Esplorare l'analisi delle minacce in Microsoft 365

  • 9 minuti

L'analisi delle minacce è la soluzione di intelligence sulle minacce nel prodotto di Microsoft. Il team di esperti di ricercatori di sicurezza di Microsoft lo ha progettato per aiutare i team di sicurezza a essere il più efficiente possibile, affrontando al tempo tempo debito le minacce emergenti, ad esempio:

  • Attori di minaccia attivi e relative campagne
  • Tecniche di attacco popolari e nuove
  • Vulnerabilità critiche
  • Le superfici di attacco comuni
  • I malware prevalenti

Le minacce a impatto elevato hanno il massimo potenziale di causare danni. Le minacce a esposizione elevata sono quelle a cui le risorse sono più vulnerabili. Ottenere visibilità sulle campagne attive o in corso e sapere come procedere grazie all'analisi delle minacce può aiutare il team delle operazioni di sicurezza a prendere decisioni informate.

Con il sopraggiungere di avversari più sofisticati e di nuove minacce che emergono più di frequente e in modo diffuso, è fondamentale essere in grado di:

  • Identificare e reagire alle minacce emergenti.
  • Scoprire se si è attualmente sotto attacco.
  • Valutare l'effetto della minaccia sulle risorse.
  • Esaminare la resilienza o l'esposizione alle minacce.
  • Identificare le azioni di prevenzione, ripristino o mitigazione che è possibile intraprendere per arrestare o contenere le minacce.

I report di Analisi delle minacce forniscono l'analisi di una minaccia rilevata. Offrono anche indicazioni su come proteggersi da tale minaccia. Ciascun report incorpora i dati della rete che indicano se la minaccia è attiva e se sono presenti protezioni applicabili.

Visualizzazione aggiuntiva. Selezionare il collegamento seguente per watch un breve video su come l'analisi delle minacce può aiutare a tenere traccia delle minacce più recenti e arrestarle: Microsoft Defender XDR Threat Analytics.

Visualizzare il dashboard di analisi delle minacce

È possibile accedere al dashboard analisi delle minacce dal riquadro di spostamento nel portale di Microsoft Defender.

Screenshot del portale di Microsoft 365 Defender con le opzioni di accesso di Analisi delle minacce evidenziate.

Il dashboard di analisi delle minacce evidenzia i report più rilevanti per l'organizzazione. Riepiloga le minacce nelle sezioni seguenti:

  • Minacce più recenti. Elenca i rapporti sulle minacce pubblicati o aggiornati più di recente, insieme al numero di avvisi attivi e risolti.
  • Minacce a impatto elevato. Elenca le minacce che esercitano l'effetto maggiore sull'organizzazione. Questa sezione elenca prima le minacce con il maggior numero di avvisi attivi e risolti.
  • Minacce di esposizione più elevate. Elenca per prime le minacce con i livelli di esposizione più elevati. Il sistema calcola il livello di esposizione di una minaccia usando due informazioni:
    • Gravità delle vulnerabilità associate alla minaccia.
    • Numero di dispositivi nell'organizzazione che un utente malintenzionato può sfruttare usando tali vulnerabilità.

Selezionare una minaccia dal dashboard per visualizzare il report relativo. È anche possibile selezionare il campo Cerca per immettere una parola chiave correlata al report di analisi delle minacce che si vuole visualizzare.

Visualizzare un report di analisi delle minacce

Ogni report di analisi delle minacce fornisce informazioni suddivise su diverse schede:

  • Panoramica
  • Report di analisi
  • Eventi correlati
  • Risorse interessate
  • Tentativi di invio di messaggi posta elettronica impediti
  • Mitigazioni dell'esposizione &

Le sezioni seguenti esaminano ognuna di queste schede in modo più dettagliato.

Scheda Panoramica: per comprendere rapidamente la minaccia, valutarne l'impatto ed esaminare le difese

La scheda Panoramica dà un'anteprima del report dettagliato degli analisti. Fornisce anche i grafici che evidenziano:

  • L'impatto della minaccia sull'organizzazione.
  • L'esposizione a cui si è soggetti per via di dispositivi non configurati correttamente e senza patch.

Screenshot della sezione della panoramica del report di analisi delle minacce.

Ogni report include grafici progettati per fornire informazioni sull'impatto aziendale di una minaccia:

  • Incidenti correlati. Fornisce una panoramica dell'impatto della minaccia rilevata per l'organizzazione con i dati seguenti:
    • Numero di avvisi attivi e numero di incidenti a cui sono associati.
    • Gravità degli incidenti attivi.
  • Avvisi nel tempo. Mostra il numero di avvisi attivi e risolti correlati nel corso del tempo. Il numero di avvisi risolti indica la velocità con cui l'organizzazione risponde agli avvisi associati a una minaccia. Idealmente, il grafico dovrebbe mostrare gli avvisi risolti entro pochi giorni.
  • Risorse interessate. Mostra il numero di dispositivi distinti e di account di posta elettronica (cassette postali) con almeno un avviso attivo associato alla minaccia rilevata. Il sistema attiva avvisi per le cassette postali che hanno ricevuto messaggi di posta elettronica sulle minacce. Le organizzazioni devono esaminare i criteri a livello di organizzazione e di utente per gli override che causano il recapito di messaggi di posta elettronica di minaccia.
  • Tentativi di invio di messaggi posta elettronica impediti. Mostra il numero di messaggi di posta elettronica degli ultimi sette giorni che il sistema ha bloccato prima del recapito o recapitato alla cartella posta indesiderata.

Ciascun report include grafici che forniscono una panoramica della resilienza dell'organizzazione contro una determinata minaccia:

  • Stato di configurazione sicuro. Mostra il numero di dispositivi con impostazioni di sicurezza non configurate correttamente. Per mitigare la minaccia, le organizzazioni devono applicare le impostazioni di sicurezza consigliate. Il sistema considera i dispositivi sicuri se l'organizzazione ha applicato tutte le impostazioni rilevate.
  • Stato applicazione di patch per vulnerabilità. Mostra il numero di dispositivi vulnerabili. Le organizzazioni devono applicare gli aggiornamenti della sicurezza o le patch per risolvere le vulnerabilità sfruttate dalla minaccia.

È possibile filtrare l'elenco dei report sulle minacce e visualizzare i report più rilevanti in base a un tag delle minacce specifico (categoria) o a un tipo di report.

  • Tag di minaccia. Consente di visualizzare i report più rilevanti in base a una categoria di minaccia specifica. Ad esempio, tutti i report correlati al ransomware.
  • Tipi di report. Consente di visualizzare i report più rilevanti in base a un tipo di report specifico. Ad esempio, tutti i report che trattano strumenti e tecniche.
  • Filtri. Consente di esaminare in modo efficiente l'elenco dei report sulle minacce e di filtrare la visualizzazione in base a un tag delle minacce o a un tipo di report specifico. Ad esempio, esaminare tutti i report sulle minacce correlati alla categoria ransomware o i report sulle minacce che trattano di vulnerabilità.

Il team di Microsoft Threat Intelligence ha aggiunto tag di minaccia e altre informazioni chiave a ogni report sulle minacce:

  • Sono ora disponibili quattro tag delle minacce:
    • Ransomware
    • Phishing
    • Vulnerabilità
    • Gruppo di attività
  • Nella parte superiore della pagina Analisi delle minacce vengono visualizzati i tag delle minacce.
  • Sono disponibili contatori per il numero di report disponibili in ciascun tag.
  • È possibile ordinare l'elenco in base ai tag delle minacce.
  • I filtri sono disponibili per tipo di report e tag delle minacce.

Scheda Report degli analisti: fornisce informazioni dettagliate esperte dai ricercatori di sicurezza Microsoft

La scheda Report degli analisti include un'analisi esperta dettagliata sulla minaccia. La maggior parte dei report fornisce descrizioni dettagliate delle catene di attacco. Queste descrizioni includono:

  • Tattiche e tecniche mappate al framework MITRE ATT&CK.
  • Elenchi completi di raccomandazioni.
  • Potenti linee guida per la ricerca delle minacce.

Letture aggiuntive. Per altre informazioni, vedere Ulteriori informazioni sul report degli analisti.

La scheda Incidenti correlati fornisce l'elenco di tutti gli incidenti correlati alla minaccia rilevata. È possibile assegnare gli incidenti o gestire gli avvisi collegati a ogni incidente.

Screenshot della sezione relativa agli incidenti di un report di analisi delle minacce.

Scheda Risorse interessate: fornisce l'elenco dei dispositivi e delle cassette postali interessati

Quando un avviso attivo e non risolto influisce su un asset, il sistema considera l'asset "interessato". Nella scheda Asset interessati sono elencati i tipi di asset interessati seguenti:

  • Dispositivi. Endpoint che presentano avvisi non risolti di Microsoft Defender per endpoint. Questi avvisi in genere si attivano sugli indicatori di minaccia noti e sulle attività.
  • Cassette postali. Cassette postali che hanno ricevuto messaggi di posta elettronica che hanno attivato avvisi Microsoft Defender per Office 365. Mentre il sistema blocca in genere la maggior parte dei messaggi che attivano avvisi, i criteri a livello di utente o organizzazione possono sostituire i filtri.

Screenshot della sezione risorse interessate di un report di analisi delle minacce.

Scheda Tentativi di invio di messaggi posta elettronica impediti: visualizza i messaggi di posta elettronica di minaccia bloccati o inseriti nella posta indesiderata

Microsoft Defender per Office 365 blocca in genere i messaggi di posta elettronica con indicatori di minaccia noti, inclusi collegamenti o allegati dannosi. In alcuni casi, i meccanismi di filtro proattivo che controllano la presenza di contenuti sospetti inviano invece messaggi di posta elettronica delle minacce alla cartella posta indesiderata. Ogni caso riduce la probabilità che la minaccia avvii codice malware nel dispositivo.

La scheda Tentativi di posta indesiderata elenca tutti i messaggi di posta elettronica Microsoft Defender per Office 365 bloccati prima del recapito o inviati alla cartella posta indesiderata.

Screenshot della sezione dei tentativi di messaggi di posta elettronica impediti di un report di analisi delle minacce.

Scheda Esposizione e mitigazioni: esamina l'elenco delle mitigazioni e lo stato dei dispositivi

Nella sezione Esposizione e mitigazioni, un'organizzazione deve esaminare l'elenco di raccomandazioni specifiche di utilità pratica che possono contribuire ad aumentare la resilienza contro la minaccia. L'elenco delle mitigazioni rilevate include:

  • Aggiornamenti della sicurezza. Distribuzione degli aggiornamenti della sicurezza software supportati per le vulnerabilità rilevate nei dispositivi di cui è stato eseguito l'onboarding
  • Configurazioni di sicurezza supportate. Queste mitigazioni includono:
    • Protezione fornita dal cloud
    • Protezione da applicazioni potenzialmente indesiderate
    • Protezione in tempo reale

Le informazioni sulla mitigazione di questa scheda incorporano i dati provenienti da gestione di minacce e vulnerabilità. Questa funzionalità fornisce anche informazioni dettagliate sul drill-down dai vari collegamenti nel report.

Screenshot della sezione di mitigazione che mostra i dettagli della configurazione sicura.

Screenshot della sezione di mitigazione che mostra i dettagli della vulnerabilità.