{"id":538106,"date":"2025-10-08T03:50:46","date_gmt":"2025-10-08T03:50:46","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=538106"},"modified":"2025-10-08T03:50:46","modified_gmt":"2025-10-08T03:50:46","slug":"protezione-contro-il-furto-di-credenziali-in-ambienti-microsoft-365","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/protezione-contro-il-furto-di-credenziali-in-ambienti-microsoft-365\/","title":{"rendered":"Rilevamento e risposta al furto di credenziali in ambienti Microsoft 365"},"content":{"rendered":"<p>Sempre pi\u00f9 organizzazioni e aziende si affidano alle piattaforme cloud per la produttivit\u00e0. L&#8217;utilizzo del cloud \u00e8 molto diffuso, e gli aggressori informatici che prendono di mira queste piattaforme stanno aumentando. Gli attacchi vengono sferrati attraverso il furto di credenziali. In Microsoft 365, un account utente compromesso a causa del furto di credenziali pu\u00f2 portare all&#8217;accesso non autorizzato alla casella di posta elettronica, all&#8217;esfiltrazione di dati sensibili di SharePoint e OneDrive, alla <a href=\"https:\/\/www.ninjaone.com\/blog\/business-email-compromise-bec\/\">compromissione della posta elettronica aziendale (BEC)<\/a> e persino all&#8217;escalation dei privilegi all&#8217;interno dell&#8217;organizzazione.<\/p>\n<p>Fortunatamente, Microsoft 365 offre diversi strumenti integrati che i <a href=\"https:\/\/www.ninjaone.com\/it\/cos-e-un-msp\/\">fornitori di servizi gestiti (MSP)<\/a> o gli amministratori di sistema possono utilizzare per combattere il furto di credenziali. Questi strumenti, tra cui ci sono log di accesso, tracce di audit e criteri di accesso condizionato, possono aiutare a rilevare i segni di compromissione e a rispondere alle minacce in tempo reale. In questa guida illustreremo le strategie per rilevare e rispondere al furto di credenziali negli ambienti Microsoft 365.<\/p>\n<table>\n<tbody>\n<tr>\n<td>\n<p style=\"text-align: center;\"><strong>Attivit\u00e0<\/strong><\/p>\n<\/td>\n<td>\n<p style=\"text-align: center;\"><strong>Scopo<\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#step-1\"><strong>Fase 1: Abilitare il logging a scopo di audit e gli avvisi relativi agli accessi<\/strong><\/a><\/td>\n<td>Garantisce che le attivit\u00e0 critiche di utenti e amministratori siano registrate e possano generare avvisi.<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#step-2\"><strong>Fase 2: Rilevamento di attivit\u00e0 sospette nei log di accesso<\/strong><\/a><\/td>\n<td>Identifica gli account potenzialmente compromessi che utilizzano modelli di login rischiosi<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#step-3\"><strong>Passo 3: Indagare sulle attivit\u00e0 sospette delle cassette postali<\/strong><\/a><\/td>\n<td>Tiene traccia di possibili utilizzi non autorizzati degli account, controllando aspetti come regole di inoltro o accessi insoliti<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#step-4\"><strong>Passo 4: Isolare e ripristinare gli account interessati<\/strong><\/a><\/td>\n<td>Contiene la violazione revocando le sessioni e reimpostando le credenziali<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#step-5\"><strong>Passo 5: Configurare criteri di accesso pi\u00f9 rigidi<\/strong><\/a><\/td>\n<td>Previene futuri furti di credenziali grazie a controlli di accesso pi\u00f9 rigorosi<\/td>\n<\/tr>\n<tr>\n<td><a href=\"#step-6\"><strong>Passo 6: Monitoraggio delle recidive e automazione della risposta<\/strong><\/a><\/td>\n<td>Rileva le minacce ricorrenti e automatizza la correzione tramite strumenti\/script<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Prerequisiti per la gestione del furto di credenziali negli ambienti Microsoft 365<\/h2>\n<p>Prima di procedere con la gestione del furto di credenziali, assicurati che il tuo ambiente soddisfi i seguenti requisiti:<\/p>\n<ul>\n<li>Tenant Microsoft 365 con\u00a0<strong>Azure AD Premium P1 o superiore<\/strong><\/li>\n<li><strong>Microsoft Defender for Cloud Apps<\/strong>\u00a0o\u00a0<strong>Microsoft Entra ID Protection<\/strong>\u00a0(consigliato)<\/li>\n<li><strong>Logging per audit<\/strong>\u00a0e\u00a0<strong>Log di audit unificato (UAL)<\/strong>\u00a0abilitati<\/li>\n<li>Account amministratore con i ruoli\u00a0<strong>Amministratore globale<\/strong>\u00a0o\u00a0<strong>Amministratore della sicurezza<\/strong><\/li>\n<li><strong>Accesso PowerShell<\/strong>\u00a0con i moduli Microsoft Graph o Exchange Online<\/li>\n<li>(Opzionale)\u00a0<strong>Integrazione SIEM<\/strong>\u00a0per la gestione centralizzata degli avvisi<\/li>\n<\/ul>\n<h2 id=\"step-1\">Fase 1: Abilitare il logging di audit e gli avvisi di accesso<\/h2>\n<p><strong>\ud83d\udccc Caso d&#8217;uso:<\/strong><\/p>\n<p>Questa fase serve a garantire che i log delle attivit\u00e0 degli utenti e degli amministratori critici siano registrati e possano generare avvisi.<\/p>\n<h3>Per abilitare il logging di audit:<\/h3>\n<ol>\n<li>Accedi al\u00a0<a href=\"https:\/\/compliance.microsoft.com\/\" target=\"_blank\" rel=\"noopener\">Centro conformit\u00e0 Microsoft 365<\/a>.<\/li>\n<li>Vai su\u00a0<strong>Audit\u00a0<\/strong>&gt;<strong>\u00a0Cerca Audit<\/strong><\/li>\n<li>Se il logging di audit non \u00e8 abilitato, clicca su\u00a0<strong>Avvia la registrazione delle attivit\u00e0 degli utenti e degli amministratori<\/strong>.<\/li>\n<\/ol>\n<h3>Per controllare i log di accesso di Azure AD:<\/h3>\n<ol>\n<li>Accedi a\u00a0<strong>Azure AD\u00a0<\/strong>&gt;<strong>\u00a0Monitoraggio\u00a0<\/strong>&gt;<strong>\u00a0Accessi<\/strong>.<\/li>\n<li>Utilizza i filtri per identificare:\n<ul style=\"list-style-type: disc;\">\n<li>Accessi rischiosi<\/li>\n<li>Accessi avvenuti da posizioni\/luoghi non usuali<\/li>\n<li>Utilizzo dell&#8217;autenticazione legacy<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p>Questi filtri aiutano a far emergere eventi come accessi da indirizzi IP sconosciuti o applicazioni che utilizzano protocolli obsoleti.<\/p>\n<h2 id=\"step-2\">Fase 2: Rilevamento di attivit\u00e0 sospette nei log di accesso<\/h2>\n<p><strong>\ud83d\udccc Caso d&#8217;uso:<\/strong><\/p>\n<p>In questa fase si analizzano i log di accesso per rilevare azioni anomale che potrebbero indicare un potenziale furto di credenziali.<\/p>\n<p>Cerca i seguenti segnali:<\/p>\n<ul>\n<li><strong>Viaggi impossibili:<\/strong>\u00a0Un buon esempio \u00e8 rappresentato dal rilevamento di attivit\u00e0 di login da New York e Singapore nel giro di pochi minuti.<\/li>\n<li><strong>Tentativi di accesso multipli falliti:\u00a0<\/strong>Sebbene questo possa sembrare un caso innocente di dimenticanza della password, potrebbe anche essere indice di un\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-a-brute-force-attack\/\">attacco brute-force<\/a>.<\/li>\n<li><strong>Uso di protocolli legacy:<\/strong>\u00a0I protocolli pi\u00f9 vecchi, come <a href=\"https:\/\/www.ninjaone.com\/it-hub\/remote-access\/what-is-imap-vs-pop3\/\">IMAP<\/a> o POP, non supportano l&#8217;autenticazione moderna o l&#8217;<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-multifactor-authentication-mfa\/\">MFA<\/a>, cosa che li rende un punto di ingresso comune per gli aggressori.<\/li>\n<li><strong>Accessi basati su browser:<\/strong>\u00a0Gli accessi da IP sospetti possono indicare un tentativo di accesso non autorizzato con credenziali rubate.<\/li>\n<\/ul>\n<p>Per iniziare a esaminare i log degli accessi, utilizza PowerShell per interrogare gli accessi. Esegui i seguenti comandi:<\/p>\n<ul>\n<li>Per Microsoft Graph:<\/li>\n<\/ul>\n<p style=\"padding-left: 40px;\"><strong>Connect-MgGraph -Scopes &#8220;AuditLog.Read.All&#8221;<br \/>\n<\/strong><strong>Get-MgAuditLogSignIn -Top 50 | Where-Object<br \/>\n{$_.RiskLevelAggregated -ne &#8220;none&#8221;}<\/strong><\/p>\n<ul>\n<li>Per il modulo AzureAD:<\/li>\n<\/ul>\n<p style=\"padding-left: 40px;\"><strong>Connect-AzureAD<br \/>\n<\/strong><strong>Get-AzureADAuditSignInLogs | Where-Object<br \/>\n{$_.Status.ErrorCode -ne 0}<\/strong><\/p>\n<p>Queste query consentono un filtraggio e uno scripting pi\u00f9 granulare su pi\u00f9 tenant, utile per gli MSP.<\/p>\n<h2 id=\"step-3\">Passo 3: Indagare sulle attivit\u00e0 sospette delle cassette postali<\/h2>\n<p><strong>\ud83d\udccc Caso d&#8217;uso:<\/strong><\/p>\n<p>Questa fase pu\u00f2 essere utilizzata per tenere traccia di possibili utilizzi impropri degli account, controllando aspetti come regole di inoltro o accessi insoliti. Gli attori delle minacce spesso creano regole di inoltro per esfiltrare i dati in modo silenzioso.<\/p>\n<ol>\n<li>Apri PowerShell come amministratore. Premi il tasto Windows, digita\u00a0<strong>PowerShell<\/strong>, quindi clicca con il pulsante destro del mouse su\u00a0<strong>Windows PowerShell<\/strong>\u00a0e seleziona\u00a0<strong>Esegui come amministratore<\/strong>.<\/li>\n<li>Esegui il seguente comando:<\/li>\n<\/ol>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul style=\"list-style-type: disc;\">\n<li>Per cercare i log di audit con PowerShell:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p style=\"padding-left: 80px;\"><strong>Connect-ExchangeOnline<br \/>\n<\/strong><strong>Search-MailboxAuditLog -Mailboxes user@domain.com &#8211;<br \/>\nShowDetails -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)<\/strong><\/p>\n<ul style=\"list-style-type: disc;\">\n<li style=\"list-style-type: none;\">\n<ul style=\"list-style-type: disc;\">\n<li>Per verificare la presenza di regole di posta in arrivo potenzialmente dannose:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p style=\"padding-left: 80px;\"><strong>Get-InboxRule -Mailbox user@domain.com | Where-Object<br \/>\n{$_.RedirectTo -ne $null -or $_.ForwardTo -ne $null}<\/strong><\/p>\n<h2 id=\"step-4\">Passo 4: Isolare e reimpostare gli account interessati<\/h2>\n<p><strong>\ud83d\udccc Caso d&#8217;uso:<\/strong><\/p>\n<p>Questa fase affronta con urgenza un furto di credenziali confermato, revocando le sessioni e reimpostando le credenziali.<\/p>\n<ol>\n<li>Apri PowerShell come amministratore. Premi il tasto Windows, digita\u00a0<strong>PowerShell<\/strong>, quindi clicca con il pulsante destro del mouse su\u00a0<strong>Windows PowerShell<\/strong>\u00a0e seleziona\u00a0<strong>Esegui come amministratore<\/strong>.<\/li>\n<li>Esegui i seguenti comandi:<\/li>\n<\/ol>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul style=\"list-style-type: disc;\">\n<li>Per revocare le sessioni:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p style=\"padding-left: 40px;\"><strong>Revoke-AzureADUserAllRefreshToken -ObjectId &lt;UserObjectId&gt;<\/strong><\/p>\n<ul style=\"list-style-type: disc;\">\n<li style=\"list-style-type: none;\">\n<ul style=\"list-style-type: disc;\">\n<li>Per forzare la reimpostazione della password:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p style=\"padding-left: 80px;\"><strong>Set-AzureADUserPassword -ObjectId &lt;UserObjectId&gt; &#8211;<br \/>\nPassword &#8220;NewTempPassword123!&#8221;<br \/>\n-ForceChangePasswordNextLogin $true<\/strong><\/p>\n<ul style=\"list-style-type: disc;\">\n<li style=\"list-style-type: none;\">\n<ul style=\"list-style-type: disc;\">\n<li>Per bloccare temporaneamente l&#8217;accesso:<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p style=\"padding-left: 80px;\"><strong>Set-MsolUser -UserPrincipalName<br \/>\nuser@domain.com -BlockCredential $true<\/strong><\/p>\n<h2 id=\"step-5\">Passo 5: Configurare criteri di accesso pi\u00f9 rigidi<\/h2>\n<p><strong>\ud83d\udccc Caso d&#8217;uso:<\/strong><\/p>\n<p>Questa fase deve essere eseguita per evitare che l&#8217;attacco si ripeta, rafforzando i controlli di accesso con strumenti quali GPO (Oggetti dei criteri di gruppo), regole di accesso condizionale in Azure e modifiche del registro.<\/p>\n<h3>Raccomandazioni per i GPO:<\/h3>\n<ul>\n<li>Applica criteri di password forti tramite:<br \/>\n<strong>Configurazione del computer<\/strong>\u00a0&gt;\u00a0<strong>Impostazioni di Windows<\/strong>\u00a0&gt;\u00a0<strong>Impostazioni di sicurezza<\/strong>\u00a0&gt;\u00a0<strong>Criteri dell&#8217;account<\/strong>\u00a0&gt;\u00a0<strong>Criteri per le password<\/strong><\/li>\n<li>Abilita il supporto per\u00a0<strong>Smart Card<\/strong>\u00a0o\u00a0<strong>autenticazione a pi\u00f9 fattori (MFA)<\/strong>\u00a0.<\/li>\n<li>Applica la cronologia delle password e imposta i criteri in modo che le password debbano soddisfare i requisiti di complessit\u00e0.<\/li>\n<\/ul>\n<h3>Criteri di accesso condizionale di Azure AD:<\/h3>\n<ul>\n<li>Richiedi l&#8217;MFA per tutti gli utenti.<\/li>\n<li>Blocca l&#8217;autenticazione tradizionale.<\/li>\n<li>Applica restrizioni di accesso basate sulla posizione.<\/li>\n<\/ul>\n<h2 id=\"step-6\">Fase 6: Monitoraggio delle recidive e automazione della risposta<\/h2>\n<p><strong>\ud83d\udccc Caso d&#8217;uso:<\/strong><\/p>\n<p>Questo \u00e8 un altro passo per prevenire il ripetersi del passaggio legato delle credenziali impostando avvisi e automazione con strumenti come gli oggetti dei Criteri di gruppo (GPO), l&#8217;accesso condizionale in Azure e le modifiche del registro.<\/p>\n<h3><strong>Strumenti da utilizzare:<\/strong><\/h3>\n<ul>\n<li>Avvisi di Microsoft Defender for Identity o Cloud App Security<\/li>\n<li>Abilita gli\u00a0<strong>avvisi di inoltro e-mail<\/strong>\u00a0nel centro di amministrazione di Exchange.<\/li>\n<\/ul>\n<h3><strong>Monitoraggio degli eventi PowerShell:<\/strong><\/h3>\n<ol>\n<li>Apri PowerShell come amministratore. Premi il tasto Windows, digita\u00a0<strong>PowerShell<\/strong>, quindi clicca con il pulsante destro del mouse su\u00a0<strong>Windows PowerShell<\/strong>\u00a0e seleziona\u00a0<strong>Esegui come amministratore<\/strong>.<\/li>\n<li>Esegui il seguente comando:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4625 -or $_.Id -eq 4624}<\/strong><\/p>\n<p>Questo comando aiuta a rilevare gli accessi falliti o riusciti su macchine o server locali.<\/p>\n<h3><strong>Integrazione SIEM o RMM:<\/strong><\/h3>\n<p>Se gestisci pi\u00f9 tenant, puoi valutare la possibilit\u00e0 di usare un&#8217;integrazione con uno strumento <a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-security-information-and-event-management-siem\/\">SIEM<\/a> o di implementare una <a href=\"https:\/\/www.ninjaone.com\/it\/rmm\/\">piattaforma RMM come NinjaOne<\/a> per ottimizzare il rilevamento e gli avvisi.<\/p>\n<h2>\u26a0\ufe0f Cose da tenere d&#8217;occhio<\/h2>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Rischi<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Potenziali conseguenze<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Possibilit\u00e0 di tornare alla configurazione precedente<\/strong><\/td>\n<\/tr>\n<tr>\n<td>L&#8217;MFA viene aggirato<\/td>\n<td>Gli utenti possono autenticarsi senza MFA, lasciando gli account vulnerabili al furto di credenziali.<\/td>\n<td>Verifica se l&#8217;autenticazione legacy \u00e8 ancora abilitata e bloccala tramite i criteri di accesso condizionale.<\/td>\n<\/tr>\n<tr>\n<td>Furto ripetuto di credenziali<\/td>\n<td>Indica che le password compromesse vengono riutilizzate, mettendo a rischio pi\u00f9 account.<\/td>\n<td>Applica criteri pi\u00f9 severi per le password e abilita la reimpostazione self-service delle password (SSPR) per migliorare le capacit\u00e0 di recupero e l&#8217;inattaccabilit\u00e0 delle password.<\/td>\n<\/tr>\n<tr>\n<td>Blocco degli utenti<\/td>\n<td>Gli utenti potrebbero essere bloccati per errore, causando disagi e potenziali lacune di sicurezza.<\/td>\n<td>Esamina le configurazioni dei criteri di accesso condizionale e assicurati che siano stati definiti degli account &#8220;break-glass&#8221; per le emergenze.<\/td>\n<\/tr>\n<tr>\n<td>I log di audit non mostrano l&#8217;attivit\u00e0<\/td>\n<td>La mancanza di visibilit\u00e0 sulle azioni degli utenti ostacola le indagini e la risposta agli incidenti.<\/td>\n<td>Se necessario, attiva manualmente i log di audit e delle caselle di posta unificati tramite il Centro per la conformit\u00e0 e PowerShell.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Ulteriori considerazioni per la risposta al furto di credenziali<\/h2>\n<p>Per ridurre ulteriormente il rischio di furto di credenziali e accelerare il recupero, puoi implementare quanto segue:<\/p>\n<ul>\n<li><strong>Reimpostazione self-service delle password (SSPR):<\/strong>\u00a0Consentire agli utenti di reimpostare le proprie password senza l&#8217;intervento dell&#8217;amministratore pu\u00f2 contribuire a velocizzare la risposta al furto di credenziali, anche senza la necessit\u00e0 di contattare gli amministratori IT.<\/li>\n<li><strong>Just-in-Time (JIT):\u00a0<\/strong>La concessione di un accesso limitato nel tempo per gli account con privilegi elevati pu\u00f2 ridurre la superficie di attacco.<\/li>\n<li><strong>Workstation ad accesso privilegiato (PAW):<\/strong>\u00a0La distribuzione di PAW limita le attivit\u00e0 amministrative a dispositivi isolati e protetti per ridurre l&#8217;esposizione al furto di credenziali e al malware.<\/li>\n<li><strong>Verifica regolare dell&#8217;accesso alle caselle di posta:<\/strong>\u00a0Una verifica costante dell&#8217;accesso alle caselle di posta, soprattutto per quelle condivise, pu\u00f2 ridurre al minimo i casi di furto di credenziali e garantire che solo le persone autorizzate possano accedere alle e-mail dell&#8217;organizzazione.<\/li>\n<\/ul>\n<h2>Servizi NinjaOne per rispondere al furto di credenziali<\/h2>\n<p>NinjaOne e i suoi strumenti possono contribuire a migliorare il rilevamento e la risposta proattiva al furto di credenziali.<\/p>\n<table>\n<tbody>\n<tr>\n<td>\n<p style=\"text-align: center;\"><strong>Servizio NinjaOne<\/strong><\/p>\n<\/td>\n<td>\n<p style=\"text-align: center;\"><strong>Che cos&#8217;\u00e8<\/strong><\/p>\n<\/td>\n<td>\n<p style=\"text-align: center;\"><strong>Come aiuta il rilevamento e la risposta al furto di credenziali<\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>Monitoraggio dei log degli endpoint<\/td>\n<td>Monitora i log eventi di Windows, come gli ID evento 4624 (accesso riuscito) e 4625 (accesso non riuscito)<\/td>\n<td>Rileva gli attacchi brute-force e le attivit\u00e0 di accesso sospette sui dispositivi gestiti quasi in tempo reale<\/td>\n<\/tr>\n<tr>\n<td><a href=\"https:\/\/www.ninjaone.com\/it\/mdm\/powershell-remoto\/\">Automazione PowerShell<\/a><\/td>\n<td>Esegue script PowerShell personalizzati per interrogare gli accessi in Azure AD, revocare le sessioni o contrassegnare gli account<\/td>\n<td>Consente indagini rapide e misure automatizzate di riduzione del rischio, come la revoca dei token o la reimpostazione forzata delle password<\/td>\n<\/tr>\n<tr>\n<td>Avviso di accesso ad alto rischio<\/td>\n<td>Invia avvisi in caso di accessi da IP sospetti, luoghi insoliti o comportamenti rischiosi degli utenti<\/td>\n<td>Notifica ai team IT il potenziale uso improprio delle credenziali, consentendo un pi\u00f9 rapido contenimento<\/td>\n<\/tr>\n<tr>\n<td>Isolamento degli endpoint<\/td>\n<td>Tagga o mette in quarantena i dispositivi interessati per limitare l&#8217;accesso alla rete in caso di furto di credenziali<\/td>\n<td>Contribuisce a contenere la minaccia impedendo all&#8217;endpoint compromesso di comunicare con altri sistemi<\/td>\n<\/tr>\n<tr>\n<td>Flussi di lavoro per la correzione delle credenziali<\/td>\n<td>Automatizza attivit\u00e0 come la reimpostazione forzata delle password, il blocco degli account o la rimozione delle regole di posta in arrivo<\/td>\n<td>Semplifica la risposta agli incidenti riducendo i tempi di intervento e limitando il tempo di permanenza degli aggressori<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Affrontare con urgenza il furto di credenziali<\/h2>\n<p>Il furto di credenziali pu\u00f2 avere un impatto dirompente su un&#8217;organizzazione se non viene affrontato con strategie efficaci. I passaggi descritti in precedenza dovrebbero aiutarti a rilevare e a rispondere a questo problema urgente utilizzando metodi diversi, come l&#8217;analisi dei log di accesso, delle attivit\u00e0 di mailbox e di audit, la revoca dell&#8217;accesso e l&#8217;applicazione di controlli pi\u00f9 severi con l&#8217;accesso condizionale e la configurazione di criteri.<\/p>\n<p>Il furto di credenziali pu\u00f2 essere affrontato anche combinando la difesa integrata di Microsoft 365 con soluzioni automatizzate come NinjaOne. In questo modo si ottimizzano le operazioni di MSP e amministratori di sistema non solo per rispondere, ma anche per rilevare un furto di credenziali prima che abbia un impatto sulle operazioni.<\/p>\n<h3><strong>Argomenti correlati:<\/strong><\/h3>\n<ul>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/gestione-delle-credenziali\/\">Che cos&#8217;\u00e8 la gestione delle credenziali? Definizione e best practice<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/google-workspace-e-microsoft-365\/\">Google Workspace e Microsoft 365: Qual \u00e8 il migliore per le aziende?<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/blog\/verify-credential-guard-in-windows\/\">Come verificare se Credential Guard \u00e8 abilitato o disabilitato in Windows<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/interrompere-catene-di-attacchi-informatici\/\">Interrompere le catene di attacchi informatici con 5 strumenti<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/le-migliori-soluzioni-per-proteggersi-dai-malware\/\">Le 10 migliori soluzioni di protezione dai malware<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Sempre pi\u00f9 organizzazioni e aziende si affidano alle piattaforme cloud per la produttivit\u00e0. L&#8217;utilizzo del cloud \u00e8 molto diffuso, e gli aggressori informatici che prendono di mira queste piattaforme stanno aumentando. Gli attacchi vengono sferrati attraverso il furto di credenziali. In Microsoft 365, un account utente compromesso a causa del furto di credenziali pu\u00f2 portare [&hellip;]<\/p>\n","protected":false},"author":161,"featured_media":532525,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4354],"tags":[],"class_list":["post-538106","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-operazioni-it"],"acf":[],"modified_by":"Sergio Oricci","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/538106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/161"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=538106"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/538106\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/532525"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=538106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=538106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=538106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}