Condividi tramite


Analisi e risposta alle minacce

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Le funzionalità di analisi delle minacce e risposta in Microsoft Defender per Office 365 consentono agli analisti e agli amministratori della sicurezza di proteggere gli utenti aziendali di Microsoft 365 per le aziende dell'organizzazione:

  • Semplificare l'identificazione, il monitoraggio e la comprensione degli attacchi informatici.
  • Assistenza per affrontare rapidamente le minacce in Exchange Online, SharePoint Online, OneDrive for Business e Microsoft Teams.
  • Fornire informazioni dettagliate e conoscenze per aiutare le operazioni di sicurezza a prevenire attacchi informatici contro l'organizzazione.
  • Uso di analisi e risposta automatizzate in Office 365 per le minacce critiche basate sulla posta elettronica.

Le funzionalità di analisi delle minacce e risposta forniscono informazioni dettagliate sulle minacce e sulle azioni di risposta correlate disponibili nel portale di Microsoft Defender. Queste informazioni dettagliate possono aiutare il team di sicurezza dell'organizzazione a proteggere gli utenti da attacchi basati su posta elettronica o file. Le funzionalità consentono di monitorare i segnali e raccogliere dati da più origini, ad esempio attività utente, autenticazione, posta elettronica, PC compromessi e eventi imprevisti di sicurezza. I decision maker aziendali e il team operativo per la sicurezza possono usare queste informazioni per comprendere e rispondere alle minacce contro l'organizzazione e proteggere la proprietà intellettuale.

Acquisire familiarità con gli strumenti di analisi e risposta alle minacce

Le funzionalità di analisi delle minacce e risposta nel portale https://security.microsoft.com di Microsoft Defender in sono un set di strumenti e flussi di lavoro di risposta che includono:

Explorer

Usare Explorer (e i rilevamenti in tempo reale) per analizzare le minacce, visualizzare il volume degli attacchi nel tempo e analizzare i dati in base alle famiglie di minacce, all'infrastruttura degli utenti malintenzionati e altro ancora. Explorer (noto anche come Esplora minacce) è il punto di partenza per il flusso di lavoro di analisi di qualsiasi analista della sicurezza.

Pagina Esplora minacce

Per visualizzare e usare questo report nel portale di Microsoft Defender in https://security.microsoft.com, passare a Email & Collaboration>Explorer. In alternativa, per passare direttamente alla pagina Esplora risorse, usare https://security.microsoft.com/threatexplorer.

Office 365 connessione di Intelligence per le minacce

Questa funzionalità è disponibile solo se si dispone di una sottoscrizione attiva Office 365 E5 o G5 o Microsoft 365 E5 o G5 o del componente aggiuntivo Threat Intelligence. Per altre informazioni, vedere la pagina del prodotto Office 365 Enterprise E5.

I dati di Microsoft Defender per Office 365 vengono incorporati in Microsoft Defender XDR per condurre un'analisi completa della sicurezza tra cassette postali Office 365 e dispositivi Windows.

Eventi imprevisti

Usare l'elenco Eventi imprevisti (denominato anche Indagini) per visualizzare un elenco di eventi imprevisti di sicurezza in anteprima. Gli eventi imprevisti vengono usati per tenere traccia delle minacce, ad esempio i messaggi di posta elettronica sospetti, e per condurre ulteriori indagini e correzioni.

Elenco degli eventi imprevisti delle minacce correnti in Office 365

Per visualizzare l'elenco degli eventi imprevisti correnti per l'organizzazione nel portale di Microsoft Defender all'indirizzo https://security.microsoft.com, passare a Eventi imprevisti & avvisieventi imprevisti>. In alternativa, per passare direttamente alla pagina Eventi imprevisti , usare https://security.microsoft.com/incidents.

Formazione sulla simulazione degli attacchi

Usare Formazione con simulazione degli attacchi per configurare ed eseguire attacchi informatici realistici nell'organizzazione e identificare le persone vulnerabili prima che un vero attacco informatico influisca sull'azienda. Per altre informazioni, vedere Simulare un attacco di phishing.

Per visualizzare e usare questa funzionalità nel portale di Microsoft Defender in https://security.microsoft.com, passare a Email & collaborazione>Formazione con simulazione degli attacchi. In alternativa, per passare direttamente alla pagina Formazione con simulazione degli attacchi, usare https://security.microsoft.com/attacksimulator?viewid=overview.

Indagine e reazione automatizzate

Usare le funzionalità di analisi e risposta automatizzate (AIR) per risparmiare tempo e impegno correlati a contenuti, dispositivi e persone a rischio a causa di minacce nell'organizzazione. I processi AIR possono iniziare ogni volta che vengono attivati determinati avvisi o quando vengono avviati dal team delle operazioni di sicurezza. Per altre informazioni, vedere analisi e risposta automatizzate in Office 365.

Widget di intelligence sulle minacce

Nell'ambito dell'offerta Microsoft Defender per Office 365 Piano 2, gli analisti della sicurezza possono esaminare i dettagli su una minaccia nota. Ciò è utile per determinare se sono disponibili ulteriori misure o passaggi preventivi che possono essere eseguiti per proteggere gli utenti.

Riquadro Tendenze di sicurezza che mostra informazioni sulle minacce recenti

Come si ottengono queste funzionalità?

Le funzionalità di analisi e risposta alle minacce di Microsoft 365 sono incluse in Microsoft Defender per Office 365 Piano 2, incluso in Enterprise E5 o come componente aggiuntivo per determinate sottoscrizioni. Per altre informazioni, vedere Defender per Office 365 foglio informativo piano 1 e piano 2.

Ruoli e autorizzazioni necessari

Microsoft Defender per Office 365 usa il controllo degli accessi in base al ruolo. Le autorizzazioni vengono assegnate tramite determinati ruoli in Microsoft Entra ID, nella interfaccia di amministrazione di Microsoft 365 o nel portale di Microsoft Defender.

Consiglio

Anche se alcuni ruoli, ad esempio l'amministratore della sicurezza, possono essere assegnati nel portale di Microsoft Defender, è consigliabile usare il interfaccia di amministrazione di Microsoft 365 o Microsoft Entra ID. Per informazioni su ruoli, gruppi di ruoli e autorizzazioni, vedere le risorse seguenti:

Attività Ruoli e autorizzazioni
Usare il dashboard Gestione delle vulnerabilità di Microsoft Defender

Visualizzare informazioni sulle minacce recenti o correnti
Uno dei seguenti:
  • Amministratore globale*
  • Amministratore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza

Questi ruoli possono essere assegnati in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com).
Usare Explorer (e i rilevamenti in tempo reale) per analizzare le minacce Uno dei seguenti:
  • Amministratore globale*
  • Amministratore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza

Questi ruoli possono essere assegnati in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com).
Visualizzare gli eventi imprevisti (detti anche indagini)

Aggiungere messaggi di posta elettronica a un evento imprevisto
Uno dei seguenti:
  • Amministratore globale*
  • Amministratore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza

Questi ruoli possono essere assegnati in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com).
Attivare azioni di posta elettronica in un evento imprevisto

Trovare ed eliminare messaggi di posta elettronica sospetti
Uno dei seguenti:
  • Amministratore globale*
  • Amministratore della sicurezza più il ruolo Ricerca ed eliminazione

I ruoli Amministratore* globale e Amministratore della sicurezza possono essere assegnati in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com).

Il ruolo Ricerca ed eliminazione deve essere assegnato nei ruoli di collaborazione Email & nel portale di Microsoft 36 Defender (https://security.microsoft.com).
Integrare Microsoft Defender per Office 365 piano 2 con Microsoft Defender per endpoint

Integrare Microsoft Defender per Office 365 piano 2 con un server SIEM
Il ruolo Amministratore* globale o Amministratore della sicurezza assegnato in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com).

--- più ---

Ruolo appropriato assegnato in applicazioni aggiuntive, ad esempio Microsoft Defender Security Center o il server SIEM.

Importante

* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Passaggi successivi