Informazioni sugli avvisi di sicurezza
Microsoft Defender per identità avvisi di sicurezza spiegano in un linguaggio chiaro e nella grafica quali attività sospette sono state identificate nella rete e gli attori e i computer coinvolti nelle minacce. Gli avvisi vengono classificati in base alla gravità, codificati in base al colore per facilitarne il filtro visivo e organizzati in base alla fase di minaccia. Ogni avviso è progettato per consentire di comprendere rapidamente esattamente cosa accade nella rete. Gli elenchi di prove di avviso contengono collegamenti diretti agli utenti e ai computer coinvolti, per rendere le indagini facili e dirette.
In questo articolo si apprenderà la struttura degli avvisi di sicurezza di Defender per identità e come usarli.
- Struttura degli avvisi di sicurezza
- Classificazioni degli avvisi di sicurezza
- Categorie di avvisi di sicurezza
- Analisi degli avvisi di sicurezza avanzata
- Entità correlate
- Defender per identità e NNR (risoluzione dei nomi di rete)
Struttura degli avvisi di sicurezza
Ogni avviso di sicurezza di Defender per identità include una storia di avviso. Si tratta della catena di eventi correlati a questo avviso in ordine cronologico e di altre informazioni importanti correlate all'avviso.
Nella pagina dell'avviso è possibile:
Gestire l'avviso : modificare lo stato, l'assegnazione e la classificazione dell'avviso. È anche possibile aggiungere un commento qui.
Esportazione : scaricare un report dettagliato di Excel per l'analisi
Collegare un avviso a un altro evento imprevisto : collegare un avviso a un nuovo evento imprevisto esistente
Per altre informazioni sugli avvisi, vedere Analizzare gli avvisi in Microsoft Defender XDR.
Classificazioni degli avvisi di sicurezza
Dopo un'indagine appropriata, tutti gli avvisi di sicurezza di Defender per identità possono essere classificati come uno dei tipi di attività seguenti:
Vero positivo (TP):azione dannosa rilevata da Defender per identità.
Vero positivo (B-TP) benigno: azione rilevata da Defender per identità reale, ma non dannosa, ad esempio un test di penetrazione o un'attività nota generata da un'applicazione approvata.
Falso positivo (FP): falso allarme, ovvero l'attività non è stata eseguita.
L'avviso di sicurezza è un TP, B-TP o FP
Per ogni avviso, porre le domande seguenti per determinare la classificazione degli avvisi e decidere come procedere:
- Quanto è comune questo avviso di sicurezza specifico nell'ambiente?
- L'avviso è stato attivato dagli stessi tipi di computer o utenti? Ad esempio, i server con lo stesso ruolo o gli utenti dello stesso gruppo/reparto? Se i computer o gli utenti erano simili, è possibile decidere di escluderlo per evitare ulteriori avvisi FP futuri.
Nota
Un aumento degli avvisi esattamente dello stesso tipo riduce in genere il livello sospetto/importanza dell'avviso. Per gli avvisi ripetuti, verificare le configurazioni e usare i dettagli e le definizioni degli avvisi di sicurezza per comprendere esattamente cosa accade che attivano le ripetizioni.
Categorie di avvisi di sicurezza
Gli avvisi di sicurezza di Defender per identità sono suddivisi nelle categorie o nelle fasi seguenti, come le fasi descritte in una tipica kill chain di attacchi informatici. Altre informazioni su ogni fase e sugli avvisi progettati per rilevare ogni attacco, usando i collegamenti seguenti:
- Avvisi di ricognizione
- Avvisi delle credenziali compromesse
- Avvisi di spostamento laterale
- Avvisi di dominanza del dominio
- Avvisi di esfiltrazione
Analisi avanzata degli avvisi di sicurezza
Per ottenere altri dettagli su un avviso di sicurezza, selezionare Esporta in una pagina dei dettagli dell'avviso per scaricare il report dettagliato degli avvisi di Excel.
Il file scaricato include i dettagli di riepilogo sull'avviso nella prima scheda, tra cui:
- Titolo
- Descrizione
- Ora di inizio (UTC)
- Ora di fine (UTC)
- Gravità- Bassa/Media/Alta
- Stato : aperto/chiuso
- Ora di aggiornamento stato (UTC)
- Visualizzazione nel browser
Tutte le entità coinvolte, inclusi account, computer e risorse, sono elencate, separate dal loro ruolo. I dettagli vengono forniti per l'origine, la destinazione o l'entità attaccata, a seconda dell'avviso.
La maggior parte delle schede include i dati seguenti per ogni entità:
Nome
Dettagli
Tipo
SamName
Computer di origine
Utente di origine (se disponibile)
Controller di dominio
Risorsa accessibile: Ora, Computer, Nome, Dettagli, Tipo, Servizio.
Entità correlate: ID, Type, Name, Unique Entity Json, Unique Entity Profile Json
Tutte le attività non elaborate acquisite da Defender per i sensori di identità correlate all'avviso (attività di rete o eventi), tra cui:
- Attività di rete
- Attività evento
Alcuni avvisi includono schede aggiuntive, ad esempio dettagli su:
- Account attaccati quando il sospetto attacco ha usato la forza bruta.
- I server DNS (Domain Name System) quando il sospetto attacco ha coinvolto la ricognizione di mapping di rete (DNS).
Ad esempio:
Entità correlate
In ogni avviso, l'ultima scheda fornisce le entità correlate. Le entità correlate sono tutte entità coinvolte in un'attività sospetta, senza la separazione del "ruolo" svolto nell'avviso. Ogni entità ha due file Json, il Json dell'entità univoca e il Json del profilo di entità univoco. Usare questi due file Json per altre informazioni sull'entità e per analizzare l'avviso.
File Json dell'entità univoca
Include i dati di Defender per identità appresi da Active Directory sull'account. Sono inclusi tutti gli attributi, ad esempio Distinguished Name, SID, LockoutTime e PasswordExpiryTime. Per gli account utente, include dati quali Department, Mail e PhoneNumber. Per gli account computer, include dati quali OperatingSystem, IsDomainController e DnsName.
File Json del profilo di entità univoco
Include tutti i dati di Defender per identità profilati nell'entità. Defender per identità usa le attività di rete e di evento acquisite per conoscere gli utenti e i computer dell'ambiente. Defender per identità profili informazioni rilevanti per ogni entità. Queste informazioni contribuiscono alle funzionalità di identificazione delle minacce di Defender per identità.
Come è possibile usare le informazioni di Defender per identità in un'indagine?
Le indagini possono essere dettagliate in base alle esigenze. Ecco alcune idee su come analizzare l'uso dei dati forniti da Defender per identità.
- Controllare se tutti gli utenti correlati appartengono allo stesso gruppo o reparto.
- Gli utenti correlati condividono risorse, applicazioni o computer?
- Un account è attivo anche se passwordExpiryTime è già passato?
Defender per identità e NNR (risoluzione dei nomi di rete)
Le funzionalità di rilevamento di Defender per identità si basano sulla risoluzione attiva dei nomi di rete (NNR) per risolvere gli indirizzi IP nei computer dell'organizzazione. Usando NNR, Defender for Identity è in grado di correlare le attività non elaborate (contenenti indirizzi IP) e i computer pertinenti coinvolti in ogni attività. In base alle attività non elaborate, Defender per identità profila le entità, inclusi i computer, e genera avvisi.
I dati NNR sono fondamentali per rilevare gli avvisi seguenti:
- Sospetto furto di identità (pass-the-ticket)
- Sospetto attacco DCSync (replica dei servizi directory)
- Ricognizione mapping di rete (DNS)
Usare le informazioni NNR fornite nella scheda Attività di rete del report di download degli avvisi per determinare se un avviso è un FP. Nei casi di un avviso FP , è comune avere il risultato della certezza NNR dato con bassa confidenza.
Scaricare i dati del report viene visualizzato in due colonne:
Computer di origine/destinazione
- Certezza : la certezza a bassa risoluzione può indicare una risoluzione dei nomi errata.
Computer di origine/destinazione
- Metodo di risoluzione : fornisce i metodi NNR usati per risolvere l'IP nel computer dell'organizzazione.
Per altre informazioni su come usare gli avvisi di sicurezza di Defender per identità, vedere Uso degli avvisi di sicurezza.