Guida di riferimento per gli avvisi di sicurezza
Questo articolo fornisce collegamenti alle pagine che elencano gli avvisi di sicurezza che è possibile ricevere da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Questa pagina include anche una tabella che descrive la Microsoft Defender per il cloud kill chain allineata alla versione 9 della matrice MITRE ATT&CK.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Pagine di avviso di sicurezza per categoria
- Avvisi per i computer Windows
- Avvisi per i computer Linux
- Avvisi per DNS
- Avvisi per le estensioni della macchina virtuale di Azure
- Avvisi per il servizio app Azure
- Avvisi per i contenitori - Cluster Kubernetes
- Avvisi per database SQL e Azure Synapse Analytics
- Avvisi per database relazionali open source
- Avvisi per Resource Manager
- Avvisi per Archiviazione di Azure
- Avvisi per Azure Cosmos DB
- Avvisi per il livello di rete di Azure
- Avvisi per Azure Key Vault
- Avvisi per la protezione DDoS di Azure
- Avvisi per Defender per le API
- Avvisi per i carichi di lavoro di IA
- Avvisi di sicurezza deprecati
Tattiche di MITRE ATT&CK
Comprendere la finalità di un attacco può essere di aiuto per analizzare l'evento e segnalarlo con maggiore facilità. Per facilitare questi sforzi, Microsoft Defender per il cloud avvisi includono le tattiche MITRE con molti avvisi.
La serie di passaggi che descrivono la progressione di un attacco informatico dalla ricognizione all'esfiltrazione dei dati è spesso definita "catena di attacco".
le finalità della kill chain supportate di Defender per il cloud si basano sulla versione 9 della matrice MITRE ATT&CK e descritte nella tabella seguente.
| Tattica | Versione ATT&CK | Descrizione |
|---|---|---|
| Pre-attacco | PreAttack potrebbe essere un tentativo di accedere a una determinata risorsa indipendentemente da una finalità dannosa o un tentativo non riuscito di ottenere l'accesso a un sistema di destinazione per raccogliere informazioni prima dello sfruttamento. Questo passaggio viene in genere rilevato come tentativo, proveniente dall'esterno della rete, di analizzare il sistema di destinazione e identificare un punto di ingresso. | |
| Accesso iniziale | V7, V9 | L'accesso iniziale è la fase in cui un utente malintenzionato riesce a ottenere un punto di appoggio nella risorsa attaccata. Questa fase è rilevante per gli host di calcolo e le risorse, ad esempio account utente, certificati e così via. Gli attori delle minacce saranno spesso in grado di controllare la risorsa dopo questa fase. |
| Persistenza | V7, V9 | Per persistenza si intende qualsiasi accesso, azione o modifica alla configurazione in un sistema che fornisce all'attore di una minaccia una presenza permanente in tale sistema. Gli attori delle minacce spesso avranno bisogno di mantenere l'accesso ai sistemi tramite interruzioni come riavvii del sistema, perdita di credenziali o altri errori che richiederebbero uno strumento di accesso remoto per riavviare o fornire una backdoor alternativa per poter riottenere l'accesso. |
| Escalation dei privilegi | V7, V9 | L'escalation dei privilegi è il risultato di azioni che consentono a un antagonista di ottenere un livello più elevato di autorizzazioni in un sistema o una rete. Alcuni strumenti o azioni richiedono un livello di privilegi più elevato per il funzionamento e probabilmente sono necessari in molti punti durante un'operazione. Gli account utente con autorizzazioni per accedere a sistemi specifici o eseguire funzioni specifiche necessarie per raggiungere il loro obiettivo possono essere considerati anche un'escalation dei privilegi. |
| Evasione della difesa | V7, V9 | L'evasione della difesa è costituita da tecniche che un avversario potrebbe usare per evitare il rilevamento o evitare altre difese. A volte queste azioni sono equivalenti alle tecniche (o sono una loro variante) in altre categorie che hanno il vantaggio aggiuntivo di compromettere una particolare difesa o mitigazione. |
| Accesso alle credenziali | V7, V9 | L'accesso alle credenziali rappresenta tecniche che consentono di ottenere l'accesso o il controllo sulle credenziali del sistema, del dominio o del servizio usate all'interno di un ambiente aziendale. Gli antagonisti tenteranno probabilmente di ottenere le credenziali legittime da utenti o account amministratore (amministratore di sistema locale o utenti di dominio con accesso amministratore) da usare all'interno della rete. Con un accesso sufficiente all'interno di una rete, un antagonista può creare account per un uso successivo all'interno dell'ambiente. |
| Individuazione | V7, V9 | L'individuazione è costituita da tecniche che consentono all'antagonista di ottenere informazioni sul sistema e sulla rete interna. Quando gli antagonisti ottengono l'accesso a un nuovo sistema, devono orientarsi in base a ciò su cui hanno attualmente il controllo e sui vantaggi che operando da tale sistema potrebbero ottenere per i propri obiettivi correnti o per gli obiettivi globali durante le intrusioni. Il sistema operativo fornisce molti strumenti nativi che facilitano la fase di raccolta delle informazioni successiva alla compromissione. |
| Spostamento laterale | V7, V9 | Lo spostamento laterale è costituito da tecniche che consentono a un antagonista di accedere e controllare sistemi remoti in una rete e potrebbe, ma non necessariamente, includere l'esecuzione di strumenti nei sistemi remoti. Le tecniche di spostamento laterale possono consentire a un antagonista di raccogliere informazioni da un sistema senza che siano necessari strumenti aggiuntivi, ad esempio uno strumento di accesso remoto. Un avversario può usare lo spostamento laterale per molti scopi, tra cui esecuzione remota di strumenti, pivoting a più sistemi, accesso a informazioni o file specifici, accesso a più credenziali o per causare un effetto. |
| Esecuzione | V7, V9 | La tattica di esecuzione rappresenta tecniche che consentono l'esecuzione di codice controllato da un antagonista in un sistema locale o remoto. Questa tattica viene spesso usata in combinazione con lo spostamento laterale per espandere l'accesso ai sistemi remoti in una rete. |
| Raccolta | V7, V9 | La raccolta è costituita dalle tecniche usate per identificare e raccogliere informazioni, come file riservati, da una rete di destinazione prima dell'esfiltrazione. Questa categoria riguarda anche i percorsi in un sistema o in una rete in cui l'antagonista potrebbe cercare informazioni da esfiltrare. |
| Comando e controllo | V7, V9 | La tattica di comando e controllo rappresenta il modo in cui gli antagonisti comunicano con i sistemi sotto il proprio controllo entro una rete di destinazione. |
| Esfiltrazione | V7, V9 | Per esfiltrazione si intendono le tecniche e gli attributi che consentono o contribuiscono alla rimozione di file e informazioni da una rete di destinazione da parte di un antagonista. Questa categoria riguarda anche i percorsi in un sistema o in una rete in cui l'antagonista potrebbe cercare informazioni da esfiltrare. |
| Impatto | V7, V9 | Gli eventi di impatto tentano principalmente di ridurre direttamente la disponibilità o l'integrità di un sistema, un servizio o una rete, inclusa la manipolazione dei dati per avere ripercussioni su un processo operativo o aziendale. Spesso si riferisce a tecniche quali ransomware, danneggiamento, manipolazione dei dati e così via. |
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.