Comprendere il report degli analisti nell'analisi delle minacce in Microsoft 365 Defender

Nota

Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.

Si applica a:

  • Microsoft 365 Defender

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Ogni report di analisi delle minacce include sezioni dinamiche e una sezione scritta completa denominata report degli analisti. Per accedere a questa sezione, aprire il report sulla minaccia rilevata e selezionare la scheda Report analista .

Sezione del report degli analisti di un report di analisi delle minacce

Sezione Report degli analisti di un report di analisi delle minacce

Analizzare il report dell'analista

Ogni sezione del report degli analisti è progettata per fornire informazioni interattive. Anche se i report variano, la maggior parte dei report include le sezioni descritte nella tabella seguente.

Sezione Report Descrizione
Sintesi Panoramica della minaccia, tra cui quando è stata vista per la prima volta, le sue motivazioni, eventi rilevanti, obiettivi principali e strumenti e tecniche distinti. È possibile usare queste informazioni per valutare ulteriormente come assegnare priorità alla minaccia nel contesto del settore, della posizione geografica e della rete.
Analisi Informazioni tecniche sulle minacce, inclusi i dettagli di un attacco e il modo in cui gli utenti malintenzionati possono usare una nuova tecnica o superficie di attacco
Tecniche MITRE ATT&CK osservate Mapping delle tecniche osservate al framework di attacco MITRE ATT&CK
Mitigazioni Consigli che possono arrestare o ridurre l'impatto della minaccia. Questa sezione include anche le mitigazioni che non vengono rilevate dinamicamente come parte del report di analisi delle minacce.
Dettagli di rilevamento Rilevamenti specifici e generici forniti da soluzioni di sicurezza Microsoft che possono esporre attività o componenti associati alla minaccia.
Rilevazione avanzata Query di ricerca avanzate per identificare in modo proattivo le possibili attività di minaccia. La maggior parte delle query viene fornita per integrare i rilevamenti, in particolare per individuare componenti o comportamenti potenzialmente dannosi che non possono essere valutati dinamicamente come dannosi.
Riferimenti Pubblicazioni Microsoft e di terze parti a cui fanno riferimento gli analisti durante la creazione del report. Il contenuto dell'analisi delle minacce si basa sui dati convalidati dai ricercatori Microsoft. Le informazioni provenienti da fonti di terze parti disponibili pubblicamente sono chiaramente identificate come tali.
Log delle modifiche Ora di pubblicazione del report e quando sono state apportate modifiche significative al report.

Applicare altre mitigazioni

Analisi delle minacce tiene traccia dinamicamente dello stato degli aggiornamenti della sicurezza e delle configurazioni sicure. Queste informazioni sono disponibili come grafici e tabelle nella scheda Mitigazioni dell'esposizione&.

Oltre a queste mitigazioni rilevate, il report degli analisti illustra anche le mitigazioni che non vengono monitorate in modo dinamico. Ecco alcuni esempi di mitigazioni importanti che non vengono rilevate in modo dinamico:

  • Bloccare i messaggi di posta elettronica con allegati con estensione lnk o altri tipi di file sospetti
  • Casualizzare le password dell'amministratore locale
  • Informare gli utenti finali sulla posta elettronica di phishing e altri vettori di minacce
  • Attivare regole di riduzione della superficie di attacco specifiche

Anche se è possibile usare la scheda Mitigazioni dell'esposizione & per valutare il comportamento di sicurezza rispetto a una minaccia, queste raccomandazioni consentono di adottare ulteriori misure per migliorare il comportamento di sicurezza. Leggere attentamente tutte le linee guida per la mitigazione nel report degli analisti e applicarle quando possibile.

Comprendere come è possibile rilevare ogni minaccia

Il report degli analisti fornisce anche i rilevamenti da Microsoft Defender funzionalità di rilevamento e risposta degli endpoint (EDR).

Rilevamenti antivirus

Questi rilevamenti sono disponibili nei dispositivi con Microsoft Defender Antivirus attivato. Quando questi rilevamenti si verificano nei dispositivi di cui è stato eseguito l'onboarding in Microsoft Defender per endpoint, attivano anche avvisi che illuminano i grafici nel report.

Nota

Il report degli analisti elenca anche i rilevamenti generici in grado di identificare un'ampia gamma di minacce, oltre a componenti o comportamenti specifici della minaccia rilevata. Questi rilevamenti generici non riflettono nei grafici.

Avvisi di rilevamento e risposta degli endpoint (EDR)

Gli avvisi EDR vengono generati per i dispositivi caricati in Microsoft Defender per endpoint. Questi avvisi si basano in genere sui segnali di sicurezza raccolti dal sensore Microsoft Defender per endpoint e da altre funzionalità degli endpoint, ad esempio antivirus, protezione di rete, protezione dalle manomissioni, che fungono da potenti fonti di segnale.

Come l'elenco dei rilevamenti antivirus, alcuni avvisi EDR sono progettati per contrassegnare in modo generico comportamenti sospetti che potrebbero non essere associati alla minaccia rilevata. In questi casi, il report identificherà chiaramente l'avviso come "generico" e non influirà sui grafici del report.

Email rilevamenti e mitigazioni correlati a Microsoft Defender per Office 365, sono inclusi nei report degli analisti oltre ai dati degli endpoint già disponibili da Microsoft Defender per endpoint.

Le informazioni sui tentativi di posta elettronica impediti forniscono informazioni dettagliate sul fatto che l'organizzazione sia stata una destinazione della minaccia affrontata nel report dell'analista anche se l'attacco è stato effettivamente bloccato prima del recapito o recapitato alla cartella posta indesiderata.

Trovare artefatti di minacce sottili usando la ricerca avanzata

Mentre i rilevamenti consentono di identificare e arrestare automaticamente la minaccia rilevata, molte attività di attacco lasciano tracce sottili che richiedono un'ispezione aggiuntiva. Alcune attività di attacco presentano comportamenti che possono anche essere normali, quindi il rilevamento dinamico può causare rumore operativo o anche falsi positivi.

La ricerca avanzata fornisce un'interfaccia di query basata su Linguaggio di query Kusto che semplifica l'individuazione di indicatori sottili dell'attività di minaccia. Consente inoltre di visualizzare informazioni contestuali e verificare se gli indicatori sono connessi a una minaccia.

Le query di ricerca avanzate nei report degli analisti sono state esaminate dagli analisti Microsoft e sono pronte per l'esecuzione nell'editor di query di ricerca avanzato. È anche possibile usare le query per creare regole di rilevamento personalizzate che attivano avvisi per le corrispondenze future.

Nota

L'analisi delle minacce è disponibile anche in Microsoft Defender per endpoint. Tuttavia, non ha l'integrazione dei dati tra Microsoft Defender per Office e Microsoft Defender per endpoint.