Introduzione

Le violazioni della sicurezza informatica sono una spesa enorme nel mondo di oggi basato su Internet. Di conseguenza, è importante che le organizzazioni investa nella prevenzione anziché semplicemente nel ripristino da una violazione della sicurezza. Spesso è costoso per le organizzazioni recuperare da una tipica violazione della sicurezza informatica. Il motivo è che la maggior parte delle organizzazioni raramente spende molto denaro per la preparazione agli attacchi. Piuttosto, spendono la maggior parte dei loro soldi per i costi di correzione DOPO l'attacco si è verificato. Questi costi derivano in genere da controversie legali, danni al marchio e persino dalla perdita di attività.

Uno degli aspetti dell'attuale panorama informatico è la sua scalabilità. La portata dei tentacoli di cyberthreat è diffusa in tutta l'organizzazione. Questa portata rende difficile l'assortire il pool completo e globale di informazioni. Rende inoltre difficile comprendere quali informazioni sono più rilevanti tra i disturbi.

Microsoft 365 ospita una delle reti più grandi del mondo. Gestisce anche il contenuto creato in milioni di dispositivi. In questo modo, Microsoft ha creato un vasto repository di dati di intelligence sulle minacce. Ha anche creato i sistemi necessari per individuare modelli che corrispondono a comportamenti di attacco e attività sospette.

Microsoft 365 Threat Intelligence è una raccolta di queste informazioni dettagliate che consentono di individuare ed eliminare in modo proattivo le minacce.

Che cos'è esattamente l'intelligence per le minacce? La definizione di Gartner è la seguente: l'intelligence sulle minacce è una conoscenza basata su prove, tra cui contesto, meccanismi, indicatori, implicazioni e consigli interattivi, su una minaccia o un rischio esistente o emergente per gli asset che possono informare le decisioni sulla risposta del soggetto a tale minaccia o pericolo.

In questo modulo vengono fornite informazioni su Microsoft Intelligent Security Graph. Questa funzionalità favorisce l'intelligence sulle minacce in Microsoft 365. Lo fa consumando miliardi di segnali ogni giorno attraverso la rete Microsoft 365. Questi segnali provengono da origini quali attività utente, autenticazione, posta elettronica, PC compromessi ed eventi imprevisti di sicurezza.

Si esaminerà quindi come Microsoft Defender XDR usa gli avvisi. Gli avvisi indicano l'occorrenza di eventi dannosi o sospetti nell'ambiente. Fanno in genere parte di un attacco più ampio e forniscono indicazioni su un evento imprevisto.

Il modulo esamina quindi in che modo gli avvisi sono il meccanismo di attivazione per le funzionalità air (Automated Investigation and Response) in Microsoft Defender XDR. AIR consente alle organizzazioni di eseguire processi di indagine automatizzati in risposta a minacce note attualmente esistenti. AIR può aiutare il team delle operazioni di sicurezza di un'organizzazione a operare in modo più efficiente ed efficace.

Il modulo si conclude con un'introduzione alla ricerca delle minacce. Esamina Microsoft Threat Protection e la ricerca avanzata in Microsoft Defender XDR. La ricerca delle minacce consente agli operatori della sicurezza di identificare le minacce alla sicurezza informatica. Ricerca avanzata in Microsoft Defender XDR controlla in modo proattivo gli eventi nella rete usando query basate su Kusto per individuare gli indicatori di minaccia e le entità.