Monitoraggio e gestione degli avvisi di sicurezza nella soluzione Sicurezza e controllo di Operations Management SuiteMonitoring and responding to security alerts in Operations Management Suite Security and Audit Solution

Questo documento illustra come usare la funzionalità di intelligence per le minacce disponibile nel dashboard Security and Audit (Sicurezza e controllo) di OMS per monitorare e gestire gli avvisi di sicurezza.This document helps you use the threat intelligence option available in OMS Security and Audit to monitor and respond to security alerts.

Cos'è OMS?What is OMS?

Microsoft Operations Management Suite (OMS) è la soluzione Microsoft per la gestione IT basata sul cloud che consente di gestire e proteggere l'infrastruttura locale e cloud.Microsoft Operations Management Suite (OMS) is Microsoft's cloud based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. Per altre informazioni su OMS, leggere l'articolo Operations Management Suite.For more information about OMS, read the article Operations Management Suite.

Intelligence per le minacceThreat intelligence

In un ambiente aziendale in cui gli utenti hanno ampio accesso alla rete e usano una vasta gamma di dispositivi per connettersi ai dati aziendali, è fondamentale avere la possibilità di monitorare attivamente le risorse e rispondere in modo rapido agli eventi di sicurezza imprevisti.In an enterprise environment where users have broad access to the network and use a variety of devices to connect to corporate data, it is imperative that you can actively monitor your resources and quickly respond to security incidents. Ciò è particolarmente importante dal punto di vista della sicurezza perché le minacce alla sicurezza informatica non sempre generano avvisi o segnalazioni di attività sospette identificabili dai tradizionali controlli tecnici della sicurezza.This is particular important from the security lifecycle perspective because some cybersecurity threats may not raise alerts or suspicious activities that can be identified by traditional security technical controls.

Tramite la funzionalità Threat Intelligence (Intelligence per le minacce) disponibile nel dashboard Security and Audit (Sicurezza e controllo) di OMS, gli amministratori IT possono identificare le minacce alla sicurezza dell'ambiente, ad esempio determinare se un computer fa parte di una botnet.By using the Threat Intelligence option available in OMS Security and Audit, IT administrators can identify security threats against the environment, for example, identify if a particular computer is part of a botnet. I computer possono diventare nodi di una botnet quando utenti malintenzionati installano illecitamente malware che connette il computer al comando e al controllo all'insaputa dell'utente.Computers can become nodes in a botnet when attackers illicitly install malware that secretly connects this computer to the command and control. Questa funzionalità è anche in grado di identificare potenziali minacce provenienti da canali di comunicazione sotterranei, ad esempio una darknet.It can also identify potential threats coming from underground communication channels, such as darknet.

Per creare questa intelligence per le minacce, la soluzione Sicurezza e controllo di OMS usa i dati provenienti da più origini MicrosoftIn order to build this threat intelligence, the OMS Security and Audit solution uses data coming from multiple sources within Microsoft. e sfrutta i dati rilevati per identificare le potenziali minacce all'ambiente.OMS Security and Audit will leverage this data to identify potential threats against your environment.

Il riquadro Threat Intelligence (Intelligence per le minacce) è composto da tre aree principali:The Threat Intelligence pane is composed by three major options:

  • Server con traffico dannoso in uscitaServers with outbound malicious traffic
  • Tipi di minacce rilevateDetected threats types
  • Mappa di intelligence per le minacceThreat intelligence map

Rispondere agli avvisi di sicurezzaResponding to security alerts

Uno dei passaggi della procedura di risposta agli eventi di sicurezza imprevisti consiste nell'identificare la gravità della compromissione dei sistemi.One of the steps of a security incident response process is to identify the severity of the compromise system(s). In questa fase è necessario svolgere le attività seguenti:In this phase you should perform the following tasks:

  • Determinare la natura dell'attacco.Determine the nature of the attack
  • Determinare il punto di origine dell'attacco.Determine the attack point of origin
  • Determinare l'intento dell'attacco.Determine the intent of the attack. Si tratta di un attacco casuale o di un attacco appositamente mirato ad acquisire informazioni specifiche dell'organizzazione?Was the attack specifically directed at your organization to acquire specific information, or was it random?
  • Identificare i sistemi che sono stati compromessi.Identify the systems that have been compromised
  • Identificare i file a cui è stato eseguito l'accesso e determinarne il grado di riservatezza.Identify the files that have been accessed and determine the sensitivity of those files

Per svolgere più facilmente queste attività è possibile sfruttare le informazioni di intelligence per le minacce della soluzione Sicurezza e controllo di OMS.You can leverage Threat Intelligence information in the OMS Security and Audit solution to help with these tasks. Per accedere alle opzioni di intelligence per le minacce seguire questa procedura:Follow the steps below to access these Threat Intelligence options:

  1. Nel dashboard principale Microsoft Operations Management Suite fare clic sul riquadro Security and Audit (Sicurezza e controllo).In the Microsoft Operations Management Suite main dashboard click Security and Audit tile.

    Security and Audit

  2. Nel dashboard Security and Audit (Sicurezza e controllo) verranno visualizzate le opzioni di Threat Intelligence (Intelligence per le minacce), come illustrato di seguito:In the Security and Audit dashboard, you will see the Threat Intelligence options in the right, as shown below:

    Intelligence per le minacce

Questi tre riquadri presentano una panoramica delle minacce correnti.These three tiles will give you an overview of the current threats. In Server with outbound malicious traffic (Server con traffico dannoso in uscita) è possibile identificare se un computer sottoposto a monitoraggio (all'interno o all'esterno della rete) sta inviando traffico dannoso alla rete Internet.In the Server with outbound malicious traffic you will be able to identify if there is any computer that you are monitoring (inside or outside of your network) that is sending malicious traffic to the Internet.

Il riquadro Detected threat types (Tipi di minacce rilevate) mostra un riepilogo delle minacce attualmente "in circolazione". Se si fa clic su questo riquadro, vengono visualizzati altri dettagli sulle minacce, come mostrato di seguito:The Detected threat types tile shows a summary of the threats that are current “in the wild”, if you click on this tile you will see more details about these threats as show below:

Tipi di minacce rilevate

È possibile ottenere altre informazioni facendo clic su ogni minaccia.You can extract more information about each threat by clicking on it. L'esempio seguente mostra altri dettagli su Botnet:The example below shows more details about Botnet:

altri dettagli su una minaccia

Come descritto all'inizio della sezione, queste informazioni possono essere molto utili per rispondere a un evento imprevisto.As described in the beginning of this section, this information can be very useful during an incident response case. Possono essere importanti anche nell'ambito di un'indagine giudiziaria, in cui è necessario individuare l'origine dell'attacco, i sistemi compromessi e la sequenza temporale.It can also be important during a forensic investigation, where you need to find the source of the attack, which system was compromised and the timeline. In questo report è possibile identificare con facilità alcuni dettagli fondamentali sull'attacco, ad esempio l'origine, l'indirizzo IP locale compromesso e lo stato della sessione corrente della connessione.In this report you can easily identify some key details about the attack, such as: the source of the attack, the local IP that was compromised and the current session state of the connection.

La mappa di intelligence per le minacce consente di individuare facilmente le località del mondo in cui è presente traffico dannoso.The threat intelligence map will help you to identify the current locations around the globe that have malicious traffic. Le frecce di colore arancione (in entrata) e quelle di colore rosso (in uscita) sulla mappa identificano la direzione del traffico. Se si fa clic su una delle frecce, vengono visualizzati il tipo di minaccia e la direzione del traffico, come illustrato di seguito:There are orange (incoming) and red (outgoing) arrows in this map that identify the traffic direction, if you click in one of these arrows, it will show the type of threat and the traffic direction as shown below:

mappa di intelligence per le minacce

Nota

È possibile visualizzare una dimostrazione su come usare questa funzionalità durante un processo di risposta a un evento imprevisto; a questo scopo guardare la presentazione Mitigate datacenter security threats with guided investigation using Operations Management Suite (Mitigazione delle minacce per la sicurezza dei data center con l'analisi guidata tramite Operations Management Suite), tenuta presso Microsoft Ignite.You can see a demonstration on how to use this capability during an incident response process by watching the presentation Mitigate datacenter security threats with guided investigation using Operations Management Suite delivered at Microsoft Ignite.

Risposta ai diversi indirizzi IP dannosi a cui si è avuto accessoResponding to distinct malicious IP accessed

In alcuni scenari è possibile notare un potenziale IP dannoso a cui è stato eseguito l'accesso da un computer monitorato:In some scenarios, you may notice a potential malicious IP that was accessed from one monitored computer:

mappa di intelligence per le minacce

Questo avviso e altri all'interno della stessa categoria sono generati tramite Sicurezza di OMS usando l'intelligence per le minacce di Microsoft.This alert and others within the same category, are generated via OMS Security by leveraging Microsoft Threat Intelligence. I dati di intelligence sulle minacce vengono raccolti da Microsoft, nonché acquistati da provider di intelligence per le minacce leader del settore.The Threat Intelligence data is collected by Microsoft as well as purchased from leading threat intelligence providers. Questi dati vengono aggiornati frequentemente e adattati alle minacce in continua evoluzione.This data is updated frequently and adapted to fast-moving threats. A causa della loro natura, devono essere combinati con altre fonti di informazioni di sicurezza quando si analizza un avviso di sicurezza.Due to its nature, it should be combined with other sources of security information while investigating a security alert.

Personalizzare gli avvisi ricevuti tramite posta elettronicaCustomize alerts received via e-mail

È possibile personalizzare gli utenti nell'organizzazione che riceveranno una notifica quando vengono attivati gli avvisi di sicurezza dalla sicurezza di OMS.You can customize which users in your organization will be notified when security alerts are triggered by OMS Security. Questa opzione è disponibile in Panoramica/Impostazioni nel dashboard OMS:This option is available under Overview / Settings at the OMS dashboard:

Email

Vedere ancheSee also

In questo documento è stato descritto come rispondere agli avvisi di sicurezza mediante la funzionalità Threat Intelligence (Intelligence per le minacce) disponibile nella soluzione OMS per la sicurezza e il controllo.In this document, you learned how to use the Threat Intelligence option in OMS Security and Audit solution to respond to security alerts. Per altre informazioni sulle funzionalità di OMS per la sicurezza, vedere gli articoli seguenti:To learn more about OMS Security, see the following articles: