Analizzare il primo evento imprevisto in Microsoft Defender XDR

Si applica a:

• Microsoft Defender XDR

Comprendere il contesto che circonda gli eventi imprevisti è essenziale per l'analisi degli attacchi. La combinazione di esperienza ed esperienza con le funzionalità e le funzionalità di Microsoft Defender XDR garantisce una risoluzione più rapida degli eventi imprevisti e la sicurezza dell'organizzazione dagli attacchi informatici.

Le minacce odierne alla sicurezza dei dati - compromissione della posta elettronica aziendale ,malware come backdoor e ransomware, violazioni dell'organizzazione e attacchi stato-nazione – richiedono un'azione rapida, intelligente e decisa da parte dei risponditori di eventi imprevisti. Strumenti come Microsoft Defender XDR consentono ai team di risposta di rilevare, valutare e analizzare gli eventi imprevisti tramite l'esperienza a riquadro singolo e trovare le informazioni necessarie per prendere decisioni tempestive.

Attività di indagine

Le indagini prevedono in genere la visualizzazione di diverse app da parte dei risponditori e il controllo simultaneo di varie origini di intelligence sulle minacce. A volte le indagini vengono estese alla ricerca di altre minacce. Documentare fatti e soluzioni in un'indagine sugli attacchi è un'attività importante aggiuntiva che fornisce cronologia e contesto per l'uso di altri investigatori o per indagini successive. Queste attività di indagine sono semplificate quando si usa Microsoft Defender XDR tramite quanto segue:

• Pivoting : il portale aggrega informazioni di attacco importanti contestualizzate tra i carichi di lavoro di Defender abilitati nell'organizzazione. Il portale consolida tutte le informazioni nei componenti di un singolo attacco (file, URL, cassetta postale, un account utente o un dispositivo), mostrando le relazioni e la sequenza temporale delle attività. Con tutte le informazioni disponibili in una pagina, il portale consente ai risponditori di eventi imprevisti di passare attraverso entità ed eventi correlati per trovare le informazioni necessarie per prendere decisioni.

• Ricerca : i cacciatori di minacce possono trovare minacce note e possibili all'interno di un'organizzazione tramite la funzionalità di ricerca avanzata del portale tramite query Kusto. Se non si ha familiarita' con Kusto, usare la modalità guidata per cercare le minacce.

• Informazioni dettagliate : se applicabile, i risponditori di eventi imprevisti possono visualizzare le azioni per gli eventi rilevati in precedenza e gli avvisi per facilitare le indagini presenti. Altre informazioni dettagliate vengono inoltre aggiunte automaticamente agli eventi e agli avvisi tramite le attività di Intelligence sulle minacce di Microsoft e da origini come MITRE ATT&framework CK® e VirusTotal.

• Collaborazione : i team delle operazioni di sicurezza possono visualizzare le decisioni e le azioni di ogni membro del team in caso di eventi imprevisti e avvisi passati e presenti tramite funzionalità del portale come commenti, tag, contrassegni e assegnazioni. Un'ulteriore collaborazione con il servizio di rilevamento e risposta gestito di Microsoft tramite Defender Experts for XDR e Defender Experts for Hunting è disponibile anche quando un'organizzazione richiede una risposta aumentata.

Panoramica degli attacchi

La storia dell'attacco fornisce ai risponditori di eventi imprevisti una panoramica completa e contestualizzata di ciò che è accaduto in un attacco. I risponditori possono visualizzare tutti gli avvisi e gli eventi correlati, incluse le azioni di correzione automatizzate eseguite da Microsoft Defender XDR per mitigare un attacco.

Dalla storia dell'attacco, è possibile approfondire i dettagli di un attacco esplorando le schede disponibili nella pagina dell'evento imprevisto. È possibile correggere rapidamente gli attacchi comuni come phishing, password spray e compromissione di app dannose tramite playbook di risposta agli eventi imprevisti accessibili all'interno del portale. Questi playbook contengono indicazioni su rilevamento, risposta e mitigazione che supportano le indagini sugli eventi imprevisti.

Questo video su come analizzare un attacco in Microsoft Defender XDR e su come usare le funzionalità del portale nell'indagine illustra la storia dell'attacco e la pagina degli eventi imprevisti.

Analisi delle minacce

Le minacce complesse come attacchi antagonisti e ransomware richiedono spesso un'indagine manuale. Un risponditore di eventi imprevisti che affronta questi attacchi complessi cerca le informazioni cruciali seguenti:

• Presenza di malware o uso sospetto di strumenti e app
• Indizi su qualsiasi canale di comunicazione o punto di ingresso usato da qualsiasi entità dannosa o sospetta
• Indizi che indicano una possibile compromissione dell'identità
• Identificazione dell'impatto sui dati e sul comportamento di sicurezza dell'organizzazione

Le sezioni seguenti contengono esercitazioni e video delle funzionalità di Microsoft Defender XDR che consentono ai team di risposta agli eventi imprevisti di analizzare vari attacchi complessi.

Indagini ransomware

Ransomware continua ad essere una minaccia significativa per le organizzazioni. Microsoft dispone delle risorse seguenti per analizzare e rispondere agli attacchi ransomware:

• Guide: Dal rilevamento alla protezione: guida di Microsoft alla lotta contro gli attacchi ransomware
• Esercitazione: Playbook di indagine ransomware
• Video: Analisi degli attacchi ransomware in Microsoft Defender XDR (parte 1)
• Video: Analisi degli attacchi ransomware in Microsoft Defender XDR (parte 2)

Analisi degli attacchi basati sulla posta elettronica

L'identificazione e il rilevamento di identità modificate, create o rubate sono essenziali per analizzare gli attacchi di phishing e BEC. Usare le risorse seguenti durante l'analisi di questi attacchi:

• Esercitazione: Analizzare i messaggi di posta elettronica dannosi
• Esercitazione: Analizzare gli utenti
• Esercitazione: Analizzare un account utente
• Blog: Total Identity Compromise: Microsoft Incident Response lessons on securing Active Directory Identity compromise can also be investigate using Defender for Identity signals (Blog: Compromissione totale dell'identità: le lezioni di risposta agli eventi imprevisti di Microsoft sulla protezione della compromissione delle identità di Active Directory possono essere analizzate anche usando i segnali di Defender per identità).
• Esercitazione: Esempio di attacco tramite posta elettronica di phishing
• Esercitazione: Esempio di attacco basato su identità

I video seguenti illustrano come analizzare gli attacchi di phishing e BEC in Microsoft Defender XDR:

• Video: Analisi del phishing BEC e AiTM in Microsoft Defender XDR
• Video: Difesa da spearphishing e phishing con Defender per Office 365

Analizzare una compromissione dell'identità e sapere cosa è possibile fare per contenere un attacco tramite questo video:

• Analisi delle minacce alle identità tramite Defender per identità

Analisi del malware

Le informazioni e le funzionalità di un file dannoso sono fondamentali per analizzare il malware. Microsoft Defender XDR, nella maggior parte dei casi, può detonare il file per mostrare dati critici, tra cui hash, metadati, prevalenza all'interno dell'organizzazione e funzionalità di file basate su mitre ATT&tecniche CK®. In questo modo viene rimossa la necessità di eseguire il test black box o l'analisi statica dei file. È possibile visualizzare le informazioni sui file dal grafico degli eventi imprevisti oppure visualizzando un albero del processo di avviso, una sequenza temporale dell'artefatto o una sequenza temporale del dispositivo.

Le risorse seguenti forniscono informazioni dettagliate su come usare le funzionalità del portale nell'analisi dei file:

• Esercitazione: Analizzare i file
• Video: Analisi del malware in Microsoft Defender XDR

Analisi delle app rischiose e prevenzione delle minacce basate sul cloud

Gli attori malintenzionati possono sfruttare le app basate sul cloud. Le app possono perdere inavvertitamente informazioni sensibili a causa di abusi o usi impropri. I risponditori di eventi imprevisti che analizzano e proteggono le app negli ambienti cloud possono usare le risorse seguenti in cui Defender per app cloud viene distribuito nelle proprie organizzazioni:

• Esercitazione: Analizzare app dannose e compromesse
• Esercitazione: Analizzare le app OAuth rischiose
• Esercitazione: Proteggere le app cloud
• Esercitazione: Proteggere le app in tempo reale

Scopri come proteggere le app cloud in tempo reale con questo video del carico di lavoro Defender per app cloud:

• Video: Protezione di app cloud e file correlati tramite Defender per app cloud

Analisi delle violazioni

Gli attacchi stati-nazione, gli attacchi contro le infrastrutture critiche e le violazioni dell'organizzazione spesso richiedono a un utente malintenzionato di stabilire punti di comunicazione una volta che si trovano in una rete. I risponditori di eventi imprevisti cercano indizi identificando il traffico sospetto o gli scambi tra un'origine e una destinazione. Microsoft offre le esercitazioni seguenti per l'analisi dei componenti di comunicazione:

• Analizzare domini e URL
• Esaminare un indirizzo IP
• Esaminare gli eventi di connessione che si verificano dietro i proxy di inoltro
• Analizzare le attività sospette di utenti e dispositivi tramite Defender per identità
• Identificare e analizzare i percorsi di spostamento laterale in Defender per identità
• Analizzare i dispositivi nell'elenco dei dispositivi di Defender per endpoint

Gli utenti malintenzionati usano spesso le vulnerabilità per ottenere l'accesso a un'organizzazione. Alcuni attacchi ransomware sfruttano inizialmente vulnerabilità senza patch, ad esempio la vulnerabilità Log4Shell. Le risorse seguenti consentono ai risponditori di eventi imprevisti di identificare le vulnerabilità e i dispositivi vulnerabili nell'organizzazione tramite il servizio Defender per gestione delle vulnerabilità:

• Esercitazione: Identificare le vulnerabilità nell'organizzazione
• Esercitazione: Cercare i dispositivi esposti
• Esercitazione: Valutare il rischio dell'organizzazione tramite il punteggio di esposizione
• Video: Gestione delle minacce e delle vulnerabilità tramite Gestione vulnerabilità di Defender

Le violazioni si verificano anche attraverso vari dispositivi come telefoni e tablet che si connettono alla rete dell'organizzazione. I risponditori di eventi imprevisti possono analizzare ulteriormente questi dispositivi all'interno del portale. Il video seguente illustra le principali minacce dei dispositivi mobili e come è possibile esaminarle:

• Difesa dalle minacce per dispositivi mobili in Microsoft Defender XDR

Risorse per l'intelligence sulle minacce e la ricerca

Le funzionalità di intelligence sulle minacce predefinite di Microsoft Defender XDR e i team di risposta agli eventi imprevisti di ricerca aiutano a eseguire una protezione proattiva da minacce e attacchi emergenti. È possibile accedere direttamente alle informazioni più recenti sulle minacce e gli attacchi emergenti tramite l'analisi delle minacce del portale.

Usare l'intelligence in Analisi delle minacce per approfondire le nuove minacce con il video seguente:

Cercare in modo proattivo le minacce all'interno dell'organizzazione usando la funzionalità di ricerca avanzata predefinita del portale.

Le risorse seguenti forniscono altre informazioni su come usare la ricerca avanzata:

• Informazioni sul linguaggio di query Kusto
• Compilare query di ricerca usando la modalità guidata
• Cercare le minacce tra le entità

Estendere l'intelligence sulle minacce con le ultime ricerche sulla sicurezza e le modifiche dei team di ricerca sulla sicurezza Microsoft:

• Blog sulla sicurezza Microsoft
• Informazioni sull'attore di minacce Microsoft

Collaborare con gli esperti microsoft per la risposta agli eventi imprevisti e la ricerca delle minacce per migliorare le funzionalità dei team delle operazioni di sicurezza. Altre informazioni sui nostri esperti e su come coinvolgerli nelle risorse seguenti:

• Defender Experts per XDR
• Ricerca delle minacce con Defender Experts for Hunting

Passaggio successivo

• Correggere il primo evento imprevisto
• Esplorare le funzionalità del portale tramite demo video in Microsoft Defender XDR Virtual Ninja Training

Vedere anche

• Informazioni su eventi imprevisti
• Indagare sugli incidenti
• Esaminare gli avvisi
• Informazioni sulle funzionalità e le funzioni del portale tramite il training di Microsoft Defender XDR Ninja

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.