Report degli analisti nell'analisi delle minacce
Si applica a:
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Ogni report di analisi delle minacce include sezioni dinamiche e una sezione scritta completa denominata report degli analisti. Per accedere a questa sezione, aprire il report sulla minaccia rilevata e selezionare la scheda Report analista .
Sezione Report degli analisti di un report di analisi delle minacce
Analizzare il report dell'analista
Ogni sezione del report degli analisti è progettata per fornire informazioni interattive. Anche se i report variano, la maggior parte dei report include le sezioni descritte nella tabella seguente.
| Sezione Report | Descrizione |
|---|---|
| Riepilogo esecutivo | Panoramica della minaccia, tra cui quando è stata vista per la prima volta, le motivazioni, eventi rilevanti, obiettivi principali e strumenti e tecniche distinti. È possibile usare queste informazioni per valutare ulteriormente come assegnare priorità alla minaccia nel contesto del settore, della posizione geografica e della rete. |
| Analisi | Informazioni tecniche sulle minacce, inclusi i dettagli di un attacco e il modo in cui gli utenti malintenzionati potrebbero usare una nuova tecnica o superficie di attacco |
| Mitre ATT&tecniche CK osservate | Mapping delle tecniche osservate al framework di attacco MITRE ATT&CK |
| Mitigazioni | Consigli che possono arrestare o ridurre l'impatto della minaccia. Questa sezione include anche mitigazioni che non vengono rilevate dinamicamente come parte del report di analisi delle minacce. |
| Dettagli di rilevamento | Rilevamenti specifici e generici forniti da soluzioni di sicurezza Microsoft che possono esporre attività o componenti associati alla minaccia. |
| Rilevazione avanzata | Query di ricerca avanzate per identificare in modo proattivo le possibili attività di minaccia. La maggior parte delle query viene fornita per integrare i rilevamenti, in particolare per individuare componenti o comportamenti potenzialmente dannosi che non possono essere valutati dinamicamente come dannosi. |
| Riferimenti | Pubblicazioni Microsoft e di terze parti a cui fanno riferimento gli analisti durante la creazione del report. Il contenuto dell'analisi delle minacce si basa sui dati convalidati dai ricercatori Microsoft. Le informazioni provenienti da fonti di terze parti disponibili pubblicamente sono chiaramente identificate come tali. |
| Log delle modifiche | Ora di pubblicazione del report e quando sono state apportate modifiche significative al report. |
Applicare altre mitigazioni
Analisi delle minacce tiene traccia dinamicamente dello stato degli aggiornamenti della sicurezza e delle configurazioni sicure. Queste informazioni sono disponibili come grafici e tabelle nella scheda Mitigazioni .
Oltre a queste mitigazioni rilevate, il report degli analisti illustra anche le mitigazioni non monitorate dinamicamente. Ecco alcuni esempi di mitigazioni importanti che non vengono rilevate in modo dinamico:
- Bloccare i messaggi di posta elettronica con allegati .lnk o altri tipi di file sospetti
- Casualizzare le password dell'amministratore locale
- Informare gli utenti finali sulla posta elettronica di phishing e altri vettori di minacce
- Attivare regole di riduzione della superficie di attacco specifiche
Anche se è possibile usare la scheda Mitigazioni per valutare il comportamento di sicurezza da una minaccia, queste raccomandazioni consentono di adottare ulteriori misure per migliorare il comportamento di sicurezza. Leggere attentamente tutte le linee guida per la mitigazione nel report degli analisti e applicarle quando possibile.
Comprendere come è possibile rilevare ogni minaccia
Il report degli analisti fornisce anche i rilevamenti da Microsoft Defender funzionalità di rilevamento e risposta degli endpoint (EDR).
Rilevamenti antivirus
Questi rilevamenti sono disponibili nei dispositivi con Microsoft Defender Antivirus attivato. Quando questi rilevamenti si verificano nei dispositivi di cui è stato eseguito l'onboarding in Microsoft Defender per endpoint, attivano anche avvisi che illuminano i grafici nel report.
Nota
Il report degli analisti elenca anche i rilevamenti generici che possono identificare un'ampia gamma di minacce, oltre a componenti o comportamenti specifici della minaccia rilevata. Questi rilevamenti generici non riflettono nei grafici.
Avvisi di rilevamento e risposta degli endpoint (EDR)
Gli avvisi EDR vengono generati per i dispositivi caricati in Microsoft Defender per endpoint. Questi avvisi si basano in genere sui segnali di sicurezza raccolti dal sensore di Microsoft Defender per endpoint e da altre funzionalità degli endpoint (ad esempio antivirus, protezione di rete, protezione da manomissioni) che fungono da potenti fonti di segnale.
Come l'elenco dei rilevamenti antivirus, alcuni avvisi EDR sono progettati per contrassegnare in modo generico comportamenti sospetti che potrebbero non essere associati alla minaccia rilevata. In questi casi, il report identificherà chiaramente l'avviso come "generico" e non influirà sui grafici del report.
Trovare artefatti di minacce sottili usando la ricerca avanzata
Mentre i rilevamenti consentono di identificare e arrestare automaticamente la minaccia rilevata, molte attività di attacco lasciano tracce sottili che richiedono un'ispezione aggiuntiva. Alcune attività di attacco presentano comportamenti che possono anche essere normali, quindi il rilevamento dinamico può causare rumore operativo o anche falsi positivi.
La ricerca avanzata fornisce un'interfaccia di query basata su Linguaggio di query Kusto che semplifica l'individuazione di indicatori sottili dell'attività di minaccia. Consente inoltre di visualizzare informazioni contestuali e verificare se gli indicatori sono connessi a una minaccia.
Le query di ricerca avanzate nei report degli analisti sono state esaminate dagli analisti Microsoft e sono pronte per l'esecuzione nell'editor di query di ricerca avanzato. È anche possibile usare le query per creare regole di rilevamento personalizzate che attivano avvisi per le corrispondenze future.
Argomenti correlati
- Panoramica dell'analisi delle minacce
- Trovare in modo proattivo le minacce con la ricerca avanzata
- Regole di rilevamento personalizzate
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per