Informazioni sugli avvisi di sicurezza
In Microsoft Defender per il cloud sono disponibili vari avvisi per molti tipi di risorse diversi. Defender per il cloud genera avvisi per le risorse distribuite in Azure e anche per quelle distribuite in ambienti locali e di cloud ibrido. Gli avvisi di sicurezza vengono attivati da funzionalità di rilevamento avanzate e sono disponibili solo con Defender per il cloud.
Rispondere alle minacce odierne
Negli ultimi 20 anni sono state introdotte modifiche significative nel panorama delle minacce . In passato, le aziende dovevano in genere preoccuparsi solo della violazione del sito Web da parte di singoli utenti malintenzionati, interessati soprattutto a dar prova di sé. Oggi gli utenti malintenzionati sono molto più sofisticati e organizzati. Hanno spesso obiettivi finanziari e strategici specifici, inoltre hanno a disposizione più risorse, perché possono essere finanziati dagli stati o da organizzazioni criminali.
Queste nuove realtà hanno portato a un livello di professionalità senza precedenti nelle schiere di utenti malintenzionati. Non sono più interessati al danneggiamento del Web. Ora sono interessati al furto di informazioni, conti finanziari e dati privati, che possono usare per generare liquidità sul mercato aperto o per sfruttare una particolare posizione aziendale, politica o militare. Ancora più preoccupanti di quelli con un obiettivo finanziario sono gli utenti malintenzionati che violano le reti per danneggiare l'infrastruttura e le persone.
Per rispondere a questa situazione, le organizzazioni distribuiscono spesso varie soluzioni isolate per la difesa del perimetro o degli endpoint dell'organizzazione attraverso la ricerca delle firme di attacchi note. Queste soluzioni tendono a generare un numero elevato di avvisi con un basso livello di affidabilità, che richiedono l'intervento di un analista di sicurezza per la valutazione e l'analisi. La maggior parte delle organizzazioni non ha il tempo e le competenze che servono per rispondere a questi avvisi, quindi molti rimangono senza risposta.
Inoltre, gli utenti malintenzionati hanno cambiato i metodi di attacco, per compromettere molte difese basate sulle firme e adattarsi agli ambienti cloud. Per identificare le minacce emergenti più rapidamente e accelerare le operazioni di rilevamento e risposta, sono quindi necessari nuovi approcci.
Che cosa sono gli avvisi di sicurezza e gli eventi imprevisti della sicurezza?
Gli avvisi sono le notifiche generate da Defender for Cloud quando rileva le minacce nelle risorse. Defender per il cloud assegna le priorità ed elenca gli avvisi, insieme alle informazioni necessarie per analizzare rapidamente il problema. Defender per il cloud offre anche raccomandazioni per la risoluzione di un attacco.
Un evento imprevisto per la sicurezza è una raccolta di avvisi correlati, anziché un elenco di avvisi singoli. Defender per il cloud usa la correlazione degli avvisi cloud per correlare avvisi diversi e segnali con una bassa fedeltà agli eventi imprevisti di sicurezza.
Con gli eventi imprevisti, Defender per il cloud offre un'unica visualizzazione di una campagna di attacco e di tutti gli avvisi correlati. Questa visualizzazione consente di comprendere rapidamente le azioni intraprese dall'utente malintenzionato e le risorse interessate. Per altre informazioni, vedere Correlazione avvisi cloud.
In che modo Defender per il cloud rileva le minacce?
I ricercatori Microsoft nell'ambito della sicurezza sono costantemente impegnati nella ricerca delle minacce. Hanno accesso a un ampio set di dati di telemetria acquisiti grazie alla presenza globale di Microsoft nei sistemi cloud e locali. Questa raccolta di set di dati di vasta portata e diversificata consente di individuare nuovi modelli e tendenze di attacco nei propri prodotti consumer e aziendali locali, nonché nei servizi online. Di conseguenza, Defender per il cloud può aggiornare rapidamente gli algoritmi di rilevamento a fronte del rilascio di exploit nuovi e sofisticati da parte di utenti malintenzionati. Questo approccio consente di tenere il passo con un ambiente caratterizzato da minacce in rapida evoluzione.
Per rilevare minacce reali e ridurre i falsi positivi, Defender per il cloud raccoglie, analizza e integra i dati di log generati dalle risorse di Azure e dalla rete. Funziona anche con soluzioni partner connesse, ad esempio soluzioni di protezione endpoint e firewall. Per identificare le minacce, Defender per il cloud analizza queste informazioni, correlando spesso quelle raccolte da più origini.
Defender per il cloud si avvale di analisi della sicurezza avanzate, che vanno ben oltre gli approcci basati sulle firme. Le ultime innovazioni sul piano delle tecnologie per i Big Data e l'apprendimento automatico vengono usate per valutare gli eventi in tutta l'infrastruttura cloud, rilevando minacce impossibili da identificare con approcci manuali e prevedendo l'evoluzione degli attacchi. Queste analisi della sicurezza includono:
Intelligence integrata sulle minacce: Microsoft ha un'enorme quantità di intelligence sulle minacce globali. Il flusso di dati di telemetria proviene da più origini, come Azure, Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC). I ricercatori ricevono anche informazioni di intelligence sulle minacce condivise tra i principali provider di servizi cloud, nonché feed di terze parti. Defender per il cloud usa queste informazioni per avvisare gli utenti nel caso di minacce provenienti da attori dannosi noti.
Analisi comportamentale: l'analisi comportamentale è una tecnica che analizza e confronta i dati con una raccolta di modelli noti. Tuttavia, questi modelli non sono semplici firme. Sono determinati usando algoritmi di Machine Learning complessi che vengono applicati a set di dati di grandi dimensioni. Sono anche definiti tramite l'attento esame di comportamenti dannosi da parte di analisti esperti. Defender per il cloud può usare le analisi del comportamento per identificare le risorse compromesse in base all'analisi dei log delle macchine virtuali, dei dispositivi di rete virtuale, dell'infrastruttura e di altre origini.
Rilevamento anomalie: Defender per il cloud usa inoltre il rilevamento anomalie per identificare le minacce. A differenza dell'analisi del comportamento, che dipende da modelli noti derivati da set di dati di grandi dimensioni, il rilevamento anomalie è più "personalizzato" e incentrato sulle baseline specifiche delle distribuzioni. Vengono applicate tecniche di Machine Learning per determinare l'attività normale per le distribuzioni. Vengono quindi generate regole per definire le condizioni outlier che possono rappresentare un evento di sicurezza.
Classificazione degli avvisi
Defender per il cloud assegna una gravità agli avvisi, in modo da classificare in ordine di priorità l'urgenza dell'intervento, così che quando una risorsa viene compromessa sia possibile intervenire immediatamente. Il livello di gravità è basato sul grado di attendibilità di Defender per il cloud nell'individuazione o nell'analisi usata per generare l'avviso, nonché sul grado di attendibilità con cui si ritiene che vi sia un intento dannoso alla base dell'attività che ha generato l'avviso.
Alta: esiste una forte probabilità che la risorsa sia compromessa. È consigliabile controllarla immediatamente. Defender per il cloud ha una certezza elevata sia delle finalità dannose che delle conclusioni usate per inviare l'avviso. Un esempio è quando un avviso rileva l'esecuzione di uno strumento dannoso noto, come Mimikatz, uno strumento comune usato per il furto di credenziali.
Media: questo livello di gravità indica una probabile attività sospetta che può indicare la compromissione di una risorsa. L'attendibilità di Defender per il cloud nell'analisi o nell'individuazione è media e l'attendibilità con cui si ritiene che vi sia un intento dannoso è da media ad alta. Si tratta in genere di rilevamenti basati su anomalie o sull'apprendimento automatico, ad esempio un tentativo di accesso da una posizione anomala.
Bassa: questo livello di gravità indica che potrebbe trattarsi di un falso positivo o di un attacco bloccato.
Defender per il cloud non può stabilire con sufficiente certezza che l'intento sia dannoso e l'attività potrebbe essere innocua. La cancellazione del log è ad esempio un'azione che può verificarsi quando un utente malintenzionato cerca di nascondere le proprie tracce, ma in molti casi si tratta di un'operazione di routine eseguita dagli amministratori.
Defender per il cloud non segnala in genere quando gli attacchi sono stati bloccati, a meno che non si tratti di un caso interessante che è consigliabile esaminare.
Informativo: gli avvisi informativi vengono visualizzati solo quando si esegue il drill-down di un evento imprevisto per la sicurezza oppure se si usa l'API REST con un ID avviso specifico. Un evento imprevisto è in genere costituito da molti avvisi, alcuni dei quali sono di per sé semplicemente informativi, ma nel contesto degli altri avvisi possono richiedere un'analisi più approfondita.
Monitoraggio e valutazioni continui
Defender per il cloud si avvale di team dedicati alle ricerche sulla sicurezza e all'analisi scientifica dei dati in Microsoft che monitorano costantemente le modifiche che avvengono nel panorama delle minacce. Sono incluse le iniziative seguenti:
Monitoraggio dell'intelligence per le minacce: questo tipo di intelligence include meccanismi, indicatori, implicazioni e consigli utili sulle minacce esistenti o emergenti. Queste informazioni sono condivise nella community sulla sicurezza e Microsoft monitora costantemente i feed di intelligence per le minacce da origini interne ed esterne.
Condivisione dei segnali: le informazioni dettagliate dei team di sicurezza nell'ampio portfolio di servizi cloud e locali, server e dispositivi endpoint client di Microsoft vengono condivise e analizzate.
Specialisti della sicurezza Microsoft: in contatto costante con i team Microsoft che operano in ambiti di sicurezza specializzati, ad esempio analisi scientifiche e rilevamento di attacchi Web.
Ottimizzazione del rilevamento: gli algoritmi vengono eseguiti su set di dati reali del cliente e ricercatori dedicati alla sicurezza collaborano con i clienti per convalidare i risultati. Per perfezionare gli algoritmi di Machine Learning vengono usati veri e falsi positivi.
Informazioni sui tipi di avviso
L'elenco di riferimento corrente per gli avvisi contiene oltre 500 tipi di avvisi. L'elenco di riferimento è disponibile in: Guida di riferimento per gli avvisi di sicurezza
Ogni tipo di avviso ha una descrizione, una gravità e una tattica MITRE ATT&CK
Tattiche MITRE ATT&CK
Comprendere la finalità di un attacco può essere di aiuto per analizzare l'evento e segnalarlo con maggiore facilità. Per facilitare questi sforzi, gli avvisi di Defender per il cloud includono le tattiche MITRE con molti avvisi. La serie di passaggi che descrivono la progressione di un attacco informatico dalla ricognizione all'esfiltrazione dei dati è spesso definita "catena di attacco".
le finalità della kill chain supportate di Defender per il cloud si basano sulla versione 7 della matrice MITRE ATT&CK e descritte nella tabella seguente.
| Tattica | Descrizione |
|---|---|
| PreAttack | Il pre-attacco può essere un tentativo di accesso a una determinata risorsa, indipendentemente dall'intento dannoso, oppure un tentativo non riuscito di ottenere l'accesso a un sistema di destinazione per raccogliere informazioni prima dello sfruttamento. Questo passaggio viene in genere rilevato come tentativo, proveniente dall'esterno della rete, di analizzare il sistema di destinazione e identificare un punto di ingresso. |
| Accesso iniziale | Accesso iniziale è la fase in cui un utente malintenzionato riesce a ottenere un punto di appoggio nella risorsa attaccata. Questa fase interessa gli host di calcolo e le risorse come account utente, certificati e così via. Gli attori delle minacce spesso saranno in grado di controllare la risorsa dopo questa fase. |
| Persistenza | Per persistenza si intende qualsiasi accesso, azione o modifica alla configurazione in un sistema che fornisce all'attore di una minaccia una presenza permanente in tale sistema. Gli attori delle minacce spesso avranno bisogno di mantenere l'accesso ai sistemi tramite interruzioni come riavvii del sistema, perdita di credenziali o altri errori che richiederebbero uno strumento di accesso remoto per riavviare o fornire una backdoor alternativa per poter riottenere l'accesso. |
| Escalation dei privilegi | L'escalation dei privilegi è il risultato di azioni che consentono a un antagonista di ottenere un livello più elevato di autorizzazioni in un sistema o una rete. Alcuni strumenti o azioni richiedono un livello di privilegi più elevato per il funzionamento e probabilmente sono necessari in molti punti durante un'operazione. Gli account utente con autorizzazioni per accedere a sistemi specifici o eseguire funzioni specifiche necessarie per gli antagonisti per raggiungere il loro obiettivo possono anche essere considerati un'escalation dei privilegi. |
| Evasione delle difese | L'evasione delle difese è costituita da tecniche che un antagonista potrebbe usare per evadere il rilevamento o evitare altre difese. A volte queste azioni sono equivalenti alle tecniche (o sono una loro variante) in altre categorie che hanno il vantaggio aggiuntivo di compromettere una particolare difesa o mitigazione. |
| Accesso alle credenziali | L'accesso alle credenziali rappresenta tecniche che consentono di ottenere l'accesso o il controllo sulle credenziali del sistema, del dominio o del servizio usate in un ambiente aziendale. Gli antagonisti tenteranno probabilmente di ottenere le credenziali legittime da utenti o account amministratore (amministratore di sistema locale o utenti di dominio con accesso amministratore) da usare all'interno della rete. Con un accesso sufficiente all'interno di una rete, un antagonista può creare account per un uso successivo all'interno dell'ambiente. |
| Individuazione | L'individuazione è costituita da tecniche che consentono all'antagonista di ottenere informazioni sul sistema e sulla rete interna. Quando gli antagonisti ottengono l'accesso a un nuovo sistema, devono orientarsi in base a ciò su cui hanno attualmente il controllo e ai vantaggi che operando da tale sistema possono ottenere per i propri obiettivi correnti o per gli obiettivi globali durante le intrusioni. Il sistema operativo fornisce molti strumenti nativi che facilitano la fase di raccolta delle informazioni successiva alla compromissione. |
| Spostamento laterale | Lo spostamento laterale è costituito da tecniche che consentono a un antagonista di accedere e controllare sistemi remoti in una rete e potrebbe, ma non necessariamente, includere l'esecuzione di strumenti nei sistemi remoti. Le tecniche di spostamento laterale possono consentire a un antagonista di raccogliere informazioni da un sistema senza che siano necessari strumenti aggiuntivi, ad esempio uno strumento di accesso remoto. Un antagonista può usare lo spostamento laterale per molti scopi, tra cui l'esecuzione remota di strumenti, il passaggio ad altri sistemi, l'accesso a informazioni o file specifici, l'accesso ad altre credenziali o la generazione di un effetto. |
| Esecuzione | La tattica di esecuzione rappresenta tecniche che consentono l'esecuzione di codice controllato da un antagonista in un sistema locale o remoto. Questa tattica viene spesso usata con lo spostamento laterale per espandere l'accesso ai sistemi remoti in una rete. |
| Raccolta | La raccolta è costituita dalle tecniche usate per identificare e raccogliere informazioni, come file riservati, da una rete di destinazione prima dell'esfiltrazione. Questa categoria copre anche le posizioni in un sistema o una rete in cui l'antagonista può cercare informazioni per l'esfiltrazione. |
| Esfiltrazione | Per esfiltrazione si intendono le tecniche e gli attributi che consentono o contribuiscono alla rimozione di file e informazioni da una rete di destinazione da parte di un antagonista. Questa categoria copre anche le posizioni in un sistema o una rete in cui l'antagonista può cercare informazioni per l'esfiltrazione. |
| Comando e controllo | La tattica di comando e controllo rappresenta il modo in cui gli antagonisti comunicano con i sistemi sotto il proprio controllo entro una rete di destinazione. |
| Impatto | Gli eventi di impatto cercano principalmente di ridurre direttamente la disponibilità o l'integrità di un sistema, un servizio o una rete, inclusa la manipolazione dei dati per causare ripercussioni su un processo operativo o aziendale. Spesso si riferisce a tecniche quali ransomware, danneggiamento, manipolazione dei dati e così via. |