Analisi delle minacce in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
L'analisi delle minacce è la nostra soluzione di intelligence sulle minacce proprietaria creata dagli esperti ricercatori di sicurezza Microsoft. È progettata per aiutare i team di sicurezza a essere il più efficienti possibile e ad affrontare le minacce emergenti, ad esempio:
- Attori di minaccia attivi e relative campagne
- Tecniche di attacco popolari e nuove
- Vulnerabilità critiche
- Le superfici di attacco comuni
- I malware prevalenti
È possibile accedere all'analisi delle minacce dal lato superiore sinistro della barra di spostamento di Microsoft Defender portale oppure da una scheda dashboard dedicata che mostra le principali minacce per l'organizzazione, sia in termini di impatto noto che in termini di esposizione.
Ottenere visibilità sulle campagne attive o in corso e sapere come procedere grazie all'analisi delle minacce può aiutare il team delle operazioni di sicurezza a prendere decisioni informate.
Con il sopraggiungere di avversari più sofisticati e di nuove minacce che emergono più di frequente e in modo diffuso, è fondamentale essere in grado di:
- Identificare e reagire alle minacce emergenti
- Scopri se sei attualmente sotto attacco
- Valutare l'impatto della minaccia sugli asset
- Esaminare la resilienza o l'esposizione alle minacce
- Identificare le azioni di mitigazione, ripristino o prevenzione che è possibile intraprendere per arrestare o contenere le minacce
Ogni report fornisce un'analisi di una minaccia monitorata e indicazioni approfondite su come difendersi da tale minaccia. Incorpora anche i dati della rete, che indicano se la minaccia è attiva e se sono state applicate protezioni applicabili.
Per accedere all'analisi delle minacce nel portale di Defender sono necessari i ruoli e le autorizzazioni seguenti:
- Nozioni di base sui dati di sicurezza (lettura): per visualizzare il report di analisi delle minacce, gli eventi imprevisti e gli avvisi correlati e gli asset interessati
- Gestione delle vulnerabilità (lettura) e Punteggio di sicurezza (lettura): per visualizzare i dati di esposizione correlati e le azioni consigliate
Per impostazione predefinita, l'accesso ai servizi disponibili nel portale di Defender viene gestito collettivamente usando Microsoft Entra ruoli globali. Se è necessaria una maggiore flessibilità e controllo sull'accesso a dati di prodotto specifici e non si usa ancora il Microsoft Defender XDR controllo degli accessi in base al ruolo unificato per la gestione centralizzata delle autorizzazioni, è consigliabile creare ruoli personalizzati per ogni servizio. Altre informazioni sulla creazione di ruoli personalizzati
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Si avrà visibilità su tutti i report di analisi delle minacce anche se è supportato solo uno dei prodotti. Tuttavia, è necessario disporre di ogni prodotto e ruolo per vedere gli eventi imprevisti, gli asset, l'esposizione e le azioni consigliate specifici del prodotto associati alla minaccia.
Il dashboard di analisi delle minacce (security.microsoft.com/threatanalytics3) evidenzia i report più rilevanti per l'organizzazione. Riepiloga le minacce nelle sezioni seguenti:
- Minacce più recenti: elenca i report sulle minacce pubblicati o aggiornati più di recente, insieme al numero di avvisi attivi e risolti.
- Minacce ad alto impatto: elenca le minacce che hanno il massimo impatto sull'organizzazione. Questa sezione elenca prima le minacce con il maggior numero di avvisi attivi e risolti.
- Minacce di esposizione più elevate: elenca le minacce a cui l'organizzazione ha la massima esposizione. Il livello di esposizione a una minaccia viene calcolato usando due informazioni: la gravità delle vulnerabilità associate alla minaccia e il numero di dispositivi nell'organizzazione che potrebbero essere sfruttati da tali vulnerabilità.
Selezionare una minaccia dal dashboard per visualizzare il report relativo. È anche possibile selezionare il campo Cerca per la chiave in una parola chiave correlata al report di analisi delle minacce che si vuole leggere.
È possibile filtrare l'elenco dei report sulle minacce e visualizzare i report più rilevanti in base a un tipo di minaccia specifico o al tipo di report.
- Tag di minaccia: consentono di visualizzare i report più rilevanti in base a una categoria di minacce specifica. Ad esempio, il tag Ransomware include tutti i report relativi al ransomware.
- Tipi di report: consentono di visualizzare i report più rilevanti in base a un tipo di report specifico. Ad esempio, il tag Tools & techniques include tutti i report che coprono strumenti e tecniche.
I diversi tag hanno filtri equivalenti che consentono di esaminare in modo efficiente l'elenco dei report sulle minacce e filtrare la visualizzazione in base a un tag di minaccia o a un tipo di report specifico. Ad esempio, per visualizzare tutti i report sulle minacce correlati alla categoria ransomware o report sulle minacce che coinvolgono vulnerabilità.
Il team di Microsoft Threat Intelligence aggiunge tag di minaccia a ogni report sulle minacce. I tag di minaccia seguenti sono attualmente disponibili:
- Ransomware
- Estorsione
- Phishing
- Tastiera a mano
- Gruppo di attività
- Vulnerabilità
- Campagna di attacco
- Strumento o tecnica
I tag delle minacce vengono presentati nella parte superiore della pagina di analisi delle minacce. Sono disponibili contatori per il numero di report disponibili in ciascun tag.
Per impostare i tipi di report desiderati nell'elenco, selezionare Filtri, scegliere dall'elenco e selezionare Applica.
Se si impostano più filtri, è anche possibile ordinare l'elenco dei report di analisi delle minacce in base al tag di minaccia selezionando la colonna tag di minaccia:
Ogni report di analisi delle minacce fornisce informazioni in diverse sezioni:
- Panoramica
- Report di analisi
- Eventi correlati
- Risorse interessate
- Esposizione degli endpoint
- Azioni consigliate
La sezione Panoramica fornisce un'anteprima del report dettagliato degli analisti. Fornisce anche grafici che evidenziano l'impatto della minaccia per l'organizzazione e l'esposizione tramite dispositivi non configurati correttamente e senza patch.
Ogni report include grafici progettati per fornire informazioni sull'impatto aziendale di una minaccia:
-
Eventi imprevisti correlati: offre una panoramica dell'impatto della minaccia rilevata per l'organizzazione con i dati seguenti:
- Numero di avvisi attivi e numero di eventi imprevisti attivi a cui sono associati
- Gravità degli eventi imprevisti attivi
- Avvisi nel tempo: mostra il numero di avvisi attivi e risolti correlati nel tempo. Il numero di avvisi risolti indica la velocità con cui l'organizzazione risponde agli avvisi associati a una minaccia. Idealmente, il grafico dovrebbe mostrare gli avvisi risolti entro pochi giorni.
- Asset interessati: indica il numero di asset distinti che attualmente hanno almeno un avviso attivo associato alla minaccia rilevata. Gli avvisi vengono attivati per le cassette postali che hanno ricevuto messaggi di posta elettronica di minaccia. Esaminare sia i criteri a livello di organizzazione che a livello di utente per le sostituzioni che causano il recapito di messaggi di posta elettronica delle minacce.
Ogni report include grafici che offrono una panoramica della resilienza dell'organizzazione rispetto a una determinata minaccia:
- Azioni consigliate: mostra la percentuale di stato dell'azione o il numero di punti ottenuti per migliorare il comportamento di sicurezza. Eseguire le azioni consigliate per risolvere la minaccia. È possibile visualizzare la suddivisione dei punti per categoria o stato.
- Esposizione degli endpoint: mostra il numero di dispositivi vulnerabili. Applicare aggiornamenti o patch di sicurezza per risolvere le vulnerabilità sfruttate dalla minaccia.
Report degli analisti: ottenere informazioni approfondite dagli esperti dei ricercatori di sicurezza Microsoft
Nella sezione Report degli analisti leggere il write-up dettagliato dell'esperto. La maggior parte dei report fornisce descrizioni dettagliate delle catene di attacco, tra cui tattiche e tecniche mappate al framework MITRE ATT&CK, elenchi completi di raccomandazioni e potenti linee guida per la ricerca delle minacce .
Altre informazioni sul report degli analisti
La scheda Incidenti correlati fornisce l'elenco di tutti gli incidenti correlati alla minaccia rilevata. È possibile assegnare gli incidenti o gestire gli avvisi collegati a ogni incidente.
Nota
Gli eventi imprevisti e gli avvisi associati alla minaccia provengono da Defender per endpoint, Defender per identità, Defender per Office 365, Defender for Cloud Apps e Defender per il cloud.
Asset interessati: ottenere un elenco di dispositivi, utenti, cassette postali, app e risorse cloud interessati
La scheda Asset interessati mostra gli asset interessati dalla minaccia nel tempo. Viene visualizzato:
- Asset interessati dagli avvisi attivi
- Asset interessati dagli avvisi risolti
- Tutti gli asset o il numero totale di asset interessati dagli avvisi attivi e risolti
Gli asset sono suddivisi nelle categorie seguenti:
- Dispositivi
- Utenti
- Cassette postali
- App
- Risorse cloud
La sezione Esposizione degli endpoint fornisce il livello di esposizione dell'organizzazione alla minaccia, calcolato in base alla gravità delle vulnerabilità e delle configurazioni errate sfruttate dalla minaccia e al numero di dispositivi con questi punti deboli.
Questa sezione fornisce anche lo stato di distribuzione degli aggiornamenti della sicurezza software supportati per le vulnerabilità rilevate nei dispositivi di cui è stato eseguito l'onboarding. Incorpora i dati di Gestione delle vulnerabilità di Microsoft Defender, che fornisce anche informazioni dettagliate di drill-down da vari collegamenti nel report.
Nella scheda Azioni consigliate esaminare l'elenco di raccomandazioni interattive specifiche che consentono di aumentare la resilienza dell'organizzazione rispetto alla minaccia. L'elenco delle mitigazioni rilevate include configurazioni di sicurezza supportate, ad esempio:
- Protezione fornita dal cloud
- Protezione da applicazioni potenzialmente indesiderate
- Protezione in tempo reale
È possibile configurare notifiche tramite posta elettronica che invieranno aggiornamenti sui report di analisi delle minacce. Per creare notifiche tramite posta elettronica, seguire la procedura descritta in Ottenere notifiche tramite posta elettronica per gli aggiornamenti di Analisi delle minacce in Microsoft Defender XDR.
Quando si esaminano i dati di analisi delle minacce, tenere presente i fattori seguenti:
- L'elenco di controllo nella scheda Azioni consigliate visualizza solo le raccomandazioni rilevate in Microsoft Secure Score. Controllare la scheda Report degli analisti per le azioni più consigliate che non vengono rilevate in Punteggio di sicurezza.
- Le azioni consigliate non garantiscono la resilienza completa e riflettono solo le migliori azioni possibili necessarie per migliorarla.
- Le statistiche correlate all'antivirus si basano sulle impostazioni antivirus Microsoft Defender.
- La colonna Dispositivi non configurati correttamente nella pagina principale analisi delle minacce mostra il numero di dispositivi interessati da una minaccia quando le azioni consigliate correlate alla minaccia non sono attivate. Tuttavia, se i ricercatori Microsoft non collegano alcuna azione consigliata, la colonna Dispositivi non configurati correttamente mostra lo stato Non disponibile.
- La colonna Dispositivi vulnerabili nella pagina principale di analisi delle minacce mostra il numero di dispositivi che eseguono software vulnerabili a qualsiasi vulnerabilità collegata alla minaccia. Tuttavia, se i ricercatori Microsoft non collegano alcuna vulnerabilità, la colonna Dispositivi vulnerabili mostra lo stato Non disponibile.
- Trovare in modo proattivo le minacce con la ricerca avanzata
- Informazioni sulla sezione report degli analisti
- Valutare e risolvere i punti deboli e le esposizioni della sicurezza
Suggerimento
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.