Avvisi di sicurezza e incidenti
Questo articolo descrive gli avvisi di sicurezza e le notifiche in Microsoft Defender per il cloud.
Informazioni sugli avvisi di sicurezza
Gli avvisi di sicurezza sono le notifiche generate dai piani di protezione del carico di lavoro di Defender per il cloud quando le minacce vengono identificate negli ambienti Azure, ibridi o multicloud.
- Gli avvisi di sicurezza vengono attivati da rilevamenti avanzati disponibili quando si abilitano i piani di Defender per tipi di risorse specifici.
- Ogni avviso fornisce informazioni dettagliate su risorse, problemi e passaggi di correzione interessati.
- Defender per il cloud classifica gli avvisi e li ordina in base alla gravità.
- Gli avvisi vengono visualizzati nel portale per 90 giorni, anche se la risorsa correlata all'avviso è stata eliminata durante tale periodo. Ciò è dovuto al fatto che l'avviso potrebbe indicare una potenziale violazione all'organizzazione che deve essere ulteriormente analizzata.
- Gli avvisi possono essere esportati in formato CSV.
- Gli avvisi possono anche essere trasmessi direttamente a una soluzione SIEM (Security Information and Event Management), ad esempio Microsoft Sentinel, Security Orchestration Automated Response (SOAR) o IT Service Management (ITSM).
- Defender per il cloud sfrutta MITRE Attack Matrix per associare gli avvisi alla finalità percepita, consentendo di formalizzare le conoscenze del dominio di sicurezza.
Classificazione degli avvisi
Agli avvisi è assegnato un livello di gravità per definire la priorità su come partecipare a ogni avviso. La gravità si basa su:
- Trigger specifico
- Il livello di fiducia che dietro l'attività che ha portato alla segnalazione ci sia un intento malevolo
| Gravità | Risposta consigliata |
|---|---|
| Alto | esiste una forte probabilità che la risorsa sia compromessa. È consigliabile controllarla immediatamente. Defender per il cloud ha una certezza elevata sia delle finalità dannose che delle conclusioni usate per inviare l'avviso. ad esempio un avviso che rileva l'esecuzione di uno strumento dannoso noto, come Mimikatz, uno strumento comune usato per il furto di credenziali. |
| Medium | Si tratta di una probabile attività sospetta che può indicare la compromissione di una risorsa. L'attendibilità di Defender per il cloud nell'analisi o nell'individuazione è media e l'attendibilità con cui si ritiene che vi sia un intento dannoso è da media ad alta. Si tratta in genere di rilevamenti basati su machine learning o anomalie, ad esempio un tentativo di accesso da una posizione insolita. |
| Basso | potrebbe trattarsi di un falso positivo o di un attacco bloccato. Defender per il cloud non può stabilire con sufficiente certezza che l'intento sia dannoso e l'attività potrebbe essere innocua. Ad esempio, log clear è un'azione che può verificarsi quando un utente malintenzionato tenta di nascondere le proprie tracce, ma in molti casi è un'operazione di routine eseguita dagli amministratori. Defender per il cloud non segnala in genere quando gli attacchi sono stati bloccati, a meno che non si tratti di un caso interessante che è consigliabile esaminare. |
| Informativo | Un evento imprevisto è in genere costituito da più avvisi, alcuni dei quali sono di per sé semplicemente informativi, ma nel contesto degli altri avvisi possono richiedere un'analisi più approfondita. |
Che cosa sono gli eventi imprevisti di sicurezza?
Un evento imprevisto di sicurezza è una raccolta di avvisi correlati.
Gli eventi imprevisti offrono una singola visualizzazione di un attacco e dei relativi avvisi, in modo da permettere di comprendere rapidamente le azioni eseguite da un utente malintenzionato e le risorse interessate.
Con l'aumento della copertura delle minacce, cresce anche la necessità di rilevare anche la più piccola compromissione. È difficile per gli analisti della sicurezza valutare diversi avvisi e identificare un attacco effettivo. Correlando gli avvisi e i segnali a bassa fedeltà agli incidenti di sicurezza, Defender per il cloud aiuta gli analisti a far fronte al sovraccarico degli avvisi.
Nel cloud, gli attacchi possono verificarsi in tenant diversi; Defender per il cloud può combinare algoritmi di intelligenza artificiale per analizzare le sequenze di attacco segnalate in ogni sottoscrizione di Azure. Questa tecnica identifica le sequenze di attacco come modelli di allarme prevalenti, invece di solo incidentalmente associati tra loro.
Durante un'indagine su un evento imprevisto, gli analisti spesso necessitano di un contesto aggiuntivo per raggiungere un verdetto sulla natura della minaccia e su come attenuarla. Ad esempio, anche quando viene rilevata un'anomalia di rete, senza capire cos'altro sta accadendo nella rete o per quanto riguarda la risorsa di destinazione, è difficile comprendere quali azioni eseguire successivamente. Per semplificare, un evento imprevisto di sicurezza può includere elementi, eventi correlati e informazioni. Le informazioni aggiuntive disponibili per gli eventi imprevisti di sicurezza variano a seconda del tipo di minaccia rilevata e della configurazione dell'ambiente.
Correlare gli avvisi in eventi imprevisti
Defender for Cloud mette in correlazione avvisi e segnali contestuali in eventi imprevisti.
- La correlazione esamina i diversi segnali tra le risorse e combina le conoscenze sulla sicurezza e l'intelligenza artificiale per analizzare gli avvisi, individuando nuovi modelli di attacco a mano a mano che si verificano.
- Utilizzando le informazioni raccolte per ogni fase di un attacco, Defender per il cloud può anche escludere attività che sembrano fasi di un attacco, ma in realtà non lo sono.
Suggerimento
Nel riferimento agli eventi imprevisti esaminare l'elenco degli eventi imprevisti che possono essere generati dalla correlazione degli eventi imprevisti.
In che modo Defender per il cloud rileva le minacce?
Per rilevare minacce reali e ridurre i falsi positivi, Defender per il cloud monitora le risorse, raccoglie e analizza i dati per le minacce, spesso correlando i dati da più origini.
Iniziative Microsoft
Microsoft Defender per il cloud si avvale di team dedicati alle ricerche sulla sicurezza e all'analisi scientifica dei dati in Microsoft che monitorano costantemente le modifiche che avvengono nel panorama delle minacce. Sono incluse le iniziative seguenti:
Specialisti della sicurezza Microsoft: in contatto costante con i team Microsoft che operano in ambiti di sicurezza specializzati, ad esempio analisi scientifiche e rilevamento di attacchi Web.
Ricerca sulla sicurezza Microsoft: i nostri ricercatori sono costantemente alla ricerca delle minacce. Hanno accesso a un ampio set di dati di telemetria acquisiti grazie alla presenza globale di Microsoft nei sistemi cloud e locali. Questa raccolta di set di dati di vasta portata e diversificata consente di individuare nuovi modelli e tendenze di attacco nei propri prodotti consumer e aziendali locali, nonché nei servizi online. Di conseguenza, Defender per il cloud può aggiornare rapidamente gli algoritmi di rilevamento a fronte del rilascio di exploit nuovi e sofisticati da parte di utenti malintenzionati. Questo approccio consente di tenere il passo con un ambiente caratterizzato da minacce in rapida evoluzione.
Monitoraggio dell'intelligence per le minacce: questo tipo di intelligence include meccanismi, indicatori, implicazioni e consigli utili sulle minacce esistenti o emergenti. Queste informazioni sono condivise nella community sulla sicurezza e Microsoft monitora costantemente i feed di intelligence per le minacce da origini interne ed esterne.
Condivisione dei segnali: le informazioni dettagliate dei team di sicurezza nell'ampio portfolio di servizi cloud e locali, server e dispositivi endpoint client di Microsoft vengono condivise e analizzate.
Ottimizzazione del rilevamento: gli algoritmi vengono eseguiti su set di dati reali del cliente e ricercatori dedicati alla sicurezza collaborano con i clienti per convalidare i risultati. Per perfezionare gli algoritmi di Machine Learning vengono usati veri e falsi positivi.
Questi sforzi combinati convergono in rilevamenti nuovi e migliorati, da cui è possibile trarre vantaggio immediatamente, senza che sia richiesta alcuna azione.
Analisi sicurezza
Defender per il cloud si avvale di analisi della sicurezza avanzate, che vanno ben oltre gli approcci basati sulle firme. I progressi tecnologici in ambito Big Data e Machine Learning vengono sfruttati per valutare gli eventi nell'intera l'infrastruttura cloud, rilevando minacce che sarebbe impossibile identificare con approcci manuali e stimando l'evoluzione degli attacchi. Queste analisi della sicurezza includono:
Intelligence per le minacce integrata
Microsoft vanta un'enorme quantità di dati di intelligence per le minacce globali. Il flusso di dati di telemetria proviene da più origini, come Azure, Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC). I ricercatori ricevono anche informazioni di intelligence per le minacce condivise tra i principali provider di servizi cloud e i feed di terze parti. Microsoft Defender per il cloud usa queste informazioni per avvisare gli utenti nel caso di minacce provenienti da attori dannosi noti.
Analisi comportamentale
L'analisi del comportamento è una tecnica che analizza e confronta i dati con una raccolta di modelli noti. Tuttavia, questi modelli non sono semplici firme. Sono determinati usando algoritmi di Machine Learning complessi applicati a set di dati di grandi dimensioni. Sono anche definiti tramite l'attento esame di comportamenti dannosi da parte di analisti esperti. Microsoft Defender per il cloud può usare le analisi del comportamento per identificare le risorse compromesse in base all'analisi dei log delle macchine virtuali, dei dispositivi di rete virtuale, dell'infrastruttura e di altre origini.
Rilevamento anomalie
Defender per il cloud usa inoltre il rilevamento anomalie per identificare le minacce. A differenza dell'analisi del comportamento, che dipende da modelli noti derivati da set di dati di grandi dimensioni, il rilevamento anomalie è più "personalizzato" e incentrato sulle baseline specifiche delle distribuzioni. Le tecniche di apprendimento automatico vengono applicate per determinare la normale attività per le distribuzioni dei clienti e quindi vengono generate regole per definire le condizioni degli outlier che possono rappresentare un evento di sicurezza.
Esportare gli avvisi
Sono disponibili diverse opzioni per visualizzare gli avvisi all'esterno di Defender per il cloud, tra cui:
- Scaricare un report CSV nel dashboard degli avvisi fornisce un'esportazione monouso in CSV.
- L'esportazione continua dalle impostazioni dell'ambiente consente di configurare flussi di avvisi di sicurezza e consigli per le aree di lavoro Log Analytics e Hub eventi. Altre informazioni.
- Il connettore di Microsoft Sentinel trasmette gli avvisi di sicurezza da Microsoft Defender per il cloud a Microsoft Sentinel. Altre informazioni.
Informazioni sullo streaming degli avvisi in una soluzione SIEM, SOAR o IT Service Management e su come esportare continuamente i dati.
Passaggi successivi
In questo articolo sono stati illustrati i diversi tipi di avvisi disponibili in Defender per il cloud. Per altre informazioni, vedi:
- Avvisi di sicurezza nel log attività di Azure: oltre a essere disponibili nel portale di Azure o a livello di codice, gli avvisi di sicurezza e gli eventi imprevisti vengono controllati come eventi nel log attività di Azure
- Tabella di riferimento degli avvisi di Defender per il cloud
- Rispondere agli avvisi di sicurezza
- Informazioni su come gestire gli eventi imprevisti di sicurezza in Defender per il cloud.