Eventi imprevisti e avvisi nel portale di Microsoft Defender
Il portale Microsoft Defender riunisce un set unificato di servizi di sicurezza per ridurre l'esposizione alle minacce alla sicurezza, migliorare il comportamento di sicurezza dell'organizzazione, rilevare le minacce alla sicurezza e analizzare e rispondere alle violazioni. Questi servizi raccolgono e producono segnali visualizzati nel portale. I due tipi principali di segnali sono:
Avvisi: segnali risultanti da varie attività di rilevamento delle minacce. Questi segnali indicano l'occorrenza di eventi dannosi o sospetti nell'ambiente.
Eventi imprevisti: contenitori che includono raccolte di avvisi correlati e raccontano la storia completa di un attacco. Gli avvisi in un singolo evento imprevisto potrebbero provenire da tutte le soluzioni di sicurezza e conformità Microsoft, nonché da un numero elevato di soluzioni esterne raccolte tramite Microsoft Sentinel e Microsoft Defender per il cloud.
Eventi imprevisti per correlazione e indagine
Anche se è possibile analizzare e attenuare le minacce che i singoli avvisi portano alla tua attenzione, queste minacce sono di per sé eventi isolati che non indicano nulla su una storia di attacco più ampia e complessa. È possibile cercare, ricercare, analizzare e correlare gruppi di avvisi che appartengono a una singola storia di attacco, ma questo ti costerà molto tempo, impegno ed energia.
Al contrario, i motori e gli algoritmi di correlazione nel portale di Microsoft Defender aggregano e correlano automaticamente gli avvisi correlati per formare eventi imprevisti che rappresentano queste storie di attacco più grandi. Defender identifica più segnali come appartenenti alla stessa storia di attacco, usando l'intelligenza artificiale per monitorare continuamente le origini di telemetria e aggiungere altre prove agli eventi imprevisti già aperti. Gli eventi imprevisti contengono tutti gli avvisi considerati correlati tra loro e alla storia complessiva dell'attacco e presentano la storia in varie forme:
- Sequenze temporali degli avvisi e degli eventi non elaborati su cui si basano
- Elenco delle tattiche usate
- Elenchi di tutti gli utenti coinvolti e interessati, i dispositivi e altre risorse
- Rappresentazione visiva del modo in cui tutti i giocatori della storia interagiscono
- Log dei processi di analisi e risposta automatici che Defender XDR avviati e completati
- Raccolte di prove che supportano la storia dell'attacco: account utente e informazioni e indirizzo dei dispositivi degli attori non validi, file e processi dannosi, informazioni sulle minacce pertinenti e così via
- Riepilogo testuale della storia dell'attacco
Gli eventi imprevisti offrono anche un framework per la gestione e la documentazione delle indagini e della risposta alle minacce. Per altre informazioni sulle funzionalità degli eventi imprevisti a questo proposito, vedere Gestire gli eventi imprevisti in Microsoft Defender.
Origini degli avvisi e rilevamento delle minacce
Gli avvisi nel portale Microsoft Defender provengono da molte origini. Queste origini includono molti servizi che fanno parte di Microsoft Defender XDR, nonché altri servizi con diversi gradi di integrazione con il portale di Microsoft Defender.
Ad esempio, quando Microsoft Sentinel viene eseguito l'onboarding nel portale di Microsoft Defender, il motore di correlazione nel portale di Defender ha accesso a tutti i dati non elaborati inseriti da Microsoft Sentinel, disponibili nelle tabelle di ricerca avanzate di Defender.
Microsoft Defender XDR crea anche avvisi. le funzionalità di correlazione univoche di Defender XDR offrono un altro livello di analisi dei dati e rilevamento delle minacce per tutte le soluzioni non Microsoft nel digital estate. Questi rilevamenti producono avvisi Defender XDR, oltre agli avvisi già forniti dalle regole di analisi di Microsoft Sentinel.
All'interno di ognuna di queste origini sono presenti uno o più meccanismi di rilevamento delle minacce che generano avvisi in base alle regole definite in ogni meccanismo.
Ad esempio, Microsoft Sentinel dispone di almeno quattro motori diversi che producono diversi tipi di avvisi, ognuno con le proprie regole.
Strumenti e metodi per l'indagine e la risposta
Il portale di Microsoft Defender include strumenti e metodi per automatizzare o fornire assistenza nella valutazione, nell'analisi e nella risoluzione degli eventi imprevisti. Questi strumenti sono presentati nella tabella seguente:
| Strumento/metodo | Descrizione |
|---|---|
| Gestire e analizzare gli eventi imprevisti | Assicurarsi di assegnare priorità agli eventi imprevisti in base alla gravità e quindi di analizzarli. Usare la ricerca avanzata per cercare le minacce e superare le minacce emergenti con l'analisi delle minacce. |
| Analizzare e risolvere automaticamente gli avvisi | Se abilitata, Microsoft Defender XDR può analizzare e risolvere automaticamente gli avvisi provenienti da origini di Microsoft 365 e Entra ID tramite automazione e intelligenza artificiale. |
| Configurare le azioni di interruzione automatica degli attacchi | Usare segnali ad alta attendibilità raccolti da Microsoft Defender XDR e Microsoft Sentinel per interrompere automaticamente gli attacchi attivi alla velocità della macchina, contenente la minaccia e limitando l'impatto. |
| Configurare le regole di automazione Microsoft Sentinel | Usare le regole di automazione per automatizzare la valutazione, l'assegnazione e la gestione degli eventi imprevisti, indipendentemente dall'origine. Aiutare l'efficienza del team ancora di più configurando le regole per applicare tag agli eventi imprevisti in base al contenuto, eliminare gli eventi imprevisti rumorosi (falsi positivi) e chiudere gli eventi imprevisti risolti che soddisfano i criteri appropriati, specificando un motivo e aggiungendo commenti. |
| Caccia proattiva con ricerca avanzata | Usare Linguaggio di query Kusto (KQL) per esaminare in modo proattivo gli eventi nella rete eseguendo query sui log raccolti nel portale di Defender. La ricerca avanzata supporta una modalità guidata per gli utenti che cercano la comodità di un generatore di query. |
| Sfruttare l'intelligenza artificiale con Microsoft Copilot per la sicurezza | Aggiungere l'intelligenza artificiale per supportare gli analisti con flussi di lavoro giornalieri complessi e dispendiosi in termini di tempo. Ad esempio, Microsoft Copilot per la sicurezza può essere utile per l'analisi e la risposta end-to-end degli eventi imprevisti, fornendo storie di attacco chiaramente descritte, linee guida dettagliate e attività di correzione degli eventi imprevisti riepilogate, ricerca KQL in linguaggio naturale e analisi del codice esperto, ottimizzazione dell'efficienza soc tra i dati di tutte le origini. Questa funzionalità si aggiunge alle altre funzionalità basate sull'intelligenza artificiale che Microsoft Sentinel porta alla piattaforma unificata, nelle aree dell'analisi del comportamento degli utenti e delle entità, del rilevamento delle anomalie, del rilevamento delle minacce in più fasi e altro ancora. |
Elementi correlati
Per altre informazioni sulla correlazione degli avvisi e sull'unione di eventi imprevisti nel portale di Defender, vedere Avvisi, eventi imprevisti e correlazione in Microsoft Defender XDR