Tenere traccia e rispondere alle minacce emergenti tramite analitica di minacce

Si applica a:

• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Importante

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

L'analisi delle minacce è la nostra soluzione di intelligence sulle minacce proprietaria creata dagli esperti ricercatori di sicurezza Microsoft. È progettata per aiutare i team di sicurezza a essere il più efficienti possibile e ad affrontare le minacce emergenti, ad esempio:

• Attori di minaccia attivi e relative campagne
• Tecniche di attacco popolari e nuove
• Vulnerabilità critiche
• Le superfici di attacco comuni
• I malware prevalenti

È possibile accedere alle minacce analitica dal lato superiore sinistro della barra di spostamento del portale di Microsoft Defender o da una scheda dashboard dedicata che mostra le principali minacce per l'organizzazione, sia in termini di impatto noto che in termini di esposizione.

Ottenere visibilità sulle campagne attive o in corso e sapere come procedere grazie all'analisi delle minacce può aiutare il team delle operazioni di sicurezza a prendere decisioni informate.

Con il sopraggiungere di avversari più sofisticati e di nuove minacce che emergono più di frequente e in modo diffuso, è fondamentale essere in grado di:

• Identificare e reagire alle minacce emergenti
• Scopri se sei attualmente sotto attacco
• Valutare l'impatto della minaccia sugli asset
• Esaminare la resilienza o l'esposizione alle minacce
• Identificare le azioni di mitigazione, ripristino o prevenzione che è possibile intraprendere per arrestare o contenere le minacce

Ogni report fornisce un'analisi di una minaccia monitorata e indicazioni approfondite su come difendersi da tale minaccia. Incorpora anche i dati della rete, che indicano se la minaccia è attiva e se sono state applicate protezioni applicabili.

Ruoli e autorizzazioni necessari

La tabella seguente descrive i ruoli e le autorizzazioni necessari per accedere alle analitica di minacce. I ruoli definiti nella tabella fanno riferimento ai ruoli personalizzati nei singoli portali e non sono connessi ai ruoli globali in Microsoft Entra ID, anche se con un nome simile.

Per Microsoft Defender XDR sono necessari uno dei ruoli seguenti	Per Microsoft Defender per endpoint sono necessari uno dei ruoli seguenti	Per Microsoft Defender per Office 365 è necessario uno dei ruoli seguenti	Uno dei ruoli seguenti è necessario per Microsoft Defender per le app cloud e Microsoft Defender per le identità	Per Microsoft Defender per il cloud è necessario uno dei ruoli seguenti
Analisi delle minacce	Avvisi e dati sugli eventi imprevisti: Visualizzare le operazioni di sicurezza dei dati Mitigazioni di Gestione vulnerabilità defender: Visualizzare i dati - Gestione delle minacce e delle vulnerabilità	Avvisi e dati sugli eventi imprevisti: Gestire gli avvisi in sola visualizzazione Gestire gli avvisi Configurazione organizzazione Log di audit Log di controllo di sola visualizzazione Amministratore che legge i dati di sicurezza Amministratore della sicurezza Destinatari di sola visualizzazione Tentativi di posta elettronica non consentiti: Amministratore che legge i dati di sicurezza Amministratore della sicurezza Destinatari di sola visualizzazione	Amministratore globale Amministratore della sicurezza Amministratore di conformità Operatore della sicurezza Amministratore che legge i dati di sicurezza	Amministratore globale Amministratore della sicurezza

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Si avrà visibilità su tutte le minacce analitica report anche se si dispone solo di uno dei prodotti e dei relativi ruoli corrispondenti descritti nella tabella precedente. Tuttavia, è necessario disporre di ogni prodotto e ruolo per vedere gli eventi imprevisti specifici del prodotto, gli asset, l'esposizione e le azioni consigliate associate alla minaccia.

Ulteriori informazioni:

• Ruoli personalizzati nel controllo degli accessi in base al ruolo per Microsoft Defender XDR
• Controllo degli accessi in base al ruolo (RBAC) di Microsoft Defender XDR unificato

Visualizzare il dashboard di analisi delle minacce

Il dashboard di analitica delle minacce (security.microsoft.com/threatanalytics3) evidenzia i report più rilevanti per l'organizzazione. Riepiloga le minacce nelle sezioni seguenti:

• Minacce più recenti: elenca i report sulle minacce pubblicati o aggiornati più di recente, insieme al numero di avvisi attivi e risolti.
• Minacce ad alto impatto: elenca le minacce che hanno il massimo impatto sull'organizzazione. Questa sezione elenca prima le minacce con il maggior numero di avvisi attivi e risolti.
• Minacce di esposizione più elevate: elenca le minacce a cui l'organizzazione ha la massima esposizione. Il livello di esposizione a una minaccia viene calcolato usando due informazioni: la gravità delle vulnerabilità associate alla minaccia e il numero di dispositivi nell'organizzazione che potrebbero essere sfruttati da tali vulnerabilità.

Selezionare una minaccia dal dashboard per visualizzare il report relativo. È anche possibile selezionare il campo Cerca da chiave in una parola chiave correlata alla minaccia analitica report che si vuole leggere.

Visualizzare i report per categoria

È possibile filtrare l'elenco dei report sulle minacce e visualizzare i report più rilevanti in base a un tipo di minaccia specifico o al tipo di report.

• Tag di minaccia: consentono di visualizzare i report più rilevanti in base a una categoria di minacce specifica. Ad esempio, il tag Ransomware include tutti i report relativi al ransomware.
• Tipi di report: consentono di visualizzare i report più rilevanti in base a un tipo di report specifico. Ad esempio, il tag Tools & techniques include tutti i report che coprono strumenti e tecniche.

I diversi tag hanno filtri equivalenti che consentono di esaminare in modo efficiente l'elenco dei report sulle minacce e filtrare la visualizzazione in base a un tag di minaccia o a un tipo di report specifico. Ad esempio, per visualizzare tutti i report sulle minacce correlati alla categoria ransomware o report sulle minacce che coinvolgono vulnerabilità.

Il team di Microsoft Threat Intelligence aggiunge tag di minaccia a ogni report sulle minacce. I tag di minaccia seguenti sono attualmente disponibili:

• Ransomware
• Estorsione
• Phishing
• Tastiera a mano
• Gruppo di attività
• Vulnerabilità
• Campagna di attacco
• Strumento o tecnica

I tag delle minacce vengono presentati nella parte superiore della pagina di analisi delle minacce. Sono disponibili contatori per il numero di report disponibili in ciascun tag.

Per impostare i tipi di report desiderati nell'elenco, selezionare Filtri, scegliere dall'elenco e selezionare Applica.

Se si impostano più filtri, è anche possibile ordinare l'elenco dei report analitica minacce in base al tag di minaccia selezionando la colonna tag di minaccia:

Visualizzare un report di analisi delle minacce

Ogni report sulle minacce analitica fornisce informazioni in diverse sezioni:

• Panoramica
• Report di analisi
• Eventi correlati
• Risorse interessate
• Esposizione degli endpoint
• Azioni consigliate

Panoramica: Comprendere rapidamente la minaccia, valutarne l'impatto ed esaminare le difese

La sezione Panoramica fornisce un'anteprima del report dettagliato degli analisti. Fornisce anche grafici che evidenziano l'impatto della minaccia per l'organizzazione e l'esposizione tramite dispositivi non configurati correttamente e senza patch.

sezione Panoramica di un report sulle minacce analitica

Valutare l'impatto sull'organizzazione

Ogni report include grafici progettati per fornire informazioni sull'impatto aziendale di una minaccia:

• Eventi imprevisti correlati: offre una panoramica dell'impatto della minaccia rilevata per l'organizzazione con i dati seguenti:
  • Numero di avvisi attivi e numero di eventi imprevisti attivi a cui sono associati
  • Gravità degli eventi imprevisti attivi
• Avvisi nel tempo: mostra il numero di avvisi attivi e risolti correlati nel tempo. Il numero di avvisi risolti indica la velocità con cui l'organizzazione risponde agli avvisi associati a una minaccia. Idealmente, il grafico dovrebbe mostrare gli avvisi risolti entro pochi giorni.
• Asset interessati: indica il numero di asset distinti che attualmente hanno almeno un avviso attivo associato alla minaccia rilevata. Gli avvisi vengono attivati per le cassette postali che hanno ricevuto messaggi di posta elettronica di minaccia. Esaminare sia i criteri a livello di organizzazione che a livello di utente per le sostituzioni che causano il recapito di messaggi di posta elettronica delle minacce.

Esaminare la resilienza e il comportamento della sicurezza

Ogni report include grafici che offrono una panoramica della resilienza dell'organizzazione rispetto a una determinata minaccia:

• Azioni consigliate: mostra la percentuale di stato dell'azione o il numero di punti ottenuti per migliorare il comportamento di sicurezza. Eseguire le azioni consigliate per risolvere la minaccia. È possibile visualizzare la suddivisione dei punti per categoria o stato.
• Esposizione degli endpoint: mostra il numero di dispositivi vulnerabili. Applicare aggiornamenti o patch di sicurezza per risolvere le vulnerabilità sfruttate dalla minaccia.

Report degli analisti: ottenere informazioni approfondite dagli esperti dei ricercatori di sicurezza Microsoft

Nella sezione Report degli analisti leggere il write-up dettagliato dell'esperto. La maggior parte dei report fornisce descrizioni dettagliate delle catene di attacco, tra cui tattiche e tecniche mappate al framework MITRE ATT&CK, elenchi completi di raccomandazioni e potenti linee guida per la ricerca delle minacce .

Altre informazioni sul report degli analisti

Eventi imprevisti correlati: visualizzare e gestire gli eventi imprevisti correlati

La scheda Incidenti correlati fornisce l'elenco di tutti gli incidenti correlati alla minaccia rilevata. È possibile assegnare gli incidenti o gestire gli avvisi collegati a ogni incidente.

Nota

Gli eventi imprevisti e gli avvisi associati alla minaccia provengono da Defender per endpoint, Defender per identità, Defender per Office 365, Defender per le app cloud e Defender per il cloud.

Asset interessati: ottenere un elenco di dispositivi, utenti, cassette postali, app e risorse cloud interessati

La scheda Asset interessati mostra gli asset interessati dalla minaccia nel tempo. Viene visualizzato:

• Asset interessati dagli avvisi attivi
• Asset interessati dagli avvisi risolti
• Tutti gli asset o il numero totale di asset interessati dagli avvisi attivi e risolti

Gli asset sono suddivisi nelle categorie seguenti:

• Dispositivi
• Utenti
• Cassette postali
• App
• Risorse cloud

Esposizione degli endpoint: conoscere lo stato di distribuzione degli aggiornamenti della sicurezza

La sezione Esposizione degli endpoint fornisce il livello di esposizione dell'organizzazione alla minaccia, calcolato in base alla gravità delle vulnerabilità e delle configurazioni errate sfruttate dalla minaccia e al numero di dispositivi con questi punti deboli.

Questa sezione fornisce anche lo stato di distribuzione degli aggiornamenti della sicurezza software supportati per le vulnerabilità rilevate nei dispositivi di cui è stato eseguito l'onboarding. Incorpora i dati di Gestione vulnerabilità di Microsoft Defender, che fornisce anche informazioni dettagliate di drill-down da vari collegamenti nel report.

Azioni consigliate: esaminare l'elenco delle mitigazioni e lo stato dei dispositivi

Nella scheda Azioni consigliate esaminare l'elenco di raccomandazioni interattive specifiche che consentono di aumentare la resilienza dell'organizzazione rispetto alla minaccia. L'elenco delle mitigazioni rilevate include configurazioni di sicurezza supportate, ad esempio:

• Protezione fornita dal cloud
• Protezione da applicazioni potenzialmente indesiderate
• Protezione in tempo reale

Configurare le notifiche tramite posta elettronica per gli aggiornamenti dei report

È possibile configurare notifiche tramite posta elettronica che invieranno aggiornamenti sui report sulle minacce analitica. Per creare notifiche tramite posta elettronica, seguire la procedura descritta in Ottenere notifiche tramite posta elettronica per gli aggiornamenti di Threat analitica in Microsoft Defender XDR.

Altri dettagli e limitazioni del report

Quando si esamina la minaccia analitica dati, tenere presente i fattori seguenti:

• L'elenco di controllo nella scheda Azioni consigliate visualizza solo le raccomandazioni rilevate in Microsoft Secure Score. Controllare la scheda Report degli analisti per le azioni più consigliate che non vengono rilevate in Punteggio di sicurezza.
• Le azioni consigliate non garantiscono la resilienza completa e riflettono solo le migliori azioni possibili necessarie per migliorarla.
• Le statistiche correlate all'antivirus si basano sulle impostazioni di Microsoft Defender Antivirus.

Vedere anche

• Trovare in modo proattivo le minacce con la ricerca avanzata
• Informazioni sulla sezione report degli analisti
• Valutare e risolvere i punti deboli e le esposizioni della sicurezza

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.