Condividi tramite


Analizzare e rispondere con Microsoft Defender XDR

Ecco le attività di analisi e risposta principali per Microsoft Defender XDR:

Intervento in caso di incidente

I servizi e le app di Microsoft 365 creano avvisi quando rilevano un evento o un'attività sospetta o dannosa. I singoli avvisi forniscono indicazioni preziose su un attacco completato o in corso. Tuttavia, gli attacchi usano in genere varie tecniche contro diversi tipi di entità, ad esempio dispositivi, utenti e cassette postali. Il risultato sono più avvisi per più entità nel tenant. Poiché l'aggregazione dei singoli avvisi per ottenere informazioni dettagliate su un attacco può essere complessa e dispendiosa in termini di tempo, Microsoft Defender XDR aggrega automaticamente gli avvisi e le relative informazioni associate in un evento imprevisto.

In modo continuativo, è necessario identificare gli eventi imprevisti con la massima priorità per l'analisi e la risoluzione nella coda degli eventi imprevisti e prepararli per la risposta. Si tratta di una combinazione di:

  • Assegnare priorità alla determinazione degli eventi imprevisti con priorità più alta tramite il filtro e l'ordinamento della coda degli eventi imprevisti. Questa operazione è nota anche come valutazione.
  • Gestione degli eventi imprevisti modificandone il titolo, assegnandoli a un analista, aggiungendo tag e commenti e, se risolti, classificandoli.

Per ogni evento imprevisto, usare il flusso di lavoro di risposta agli eventi imprevisti per analizzare l'evento imprevisto e i relativi avvisi e dati per contenere l'attacco, eliminare la minaccia, recuperare dall'attacco e apprendere da esso. Vedere questo esempio per Microsoft Defender XDR.

Indagine e correzione automatizzate

Se l'organizzazione usa Microsoft Defender XDR, il team delle operazioni di sicurezza riceve un avviso all'interno del portale di Microsoft Defender ogni volta che viene rilevato un'attività o un artefatto dannoso o sospetto. Dato il flusso incessante di minacce che possono arrivare, i team di sicurezza devono spesso affrontare la sfida di gestire l'elevato volume di avvisi. Fortunatamente, Microsoft Defender XDR include funzionalità di indagine e risposta automatizzate (AIR) che possono aiutare il team delle operazioni di sicurezza ad affrontare le minacce in modo più efficiente ed efficace.

Al termine di un'indagine automatizzata, viene emesso un verdetto per ogni elemento di prova di un incidente. A seconda del verdetto, vengono identificate le azioni correttive. In alcuni casi, le azioni di correzione vengono eseguite automaticamente; in altri casi, le azioni di correzione attendono l'approvazione tramite il Centro notifiche Microsoft Defender XDR.

Per altre informazioni, vedere Analisi automatizzata e risposta in Microsoft Defender XDR.

Ricerca proattiva delle minacce con ricerca avanzata

Non è sufficiente rispondere agli attacchi man mano che si verificano. Per gli attacchi estesi e multifase come il ransomware, è necessario cercare in modo proattivo le prove di un attacco in corso e intervenire per arrestarlo prima che venga completato.

La ricerca avanzata è uno strumento di ricerca delle minacce basato su query in Microsoft Defender XDR che consente di esplorare fino a 30 giorni di dati non elaborati. È possibile controllare in modo proattivo eventi nella rete per localizzare indicatori ed entità di minaccia. Questo accesso flessibile ai dati Microsoft Defender XDR consente la ricerca non vincolata per minacce note e potenziali.

È possibile usare le stesse query di ricerca delle minacce per creare regole di rilevamento personalizzate. Queste regole vengono eseguite automaticamente per verificare e quindi rispondere a sospette attività di violazione, computer non configurati correttamente e altri risultati.

Per altre informazioni, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft Defender XDR.

Anticipare le minacce emergenti con l'analisi delle minacce

L'analisi delle minacce è una funzionalità di intelligence sulle minacce in Microsoft Defender XDR progettata per aiutare il team di sicurezza a essere il più efficiente possibile, affrontando le minacce emergenti. Include analisi dettagliate e informazioni su:

  • Attori attivi delle minacce e le loro campagne
  • Tecniche di attacco popolari e nuove
  • Vulnerabilità critiche
  • Le superfici di attacco comuni
  • I malware prevalenti

Analisi delle minacce include anche informazioni sugli eventi imprevisti correlati e sugli asset interessati all'interno del tenant di Microsoft 365 per ogni minaccia identificata.

Ogni minaccia identificata include un report degli analisti, un'analisi completa della minaccia scritta dai ricercatori di sicurezza Microsoft che sono all'avanguardia nel rilevamento e nell'analisi della cybersecurity. Questi report possono anche fornire informazioni sul modo in cui gli attacchi vengono visualizzati in Microsoft Defender XDR.

Per altre informazioni, vedere Analisi delle minacce in Microsoft Defender XDR.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.