Tenere traccia e rispondere alle minacce emergenti con analisi delle minacceTrack and respond to emerging threats with threat analytics

Importante

Benvenuto in Microsoft Defender per endpoint, il nuovo nome per Microsoft Defender Advanced Threat Protection.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Leggi altre informazioni su questo e altri aggiornamenti qui.Read more about this and other updates here. Aggiorneremo i nomi nei prodotti e nei documenti in un prossimo futuro.We'll be updating names in products and in the docs in the near future.

Si applica a:Applies to:

Con gli avversari più sofisticati e le nuove minacce che emergono spesso e prevalentemente, è fondamentale essere in grado di eseguire rapidamente:With more sophisticated adversaries and new threats emerging frequently and prevalently, it's critical to be able to quickly:

  • Valutare l'impatto delle nuove minacceAssess the impact of new threats
  • Esaminare la resilienza o l'esposizione alle minacceReview your resilience against or exposure to the threats
  • Identificare le azioni che è possibile eseguire per interrompere o contenere le minacceIdentify the actions you can take to stop or contain the threats

Threat Analytics è un insieme di report provenienti da ricercatori di Microsoft Security esperti che coprono le minacce più rilevanti, tra cui:Threat analytics is a set of reports from expert Microsoft security researchers covering the most relevant threats, including:

  • Operatori di minacce attive e le relative campagneActive threat actors and their campaigns
  • Tecniche di attacco popolari e nuovePopular and new attack techniques
  • Vulnerabilità criticheCritical vulnerabilities
  • Superfici di attacco comuniCommon attack surfaces
  • Malware prevalentePrevalent malware

Ogni report fornisce un'analisi dettagliata di una minaccia e di indicazioni esaustive su come difendersi da tale minaccia.Each report provides a detailed analysis of a threat and extensive guidance on how to defend against that threat. Incorpora anche i dati della rete, indicando se la minaccia è attiva e se sono presenti protezioni applicabili.It also incorporates data from your network, indicating whether the threat is active and if you have applicable protections in place.

Guardare questo breve video per saperne di più sul modo in cui Threat Analytics può aiutarti a tenere traccia delle minacce più recenti e di fermarle.Watch this short video to learn more about how threat analytics can help you track the latest threats and stop them.

Visualizzare il dashboard di analisi delle minacceView the threat analytics dashboard

Il dashboard di analisi delle minacce è un ottimo punto di partenza per ottenere i report più rilevanti per l'organizzazione.The threat analytics dashboard is a great jump off point for getting to the reports that are most relevant to your organization. Vengono riepilogate le minacce nelle sezioni seguenti:It summarizes the threats in the following sections:

  • Ultime minacce: elenca i report di minacce pubblicati più di recente, insieme al numero di dispositivi con avvisi attivi e risolti.Latest threats—lists the most recently published threat reports, along with the number of devices with active and resolved alerts.
  • Minacce ad alto impatto: elenca le minacce che hanno avuto un impatto maggiore sull'organizzazione.High-impact threats—lists the threats that have had the highest impact to the organization. In questa sezione vengono classificate le minacce per il numero di dispositivi con avvisi attivi.This section ranks threats by the number of devices that have active alerts.
  • Riepilogodelle minacce: Mostra l'impatto complessivo delle minacce rilevate mostrando il numero di minacce con avvisi attivi e risolti.Threat summary—shows the overall impact of tracked threats by showing the number of threats with active and resolved alerts.

Selezionare una minaccia dal dashboard per visualizzare il report relativo a tale minaccia.Select a threat from the dashboard to view the report for that threat.

Immagine di un dashboard di analisi delle minacce

Visualizzare un report di analisi delle minacceView a threat analytics report

Ogni report di analisi delle minacce fornisce informazioni in tre sezioni: Panoramica, rapporto analistie attenuazioni.Each threat analytics report provides information in three sections: Overview, Analyst report, and Mitigations.

Panoramica: capire rapidamente la minaccia, valutarne l'impatto e rivedere le difeseOverview: Quickly understand the threat, assess its impact, and review defenses

La sezione Panoramica offre un'anteprima del report dettagliato degli analisti.The Overview section provides a preview of the detailed analyst report. Offre anche grafici che evidenziano l'impatto della minaccia per l'organizzazione e l'esposizione tramite dispositivi non configurati e non inviati.It also provides charts that highlight the impact of the threat to your organization and your exposure through misconfigured and unpatched devices.

Immagine della sezione Panoramica di una sezione Panoramica del report di analisi delle minacce di un report di analisi delle minacceImage of the overview section of a threat analytics report](images/ta-overview.png) Overview section of a threat analytics report

Valutare l'impatto dell'organizzazioneAssess the impact to your organization

Ogni report include grafici progettati per ottenere informazioni sull'impatto aziendale di una minaccia:Each report includes charts designed to provide information about the organizational impact of a threat:

  • Dispositivi con avvisi: Mostra il numero corrente di dispositivi distinti che sono stati interessati dalla minaccia.Devices with alerts—shows the current number of distinct devices that have been impacted by the threat. Un dispositivo viene categorizzato come attivo se esiste almeno un avviso associato a tale minaccia e risolto se tutti gli avvisi associati alla minaccia sul dispositivo sono stati risolti.A device is categorized as Active if there is at least one alert associated with that threat and Resolved if all alerts associated with the threat on the device have been resolved.
  • Dispositivi con avvisi nel tempo: Mostra il numero di dispositivi distinti con avvisi attivi e risolti nel tempo.Devices with alerts over time—shows the number of distinct devices with Active and Resolved alerts over time. Il numero di avvisi risolti indica la velocità con cui l'organizzazione risponde agli avvisi associati a una minaccia.The number of resolved alerts indicates how quickly your organization responds to alerts associated with a threat. Idealmente, il grafico dovrebbe mostrare gli avvisi risolti in pochi giorni.Ideally, the chart should be showing alerts resolved within a few days.

Rivedere la resilienza e la postura di sicurezzaReview security resilience and posture

Ogni report include grafici che offrono una panoramica dell'aspetto resiliente dell'organizzazione rispetto a una determinata minaccia:Each report includes charts that provide an overview of how resilient your organization is against a given threat:

  • Stato della configurazione della sicurezza: Mostra il numero di dispositivi che hanno applicato le impostazioni di sicurezza consigliate che consentono di ridurre la minaccia.Security configuration status—shows the number of devices that have applied the recommended security settings that can help mitigate the threat. I dispositivi sono considerati sicuri se hanno applicato tutte le impostazioni rilevate.Devices are considered Secure if they have applied all the tracked settings.
  • Stato di correzione delle vulnerabilità: Mostra il numero di dispositivi con aggiornamenti della sicurezza applicati o patch che affrontano le vulnerabilità sfruttate dalla minaccia.Vulnerability patching status—shows the number of devices that have applied security updates or patches that address vulnerabilities exploited by the threat.

Report analisti: ottenere informazioni di esperti da Microsoft Security ricercatoriAnalyst report: Get expert insight from Microsoft security researchers

Passare alla sezione del report analista per leggere la procedura dettagliata di scrittura degli esperti.Go to the Analyst report section to read through the detailed expert write-up. La maggior parte dei report fornisce descrizioni dettagliate delle catene di attacchi, tra cui tattiche e tecniche mappate per l'ATT&Framework CK, elenchi esaustivi di raccomandazioni e una potente Guida alla caccia alle minacce .Most reports provide detailed descriptions of attack chains, including tactics and techniques mapped to the MITRE ATT&CK framework, exhaustive lists of recommendations, and powerful threat hunting guidance.

Leggi altre informazioni sul report analistiLearn more about the analyst report

Mitigazioni: rivedere l'elenco di mitigazioni e lo stato dei dispositiviMitigations: Review list of mitigations and the status of your devices

Nella sezione mitigazioni esaminare l'elenco di specifici suggerimenti per le azioni che consentono di aumentare la resilienza organizzativa in base alla minaccia.In the Mitigations section, review the list of specific actionable recommendations that can help you increase your organizational resilience against the threat. L'elenco delle attenuazioni rilevate include:The list of tracked mitigations includes:

  • Aggiornamenti della sicurezza: distribuzione di aggiornamenti della sicurezza o patch per le vulnerabilitàSecurity updates—deployment of security updates or patches for vulnerabilities
  • Impostazioni antivirus di Microsoft DefenderMicrosoft Defender Antivirus settings
    • Versione Intelligence di sicurezzaSecurity intelligence version
    • Protezione fornita dal cloudCloud-delivered protection
    • Applicazione potenzialmente indesiderata (area personalizzata) ProtectionPotentially unwanted application (PUA) protection
    • Protezione in tempo realeReal-time protection

Le informazioni di attenuazione in questa sezione incorporano i dati della gestione delle minacce e delle vulnerabilità, che forniscono anche informazioni dettagliate sui drill-down da diversi collegamenti nel report.Mitigation information in this section incorporates data from threat and vulnerability management, which also provides detailed drill-down information from various links in the report.

Immagine della sezione mitigazioni di una sezione di prevenzione dei report di analisi delle minacce di un report di analisi delle minacceImage of the mitigations section of a threat analytics report](images/ta-mitigations.png) Mitigations section of a threat analytics report

Dettagli e limitazioni aggiuntive per il reportAdditional report details and limitations

Quando si usano i report, tieni presente quanto segue:When using the reports, keep the following in mind:

  • L'ambito dei dati è basato sull'ambito del controllo di accesso basato sui ruoli (RBAC).Data is scoped based on your role-based access control (RBAC) scope. Verrà visualizzato lo stato dei dispositivi in gruppi a cui è possibile accedere.You will see the status of devices in groups that you can access.
  • I grafici riflettono solo i rimedi che vengono rilevati.Charts reflect only mitigations that are tracked. Controllare la panoramica del report per evitare ulteriori attenuazioni che non sono visualizzate nei grafici.Check the report overview for additional mitigations that are not shown in the charts.
  • Le attenuazioni non garantiscono la resilienza completa.Mitigations don't guarantee complete resilience. Le attenuazioni fornite riflettono le migliori azioni possibili necessarie per migliorare la resilienza.The provided mitigations reflect the best possible actions needed to improve resiliency.
  • I dispositivi vengono conteggiati come "non disponibili" se non hanno trasmesso dati al servizio.Devices are counted as "unavailable" if they have not transmitted data to the service.
  • Le statistiche correlate agli antivirus si basano sulle impostazioni antivirus di Microsoft Defender.Antivirus-related statistics are based on Microsoft Defender Antivirus settings. I dispositivi con soluzioni antivirus di terze parti possono essere visualizzati come "esposti".Devices with third-party antivirus solutions can appear as "exposed".

Argomenti correlatiRelated topics