Analisi delle minacce in Microsoft 365 Defender

Importante

Il nuovo portale di Microsoft 365 Defender è ora disponibile. Questa nuova esperienza porta Defender per Endpoint, Defender per Office 365, Microsoft 365 Defender e altro ancora nel portale Microsoft 365 Defender. Informazioni sulle novità.

Si applica a:

  • Microsoft 365 Defender

Vuoi provare Microsoft 365 Defender? Puoi valutarlo in un ambiente lab o eseguire il progetto pilota in produzione.

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

L'analisi delle minacce è la soluzione di intelligence per le minacce nel prodotto di esperti ricercatori di sicurezza Microsoft, progettata per aiutare i team di sicurezza a essere il più efficienti possibile affrontando le minacce emergenti, tra cui:

  • Attori delle minacce attive e le loro campagne
  • Tecniche di attacco popolari e nuove
  • Vulnerabilità critiche
  • Le superfici di attacco comuni
  • I malware prevalenti

Guarda questo breve video per saperne di più su come l'analisi delle minacce può aiutarti a tenere traccia delle minacce più recenti e a fermarle.

È Microsoft 365 possibile accedere all'analisi delle minacce dal lato superiore sinistro della barra di spostamento del portale di sicurezza o da una scheda del dashboard dedicata che mostra le minacce principali nell'organizzazione. Ottenere visibilità sulle campagne attive o in corso e sapere cosa fare tramite l'analisi delle minacce può aiutare il team delle operazioni di sicurezza a prendere decisioni informate.

Immagine del dashboard di analisi delle minacce.

Dove accedere all'analisi delle minacce

Con gli avversari più sofisticati e le nuove minacce che emergono spesso e prevalentemente, è fondamentale essere in grado di:

  • Identificare e reagire alle minacce emergenti
  • Informazioni se si è attualmente sotto attacco
  • Valutare l'impatto della minaccia per le risorse
  • Esaminare la resilienza o l'esposizione alle minacce
  • Identificare le azioni di mitigazione, ripristino o prevenzione che è possibile eseguire per arrestare o contenere le minacce

Ogni report fornisce un'analisi di una minaccia monitorata e indicazioni dettagliate su come difendersi da tale minaccia. Incorpora inoltre i dati della rete, che indicano se la minaccia è attiva e se sono presenti protezioni applicabili.

Visualizzare il dashboard di analisi delle minacce

Il dashboard di analisi delle minacce (security.microsoft.com/threatanalytics3) evidenzia i report più rilevanti per l'organizzazione. Riepiloga le minacce nelle sezioni seguenti:

  • Minacce più recenti: elenca i report sulle minacce pubblicati o aggiornati più di recente, insieme al numero di avvisi attivi e risolti.
  • Minacce ad alto impatto: elenca le minacce che hanno il maggiore impatto sull'organizzazione. In questa sezione vengono elencate per prime le minacce con il maggior numero di avvisi attivi e risolti.
  • Riepilogo delle minacce: fornisce l'impatto complessivo di tutte le minacce rilevate mostrando il numero di minacce con avvisi attivi e risolti.

Selezionare una minaccia dal dashboard per visualizzare il report per tale minaccia.

Screenshot del dashboard di analisi delle minacce.

Dashboard di analisi delle minacce. Puoi anche fare clic sull'icona Cerca per trovare una parola chiave correlata al report di analisi delle minacce che vuoi leggere.

Visualizzare un report di analisi delle minacce

Ogni report di analisi delle minacce fornisce informazioni in diverse sezioni:

Panoramica: comprendere rapidamente la minaccia, valutarne l'impatto ed esaminare le difese

La sezione Panoramica offre un'anteprima del report dettagliato degli analisti. Fornisce inoltre grafici che evidenziano l'impatto della minaccia per l'organizzazione e l'esposizione tramite dispositivi non configurati correttamente e senzapatch.

Immagine della sezione panoramica di un report di analisi delle minacce.

Sezione Panoramica di un report di analisi delle minacce

Valutare l'impatto sull'organizzazione

Ogni report include grafici progettati per fornire informazioni sull'impatto organizzativo di una minaccia:

  • Eventi imprevisti correlati: offre una panoramica dell'impatto della minaccia rilevata per l'organizzazione con i dati seguenti:
    • Numero di avvisi attivi e numero di eventi imprevisti attivi a cui sono associati
    • Gravità degli eventi imprevisti attivi
  • Avvisi nel tempo: mostra il numero di avvisi attivi e risolti correlati nel tempo. Il numero di avvisi risolti indica la velocità con cui l'organizzazione risponde agli avvisi associati a una minaccia. Idealmente, il grafico dovrebbe mostrare gli avvisi risolti entro pochi giorni.
  • Asset influenzati: mostra il numero di dispositivi distinti e account di posta elettronica (cassette postali) che attualmente hanno almeno un avviso attivo associato alla minaccia rilevata. Gli avvisi vengono attivati per le cassette postali che hanno ricevuto messaggi di posta elettronica di minaccia. Esaminare i criteri a livello di organizzazione e utente per le sostituzioni che causano il recapito dei messaggi di posta elettronica di minaccia.
  • Tentativi di posta elettronica non consentiti: indica il numero di messaggi di posta elettronica degli ultimi sette giorni bloccati prima del recapito o recapitati nella cartella posta indesiderata.

Esaminare la resilienza e la postura della sicurezza

Ogni report include grafici che forniscono una panoramica della resilienza dell'organizzazione rispetto a una determinata minaccia:

  • Stato configurazione sicura: indica il numero di dispositivi con impostazioni di sicurezza non configurate correttamente. Applicare le impostazioni di sicurezza consigliate per attenuare la minaccia. I dispositivi sono considerati sicuri se hanno applicato tutte le impostazioni rilevate.
  • Stato patch vulnerabilità: mostra il numero di dispositivi vulnerabili. Applicare aggiornamenti della sicurezza o patch per risolvere le vulnerabilità sfruttate dalla minaccia.

Visualizzare report per tag di minaccia

È possibile filtrare l'elenco dei report delle minacce e visualizzare i report più rilevanti in base a un tag specifico (categoria) o a un tipo di report.

  • Tag per le minacce: consente di visualizzare i report più rilevanti in base a una categoria di minacce specifica. Ad esempio, tutti i report relativi al ransomware.
  • Tipi di report: consente di visualizzare i report più rilevanti in base a un tipo di report specifico. Ad esempio, tutti i report che coprono strumenti e tecniche.
  • Filtri: consente di esaminare in modo efficiente l'elenco dei report delle minacce e filtrare la visualizzazione in base a un tag o a un tipo di report specifico. Ad esempio, esaminare tutti i report sulle minacce correlati alla categoria ransomware o i report sulle minacce che coprono le vulnerabilità.
Come funziona

Il team di Microsoft Threat Intelligence ha aggiunto tag di minaccia a ogni rapporto sulle minacce:

  • Sono ora disponibili quattro tag per le minacce:

    • Ransomware
    • Phishing
    • Vulnerabilità
    • Gruppo attività
  • I tag delle minacce vengono presentati nella parte superiore della pagina di analisi delle minacce, con contatori per il numero di report disponibili in ogni tag.

    tag di minaccia.

  • L'elenco può anche essere ordinato in base ai tag delle minacce:

    elenchi.

  • I filtri sono disponibili per ogni tag di minaccia e tipo di report:

    filtri.

Report degli analisti: ottenere informazioni approfondite dai ricercatori di sicurezza Microsoft

Nella sezione Report analista leggere la descrizione dettagliata dell'esperto. La maggior parte dei report fornisce descrizioni dettagliate delle catene di attacco, tra cui tattiche e tecniche mappate al framework MITRE ATT&CK, elenchi esaustivi di suggerimenti e una guida potente alla ricerca di minacce.

Ulteriori informazioni sul report degli analisti

La scheda Eventi imprevisti correlati fornisce l'elenco di tutti gli eventi imprevisti correlati alla minaccia rilevata. È possibile assegnare eventi imprevisti o gestire gli avvisi collegati a ogni evento imprevisto.

Immagine della sezione relativa agli eventi imprevisti di un report di analisi delle minacce.

Sezione Eventi imprevisti correlati di un report di analisi delle minacce

Asset influenzati: ottenere l'elenco dei dispositivi e delle cassette postali influenzati

Un asset viene considerato interessato se è interessato da un avviso attivo e non risolto. Nella scheda Asset influenzati sono elencati i seguenti tipi di asset influenzati:

  • Dispositivi influenzati: endpoint con avvisi di Microsoft Defender for Endpoint irrisolti. Questi avvisi vengono in genere generati da avvistamenti di indicatori di minaccia e attività noti.
  • Cassette postali influenzate: cassette postali che hanno ricevuto messaggi di posta elettronica che hanno attivato Microsoft Defender per Office 365 avvisi. Sebbene la maggior parte dei messaggi che attivano avvisi sia in genere bloccata, i criteri a livello di utente o di organizzazione possono ignorare i filtri.

Immagine della sezione relativa alle risorse influenzate di un report di analisi delle minacce.

Sezione Asset influenzati di un report di analisi delle minacce

Tentativi di posta elettronica non consentiti: visualizzare i messaggi di posta elettronica di minacce bloccate o indesiderate

Microsoft Defender per Office 365 in genere blocca i messaggi di posta elettronica con indicatori di minaccia noti, inclusi collegamenti o allegati dannosi. In alcuni casi, i meccanismi di filtro proattivi che controllano la presenza di contenuti sospetti invieranno invece messaggi di posta elettronica di minacce alla cartella posta indesiderata. In entrambi i casi, le probabilità che la minaccia che avvia il codice malware sul dispositivo sia ridotta.

Nella scheda Tentativi di posta elettronica non consentiti sono elencati tutti i messaggi di posta elettronica che sono stati bloccati prima del recapito o inviati alla cartella posta indesiderata da Microsoft Defender per Office 365.

Immagine della sezione tentativi di posta elettronica non consentiti di un report di analisi delle minacce.

Sezione Tentativi di posta elettronica non consentiti di un report di analisi delle minacce

Mitigazioni: esaminare l'elenco delle mitigazioni e lo stato dei dispositivi

Nella sezione Mitigazioni esaminare l'elenco di suggerimenti specifici che consentono di aumentare la resilienza dell'organizzazione contro la minaccia. L'elenco delle mitigazioni rilevate include:

  • Aggiornamenti della sicurezza: distribuzione degli aggiornamenti della sicurezza software supportati per le vulnerabilità riscontrate nei dispositivi onboarded
  • Configurazioni di sicurezza supportate
    • Protezione fornita dal cloud
    • Protezione delle applicazioni potenzialmente indesiderate
    • Protezione in tempo reale

Le informazioni di mitigazione contenute in questa sezione incorporano i dati di gestione di minacce e vulnerabilità, che forniscono inoltre informazioni dettagliate di drill-down da vari collegamenti nel report.

Immagine della sezione mitigazioni di un report di analisi delle minacce che mostra i dettagli della configurazione sicura.

Immagine della sezione mitigazioni di un report di analisi delle minacce che mostra i dettagli della vulnerabilità.

Sezione Mitigazioni di un report di analisi delle minacce

Ulteriori dettagli e limitazioni del report

Nota

Come parte dell'esperienza di sicurezza unificata, l'analisi delle minacce è ora disponibile non solo per Microsoft Defender for Endpoint, ma anche per Microsoft Defender per i titolari di licenze Office E5.

Se non si usa il portale di sicurezza di Microsoft 365 (Microsoft 365 Defender), è anche possibile visualizzare i dettagli del report (senza i dati di Microsoft Defender per Office) nel portale di Microsoft Defender Security Center (Microsoft Defender per endpoint).

Per accedere al report di analisi delle minacce sono necessari determinati ruoli e autorizzazioni. Per informazioni dettagliate, vedere Custom roles in role-based access control for Microsoft 365 Defender.

  • Per visualizzare gli avvisi, gli eventi imprevisti o i dati degli asset a impatto, devi disporre delle autorizzazioni per Microsoft Defender per Office o i dati degli avvisi di Microsoft Defender per endpoint o entrambi.
  • Per visualizzare i tentativi di posta elettronica non consentiti, è necessario disporre delle autorizzazioni per Microsoft Defender per Office dati di ricerca.
  • Per visualizzare le mitigazioni, devi disporre delle autorizzazioni per gestione di minacce e vulnerabilità dati in Microsoft Defender per Endpoint.

Quando si esaminano i dati di analisi delle minacce, tenere presente i fattori seguenti:

  • I grafici riflettono solo le mitigazioni rilevate. Controllare la panoramica del report per ulteriori mitigazioni che non vengono visualizzate nei grafici.
  • Le mitigazioni non garantiscono resilienza completa. Le mitigazioni fornite riflettono le migliori azioni possibili necessarie per migliorare la resilienza.
  • I dispositivi vengono conteggiati come "non disponibili" se non hanno trasmesso dati al servizio.
  • Le statistiche relative all'antivirus si basano sulle Antivirus Microsoft Defender predefinite. I dispositivi con soluzioni antivirus di terze parti possono essere visualizzati come "esposti".