Funzionamento dell'indagine e della risposta automatizzate in Microsoft Defender per Office 365
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Quando vengono attivati gli avvisi di sicurezza, spetta al team operativo di sicurezza esaminarli e prendere provvedimenti per proteggere l'organizzazione. A volte, i team delle operazioni di sicurezza possono sentirsi sopraffatti dal volume di avvisi attivati. Le funzionalità di analisi e risposta automatizzate (AIR) in Microsoft Defender per Office 365 possono essere utili.
AIR consente al team delle operazioni di sicurezza di operare in modo più efficiente ed efficace. Le funzionalità AIR includono processi di indagine automatizzati in risposta a minacce note che esistono attualmente. Le azioni correttive appropriate attendono l'approvazione, consentendo al team delle operazioni di sicurezza di rispondere alle minacce rilevate.
Questo articolo descrive il funzionamento di AIR in diversi esempi. Quando si è pronti per iniziare a usare AIR, vedere Analizzare e rispondere automaticamente alle minacce.
- Esempio 1: un messaggio phish segnalato dall'utente avvia un playbook di indagine
- Esempio 2: Un amministratore della sicurezza attiva un'indagine da Esplora minacce
- Esempio 3: Un team addetto alle operazioni di sicurezza integra AIR con il proprio SIEM usando l'API Office 365 Management Activity
Esempio: un messaggio phish segnalato dall'utente avvia un playbook di indagine
Si supponga che un utente dell'organizzazione riceva un messaggio di posta elettronica che ritiene un tentativo di phishing. L'utente, sottoposto a training per segnalare tali messaggi, usa i componenti aggiuntivi Microsoft Report Message o Report Phishing per inviarli a Microsoft per l'analisi. L'invio viene inviato anche al sistema ed è visibile in Esplora risorse nella visualizzazione Invii (in precedenza definita visualizzazione segnalata dall'utente ). Inoltre, il messaggio segnalato dall'utente attiva ora un avviso informativo basato sul sistema, che avvia automaticamente il playbook di indagine.
Durante la fase di indagine radice, vengono valutati vari aspetti del messaggio di posta elettronica. Questi aspetti includono:
- Una determinazione sul tipo di minaccia che potrebbe essere;
- Chi l'ha inviato;
- Da dove è stato inviato il messaggio di posta elettronica (infrastruttura di invio);
- Indica se altre istanze del messaggio di posta elettronica sono state recapitate o bloccate;
- Una valutazione dei nostri analisti;
- Indica se il messaggio di posta elettronica è associato a campagne note;
- e altro ancora.
Al termine dell'analisi radice, il playbook fornisce un elenco di azioni consigliate da eseguire sul messaggio di posta elettronica originale e sulle entità associate, ad esempio file, URL e destinatari.
Vengono quindi eseguiti diversi passaggi di analisi e ricerca delle minacce:
- Messaggi di posta elettronica simili vengono identificati tramite ricerche nel cluster di posta elettronica.
- Il segnale viene condiviso con altre piattaforme, ad esempio Microsoft Defender per endpoint.
- Si determina se gli utenti hanno fatto clic su eventuali collegamenti dannosi in messaggi di posta elettronica sospetti.
- Viene eseguito un controllo tra Exchange Online Protection (EOP) e Microsoft Defender per Office 365 per verificare se sono presenti altri messaggi simili segnalati dagli utenti.
- Viene eseguito un controllo per verificare se un utente è stato compromesso. Questo controllo sfrutta i segnali in Office 365, Microsoft Defender for Cloud Apps e Microsoft Entra ID, correlando eventuali anomalie dell'attività utente correlate.
Durante la fase di ricerca, i rischi e le minacce vengono assegnati a vari passaggi di ricerca.
La correzione è la fase finale del playbook. Durante questa fase, vengono eseguiti passaggi di correzione, in base alle fasi di indagine e ricerca.
Esempio: un amministratore della sicurezza attiva un'indagine da Esplora minacce
Oltre alle indagini automatizzate attivate da un avviso, il team delle operazioni di sicurezza dell'organizzazione può attivare un'indagine automatizzata da una visualizzazione in Esplora minacce. Questa indagine crea anche un avviso, in modo che Microsoft Defender XDR eventi imprevisti e gli strumenti SIEM esterni possano vedere che l'indagine è stata attivata.
Si supponga, ad esempio, di usare la visualizzazione Malware in Explorer. Usando le schede sotto il grafico, si seleziona la scheda Email. Se si seleziona uno o più elementi nell'elenco, viene attivato il pulsante + Azioni.
Usando il menu Azioni , è possibile selezionare Analisi trigger.
Analogamente ai playbook attivati da un avviso, le indagini automatiche attivate da una visualizzazione in Explorer includono un'indagine radice, i passaggi per identificare e correlare le minacce e le azioni consigliate per mitigare tali minacce.
Esempio: un team addetto alle operazioni di sicurezza integra AIR con il proprio SIEM usando l'API Office 365 Management Activity
Le funzionalità AIR in Microsoft Defender per Office 365 includono report & dettagli che i team delle operazioni di sicurezza possono usare per monitorare e gestire le minacce. Ma è anche possibile integrare le funzionalità AIR con altre soluzioni. Gli esempi includono un sistema siem (Security Information and Event Management), un sistema di gestione dei casi o una soluzione di creazione di report personalizzata. Questi tipi di integrazioni possono essere eseguiti usando l'API attività di gestione Office 365.
Di recente, ad esempio, un'organizzazione ha configurato un modo per consentire al team delle operazioni di sicurezza di visualizzare gli avvisi phish segnalati dall'utente già elaborati da AIR. La soluzione integra gli avvisi pertinenti con il server SIEM dell'organizzazione e il sistema di gestione dei casi. La soluzione riduce notevolmente il numero di falsi positivi in modo che il team delle operazioni di sicurezza possa concentrare il proprio tempo e il proprio impegno sulle minacce reali. Per altre informazioni su questa soluzione personalizzata, vedere il blog tech community: Migliorare l'efficacia del soc con Microsoft Defender per Office 365 e l'API di gestione di O365.