Indagine e risposta automatizzate in Microsoft Defender XDR
Articolo
Si applica a:
Microsoft Defender XDR
Se l'organizzazione usa Microsoft Defender XDR, il team delle operazioni di sicurezza riceve un avviso all'interno del portale di Microsoft Defender ogni volta che viene rilevato un'attività o un artefatto dannoso o sospetto. Dato il flusso apparentemente infinito di minacce che possono venire in, i team di sicurezza spesso affrontano la sfida di affrontare l'elevato volume di avvisi. Fortunatamente, Microsoft Defender XDR include funzionalità di indagine e risposta automatizzate (AIR) che possono aiutare il team delle operazioni di sicurezza ad affrontare le minacce in modo più efficiente ed efficace.
Questo articolo offre una panoramica di AIR e include collegamenti a passaggi successivi e risorse aggiuntive.
Funzionamento dell'indagine automatizzata e della riparazione automatica
Quando vengono attivati gli avvisi di sicurezza, spetta al team operativo di sicurezza esaminarli e prendere provvedimenti per proteggere l'organizzazione. La classificazione in ordine di priorità e l'analisi degli avvisi può richiedere molto tempo, soprattutto quando continuano ad arrivare nuovi avvisi durante il corso di un'indagine. I team delle operazioni di sicurezza possono sentirsi sopraffatti dall'enorme volume di minacce che devono monitorare e da cui devono proteggersi. Le funzionalità automatizzate di analisi e risposta, con la riparazione automatica, in Microsoft Defender XDR possono essere utili.
Guardare il video seguente per vedere come funziona la correzione automatica:
In Microsoft Defender XDR, l'analisi automatizzata e la risposta con funzionalità di auto-correzione funzionano nei dispositivi, nella posta elettronica & contenuto e nelle identità.
Si supponga di avere un analista virtuale nel team delle operazioni di sicurezza di livello 1 o 2. L'analista virtuale simula i passaggi ideali che le operazioni di sicurezza seguirebbero per analizzare e correggere le minacce. L'analista virtuale potrebbe funzionare 24x7, con capacità illimitata, e assumere un carico significativo di indagini e correzione delle minacce. Un analista virtuale di questo tipo potrebbe ridurre significativamente il tempo necessario per rispondere, liberando il team delle operazioni di sicurezza per altre minacce importanti o progetti strategici. Se questo scenario sembra fantascienza, non lo è! Un analista virtuale di questo tipo fa parte della famiglia di Microsoft Defender XDR e il nome è indagine e risposta automatizzate.
Le funzionalità di indagine e risposta automatizzate consentono al team delle operazioni di sicurezza di aumentare notevolmente la capacità dell'organizzazione di gestire gli avvisi di sicurezza e gli eventi imprevisti. Con l'analisi e la risposta automatizzate, è possibile ridurre i costi di gestione delle attività di indagine e risposta e ottenere il massimo dalla suite di protezione dalle minacce. Le funzionalità di analisi e risposta automatizzate consentono al team delle operazioni di sicurezza di:
Stabilire se una minaccia richiede un'azione.
Eseguire (o consigliare) tutte le azioni correttive necessarie.
Determinare se e quali altre indagini devono essere eseguite.
Ripetere il processo per altri avvisi, se necessario.
Il processo di indagine automatizzata
Un avviso crea un evento imprevisto, che può avviare un'indagine automatizzata. L'indagine automatizzata genera un verdetto per ogni evidenza. I verdetti possono essere:
Dannoso
Sospetta
Nessuna minaccia trovata
Vengono identificate azioni correttive per entità dannose o sospette. Di seguito sono riportati alcuni esempi di azioni correttive:
Durante l'esecuzione di un'indagine, tutti gli altri avvisi correlati che emergono vengono aggiunti all'indagine fino al suo completamento. Se un'entità interessata viene vista altrove, l'indagine automatizzata espande il suo ambito per includere tale entità e il processo di indagine si ripete.
In Microsoft Defender XDR ogni indagine automatizzata correla i segnali tra Microsoft Defender per identità, Microsoft Defender per endpoint e Microsoft Defender per Office 365, come riepilogato nella tabella seguente:
Non tutti gli avvisi attivano un'indagine automatizzata e non tutte le indagini generano azioni di correzione automatizzate. Dipende dalla configurazione dell'indagine e della risposta automatizzate per l'organizzazione. Vedere Configurare le funzionalità di analisi e risposta automatizzate.
Visualizzazione di un elenco di indagini
Per visualizzare le indagini, passare alla pagina Eventi imprevisti . Selezionare un evento imprevisto e quindi selezionare la scheda Indagini . Per altre informazioni, vedere Dettagli e risultati di un'indagine automatizzata.
Scheda di risposta & di indagine automatizzata
La nuova scheda di risposta automated investigation & è disponibile nel portale di Microsoft Defender (https://security.microsoft.com). Questa nuova visibilità della scheda per il numero totale di azioni correttive disponibili. La scheda offre anche una panoramica di tutti gli avvisi e del tempo di approvazione richiesto per ogni avviso.
Usando la scheda di risposta Analisi automatizzata &, il team delle operazioni di sicurezza può passare rapidamente al Centro notifiche selezionando il collegamento Approva nel Centro notifiche e quindi eseguendo le azioni appropriate. La scheda consente al team delle operazioni di sicurezza di gestire in modo più efficace le azioni in attesa di approvazione.
Per ottenere queste credenziali di Microsoft Applied Skills, gli studenti devono dimostrare di saper usare Microsoft Defender XDR per rilevare e rispondere alle minacce informatiche. I candidati per queste credenziali devono avere familiarità con l'analisi e la raccolta di prove relative agli attacchi negli endpoint. Devono anche avere esperienza nell'uso di Microsoft Defender per endpoint e del Linguaggio di query Kusto (KQL).