Tenere traccia e rispondere alle minacce emergenti tramite l'analisi delle minacce

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Con gli avversari più sofisticati e le nuove minacce che emergono spesso e prevalentemente, è fondamentale essere in grado di:

  • Valutare l'impatto delle nuove minacce
  • Esaminare la resilienza o l'esposizione alle minacce
  • Identificare le azioni che è possibile eseguire per arrestare o contenere le minacce

L'analisi delle minacce è una serie di report di esperti ricercatori di sicurezza Microsoft che coprono le minacce più rilevanti, tra cui:

  • Attori delle minacce attive e le loro campagne
  • Tecniche di attacco popolari e nuove
  • Vulnerabilità critiche
  • Le superfici di attacco comuni
  • I malware prevalenti

Ogni report fornisce un'analisi dettagliata di una minaccia e indicazioni dettagliate su come difendersi da tale minaccia. Incorpora inoltre i dati della rete, che indicano se la minaccia è attiva e se sono presenti protezioni applicabili.

Guarda questo breve video per saperne di più su come l'analisi delle minacce può aiutarti a tenere traccia delle minacce più recenti e a fermarle.

Visualizzare il dashboard di analisi delle minacce

Il dashboard di analisi delle minacce è un ottimo punto di partenza per accedere ai report più rilevanti per l'organizzazione. Riepiloga le minacce nelle sezioni seguenti:

  • Minacce più recenti: elenca i report sulle minacce pubblicati più di recente, insieme al numero di dispositivi con avvisi attivi e risolti.
  • Minacce ad alto impatto: elenca le minacce che hanno avuto il maggiore impatto sull'organizzazione. Questa sezione classifica le minacce in base al numero di dispositivi con avvisi attivi.
  • Riepilogo delle minacce: mostra l'impatto complessivo delle minacce rilevate mostrando il numero di minacce con avvisi attivi e risolti.

Selezionare una minaccia dal dashboard per visualizzare il report per tale minaccia.

Immagine di un dashboard di analisi delle minacce.

Visualizzare un report di analisi delle minacce

Ogni report di analisi delle minacce fornisce informazioni in tre sezioni: Panoramica, Report analista e Mitigazioni.

Panoramica: comprendere rapidamente la minaccia, valutarne l'impatto ed esaminare le difese

La sezione Panoramica offre un'anteprima del report dettagliato degli analisti. Fornisce inoltre grafici che evidenziano l'impatto della minaccia per l'organizzazione e l'esposizione tramite dispositivi non configurati correttamente e senzapatch.

Immagine della sezione panoramica di un report di analisi delle minacce. Sezione Panoramica di un report di analisi delle minacce

Valutare l'impatto sull'organizzazione

Ogni report include grafici progettati per fornire informazioni sull'impatto organizzativo di una minaccia:

  • Dispositivi con avvisi: Mostra il numero corrente di dispositivi distinti che sono stati influenzati dalla minaccia. Un dispositivo viene classificato come Attivo se alla minaccia è associato almeno un avviso e Risolto se tutti gli avvisi associati alla minaccia nel dispositivo sono stati risolti.
  • Dispositivi con avvisi nel tempo: mostra il numero di dispositivi distinti con avvisi attivi e risolti nel tempo. Il numero di avvisi risolti indica la velocità con cui l'organizzazione risponde agli avvisi associati a una minaccia. Idealmente, il grafico dovrebbe mostrare gli avvisi risolti entro pochi giorni.

Esaminare la resilienza e la postura della sicurezza

Ogni report include grafici che forniscono una panoramica della resilienza dell'organizzazione rispetto a una determinata minaccia:

  • Stato della configurazione della sicurezza: mostra il numero di dispositivi che hanno applicato le impostazioni di sicurezza consigliate che possono contribuire a ridurre la minaccia. I dispositivi sono considerati sicuri se hanno applicato tutte le impostazioni rilevate.
  • Stato patch vulnerabilità: mostra il numero di dispositivi che hanno applicato aggiornamenti della sicurezza o patch che affrontano le vulnerabilità sfruttate dalla minaccia.

Report degli analisti: ottenere informazioni approfondite dai ricercatori di sicurezza Microsoft

Vai alla sezione Report analista per leggere la dettagliata scrittura di esperti. La maggior parte dei report fornisce descrizioni dettagliate delle catene di attacco, tra cui tattiche e tecniche mappate al framework CK di MITRE ATT&, elenchi esaustivi di suggerimenti e potenti indicazioni per la ricerca di minacce.

Ulteriori informazioni sul report degli analisti

Mitigazioni: esaminare l'elenco delle mitigazioni e lo stato dei dispositivi

Nella sezione Mitigazioni esaminare l'elenco di suggerimenti specifici che consentono di aumentare la resilienza dell'organizzazione contro la minaccia. L'elenco delle mitigazioni rilevate include:

  • Aggiornamenti della sicurezza: distribuzione di aggiornamenti della sicurezza o patch per le vulnerabilità
  • Antivirus Microsoft Defender impostazioni
    • Versione di Security Intelligence
    • Protezione fornita dal cloud
    • Protezione delle applicazioni potenzialmente indesiderate
    • Protezione in tempo reale

Le informazioni di mitigazione contenute in questa sezione incorporano i dati di gestione di minacce e vulnerabilità, che forniscono inoltre informazioni dettagliate di drill-down da vari collegamenti nel report.

Immagine della sezione mitigazioni di un report di analisi delle minacce.

Sezione Mitigazioni di un report di analisi delle minacce

Ulteriori dettagli e limitazioni del report

Quando si utilizzano i report, tenere presente quanto segue:

  • L'ambito dei dati è basato sull'ambito RBAC (Role-Based Access Control). Verrà visualizzato lo stato dei dispositivi in gruppi a cui è possibile accedere.
  • I grafici riflettono solo le mitigazioni rilevate. Controllare la panoramica del report per ulteriori mitigazioni che non vengono visualizzate nei grafici.
  • Le mitigazioni non garantiscono resilienza completa. Le mitigazioni fornite riflettono le migliori azioni possibili necessarie per migliorare la resilienza.
  • I dispositivi vengono conteggiati come "non disponibili" se non hanno trasmesso dati al servizio.
  • Le statistiche relative all'antivirus si basano sulle Antivirus Microsoft Defender predefinite. I dispositivi con soluzioni antivirus di terze parti possono essere visualizzati come "esposti".