Comprendere il report degli analisti nell'analisi delle minacce in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Ogni report di analisi delle minacce include sezioni dinamiche e una sezione scritta completa denominata report degli analisti. Per accedere a questa sezione, aprire il report sulla minaccia rilevata e selezionare la scheda Report analista .
Sezione Report degli analisti di un report di analisi delle minacce
Conoscere i diversi tipi di report degli analisti
Un report di analisi delle minacce può essere classificato in uno dei tipi di report seguenti:
- Profilo attività : fornisce informazioni su una campagna di attacco specifica spesso associata a un attore di minacce. Questo report illustra come si è verificato un attacco, perché è necessario preoccuparsi di esso e come Microsoft protegge i suoi clienti da esso. Un profilo di attività può includere anche dettagli come la sequenza temporale degli eventi, le catene di attacchi, i comportamenti e le metodologie.
- Profilo attore : fornisce informazioni su uno specifico attore di minacce monitorato da Microsoft dietro attacchi informatici rilevanti. Questo rapporto illustra le motivazioni, l'industria e/o gli obiettivi geografici dell'attore e le tattiche, le tecniche e le procedure (TTTP). Un profilo attore potrebbe includere anche informazioni sull'infrastruttura di attacco dell'attore, malware (personalizzato o open source) e exploit usati e eventi o campagne rilevanti di cui facevano parte.
- Profilo di tecnica : fornisce informazioni su una tecnica specifica usata dagli attori delle minacce, ad esempio l'uso dannoso di PowerShell o la raccolta di credenziali nella compromissione della posta elettronica aziendale e su come Microsoft protegge i clienti rilevando l'attività associata alla tecnica.
- Panoramica delle minacce : riepiloga più report del profilo in una narrazione che dipinge un quadro più ampio di una minaccia che usa o è correlata a questi report. Ad esempio, gli attori delle minacce usano tecniche diverse per rubare credenziali locali e una panoramica delle minacce sul furto di credenziali locali potrebbe collegarsi a profili di tecnica su attacchi di forza bruta, attacchi Kerberos o malware per furto di informazioni. Microsoft Threat Intelligence usa i propri sensori sulle principali minacce che interessano gli ambienti dei clienti per valutare quale minaccia potrebbe meritare questo tipo di report.
- Profilo strumento : fornisce informazioni su uno strumento personalizzato o open source specifico spesso associato a un attore di minacce. Questo report illustra le funzionalità dello strumento, gli obiettivi che l'attore di minacce potrebbe tentare di raggiungere e il modo in cui Microsoft protegge i clienti rilevando l'attività associata.
- Profilo di vulnerabilità : fornisce informazioni su un ID CVE (Common Vulnerabilities and Exposures) specifico o su un gruppo di CVE simili che interessano un prodotto. Un profilo di vulnerabilità illustra in genere vulnerabilità degne di nota, ad esempio quelle usate dagli attori delle minacce e dalle campagne di attacco rilevanti. Vengono illustrati uno o più dei tipi di informazioni seguenti: tipo di vulnerabilità, servizi interessati, sfruttamento zero-day o in-the-wild, punteggio di gravità e potenziale impatto e copertura di Microsoft.
Analizzare il report dell'analista
Ogni sezione del report degli analisti è progettata per fornire informazioni interattive. Anche se i report variano, la maggior parte dei report include le sezioni descritte nella tabella seguente.
Sezione Report | Descrizione |
---|---|
Riepilogo esecutivo | Snapshot della minaccia, che potrebbe includere quando è stato visto per la prima volta, le sue motivazioni, eventi rilevanti, obiettivi principali e strumenti e tecniche distinti. È possibile usare queste informazioni per valutare ulteriormente come assegnare priorità alla minaccia nel contesto del settore, della posizione geografica e della rete. |
Panoramica | Analisi tecnica della minaccia, che, a seconda del tipo di report, potrebbe includere i dettagli di un attacco e il modo in cui gli utenti malintenzionati potrebbero usare una nuova tecnica o una nuova superficie di attacco. Questa sezione include anche intestazioni diverse e altre sottosezioni, a seconda del tipo di report, per fornire più contesto e dettagli. Ad esempio, un profilo di vulnerabilità include una sezione separata che elenca le tecnologie interessate, mentre un profilo attore può includere le sezioni Strumenti e TTP e Attribuzione . |
Rilevamenti/query di ricerca |
Rilevamenti specifici e generici forniti da soluzioni di sicurezza Microsoft che possono esporre attività o componenti associati alla minaccia. Questa sezione fornisce anche query di ricerca per identificare in modo proattivo le possibili attività di minaccia. La maggior parte delle query viene fornita per integrare i rilevamenti, in particolare per individuare componenti o comportamenti potenzialmente dannosi che non possono essere valutati dinamicamente come dannosi. |
Mitre ATT&tecniche CK osservate | Mapping delle tecniche osservate al framework di attacco MITRE ATT&CK |
Raccomandazioni | Passaggi interattivi che possono arrestare o ridurre l'impatto della minaccia. Questa sezione include anche mitigazioni che non vengono rilevate dinamicamente come parte del report di analisi delle minacce. |
Riferimenti | Pubblicazioni Microsoft e di terze parti a cui fanno riferimento gli analisti durante la creazione del report. Il contenuto dell'analisi delle minacce si basa sui dati convalidati dai ricercatori Microsoft. Le informazioni provenienti da fonti di terze parti disponibili pubblicamente sono chiaramente identificate come tali. |
Log delle modifiche | Ora di pubblicazione del report e quando sono state apportate modifiche significative al report. |
Comprendere come è possibile rilevare ogni minaccia
Il report degli analisti fornisce anche informazioni da varie soluzioni Microsoft che consentono di rilevare la minaccia. Elenca i rilevamenti specifici di questa minaccia da ognuno dei prodotti elencati nelle sezioni seguenti, in base alle esigenze. Gli avvisi di questi rilevamenti specifici delle minacce vengono visualizzati nelle schede di stato degli avvisi della pagina Analisi delle minacce.
Alcuni report degli analisti menzionano anche gli avvisi progettati per contrassegnare in modo generico comportamenti sospetti e che potrebbero non essere associati alla minaccia rilevata. In questi casi, il report indicherà chiaramente che l'avviso può essere attivato da un'attività di minaccia non correlata e che non viene monitorato nelle schede di stato fornite nella pagina Analisi delle minacce.
Antivirus Microsoft Defender
I rilevamenti antivirus sono disponibili nei dispositivi con Microsoft Defender Antivirus in Windows attivato. Questi rilevamenti sono collegati alle rispettive descrizioni dell'enciclopedia malware nel Intelligence di sicurezza Microsoft, se disponibili.
Microsoft Defender per endpoint
Gli avvisi di rilevamento e risposta degli endpoint (EDR) vengono generati per i dispositivi caricati in Microsoft Defender per endpoint. Questi avvisi si basano sui segnali di sicurezza raccolti dal sensore Defender per endpoint e su altre funzionalità degli endpoint, ad esempio antivirus, protezione di rete, protezione dalle manomissioni, che fungono da potenti fonti di segnale.
Microsoft Defender per Office 365
I rilevamenti e le mitigazioni da Defender per Office 365 sono inclusi anche nei report degli analisti. Defender per Office 365 è un'integrazione facile nelle sottoscrizioni di Microsoft 365 che protegge dalle minacce nella posta elettronica, nei collegamenti (URL), nei file allegati e negli strumenti di collaborazione.
Microsoft Defender per identità
Defender per identità è una soluzione di sicurezza basata sul cloud che consente di proteggere il monitoraggio delle identità nell'intera organizzazione. Usa segnali provenienti sia dalle identità Active Directory locale che da identità cloud per identificare, rilevare e analizzare meglio le minacce avanzate rivolte all'organizzazione.
Microsoft Defender for Cloud Apps
Defender for Cloud Apps offre protezione completa per le applicazioni SaaS, consentendo di monitorare e proteggere i dati delle app cloud, usando la funzionalità casb (Cloud Access Security Broker) fondamentale, le funzionalità di SaaS Security Posture Management (SSPM), la protezione avanzata dalle minacce e la protezione da app a app.
Microsoft Defender for Cloud
Defender per cloud è una piattaforma di protezione delle applicazioni nativa del cloud (CNAPP) costituita da misure e procedure di sicurezza progettate per proteggere le applicazioni basate sul cloud da varie minacce e vulnerabilità.
Trovare artefatti di minacce sottili usando la ricerca avanzata
Mentre i rilevamenti consentono di identificare e arrestare automaticamente la minaccia rilevata, molte attività di attacco lasciano tracce sottili che richiedono un'ispezione maggiore. Alcune attività di attacco presentano comportamenti che possono anche essere normali, quindi il rilevamento dinamico può causare rumore operativo o anche falsi positivi. Le query di ricerca consentono di individuare in modo proattivo questi componenti o comportamenti potenzialmente dannosi.
Microsoft Defender XDR query di ricerca avanzate
La ricerca avanzata fornisce un'interfaccia di query basata su Linguaggio di query Kusto che semplifica l'individuazione di indicatori sottili dell'attività di minaccia. Consente inoltre di visualizzare informazioni contestuali e verificare se gli indicatori sono connessi a una minaccia.
Le query di ricerca avanzate nei report degli analisti sono state esaminate dagli analisti Microsoft e sono pronte per l'esecuzione nell'editor di query di ricerca avanzato. È anche possibile usare le query per creare regole di rilevamento personalizzate che attivano avvisi per le corrispondenze future.
query Microsoft Sentinel
I report degli analisti possono includere anche query di ricerca applicabili per Microsoft Sentinel clienti.
Microsoft Sentinel dispone di potenti strumenti di ricerca e query per cercare le minacce alla sicurezza nelle origini dati dell'organizzazione. Per individuare in modo proattivo le nuove anomalie che non vengono rilevate dalle app di sicurezza o dalle regole di analisi pianificate, Sentinel query di ricerca consentono di porre le domande corrette per trovare i problemi nei dati già presenti nella rete.
Applicare altre mitigazioni
Analisi delle minacce tiene traccia dinamicamente dello stato di determinati aggiornamenti della sicurezza e configurazioni sicure. Questi tipi di informazioni sono disponibili come grafici e tabelle nelle schede Esposizioni degli endpoint e Azioni consigliate e sono raccomandazioni ripetibili che si applicano a questa minaccia e potrebbero applicarsi anche ad altre minacce.
Oltre a queste raccomandazioni rilevate, il report degli analisti potrebbe anche discutere delle mitigazioni che non vengono monitorate dinamicamente perché sono specifiche solo della minaccia o della situazione discussa nel report. Ecco alcuni esempi di mitigazioni importanti che non vengono rilevate in modo dinamico:
- Bloccare i messaggi di posta elettronica con allegati .lnk o altri tipi di file sospetti
- Casualizzare le password dell'amministratore locale
- Informare gli utenti finali sulla posta elettronica di phishing e altri vettori di minacce
- Attivare regole di riduzione della superficie di attacco specifiche
Anche se è possibile usare le esposizioni degli endpoint e le schede Azioni consigliate per valutare il comportamento di sicurezza rispetto a una minaccia, queste raccomandazioni consentono di adottare altri passaggi per migliorare il comportamento di sicurezza. Leggere attentamente tutte le linee guida per la mitigazione nel report degli analisti e applicarle quando possibile.
Vedere anche
- Panoramica dell'analisi delle minacce
- Trovare in modo proattivo le minacce con la ricerca avanzata
- Regole di rilevamento personalizzate
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.