Condividi tramite

Informazioni sui concetti di Threat Intelligence

  • Articolo

Si applica a:

Nota

Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Più eventi dannosi complessi, attributi e informazioni contestuali comprendono attacchi avanzati alla cybersecurity. Identificare e decidere quali di queste attività sono considerate sospette può essere un'attività complessa. La conoscenza degli attributi noti e delle attività anomale specifiche del settore è fondamentale per sapere quando chiamare sospetto un comportamento osservato.

Con Microsoft Defender XDR, è possibile creare avvisi di minaccia personalizzati che consentono di tenere traccia delle possibili attività di attacco nell'organizzazione. È possibile contrassegnare eventi sospetti per raggruppare gli indizi e possibilmente arrestare una catena di attacchi. Questi avvisi di minaccia personalizzati verranno visualizzati solo nell'organizzazione e contrassegneranno gli eventi impostati per il rilevamento.

Prima di creare avvisi di minaccia personalizzati, è importante conoscere i concetti alla base delle definizioni di avviso e degli indicatori di compromissione (IOC) e la relazione tra di essi.

Definizioni degli avvisi

Le definizioni di avviso sono attributi contestuali che possono essere usati collettivamente per identificare i primi indizi su un possibile attacco alla cybersecurity. Questi indicatori sono in genere una combinazione di attività, caratteristiche e azioni intraprese da un utente malintenzionato per raggiungere correttamente l'obiettivo di un attacco. Il monitoraggio di queste combinazioni di attributi è fondamentale per ottenere un punto di osservazione contro gli attacchi ed eventualmente interferire con la catena di eventi prima che venga raggiunto l'obiettivo di un utente malintenzionato.

Indicatori di compromissione (IOC)

Gli ioc sono eventi dannosi noti singolarmente che indicano che una rete o un dispositivo è già stato violato. A differenza delle definizioni di avviso, questi indicatori sono considerati come prova di una violazione. Vengono spesso visti dopo che un attacco è già stato effettuato e l'obiettivo è stato raggiunto, ad esempio l'esfiltrazione. Tenere traccia delle operazioni di I/O è importante anche durante le indagini forensi. Anche se potrebbe non essere in grado di intervenire con una catena di attacco, la raccolta di questi indicatori può essere utile per creare difese migliori per possibili attacchi futuri.

Relazione tra definizioni di avviso e I/O

Nel contesto di Microsoft Defender XDR e Microsoft Defender per endpoint, le definizioni di avviso sono contenitori per IOC e definisce l'avviso, inclusi i metadati generati per una corrispondenza IOC specifica. Come parte delle definizioni di avviso vengono forniti vari metadati. I metadati, ad esempio il nome della definizione di avviso dell'attacco, la gravità e la descrizione, vengono forniti insieme ad altre opzioni.

Ogni CIO definisce la logica di rilevamento concreta in base al tipo, al valore e all'azione, che determina la modalità di corrispondenza. È associato a una definizione di avviso specifica che definisce la modalità di visualizzazione di un rilevamento come avviso nella console di Microsoft Defender XDR.

Di seguito è riportato un esempio di CIO:

  • Tipo: Sha1
  • Valore: 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • Azione: Uguale a

Le operazioni di I/O hanno una relazione molti-a-uno con le definizioni di avviso in modo che una definizione di avviso possa avere molti ioc corrispondenti.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.