Report di intelligence per le minacce generato dal Centro sicurezza di AzureAzure Security Center Threat Intelligence Report

Questo documento spiega come i report di intelligence per le minacce del Centro sicurezza di Azure possono essere utili per raccogliere informazioni più dettagliate su una minaccia che ha generato un avviso di sicurezza.This document explains how Azure Security Center Threat Intelligent Reports can help you learn more about a threat that generated a security alert.

Informazioni sui report di intelligence per le minacceWhat is a threat intelligence report?

Il sistema di rilevamento delle minacce del Centro sicurezza è basato sul monitoraggio delle informazioni sulla sicurezza fornite dalle risorse di Azure, dalla rete e dalle soluzioni dei partner connessi.Security Center threat detection works by monitoring security information from your Azure resources, the network, and connected partner solutions. Per identificare le minacce, analizza queste informazioni, correlando spesso quelle raccolte da più origini.It analyzes this information, often correlating information from multiple sources, to identify threats. Questo processo fa parte delle funzionalità di rilevamento del Centro sicurezza.This process is part of the Security Center detection capabilities.

Quando il Centro sicurezza identifica una minaccia, attiva un avviso di sicurezza contenente informazioni dettagliate su un evento specifico, inclusi i suggerimenti per la correzione.When Security Center identifies a threat, it will trigger a security alert, which contains detailed information regarding a particular event, including suggestions for remediation. Per consentire ai team che gestiscono la risposta agli eventi imprevisti di analizzare e correggere le minacce, il Centro sicurezza include un report di intelligence per le minacce contenente informazioni sulla minaccia rilevata, come:To assist incident response teams investigate and remediate threats, Security Center includes a threat intelligence report that contains information about the threat that was detected, including information such as the:

  • Identità o associazioni dell'utente malintenzionato, se queste informazioni sono disponibiliAttacker’s identity or associations (if this information is available)
  • Obiettivi degli utenti malintenzionatiAttackers’ objectives
  • Campagne di attacco attuali e cronologiche, se queste informazioni sono disponibiliCurrent and historical attack campaigns (if this information is available)
  • Tattiche, strumenti e procedure usate dagli utenti malintenzionatiAttackers’ tactics, tools and procedures
  • Indicatori di compromissione (IoC) associati, ad esempio URL e hash fileAssociated indicators of compromise (IoC) such as URLs and file hashes
  • Vittimologia, ovvero la diffusione geografica e nel settore utile per determinare se le risorse di Azure sono esposte a rischiVictimology, which is the industry and geographic prevalence to assist you in determining if your Azure resources are at risk
  • Informazioni sulla mitigazione dei rischi e correzioneMitigation and remediation information

Nota

La quantità di informazioni in un report specifico varia; il livello di dettaglio è basato sulle attività e la diffusione del malware.The amount of information in any particular report will vary; the level of detail is based on the malware’s activity and prevalence.

Il Centro sicurezza rende disponibili tre tipi di report sulle minacce, che possono variare a seconda dell'attacco.Security Center has three types of threat reports, which can vary according to the attack. I report disponibili sono:The reports available are:

  • Report sui gruppi di attività: fornisce approfondimenti sugli utenti malintenzionati e relativi obiettivi e strategie.Activity Group Report: provides deep dives into attackers, their objectives and tactics.
  • Report sulle campagne: si concentra sui dettagli di specifiche campagne di attacco.Campaign Report: focuses on details of specific attack campaigns.
  • Report di riepilogo delle minacce: tratta tutti gli elementi presenti nei due report precedenti.Threat Summary Report: covers all of the items in the previous two reports.

Questo tipo di informazioni è molto utile nel corso del processo di risposta agli eventi imprevisti, in cui è in corso un'analisi per identificare l'origine dell'attacco, le motivazioni dell'utente malintenzionato e le azioni da eseguire per attenuare il problema in futuro.This type of information is very useful during the incident response process, where there is an ongoing investigation to understand the source of the attack, the attacker’s motivations, and what to do to mitigate this issue moving forward.

Come accedere alle informazioni sui report di intelligence per le minacceHow to access the threat intelligence report?

È possibile esaminare gli avvisi correnti visualizzando il riquadro Avvisi di sicurezza .You can review your current alerts by looking at the Security alerts tile. Aprire il portale di Azure e seguire questa procedura per visualizzare altri dettagli su ogni avviso:Open the Azure Portal and follow the steps below to see more details about each alert:

  1. Nel dashboard del Centro sicurezza è disponibile il riquadro Avvisi di sicurezza .On the Security Center dashboard, you will see the Security alerts tile.
  2. Fare clic sul riquadro per aprire il pannello Avvisi di sicurezza contenente altre informazioni sugli avvisi e fare clic sull'avviso di sicurezza per cui si vuole ottenere altre informazioni.Click the tile to open the Security alerts blade that contains more details about the alerts and click in the security alert that you want to obtain more information about.

    Avvisi di sicurezza

  3. In questo caso il pannello Processo sospetto eseguito visualizza i dettagli sull'avviso, come illustrato nella figura seguente:In this case the Suspicious process executed blade shows the details about the alert as shown in the figure below:

    Dettagli dell'avviso di sicurezza

  4. La quantità di informazioni disponibili per ogni avviso di sicurezza varia in base al tipo di avviso.The amount of information available for each security alert will vary according to the type of alert. Nel campo REPORT è presente un collegamento al report di intelligence sulle minacce.In the REPORTS field you have a link to the threat intelligence report. Fare clic su di esso; verrà visualizzata un'altra finestra del browser con un file PDF.Click on it and another browser window will appear with PDF file.

    Selezione dell'archiviazione

Da qui è possibile scaricare il file PDF per questo report e ottenere altre informazioni sul problema di sicurezza rilevato e intraprendere azioni in base alle informazioni fornite.From here you can download the PDF for this report and read more about the security issue that was detected and take actions based on the information provided.

Vedere ancheSee also

In questo documento è stata evidenziata l'importanza dei report di intelligence per le minacce generati dal Centro sicurezza di Azure nel corso di un'analisi degli avvisi di sicurezza.In this document, you learned how Azure Security Center Threat Intelligent Reports can help during an investigation about security alerts. Per ulteriori informazioni sul Centro sicurezza di Azure, vedere gli argomenti seguenti:To learn more about Azure Security Center, see the following: