Correggere il primo evento imprevisto in Microsoft Defender XDR

Si applica a:

• Microsoft Defender XDR

Microsoft Defender XDR offre funzionalità di rilevamento e analisi per garantire il contenimento e l'eliminazione delle minacce. L'contenimento include passaggi per ridurre l'impatto dell'attacco, mentre l'eliminazione garantisce che tutte le tracce di attività degli utenti malintenzionati vengano rimosse dalla rete.

La correzione in Microsoft Defender XDR può essere automatizzata o tramite azioni manuali eseguite dai risponditori di eventi imprevisti. È possibile eseguire azioni correttive su dispositivi, file e identità.

Correzione automatica

Microsoft Defender XDR sfrutta l'intelligence sulle minacce e i segnali all'interno della rete per combattere gli attacchi più dirompenti. Ransomware, business email compromise (BEC) e phishing antagonista-in-the-middle (AiTM) sono alcuni degli attacchi più complessi che possono essere contenuti immediatamente attraverso la funzionalità di interruzione automatica degli attacchi . Dopo che un attacco è stato interrotto, i rispondenti possono assumere il controllo e indagare completamente su un attacco e applicare la correzione necessaria.

Informazioni su come l'interruzione automatica degli attacchi aiuta nella risposta agli eventi imprevisti:

Nel frattempo, le funzionalità automatizzate di indagine e risposta di Microsoft Defender XDR possono analizzare e applicare automaticamente azioni correttive a elementi dannosi e sospetti. Queste funzionalità ridimensionano l'analisi e la risoluzione delle minacce, liberando i risponditori di eventi imprevisti per concentrare i loro sforzi sugli attacchi ad alto impatto.

È possibile configurare e gestire le funzionalità di analisi e risposta automatizzate. È anche possibile visualizzare tutte le azioni passate e in sospeso tramite il Centro notifiche.

Nota

È possibile annullare le azioni automatiche dopo la revisione.

Per velocizzare alcune attività di indagine, è possibile valutare gli avvisi con Power Automate. Inoltre, è possibile creare una correzione automatica usando l'automazione e i playbook. Microsoft dispone di modelli di playbook in GitHub per gli scenari seguenti:

• Rimuovere la condivisione di file sensibili dopo aver richiesto la convalida dell'utente
• Valutazione automatica degli avvisi di paese poco frequenti
• Richiedere l'azione del manager prima di disabilitare un account
• Disabilitare le regole dannose della posta in arrivo

I playbook usano Power Automate per creare flussi di automazione dei processi robotici personalizzati per automatizzare determinate attività dopo l'attivazione di criteri specifici. Le organizzazioni possono creare playbook da modelli esistenti o da zero. I playbook possono anche essere creati durante la revisione post-evento imprevisto per creare azioni correttive da eventi imprevisti risolti.

Informazioni su come Power Automate consente di automatizzare la risposta agli eventi imprevisti tramite questo video:

Correzione manuale

Mentre rispondono a un attacco, i team di sicurezza possono sfruttare le azioni correttive manuali del portale per impedire che gli attacchi subiscano ulteriori danni. Alcune azioni possono arrestare immediatamente una minaccia, mentre altre consentono un'ulteriore analisi forense. È possibile applicare queste azioni a qualsiasi entità a seconda dei carichi di lavoro di Defender distribuiti all'interno dell'organizzazione.

Azioni nei dispositivi

• Isolare il dispositivo : isola un dispositivo interessato disconnettendolo dalla rete. Il dispositivo rimane connesso al servizio Defender per endpoint per il monitoraggio continuo.

• Limitare l'esecuzione dell'app : limita un'applicazione applicando un criterio di integrità del codice che consente l'esecuzione dei file solo se firmati da un certificato emesso da Microsoft.

• Eseguire l'analisi antivirus : avvia un'analisi di Defender Antivirus in remoto per individuare un dispositivo. L'analisi può essere eseguita insieme ad altre soluzioni antivirus, indipendentemente dal fatto che Defender Antivirus sia o meno la soluzione antivirus attiva.

• Raccogliere il pacchetto di indagine : è possibile raccogliere un pacchetto di indagine da un dispositivo come parte del processo di indagine o risposta. Raccogliendo il pacchetto di indagine, è possibile identificare lo stato corrente del dispositivo e comprendere ulteriormente gli strumenti e le tecniche usate dall'utente malintenzionato.

• Avviare un'indagine automatizzata : avvia una nuova indagine automatizzata per utilizzo generico nel dispositivo. Durante l'esecuzione di un'indagine, qualsiasi altro avviso generato dal dispositivo verrà aggiunto a un'indagine automatizzata in corso fino al completamento dell'indagine. Inoltre, se la stessa minaccia viene rilevata in altri dispositivi, tali dispositivi vengono aggiunti all'indagine.

• Avviare la risposta in tempo reale : consente di accedere immediatamente a un dispositivo usando una connessione shell remota in modo da poter eseguire un lavoro investigativo approfondito e intraprendere azioni di risposta immediata per contenere tempestivamente le minacce identificate in tempo reale. La risposta dinamica è progettata per migliorare le indagini consentendo di raccogliere dati forensi, eseguire script, inviare entità sospette per l'analisi, correggere le minacce e cercare in modo proattivo le minacce emergenti.

• Chiedere agli esperti di Defender: è possibile consultare un esperto di Microsoft Defender per ulteriori informazioni sui dispositivi potenzialmente compromessi o già compromessi. Microsoft Defender esperti possono essere coinvolti direttamente dall'interno del portale per una risposta tempestiva e accurata. Questa azione è disponibile sia per i dispositivi che per i file.

Altre azioni nei dispositivi sono disponibili tramite l'esercitazione seguente:

• Azioni di risposta in un dispositivo abilitato tramite Defender per endpoint

Nota

È possibile eseguire azioni sui dispositivi direttamente dal grafico all'interno della storia dell'attacco.

Azioni sui file

• Arresta e metti in quarantena il file : include l'arresto dei processi in esecuzione, la quarantena dei file e l'eliminazione di dati persistenti come le chiavi del Registro di sistema.
• Aggiungere indicatori per bloccare o consentire il file : impedisce che un attacco si diffonda ulteriormente vietando file potenzialmente dannosi o malware sospetto. Questa operazione impedisce la lettura, la scrittura o l'esecuzione del file nei dispositivi dell'organizzazione.
• Scaricare o raccogliere file : consente agli analisti di scaricare un file in un file di archivio protetto da password .zip per un'ulteriore analisi da parte dell'organizzazione.
• Analisi approfondita : esegue un file in un ambiente cloud sicuro e completamente instrumentato. I risultati dell'analisi approfondita mostrano le attività del file, i comportamenti osservati e gli artefatti associati, ad esempio i file eliminati, le modifiche del Registro di sistema e la comunicazione con gli indirizzi IP.

Correzione di altri attacchi

Nota

Queste esercitazioni si applicano quando altri carichi di lavoro di Defender sono abilitati nell'ambiente.

Le esercitazioni seguenti enumerano i passaggi e le azioni che è possibile applicare durante l'analisi delle entità o la risposta a minacce specifiche:

• Risposta a un account di posta elettronica compromesso tramite Defender per Office 365
• Correzione delle vulnerabilità con Defender per la gestione delle vulnerabilità
• Azioni di correzione per gli account utente tramite Defender per identità
• Applicazione di criteri per controllare le app con Defender per app cloud

Passaggi successivi

• Simulare gli attacchi tramite il training della simulazione degli attacchi
• Esplorare Microsoft Defender XDR attraverso il training di Virtual Ninja

Vedere anche

• Indagare sugli incidenti
• Informazioni sulle funzionalità e le funzioni del portale tramite il training Microsoft Defender XDR Ninja

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.