Indagine e risposta automatizzate in Microsoft Defender XDR

Si applica a:

  • Microsoft Defender XDR

Se l'organizzazione usa Microsoft Defender XDR, il team delle operazioni di sicurezza riceve un avviso all'interno del portale di Microsoft Defender ogni volta che viene rilevato un'attività o un artefatto dannoso o sospetto. Dato il flusso apparentemente infinito di minacce che possono venire in, i team di sicurezza spesso affrontano la sfida di affrontare l'elevato volume di avvisi. Fortunatamente, Microsoft Defender XDR include funzionalità di indagine e risposta automatizzate (AIR) che possono aiutare il team delle operazioni di sicurezza ad affrontare le minacce in modo più efficiente ed efficace.

Questo articolo offre una panoramica di AIR e include collegamenti a passaggi successivi e risorse aggiuntive.

Funzionamento dell'indagine automatizzata e della riparazione automatica

Quando vengono attivati gli avvisi di sicurezza, spetta al team operativo di sicurezza esaminarli e prendere provvedimenti per proteggere l'organizzazione. La classificazione in ordine di priorità e l'analisi degli avvisi può richiedere molto tempo, soprattutto quando continuano ad arrivare nuovi avvisi durante il corso di un'indagine. I team delle operazioni di sicurezza possono sentirsi sopraffatti dall'enorme volume di minacce che devono monitorare e da cui devono proteggersi. Le funzionalità automatizzate di analisi e risposta, con la riparazione automatica, in Microsoft Defender XDR possono essere utili.

Guardare il video seguente per vedere come funziona la correzione automatica:

In Microsoft Defender XDR, l'analisi automatizzata e la risposta con funzionalità di auto-correzione funzionano nei dispositivi, nella posta elettronica & contenuto e nelle identità.

Suggerimento

Questo articolo descrive il funzionamento dell'indagine automatizzata e della risposta. Per configurare queste funzionalità, vedere Configurare le funzionalità di analisi e risposta automatizzate in Microsoft Defender XDR.

Il proprio analista virtuale

Si supponga di avere un analista virtuale nel team delle operazioni di sicurezza di livello 1 o 2. L'analista virtuale simula i passaggi ideali che le operazioni di sicurezza seguirebbero per analizzare e correggere le minacce. L'analista virtuale potrebbe funzionare 24x7, con capacità illimitata, e assumere un carico significativo di indagini e correzione delle minacce. Un analista virtuale di questo tipo potrebbe ridurre significativamente il tempo necessario per rispondere, liberando il team delle operazioni di sicurezza per altre minacce importanti o progetti strategici. Se questo scenario sembra fantascienza, non lo è! Un analista virtuale di questo tipo fa parte della famiglia di Microsoft Defender XDR e il nome è indagine e risposta automatizzate.

Le funzionalità di indagine e risposta automatizzate consentono al team delle operazioni di sicurezza di aumentare notevolmente la capacità dell'organizzazione di gestire gli avvisi di sicurezza e gli eventi imprevisti. Con l'analisi e la risposta automatizzate, è possibile ridurre i costi di gestione delle attività di indagine e risposta e ottenere il massimo dalla suite di protezione dalle minacce. Le funzionalità di analisi e risposta automatizzate consentono al team delle operazioni di sicurezza di:

  1. Stabilire se una minaccia richiede un'azione.
  2. Eseguire (o consigliare) tutte le azioni correttive necessarie.
  3. Determinare se e quali altre indagini devono essere eseguite.
  4. Ripetere il processo per altri avvisi, se necessario.

Il processo di indagine automatizzata

Un avviso crea un evento imprevisto, che può avviare un'indagine automatizzata. L'indagine automatizzata genera un verdetto per ogni evidenza. I verdetti possono essere:

  • Dannoso
  • Sospetta
  • Nessuna minaccia trovata

Vengono identificate azioni correttive per entità dannose o sospette. Di seguito sono riportati alcuni esempi di azioni correttive:

  • Invio di un file in quarantena
  • Arresto di un processo
  • Isolamento di un dispositivo
  • Blocco di un URL
  • Altre azioni

Per altre informazioni, vedere Azioni di correzione in Microsoft Defender XDR.

A seconda della configurazione delle funzionalità di analisi e risposta automatizzate per l'organizzazione, le azioni di correzione vengono eseguite automaticamente o solo dopo l'approvazione del team delle operazioni di sicurezza. Tutte le azioni, in sospeso o completate, sono elencate nel Centro notifiche.

Durante l'esecuzione di un'indagine, tutti gli altri avvisi correlati che emergono vengono aggiunti all'indagine fino al suo completamento. Se un'entità interessata viene vista altrove, l'indagine automatizzata espande il suo ambito per includere tale entità e il processo di indagine si ripete.

In Microsoft Defender XDR ogni indagine automatizzata correla i segnali tra Microsoft Defender per identità, Microsoft Defender per endpoint e Microsoft Defender per Office 365, come riepilogato nella tabella seguente:

Entità Servizi di protezione dalle minacce
Dispositivi (detti anche endpoint o computer) Defender per endpoint
Utenti, comportamento e attività di Active Directory locali Defender per identità
Email contenuto (messaggi di posta elettronica che possono contenere file e URL) Defender per Office 365

Nota

Non tutti gli avvisi attivano un'indagine automatizzata e non tutte le indagini generano azioni di correzione automatizzate. Dipende dalla configurazione dell'indagine e della risposta automatizzate per l'organizzazione. Vedere Configurare le funzionalità di analisi e risposta automatizzate.

Visualizzazione di un elenco di indagini

Per visualizzare le indagini, passare alla pagina Eventi imprevisti . Selezionare un evento imprevisto e quindi selezionare la scheda Indagini . Per altre informazioni, vedere Dettagli e risultati di un'indagine automatizzata.

Scheda di risposta & di indagine automatizzata

La nuova scheda di risposta automated investigation & è disponibile nel portale di Microsoft Defender (https://security.microsoft.com). Questa nuova visibilità della scheda per il numero totale di azioni correttive disponibili. La scheda offre anche una panoramica di tutti gli avvisi e del tempo di approvazione richiesto per ogni avviso.

Screenshot che mostra la scheda di risposta & di indagine automatizzata.

Usando la scheda di risposta Analisi automatizzata &, il team delle operazioni di sicurezza può passare rapidamente al Centro notifiche selezionando il collegamento Approva nel Centro notifiche e quindi eseguendo le azioni appropriate. La scheda consente al team delle operazioni di sicurezza di gestire in modo più efficace le azioni in attesa di approvazione.

Passaggi successivi

Suggerimento

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.