sinistra della tabella, per limitare l’elenco dei risultati.

Alla selezione dei filtri, la tabella e l’URL si aggiornano in modo dinamico per riflettere le scelte specificate. È possibile condividere l’URL con i colleghi o salvarlo per visualizzare un elenco di risultati specifico.

I filtri selezionati verranno visualizzati sopra la tabella. Cliccare su X per rimuovere un singolo filtro o su Cancella tutti per rimuovere tutti i filtri e visualizzare tutti i risultati.

Filtro dei risultati

Filtrare la tabella Risultati di identità utilizzando una combinazione dei seguenti filtri:

  • Rischio: il livello di rischio del risultato.

  • Stato: lo stato del risultato, che può essere uno dei seguenti:

    • Aperto
    • Risolto
    • Ignorato

  • Tipo di riferimento: il tipo di oggetto a cui fa riferimento il risultato, che può essere uno dei seguenti:

    • Oggetto utente
    • Applicazione
    • Oggetto gruppo
    • Oggetto dispositivo
    • Configurazione tenant

  • Categoria: la categoria del risultato.

  • È nuovo: i risultati che sono stati osservati per la prima volta negli ultimi sette giorni.
  • Risultato: il titolo del risultato.
  • Prima osservazione: quando il risultato è stato osservato per la prima volta.
  • Ultima visualizzazione: quando il risultato è stato osservato per l’ultima volta.

Visualizzazione dei dettagli dei risultati

Cliccare su un link nella colonna Risultati per visualizzare il pannello dei dettagli che include il riferimento principale, altri riferimenti, il rischio, il timestamp della Prima osservazione, il timestamp dell’Ultima osservazione, il timestamp dell’Ultima modifica e la raccomandazione.

Per visualizzare ulteriori dettagli del risultato, cliccare sull’icona nella parte in alto a sinistra del pannello per aprire la visualizzazione a pagina intera in una nuova scheda. Le seguenti informazioni vengono mostrate in entrambe le visualizzazioni:

  • Dettagli del risultato: il riepilogo del risultato, inclusi livello di rischio, lo stato, i commenti, i timestamp e i tag.
  • Descrizione: una descrizione del risultato.
  • Definizione: informazioni sul controllo di identità associato e i riferimenti.
  • Raccomandazione: le raccomandazioni Sophos per mitigare il problema emerso dal risultato.

Pannello dei dettagli del risultato.

Consiglio

Cliccare sul Riferimento Primario o su Altri Riferimenti per aprire direttamente l’oggetto all’interno di Entra ID.

Aggiornamento dello stato del risultato

Aggiornare lo stato di un risultato cliccando sul menu Stato e selezionando lo stato desiderato:

  • Aperto: il risultato non è ancora stato gestito o è ancora presente nell’ambiente.
  • Ignorato: il risultato è previsto e non ha bisogno di essere gestito. Per questo problema non verranno generati nuovi risultati.
  • Risolto: il risultato è stato gestito o mitigato.

Dopo che lo stato viene impostato come Risolto o Ignorato, quel risultato non viene più considerato un rischio per l’ambiente. Se un risultato viene risolto manualmente e viene individuato di nuovo in futuro, il risultato verrà riaperto dal sistema. Verificare che le azioni di mitigazione necessarie o le attività di chiusura siano state completate.

I risultati vengono risolti automaticamente dal sistema quando non vengono più visualizzati. I risultati risolti dal sistema includono un commento che lo indica.

Scheda Risultato

La scheda Risultato mostra l’output grezzo del controllo eseguito in formato JSON. Può essere utilizzato per visualizzare ulteriori dettagli sul risultato generato.

Scheda Cronologia

La scheda Cronologia mostra le azioni precedenti eseguite sul risultato. Cliccare su Vedi diff per visualizzare i dettagli precisi delle modifiche.