Implementazione di Microsoft Defender Threat Intelligence per l'analisi delle minacce

Implementazione di Microsoft Defender Threat Intelligence per l'analisi delle minacce

01/06/2025

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'implementazione e nell'uso di Microsoft Defender Threat Intelligence (MDTI) per migliorare l'analisi delle minacce e il livello di sicurezza delle loro organizzazioni. In un panorama delle minacce informatiche sempre più sofisticato e in evoluzione, avere accesso a informazioni sulle minacce aggiornate e utilizzabili è fondamentale per rilevare, indagare e rispondere in modo efficace agli attacchi. MDTI fornisce un solido archivio di dati di intelligence sulle minacce, consentendo ai team di sicurezza di comprendere meglio gli avversari e le loro tattiche [1].

Introduzione

La Threat Intelligence (IT) è una conoscenza basata sull'evidenza, inclusi contesto, meccanismi, indicatori, implicazioni e consigli attuabili su una minaccia esistente o emergente, che può essere utilizzata per informare le decisioni di risposta agli incidenti. Senza un’efficace intelligence sulle minacce, i team di sicurezza operano in condizioni di svantaggio, reagendo agli attacchi anziché anticiparli e prevenirli. L'IT può aiutare a identificare gli indicatori di compromissione (IoC), comprendere le motivazioni degli aggressori e rafforzare in modo proattivo le difese [2].

Microsoft Defender Threat Intelligence (MDTI) è una piattaforma completa che consolida la vasta intelligence sulle minacce di Microsoft, raccolta da miliardi di segnali in tutto il mondo. Fornisce informazioni approfondite su avversari, infrastrutture dannose e vulnerabilità, consentendo ai professionisti della sicurezza di semplificare il triage, la risposta agli incidenti, la caccia alle minacce e la gestione delle vulnerabilità. MDTI si integra con altre soluzioni Microsoft Defender e Microsoft Sentinel, fornendo una visualizzazione unificata e funzionalità di automazione per un ecosistema di sicurezza più resiliente [3].

Questa guida pratica tratterà i prerequisiti, i concetti di intelligence sulle minacce, come utilizzare i portali e le API MDTI, come integrarsi con altre soluzioni Microsoft, come eseguire l'analisi delle minacce, interpretare gli indicatori di compromissione (IoC) e applicare le migliori pratiche. Verranno fornite istruzioni dettagliate, esempi pratici e spiegazioni concise in modo che il lettore possa implementare, testare e convalidare queste funzionalità. Inoltre, verranno discussi suggerimenti sulla sicurezza, controlli di conformità e migliori pratiche per garantire che l'intelligence sulle minacce venga utilizzata in modo autonomo, professionale e affidabile.

Perché Microsoft Defender Threat Intelligence è fondamentale per l'analisi delle minacce?

  • Visibilità completa sulle minacce: accesso a uno dei set di dati di intelligence sulle minacce più grandi al mondo, che copre un'ampia gamma di IoC, infrastrutture degli aggressori e campagne dannose.
  • Contesto approfondito: fornisce un ricco contesto sulle minacce, comprese informazioni sugli attori delle minacce, sulle tattiche, sulle tecniche e sulle procedure (TTP) e sulle vulnerabilità associate.
  • Integrazione con l'ecosistema Microsoft: integrazione nativa con Microsoft Defender XDR, Microsoft Sentinel e altre soluzioni, consentendo una risposta coordinata e automatizzata.
  • Risposta accelerata agli incidenti: aiuta i team di sicurezza a identificare rapidamente la causa principale degli incidenti, a dare priorità alle minacce e a implementare contromisure efficaci.
  • Caccia proattiva alle minacce: consente ai cacciatori di minacce di identificare attività dannose nei loro ambienti prima che causino danni significativi.
  • Gestione avanzata delle vulnerabilità: fornisce approfondimenti sulle vulnerabilità sfruttate dagli aggressori, consentendo alle organizzazioni di dare priorità alla risoluzione.

Prerequisiti

Per utilizzare Microsoft Defender Threat Intelligence, saranno necessari i seguenti elementi:

  1. Licenza Microsoft 365 E5 o Defender for Cloud: MDTI è incluso con alcune licenze Microsoft 365 E5 e come parte di Microsoft Defender for Cloud oppure può essere acquistato separatamente [4].
  2. Accesso al portale Microsoft Defender: un account con le autorizzazioni appropriate per accedere al portale Microsoft Defender (https://security.microsoft.com).
  3. Accesso al portale Threat Intelligence di Microsoft Defender: il portale dedicato per l'esplorazione dei dati MDTI (https://ti.defender.microsoft.com).
  4. Conoscenze di baseo Sicurezza informatica: familiarità con i concetti di minaccia, IoC e operazioni di sicurezza.

Passo dopo passo: implementazione e utilizzo di Microsoft Defender Threat Intelligence

Esploriamo il portale MDTI, cerchiamo IoC e integriamo con Microsoft Sentinel.

1. Accesso al portale Microsoft Defender Threat Intelligence

Il portale MDTI è il punto centrale per accedere ed esplorare l'intelligence sulle minacce.

  1. Apri il browser e accedi al portale Microsoft Defender Threat Intelligence: https://ti.defender.microsoft.com.
  2. Accedi con il tuo account Microsoft che dispone delle licenze e delle autorizzazioni necessarie.

  3. Esplora la home page, che in genere visualizza un dashboard con le ultime notizie sulle minacce, articoli di ricerca e IoC in primo piano.

    • Spiegazione: il portale fornisce un'interfaccia intuitiva per sfogliare vasti set di dati di intelligence sulle minacce, inclusi articoli di ricerca, indicatori di compromissione, dati sull'infrastruttura e altro ancora.

2. Ricerca e analisi degli indicatori di compromesso (IoC)

Puoi cercare IoC specifici (indirizzi IP, domini, hash di file) per ottenere contesto e approfondimenti.

  1. Nel portale MDTI, utilizzare la barra di ricerca in alto per inserire un IoC. Ad esempio, cerca un indirizzo IP sospetto (ad esempio 192.0.2.1).

  2. La pagina dei risultati mostrerà informazioni dettagliate sull'IoC, tra cui:

    • Reputazione: indica se l'IoC è noto per essere dannoso o sospetto.
    • Associazioni: altri IoC, domini, hash o certificati associati a questo IoC.
    • Storia: cambiamenti nell'infrastruttura o nel comportamento dell'IoC nel tempo.
    • Articoli di ricerca: articoli MDTI che menzionano questo IoC, fornendo contesto sulle campagne di attacco o sugli autori delle minacce.

    • Servizi e porte: quali servizi e porte sono aperti o osservati su questo IP.

    • Spiegazione: l'analisi degli IoC in MDTI consente agli analisti della sicurezza di comprendere rapidamente la natura di una minaccia, la sua infrastruttura e il modo in cui si collega ad altre attività dannose. Questo è fondamentale quando si valutano e si indagano sugli incidenti.

3. Esplorazione dei documenti di ricerca e degli attori delle minacce

MDTI pubblica articoli di ricerca approfonditi sugli autori delle minacce, sui loro TTP e su campagne specifiche.

  1. Nel riquadro di navigazione sinistro del portale MDTI, seleziona Articoli di ricerca o Attori di minacce.
  2. Sfoglia gli articoli per trovare informazioni sulle minacce rilevanti per la tua organizzazione o settore.

  3. Ogni articolo fornisce un'analisi dettagliata, inclusi IoC, TTP, raccomandazioni di mitigazione e collegamenti ad altre fonti.

    • Spiegazione: questi articoli rappresentano una preziosa fonte di intelligence strategica e tattica, poiché aiutano i team di sicurezza a comprendere il panorama delle minacce e a sviluppare difese proattive.

4. Integrazione di MDTI con Microsoft Sentinel

L'integrazione con Microsoft Sentinel ti consente di inserire dati MDTI direttamente nel tuo SIEM e SOAR, correlandoli con altri log di sicurezza e automatizzando le risposte.

  1. Apri il portale di Azure e vai a Microsoft Sentinel.
  2. Nel riquadro di navigazione a sinistra, seleziona Connettori dati.
  3. Nel campo di ricerca, digita "Microsoft Defender Threat Intelligence".
  4. Selezionare il connettore dati "Microsoft Defender Threat Intelligence" e fare clic su "Apri pagina connettore".

  5. Fare clic su "Connetti".

    • Spiegazione: questa connessione consente a Sentinel di acquisire automaticamente IoC e altri dati di intelligence sulle minacce da MDTI, che possono essere utilizzati nelle regole di rilevamento, negli elenchi di controllo e nei playbook di automazione.

5. Utilizzo dei dati MDTI nelle regole di rilevamento di Azure Sentinel

Con i dati MDTI in Sentinel, puoi creare regole di rilevamento personalizzate per identificare attività dannose.

  1. In Azure Sentinel passare a Analisi > Regole di pianificazione.
  2. Fare clic su "+Crea" > "Regola di query pianificata".

  3. Configura la regola e nella sezione "Logica della query" puoi utilizzare i dati MDTI. Ad esempio, per rilevare se un IP nei registri del firewall comunica con un IP dannoso noto a MDTI: ```kusto lascia chemalyIPs = ThreatIntelligenceIndicator | dove Attivo == true e NetworkIP != "" | riepilogare make_list(NetworkIP) per ThreatType;

    CommonSecurityLog| dove DestinationIP in (maliciousIPs) | riepiloga count() per DestinationIP, DeviceVendor, DeviceProduct ``` * Spiegazione: questa query kusto cerca nei log di sicurezza (ad esempio il firewall) le comunicazioni con gli IP elencati come dannosi dall'intelligence sulle minacce MDTI. È possibile perfezionare la query per includere altri tipi di IoC o origini log.

Convalida e test

È fondamentale verificare che MDTI fornisca informazioni rilevanti sulle minacce e che le integrazioni funzionino.

1. Verifica dell'inserimento dei dati in Azure Sentinel

  1. Scenario: dopo aver connesso MDTI ad Azure Sentinel, verificare che i dati di intelligence sulle minacce vengano inseriti.
  2. Azione prevista: i dati MDTI dovrebbero essere visualizzati nella tabella "ThreatIntelligenceIndicator" in Log Analytics.
  3. Verifica:
    • In Microsoft Sentinel, accedere a Log.
    • Eseguire la query ThreatIntelligenceIndicator | prendi 10.
    • Controllare i risultati che indicano che i dati sono in fase di acquisizione.

2. Test del rilevamento IoC con MDTI

Attenzione: eseguire questo test in un ambiente di test isolato o con l'autorizzazione e la supervisione appropriate.

  1. Scenario: utilizzare un IoC noto per essere dannoso (ad esempio un IP di comando e controllo malware noto) e tentare di accedervi da un dispositivo monitorato da Sentinel (ad esempio una VM di test).
  2. Azione prevista: se la regola di rilevamento è configurata correttamente, Sentinel dovrebbe generare un incidente in base alla comunicazione con l'IoC dannoso.
  3. Verifica:
    • In Microsoft Sentinel, vai a Incidenti.
    • Cerca un nuovo incidente che corrisponda alla tua attività di test.

Suggerimenti e best practice per la sicurezza

  • Consumo IT continuo: rimani aggiornato con gli articoli di ricerca e le ultime minacce rilasciate da MDTI per comprendere il panorama delle minacce in continua evoluzione.
  • Integrazione completa: integra MDTI con tutte le tue soluzioni di sicurezza Microsoft (Defender for Endpoint, Defender for Cloud Apps, Defender for Identity) e Microsoft Sentinel per massimizzare la visibilità e la reattività.
  • Automazione con Playbook: utilizza i playbook in Microsoft Sentinel per automatizzare le risposte agli incidenti attivati ​​dagli IoC MDTI, come il blocco di IP dannosi nel firewall o l'isolamento dei dispositivi compromessi.
  • Ricerca proattiva delle minacce: utilizza i dati MDTI nelle query di ricerca delle minacce in Microsoft Sentinel per cercare in modo proattivo attività dannose nei registri.
  • Convalida regolare: testa regolarmente le regole di rilevamento basate sull'IT per assicurarti che funzionino come previsto e che gli IoC siano aggiornati.
  • Contestualizzazione degli IoC: non fare affidamento solo su IoC isolati. Utilizza il contesto fornito da MDTI per comprendere la campagna di attacco, i TTP e gli attori delle minacce dietro gli IoC.

Risoluzione dei problemi comuni

  • I dati MDTI non vengono visualizzati in Sentinel:
    • Verificare che il connettore dati MDTI sia abilitato in Azure Sentinel.
    • Verifica che la tua licenza Microsoft supporti l'integrazione MDTI con Sentinel.
    • Potrebbe verificarsi un ritardo nell'acquisizione iniziale dei dati. Aspetta qualche ora.
    • Controllare i log di controllo di Azure per eventuali errori relativi al connettore dati.
  • Le regole di rilevamento basate su MDTI non generano avvisi:
    • Controlla la sintassi della query kusto. Assicurati che il riferimento alla tabella "ThreatIntelligenceIndicator" sia corretto.
    • Conferma che l'attività di test corrisponde effettivamente ai criteri della regola.
    • Controlla le impostazioni delle regole di analisi (soglia di avviso, pianificazione).
  • Gli IoC sul portale MDTI non sono aggiornati: *MDTI viene continuamente aggiornato. Se noti dati obsoleti, potrebbe trattarsi di un problema di cache del browser o di un ritardo temporaneo del servizio.
    • Controlla lo stato del servizio MDTI nella pagina di stato di Azure.
  • Problemi di accesso al portale MDTI:
    • Verifica che il tuo account disponga delle licenze e delle autorizzazioni corrette per accedere a MDTI.
    • Svuota la cache del browser o prova ad accedervi in ​​modalità di navigazione in incognito.

Conclusione

Microsoft Defender Threat Intelligence è uno strumento indispensabile per rafforzare le difese informatiche di qualsiasi organizzazione. Fornendo l'accesso ad un vasto e riccofonte di informazioni sulle minacce, consente ai team di sicurezza di passare da un atteggiamento reattivo a uno proattivo, rilevando e rispondendo alle minacce con maggiore velocità e precisione. L'integrazione di MDTI con l'ecosistema Microsoft Defender e Microsoft Sentinel crea una soluzione di sicurezza potente e unificata in grado di proteggere dalle minacce più sofisticate. Con questa guida pratica, i professionisti della sicurezza e gli amministratori IT saranno ben attrezzati per configurare, convalidare e gestire Microsoft Defender Threat Intelligence, rafforzando la resilienza delle loro organizzazioni contro gli attacchi informatici.

Riferimenti:

[1] Sicurezza Microsoft. Intelligence sulle minacce di Microsoft Defender. Disponibile all'indirizzo: https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-threat-intelligence [2]Microsoft Learn. Che cos'è Microsoft Defender Threat Intelligence (Defender IT)?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender/threat-intelligence/what-is-microsoft-defender-threat-intelligence-defender-ti [3]Microsoft Learn. Analisi delle minacce in Microsoft Defender XDR. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-xdr/threat-analytics [4]Microsoft Learn. Abilitare il connettore dati Microsoft Threat Intelligence. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/sentinel/connect-mdti-data-connector [5]Microsoft Learn. Integrazione di Microsoft Defender XDR con Microsoft Sentinel. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-365-defender-sentinel-integration [6]Microsoft Learn. Utilizza le API Microsoft Graph per Microsoft Defender Threat Intelligence. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/graph/api/resources/security-threatintelligence-overview?view=graph-rest-1.0 [7]Microsoft Learn. Microsoft Sentinel nel portale Microsoft Defender. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-sentinel-defender-portal