Generare report di intelligence sulle minacce

  • 6 minuti

La valutazione e l'analisi degli avvisi di sicurezza possono richiedere tempo anche per gli analisti della sicurezza più esperti. Per molti, è difficile capire da dove iniziare.

Defender for Cloud usa l'analisi per connettere le informazioni tra avvisi di sicurezza diversi. Usando queste connessioni, Defender for Cloud può fornire un'unica vista di una campagna di attacco e degli avvisi correlati, per aiutare comprendere le azioni dell'utente malintenzionato e le risorse interessate.

Gli eventi imprevisti vengono visualizzati nella pagina Avvisi di sicurezza. Selezionare un evento imprevisto per visualizzare gli avvisi correlati e ottenere altre informazioni.

Nella pagina di panoramica di Defender for Cloud selezionare la tessera Avvisi di sicurezza. Qui sono elencati gli eventi imprevisti e gli avvisi. Si noti che gli eventi imprevisti per la sicurezza hanno un'icona diversa rispetto agli avvisi di sicurezza.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Per visualizzare i dettagli, selezionare un evento imprevisto. Nella pagina Evento imprevisto per la sicurezza vengono visualizzati altri dettagli.

Screenshot of Defender for Cloud Security Alert Incident details.

Il riquadro a sinistra della pagina Evento imprevisto per la sicurezza mostra le informazioni generali relative all'evento imprevisto per la sicurezza, come titolo, gravità, stato, orario dell'attività, descrizione e risorsa interessata. Accanto alla risorsa interessata è possibile visualizzare i tag di Azure pertinenti. Usare questi tag per dedurre il contesto organizzativo della risorsa quando si esamina l'avviso.

Il riquadro a destra include la scheda Avvisi con gli avvisi di sicurezza correlati all'evento imprevisto.

Per passare alla scheda Intervieni, selezionare la scheda o il pulsante nella parte inferiore del riquadro a destra. Usare questa scheda per eseguire altre azioni, ad esempio:

  • Mitiga la minaccia - fornisce la procedura di correzione manuale per l'evento imprevisto per la sicurezza

  • Evita attacchi futuri - fornisce raccomandazioni sulla sicurezza che consentono di ridurre la superficie di attacco, migliorare la postura di sicurezza e prevenire attacchi futuri

  • Attiva la risposta automatica - consente di attivare un'app per la logica in risposta all'evento imprevisto per la sicurezza

  • Elimina avvisi simili - consente di disattivare gli avvisi futuri con caratteristiche simili se l'avviso non è rilevante per l'organizzazione

Per correggere le minacce nell'evento imprevisto, seguire la procedura di correzione fornita con ogni avviso.

Generare report di intelligence sulle minacce

La protezione dalle minacce di Defender for Cloud si basa sul monitoraggio delle informazioni sulla sicurezza fornite dalle risorse di Azure, dalla rete e dalle soluzioni dei partner connesse. Per identificare le minacce, analizza queste informazioni, correlando spesso quelle raccolte da più origini.

Quando Defender for Cloud identifica una minaccia, attiva un avviso di sicurezza contenente informazioni dettagliate sull'evento, inclusi i suggerimenti per la correzione. Defender for Cloud fornisce report di intelligence sulle minacce contenenti informazioni sulle minacce rilevate per aiutare i team di risposta agli eventi imprevisti a esaminare e correggere le minacce. Il report include informazioni come le seguenti:

  • Identità o associazioni dell'utente malintenzionato, se queste informazioni sono disponibili

  • Obiettivi degli utenti malintenzionati

  • Campagne di attacco attuali e cronologiche, se queste informazioni sono disponibili

  • Tattiche, strumenti e procedure usate dagli utenti malintenzionati

  • Indicatori di compromissione (IoC) associati, ad esempio URL e hash file

  • Vittimologia, ovvero la diffusione geografica e nel settore utile per determinare se le risorse di Azure sono esposte a rischi

  • Informazioni sulla mitigazione dei rischi e correzione

Defender for Cloud rende disponibili tre tipi di report sulle minacce, che possono variare a seconda dell'attacco. I report disponibili sono:

  • Report sui gruppi di attività: fornisce approfondimenti sugli utenti malintenzionati e sui relativi obiettivi e strategie.

  • Report sulle campagne: si concentra sui dettagli di specifiche campagne di attacco.

  • Report di riepilogo delle minacce: tratta tutti gli elementi presenti nei due report precedenti.

Informazioni di questo tipo sono utili nel corso del processo di risposta agli eventi imprevisti, in cui viene effettuata un'analisi per identificare l'origine dell'attacco, le motivazioni dell'utente malintenzionato e le azioni da eseguire per mitigare il problema in futuro.

Per accedere al report di intelligence sulle minacce

Per generare il report:

Dalla barra laterale di Defender for Cloud aprire la pagina Avvisi di sicurezza.

Selezionare un avviso. Verrà visualizzata la pagina Dettagli dell'avviso con altri dettagli sull'avviso. Di seguito è illustrata la sezione relativa agli indicatori di ransomware rilevati nella pagina dei dettagli dell'avviso.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Selezionare il collegamento al report e verrà aperto un file PDF nel browser predefinito.