Analisi delle minacce in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
L'analisi delle minacce è la nostra soluzione di intelligence sulle minacce proprietaria creata dagli esperti ricercatori di sicurezza Microsoft. È progettata per aiutare i team di sicurezza a essere il più efficienti possibile e ad affrontare le minacce emergenti, ad esempio:
- Attori di minaccia attivi e relative campagne
- Tecniche di attacco popolari e nuove
- Vulnerabilità critiche
- Le superfici di attacco comuni
- I malware prevalenti
Guardare questo breve video per altre informazioni su come l'analisi delle minacce può aiutare a tenere traccia delle minacce più recenti e a arrestarle.
È possibile accedere all'analisi delle minacce dal lato superiore sinistro della barra di spostamento di Microsoft Defender XDR o da una scheda dashboard dedicata che mostra le principali minacce per l'organizzazione, sia in termini di impatto noto che in termini di esposizione.
Ottenere visibilità sulle campagne attive o in corso e sapere come procedere grazie all'analisi delle minacce può aiutare il team delle operazioni di sicurezza a prendere decisioni informate.
Con il sopraggiungere di avversari più sofisticati e di nuove minacce che emergono più di frequente e in modo diffuso, è fondamentale essere in grado di:
- Identificare e reagire alle minacce emergenti
- Scopri se sei attualmente sotto attacco
- Valutare l'impatto della minaccia sugli asset
- Esaminare la resilienza o l'esposizione alle minacce
- Identificare le azioni di mitigazione, ripristino o prevenzione che è possibile intraprendere per arrestare o contenere le minacce
Ogni report fornisce un'analisi di una minaccia monitorata e indicazioni approfondite su come difendersi da tale minaccia. Incorpora anche i dati della rete, che indicano se la minaccia è attiva e se sono state applicate protezioni applicabili.
Visualizzare il dashboard di analisi delle minacce
Il dashboard di analisi delle minacce (security.microsoft.com/threatanalytics3) evidenzia i report più rilevanti per l'organizzazione. Riepiloga le minacce nelle sezioni seguenti:
- Minacce più recenti: elenca i report sulle minacce pubblicati o aggiornati più di recente, insieme al numero di avvisi attivi e risolti.
- Minacce ad alto impatto: elenca le minacce che hanno il massimo impatto sull'organizzazione. Questa sezione elenca prima le minacce con il maggior numero di avvisi attivi e risolti.
- Esposizione massima: elenca le minacce a cui l'organizzazione ha la massima esposizione. Il livello di esposizione a una minaccia viene calcolato usando due informazioni: la gravità delle vulnerabilità associate alla minaccia e il numero di dispositivi nell'organizzazione che potrebbero essere sfruttati da tali vulnerabilità.
Selezionare una minaccia dal dashboard per visualizzare il report relativo. È anche possibile selezionare il campo Search per la chiave in una parola chiave correlata al report di analisi delle minacce che si vuole leggere.
Visualizzare i report per categoria
È possibile filtrare l'elenco dei report sulle minacce e visualizzare i report più rilevanti in base a un tipo di minaccia specifico o al tipo di report.
- Tag di minaccia: consentono di visualizzare i report più rilevanti in base a una categoria di minacce specifica. Ad esempio, il tag Ransomware include tutti i report relativi al ransomware.
- Tipi di report: consentono di visualizzare i report più rilevanti in base a un tipo di report specifico. Ad esempio, il tag Tools & techniques include tutti i report che coprono strumenti e tecniche.
I diversi tag hanno filtri equivalenti che consentono di esaminare in modo efficiente l'elenco dei report sulle minacce e filtrare la visualizzazione in base a un tag di minaccia o a un tipo di report specifico. Ad esempio, per visualizzare tutti i report sulle minacce correlati alla categoria ransomware o report sulle minacce che coinvolgono vulnerabilità.
Il team di Microsoft Threat Intelligence ha aggiunto tag di minaccia a ogni report sulle minacce. Sono attualmente disponibili quattro tag di minaccia:
- Ransomware
- Phishing
- Vulnerabilità
- Gruppo di attività
I tag delle minacce vengono presentati nella parte superiore della pagina di analisi delle minacce. Sono disponibili contatori per il numero di report disponibili in ciascun tag.
Per impostare i tipi di report desiderati nell'elenco, selezionare Filtri, scegliere dall'elenco e selezionare Applica.
Se sono stati impostati più filtri, l'elenco dei report di analisi delle minacce può anche essere ordinato in base al tag di minaccia selezionando la colonna tag di minaccia:
Visualizzare un report di analisi delle minacce
Ogni report di analisi delle minacce fornisce informazioni in diverse sezioni:
- Panoramica
- Report di analisi
- Eventi correlati
- Risorse interessate
- Tentativi di invio di messaggi posta elettronica impediti
- Mitigazioni dell'esposizione &
Panoramica: Comprendere rapidamente la minaccia, valutarne l'impatto ed esaminare le difese
La sezione Panoramica fornisce un'anteprima del report dettagliato degli analisti. Fornisce anche grafici che evidenziano l'impatto della minaccia per l'organizzazione e l'esposizione tramite dispositivi non configurati correttamente e senza patch.
Valutare l'impatto sull'organizzazione
Ogni report include grafici progettati per fornire informazioni sull'impatto aziendale di una minaccia:
- Eventi imprevisti correlati: offre una panoramica dell'impatto della minaccia rilevata per l'organizzazione con i dati seguenti:
- Numero di avvisi attivi e numero di eventi imprevisti attivi a cui sono associati
- Gravità degli eventi imprevisti attivi
- Avvisi nel tempo: mostra il numero di avvisi attivi e risolti correlati nel tempo. Il numero di avvisi risolti indica la velocità con cui l'organizzazione risponde agli avvisi associati a una minaccia. Idealmente, il grafico dovrebbe mostrare gli avvisi risolti entro pochi giorni.
- Asset interessati: mostra il numero di dispositivi e account di posta elettronica distinti (cassette postali) che attualmente hanno almeno un avviso attivo associato alla minaccia rilevata. Gli avvisi vengono attivati per le cassette postali che hanno ricevuto messaggi di posta elettronica di minaccia. Esaminare sia i criteri a livello di organizzazione che a livello di utente per le sostituzioni che causano il recapito di messaggi di posta elettronica delle minacce.
- Tentativi di posta elettronica impediti: mostra il numero di messaggi di posta elettronica degli ultimi sette giorni bloccati prima del recapito o recapitati alla cartella posta indesiderata.
Esaminare la resilienza e il comportamento della sicurezza
Ogni report include grafici che offrono una panoramica della resilienza dell'organizzazione rispetto a una determinata minaccia:
- Stato configurazione sicura: indica il numero di dispositivi con impostazioni di sicurezza non configurate correttamente. Applicare le impostazioni di sicurezza consigliate per ridurre la minaccia. I dispositivi vengono considerati sicuri se sono state applicate tutte le impostazioni rilevate.
- Stato di applicazione delle patch alla vulnerabilità: indica il numero di dispositivi vulnerabili. Applicare aggiornamenti o patch di sicurezza per risolvere le vulnerabilità sfruttate dalla minaccia.
Report degli analisti: ottenere informazioni approfondite dagli esperti dei ricercatori di sicurezza Microsoft
Nella sezione Report degli analisti leggere il write-up dettagliato dell'esperto. La maggior parte dei report fornisce descrizioni dettagliate delle catene di attacco, tra cui tattiche e tecniche mappate al framework MITRE ATT&CK, elenchi completi di raccomandazioni e potenti linee guida per la ricerca delle minacce .
Altre informazioni sul report degli analisti
Eventi imprevisti correlati: visualizzare e gestire gli eventi imprevisti correlati
La scheda Incidenti correlati fornisce l'elenco di tutti gli incidenti correlati alla minaccia rilevata. È possibile assegnare gli incidenti o gestire gli avvisi collegati a ogni incidente.
Asset interessati: ottenere l'elenco dei dispositivi e delle cassette postali interessati
Una risorsa viene considerato interessata se è colpita da un avviso attivo e non risolto. Nella scheda Risorse interessate sono elencati i tipi di risorse seguenti:
- Dispositivi interessati: endpoint con avvisi Microsoft Defender per endpoint non risolti. Questi avvisi in genere si attivano sugli indicatori di minaccia noti e sulle attività.
- Cassette postali interessate: cassette postali che hanno ricevuto messaggi di posta elettronica che hanno attivato avvisi Microsoft Defender per Office 365. Anche se la maggior parte dei messaggi che attivano avvisi è in genere bloccata, i criteri a livello di utente o organizzazione possono eseguire l'override dei filtri.
Tentativi di posta elettronica impediti: visualizzare i messaggi di posta elettronica di minaccia bloccati o indesiderati
Microsoft Defender per Office 365 blocca in genere i messaggi di posta elettronica con indicatori di minaccia noti, inclusi collegamenti o allegati dannosi. In alcuni casi, i meccanismi di filtro proattivi che controllano la presenza di contenuto sospetto invieranno invece messaggi di posta elettronica di minaccia alla cartella della posta indesiderata. In entrambi i casi, le probabilità che la minaccia avvii codice malware nel dispositivo è ridotta.
La scheda Tentativi di posta indesiderata elenca tutti i messaggi di posta elettronica che sono stati bloccati prima del recapito o inviati alla cartella posta indesiderata da Microsoft Defender per Office 365.
Esposizione e mitigazioni: esaminare l'elenco delle mitigazioni e lo stato dei dispositivi
Nella sezione Esposizione & mitigazioni esaminare l'elenco di raccomandazioni interattive specifiche che consentono di aumentare la resilienza dell'organizzazione rispetto alla minaccia. L'elenco delle mitigazioni rilevate include:
- Aggiornamenti della sicurezza: distribuzione degli aggiornamenti di sicurezza software supportati per le vulnerabilità rilevate nei dispositivi di onboarding
- Configurazioni di sicurezza supportate
- Protezione fornita dal cloud
- Protezione da applicazioni potenzialmente indesiderate
- Protezione in tempo reale
Le informazioni sulla mitigazione in questa sezione incorporano dati provenienti da Gestione delle vulnerabilità di Microsoft Defender, che fornisce anche informazioni dettagliate sul drill-down da vari collegamenti nel report.
Sezione & mitigazioni dell'esposizione di un report di analisi delle minacce
Configurare le notifiche tramite posta elettronica per gli aggiornamenti dei report
È possibile configurare notifiche tramite posta elettronica che invieranno aggiornamenti sui report di analisi delle minacce. Per creare notifiche tramite posta elettronica, seguire la procedura descritta in Ottenere notifiche tramite posta elettronica per gli aggiornamenti di Analisi delle minacce in Microsoft Defender XDR.
Dettagli e limitazioni del report aggiuntivi
Nota
Nell'ambito dell'esperienza di sicurezza unificata, l'analisi delle minacce è ora disponibile non solo per Microsoft Defender per endpoint, ma anche per i titolari di licenze Microsoft Defender per Office 365.
Se non si usa il portale di sicurezza di Microsoft 365 (Microsoft Defender XDR), è anche possibile visualizzare i dettagli del report (senza la Microsoft Defender per i dati di Office) nel portale di Microsoft Defender Security Center ( Microsoft Defender per endpoint).
Per accedere ai report di analisi delle minacce, sono necessari determinati ruoli e autorizzazioni. Per informazioni dettagliate, vedere Ruoli personalizzati nel controllo degli accessi in base al ruolo per Microsoft Defender XDR.
- Per visualizzare i dati di avvisi, eventi imprevisti o asset interessati, è necessario disporre delle autorizzazioni per Microsoft Defender per i dati degli avvisi di Office o Microsoft Defender per endpoint o entrambi.
- Per visualizzare i tentativi di posta elettronica impediti, è necessario disporre delle autorizzazioni per Microsoft Defender per i dati di ricerca di Office.
- Per visualizzare le mitigazioni, è necessario disporre delle autorizzazioni per i dati di Gestione vulnerabilità di Defender in Microsoft Defender per endpoint.
Quando si esaminano i dati di analisi delle minacce, tenere presente i fattori seguenti:
- I grafici riflettono solo le mitigazioni rilevate. Controllare la panoramica del report per altre mitigazioni non visualizzate nei grafici.
- Le mitigazioni non garantiscono la resilienza completa. Le mitigazioni fornite riflettono le migliori azioni possibili necessarie per migliorare la resilienza.
- I dispositivi vengono conteggiati come "non disponibili" se non hanno trasmesso dati al servizio.
- Le statistiche correlate all'antivirus si basano sulle impostazioni antivirus Microsoft Defender. I dispositivi con soluzioni antivirus di terze parti possono essere visualizzati come "esposti".
Articoli correlati
- Trovare in modo proattivo le minacce con la ricerca avanzata
- Informazioni sulla sezione report degli analisti
- Valutare e risolvere i punti deboli e le esposizioni della sicurezza
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per