Analisi delle minacce in Microsoft 365 Defender

Nota

Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.

Si applica a:

  • Microsoft 365 Defender

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

L'analisi delle minacce è la nostra soluzione di intelligence sulle minacce nel prodotto di esperti ricercatori di sicurezza Microsoft. È progettato per aiutare i team di sicurezza a essere il più efficienti possibile, affrontando minacce emergenti, ad esempio:

  • Attori attivi delle minacce e le loro campagne
  • Tecniche di attacco più diffuse e nuove
  • Vulnerabilità critiche
  • Le superfici di attacco comuni
  • I malware prevalenti

Guardare questo breve video per altre informazioni su come l'analisi delle minacce può aiutare a tenere traccia delle minacce più recenti e a arrestarle.

È possibile accedere all'analisi delle minacce dal lato superiore sinistro della barra di spostamento del portale di sicurezza di Microsoft 365 o da una scheda dashboard dedicata che mostra le principali minacce per l'organizzazione, sia in termini di impatto che in termini di esposizione.

Pagina di destinazione dell'analisi delle minacce

Le minacce ad alto impatto hanno il massimo potenziale di causare danni, mentre le minacce ad esposizione elevata sono quelle a cui gli asset sono più vulnerabili. Ottenere visibilità sulle campagne attive o in corso e sapere cosa fare tramite l'analisi delle minacce può aiutare il team delle operazioni di sicurezza a prendere decisioni informate.

Dove accedere all'analisi delle minacce

Con avversari più sofisticati e nuove minacce che emergono frequentemente e prevalentemente, è fondamentale essere in grado di:

  • Identificare e reagire alle minacce emergenti
  • Scopri se sei attualmente sotto attacco
  • Valutare l'impatto della minaccia sugli asset
  • Esaminare la resilienza o l'esposizione alle minacce
  • Identificare le azioni di mitigazione, ripristino o prevenzione che è possibile intraprendere per arrestare o contenere le minacce

Ogni report fornisce un'analisi di una minaccia monitorata e indicazioni approfondite su come difendersi da tale minaccia. Incorpora anche i dati della rete, che indicano se la minaccia è attiva e se sono state applicate protezioni applicabili.

Visualizzare il dashboard di analisi delle minacce

Il dashboard di analisi delle minacce (security.microsoft.com/threatanalytics3) evidenzia i report più rilevanti per l'organizzazione. Riepiloga le minacce nelle sezioni seguenti:

  • Minacce più recenti: elenca i report sulle minacce pubblicati o aggiornati più di recente, insieme al numero di avvisi attivi e risolti.
  • Minacce ad alto impatto: elenca le minacce che hanno il massimo impatto sull'organizzazione. Questa sezione elenca prima le minacce con il maggior numero di avvisi attivi e risolti.
  • Esposizione massima: elenca prima le minacce con i livelli di esposizione più alti. Il livello di esposizione di una minaccia viene calcolato usando due informazioni: la gravità delle vulnerabilità associate alla minaccia e il numero di dispositivi nell'organizzazione che potrebbero essere sfruttati da tali vulnerabilità.

Selezionare una minaccia dal dashboard per visualizzare il report per tale minaccia.

Dashboard di analisi delle minacce

Dashboard di analisi delle minacce. È anche possibile selezionare il campo Cerca per la chiave in una parola chiave correlata al report di analisi delle minacce che si vuole leggere.

Visualizzare un report di analisi delle minacce

Ogni report di analisi delle minacce fornisce informazioni in diverse sezioni:

Panoramica: Comprendere rapidamente la minaccia, valutarne l'impatto ed esaminare le difese

La sezione Panoramica fornisce un'anteprima del report dettagliato degli analisti. Fornisce anche grafici che evidenziano l'impatto della minaccia per l'organizzazione e l'esposizione tramite dispositivi non configurati correttamente e senza patch.

La sezione panoramica di un report di analisi delle minacce

Sezione Panoramica di un report di analisi delle minacce

Valutare l'impatto sull'organizzazione

Ogni report include grafici progettati per fornire informazioni sull'impatto organizzativo di una minaccia:

  • Eventi imprevisti correlati: offre una panoramica dell'impatto della minaccia rilevata per l'organizzazione con i dati seguenti:
    • Numero di avvisi attivi e numero di eventi imprevisti attivi a cui sono associati
    • Gravità degli eventi imprevisti attivi
  • Avvisi nel tempo: mostra il numero di avvisi attivi e risolti correlati nel tempo. Il numero di avvisi risolti indica la velocità con cui l'organizzazione risponde agli avvisi associati a una minaccia. Idealmente, il grafico dovrebbe mostrare gli avvisi risolti entro pochi giorni.
  • Asset interessati: mostra il numero di dispositivi e account di posta elettronica distinti (cassette postali) che attualmente hanno almeno un avviso attivo associato alla minaccia rilevata. Vengono attivati avvisi per le cassette postali che hanno ricevuto messaggi di posta elettronica sulle minacce. Esaminare sia i criteri a livello di organizzazione che a livello di utente per le sostituzioni che causano il recapito di messaggi di posta elettronica delle minacce.
  • Tentativi di posta elettronica impediti: mostra il numero di messaggi di posta elettronica degli ultimi sette giorni bloccati prima del recapito o recapitati alla cartella posta indesiderata.

Esaminare la resilienza e il comportamento della sicurezza

Ogni report include grafici che offrono una panoramica della resilienza dell'organizzazione rispetto a una determinata minaccia:

  • Stato configurazione sicura: indica il numero di dispositivi con impostazioni di sicurezza non configurate correttamente. Applicare le impostazioni di sicurezza consigliate per ridurre la minaccia. I dispositivi vengono considerati sicuri se sono state applicate tutte le impostazioni rilevate.
  • Stato di applicazione delle patch alla vulnerabilità: indica il numero di dispositivi vulnerabili. Applicare aggiornamenti o patch di sicurezza per risolvere le vulnerabilità sfruttate dalla minaccia.

Visualizzare i report per tag di minaccia

È possibile filtrare l'elenco dei report sulle minacce e visualizzare i report più rilevanti in base a un tag di minaccia specifico (categoria) o a un tipo di report.

  • Tag di minaccia: consentono di visualizzare i report più rilevanti in base a una categoria di minacce specifica. Ad esempio, tutti i report relativi al ransomware.
  • Tipi di report: consentono di visualizzare i report più rilevanti in base a un tipo di report specifico. Ad esempio, tutti i report che riguardano strumenti e tecniche.
  • Filtri: consentono di esaminare in modo efficiente l'elenco dei report sulle minacce e filtrare la visualizzazione in base a un tag di minaccia o a un tipo di report specifico. Ad esempio, esaminare tutti i report sulle minacce correlati alla categoria ransomware o i report sulle minacce che riguardano le vulnerabilità.
Come funziona?

Il team di Microsoft Threat Intelligence ha aggiunto tag di minaccia a ogni report sulle minacce:

  • Sono ora disponibili quattro tag di minaccia:

    • Ransomware
    • Phishing
    • Vulnerabilità
    • Gruppo di attività
  • I tag delle minacce vengono presentati nella parte superiore della pagina di analisi delle minacce. Sono presenti contatori per il numero di report disponibili in ogni tag.

    Tag di minaccia

  • L'elenco può anche essere ordinato in base ai tag delle minacce:

    Sezione Tag delle minacce

  • I filtri sono disponibili per tag di minaccia e tipo di report:

    Pagina Filtri

Report degli analisti: ottenere informazioni approfondite dagli esperti dei ricercatori di sicurezza Microsoft

Nella sezione Report degli analisti leggere il write-up dettagliato dell'esperto. La maggior parte dei report fornisce descrizioni dettagliate delle catene di attacco, incluse tattiche e tecniche mappate al framework MITRE ATT&CK, elenchi completi di raccomandazioni e potenti linee guida per la ricerca delle minacce .

Altre informazioni sul report degli analisti

La scheda Eventi imprevisti correlati fornisce l'elenco di tutti gli eventi imprevisti correlati alla minaccia rilevata. È possibile assegnare eventi imprevisti o gestire gli avvisi collegati a ogni evento imprevisto.

Sezione relativa agli eventi imprevisti di un report di analisi delle minacce

Sezione Eventi imprevisti correlati di un report di analisi delle minacce

Asset interessati: ottenere l'elenco dei dispositivi e delle cassette postali interessati

Un asset viene considerato interessato se è interessato da un avviso attivo e non risolto. Nella scheda Asset interessati sono elencati i tipi di asset interessati seguenti:

  • Dispositivi interessati: endpoint con avvisi Microsoft Defender per endpoint non risolti. Questi avvisi vengono in genere attivati sugli avvistamenti di indicatori e attività di minaccia noti.
  • Cassette postali interessate: cassette postali che hanno ricevuto messaggi di posta elettronica che hanno attivato avvisi Microsoft Defender per Office 365. Sebbene la maggior parte dei messaggi che attivano avvisi sia in genere bloccata, i criteri a livello di utente o di organizzazione possono sostituire i filtri.

Sezione degli asset interessati di un report di analisi delle minacce

Sezione Asset interessati di un report di analisi delle minacce

Tentativi di posta elettronica impediti: visualizzare i messaggi di posta elettronica di minaccia bloccati o indesiderati

Microsoft Defender per Office 365 in genere blocca i messaggi di posta elettronica con indicatori di minaccia noti, inclusi collegamenti o allegati dannosi. In alcuni casi, i meccanismi di filtro proattivo che controllano la presenza di contenuti sospetti invieranno invece messaggi di posta elettronica delle minacce alla cartella posta indesiderata. In entrambi i casi, le probabilità che la minaccia avvii codice malware nel dispositivo sono ridotte.

La scheda Tentativi di posta indesiderata elenca tutti i messaggi di posta elettronica che sono stati bloccati prima del recapito o inviati alla cartella posta indesiderata da Microsoft Defender per Office 365.

Sezione dei tentativi di posta elettronica impediti di un report di analisi delle minacce

Sezione Tentativi di posta elettronica impedita di un report di analisi delle minacce

Esposizione e mitigazioni: esaminare l'elenco delle mitigazioni e lo stato dei dispositivi

Nella sezione Mitigazioni dell'esposizione & esaminare l'elenco di raccomandazioni interattive specifiche che consentono di aumentare la resilienza dell'organizzazione rispetto alla minaccia. L'elenco delle mitigazioni rilevate include:

  • Aggiornamenti della sicurezza: distribuzione degli aggiornamenti di sicurezza software supportati per le vulnerabilità rilevate nei dispositivi di onboarding
  • Configurazioni di sicurezza supportate
    • Protezione fornita dal cloud
    • Protezione di applicazioni potenzialmente indesiderate (PUA)
    • Protezione in tempo reale

Le informazioni sulla mitigazione in questa sezione incorporano dati provenienti da Gestione delle vulnerabilità di Microsoft Defender, che fornisce anche informazioni dettagliate sul drill-down da vari collegamenti nel report.

Sezione mitigazioni di un report di analisi delle minacce che mostra i dettagli della configurazione sicura

La sezione mitigazioni di un report di analisi delle minacce che mostra i dettagli della vulnerabilità

Sezione Mitigazioni dell'esposizione & di un report di analisi delle minacce

Configurare le notifiche tramite posta elettronica per gli aggiornamenti dei report

È possibile configurare notifiche tramite posta elettronica che invieranno aggiornamenti sui report di analisi delle minacce.

Per configurare le notifiche tramite posta elettronica per i report di analisi delle minacce, seguire questa procedura:

  1. Selezionare Impostazioni nella barra laterale Microsoft 365 Defender. Selezionare Microsoft 365 Defender dall'elenco delle impostazioni.

Screenshot con

  1. Scegliere Email notificheAnalisi delle minacce > e selezionare il pulsante + Crea una regola di notifica. Verrà visualizzato un riquadro a comparsa.

Screenshot con

  1. Seguire i passaggi elencati nel riquadro a comparsa. Prima di tutto, assegnare un nome alla nuova regola. Il campo descrizione è facoltativo, ma è necessario un nome. È possibile attivare o disattivare la regola usando la casella di controllo nel campo descrizione.

Nota

I campi nome e descrizione per una nuova regola di notifica accettano solo lettere e numeri in inglese. Non accettano spazi, trattini, caratteri di sottolineatura o altri segni di punteggiatura.

Screenshot della schermata di denominazione, con tutti i campi compilati e la casella di controllo

  1. Scegliere il tipo di report di cui si vuole ricevere una notifica. È possibile scegliere tra l'aggiornamento di tutti i report appena pubblicati o aggiornati o solo i report con un determinato tag o tipo.

Screenshot della schermata di notifica, con i tag ransomware selezionati e un menu a discesa per i tipi aperti

  1. Aggiungere almeno un destinatario per ricevere i messaggi di posta elettronica di notifica. È anche possibile usare questa schermata per controllare come verranno ricevute le notifiche, inviando un messaggio di posta elettronica di test.

Screenshot della schermata dei destinatari. Sono elencati 3 destinatari ed è stato inviato un messaggio di posta elettronica di test, come indicato da un segno di spunta verde

  1. Esaminare la nuova regola. Se si desidera modificare qualcosa, selezionare il pulsante Modifica alla fine di ogni sottosezione. Al termine della revisione, selezionare il pulsante Crea regola .

Screenshot della schermata di revisione. Un pulsante di modifica è evidenziato in rosso

  1. Congratulazioni! La nuova regola è stata creata correttamente. Selezionare il pulsante Fine per completare il processo e chiudere il riquadro a comparsa.

Screenshot della schermata creata dalla regola. Una regola creata correttamente visualizzerà i segni di spunta verdi lungo la barra laterale e un grande controllo verde nell'area principale dello schermo

  1. La nuova regola verrà ora visualizzata nell'elenco delle notifiche di posta elettronica di Analisi delle minacce.

Screenshot dell'elenco delle regole di notifica tramite posta elettronica nella schermata Impostazioni

Dettagli e limitazioni del report aggiuntivi

Nota

Nell'ambito dell'esperienza di sicurezza unificata, l'analisi delle minacce è ora disponibile non solo per Microsoft Defender per endpoint, ma anche per Microsoft Defender per i titolari di licenze di Office E5.

Se non si usa il portale di sicurezza di Microsoft 365 (Microsoft 365 Defender), è anche possibile visualizzare i dettagli del report (senza l'Microsoft Defender per i dati di Office) nel portale di Microsoft Defender Security Center ( Microsoft Defender per endpoint).

Per accedere ai report di analisi delle minacce, sono necessari determinati ruoli e autorizzazioni. Per informazioni dettagliate, vedere Ruoli personalizzati nel controllo degli accessi in base al ruolo per Microsoft 365 Defender.

  • Per visualizzare i dati di avvisi, eventi imprevisti o asset interessati, è necessario disporre delle autorizzazioni per Microsoft Defender per i dati degli avvisi di Office o Microsoft Defender per endpoint o entrambi.
  • Per visualizzare i tentativi di posta elettronica impediti, è necessario disporre delle autorizzazioni per Microsoft Defender per i dati di ricerca di Office.
  • Per visualizzare le mitigazioni, è necessario disporre delle autorizzazioni per i dati di Gestione vulnerabilità di Defender in Microsoft Defender per endpoint.

Quando si esaminano i dati di analisi delle minacce, tenere presenti i fattori seguenti:

  • I grafici riflettono solo le mitigazioni rilevate. Controllare la panoramica del report per altre mitigazioni non visualizzate nei grafici.
  • Le mitigazioni non garantiscono la resilienza completa. Le mitigazioni fornite riflettono le migliori azioni possibili necessarie per migliorare la resilienza.
  • I dispositivi vengono conteggiati come "non disponibili" se non hanno trasmesso dati al servizio.
  • Le statistiche correlate all'antivirus si basano sulle impostazioni antivirus Microsoft Defender. I dispositivi con soluzioni antivirus di terze parti possono essere visualizzati come "esposti".