Monitoraggio degli incidenti in tempo reale con Microsoft 365 Security Center

Monitoraggio degli incidenti in tempo reale con Microsoft 365 Security Center

03/08/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nel monitoraggio e nella gestione degli incidenti di sicurezza in tempo reale utilizzando il portale Microsoft 365 Defender (precedentemente noto come Microsoft 365 Security Center). Questo portale unifica la visibilità e le funzionalità di risposta agli incidenti di più soluzioni di sicurezza Microsoft, come Defender for Endpoint, Defender for Office 365, Defender for Identity e Defender for Cloud Apps, fornendo una piattaforma centralizzata per le operazioni di sicurezza [1].

Introduzione

In un ambiente di minacce informatiche in continua evoluzione, la capacità di rilevare, indagare e rispondere agli incidenti di sicurezza in modo rapido ed efficiente è fondamentale per ridurre al minimo l’impatto di un attacco. Il portale Microsoft 365 Defender funge da centro di comando e controllo, correlando gli avvisi di sicurezza di diversi prodotti Microsoft in incidenti coerenti. Ciò consente ai team SecOps (Security Operations) di acquisire una visione olistica di un attacco, comprenderne la catena di uccisione e intraprendere azioni correttive in modo più efficace [2].

Questa guida illustra come navigare nel portale Microsoft 365 Defender, monitorare la coda degli incidenti, analizzare gli avvisi correlati e gestire il ciclo di vita di un incidente. Verranno fornite istruzioni dettagliate, esempi di utilizzo dell'interfaccia e metodi di convalida in modo che il lettore possa ottimizzare le proprie operazioni di sicurezza e migliorare le capacità di risposta agli incidenti nel proprio ambiente Microsoft 365.

Perché il portale Microsoft 365 Defender per il monitoraggio degli incidenti?

  • Visibilità unificata: aggrega gli avvisi di sicurezza di più prodotti Defender (Endpoint, Office 365, Identity, Cloud Apps) in un'unica dashboard.
  • Correlazione automatica: correla automaticamente gli avvisi correlati tra gli incidenti, fornendo un contesto più ricco su un attacco.
  • Investigazione completa: fornisce strumenti di indagine approfonditi tra cui cronologia degli eventi, grafici degli attacchi e informazioni dettagliate sulle entità colpite.
  • Risposta coordinata: consente ai team di sicurezza di rispondere agli incidenti a livello centrale, con azioni automatizzate e manuali.
  • Automazione della risposta (SOAR): si integra con le funzionalità SOAR per automatizzare le attività di risposta agli incidenti, riducendo il tempo medio di risposta (MTTR).

Prerequisiti

Per monitorare gli incidenti in tempo reale con il portale Microsoft 365 Defender, avrai bisogno dei seguenti elementi:

  1. Licenza: licenze appropriate per i prodotti Microsoft 365 Defender (ad esempio Microsoft 365 E5 Security, Microsoft 365 E5) che includono l'accesso al portale e funzionalità di rilevamento [3].
  2. Accesso amministrativo: un account con autorizzazioni di amministratore della sicurezza, operatore della sicurezza o lettore di sicurezza nel portale Microsoft 365 Defender (https://security.microsoft.com).
  3. Prodotti Defender attivi: almeno uno dei prodotti Defender (Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps) deve essere attivo e configurato per generare avvisi.
  4. Origini dati connesse: i dati sulla sicurezza devono essere acquisiti e monitorati dai rispettivi prodotti Defender.

Passo dopo passo: monitoraggio e gestione degli incidenti

Esploriamo l'interfaccia del portale Microsoft 365 Defender e le funzionalità chiave per il monitoraggio e la gestione degli incidenti.

1. Accesso al portale Microsoft 365 Defender

  1. Apri il browser e vai a "https://security.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.

2. Navigazione nella coda degli incidenti

La coda degli incidenti è il punto centrale per i team SecOps. Qui è dove gli avvisi correlati vengono raggruppati per fornire una visione contestualizzata di un attacco.

  1. Nel riquadro di navigazione a sinistra, seleziona Incidenti e avvisi > Incidenti.
  2. La coda degli incidenti visualizzerà un elenco di tutti gli incidenti rilevati, con informazioni quali gravità, stato, entità interessate e ultima attività.

3. Analisi di un incidente specifico

Quando fai clic su un incidente, avrai accesso a una visualizzazione dettagliata che include tutti gli avvisi, i dispositivi,utenti, utenti e file interessati.

  1. Nella coda degli incidenti, fare clic sul Nome di un incidente per aprire la relativa pagina dei dettagli.
  2. La pagina dei dettagli dell'incidente è composta da diverse schede:
    • Panoramica: fornisce un riepilogo dell'incidente, inclusi gravità, stato, classificazione, utenti e dispositivi interessati.
    • Avvisi: elenca tutti gli avvisi correlati a questo incidente. È possibile fare clic su ciascun avviso per visualizzarne i dettagli specifici.
    • Dispositivi: mostra tutti i dispositivi coinvolti nell'incidente.
    • Utenti: elenca gli utenti interessati o coinvolti.
    • Cassette postali: mostra le cassette postali interessate (se sono presenti avvisi di Defender per Office 365).
    • Indagini: visualizza le indagini automatizzate avviate in risposta all'incidente.
    • Evidenza e risposta: presenta le prove raccolte (file, IP, URL) e le azioni di risposta consigliate o intraprese.
    • Grafico: una rappresentazione visiva della catena di attacco, che mostra la relazione tra avvisi, entità ed eventi.

4. Gestione del ciclo di vita dell'incidente

La gestione degli incidenti prevede l'assegnazione, la classificazione e la risoluzione.

  1. Assegna incidente: nella pagina dei dettagli dell'incidente, nella sezione Panoramica, è possibile assegnare l'incidente a un analista specifico. Fai clic su Assegna a e seleziona un utente.
  2. Cambia stato: modifica lo Stato dell'incidente man mano che l'indagine procede (ad esempio "Nuovo", "In corso", "Risolto").
  3. Classifica incidente: quando risolvi un incidente, devi classificarlo per scopi di apprendimento e reporting. Clicca su Classificazione e seleziona:
    • "Vero positivo" (se si tratta di una minaccia reale)
    • "Falso positivo" (se si tratta di un avviso errato)
    • "Attività prevista" (se si tratta di un'attività legittima che ha attivato l'avviso)
    • Aggiungi un Commento per documentare la risoluzione.
  4. Aggiungi commenti: utilizza la sezione Commenti e cronologia per registrare le fasi dell'indagine, i risultati e le azioni intraprese.

5. Esecuzione di azioni di risposta

In base all'indagine è possibile intraprendere azioni di risposta direttamente dal portale.

  1. Nella scheda Dispositivi o Utenti all'interno dell'incidente, seleziona un'entità interessata (ad esempio un dispositivo).
  2. Le azioni disponibili includono:
    • Isola dispositivo: disconnette il dispositivo dalla rete per contenere la minaccia.
    • Limita l'esecuzione delle applicazioni: impedisce l'esecuzione di applicazioni non autorizzate.
    • Esegui scansione antivirus: avvia una scansione completa del dispositivo.
    • Raccogli pacchetto indagine: raccoglie registri e dati forensi dal dispositivo.
    • Disabilita utente: disabilita l'account utente in Azure AD.
    • Reimposta password utente: forza la reimpostazione della password utente.

Convalida e test

Per convalidare il monitoraggio degli incidenti, è importante simulare uno scenario di attacco e verificare che il portale Microsoft 365 Defender lo rilevi e lo correli correttamente.

1. Simulare un attacco (esempio: test EICAR)

Utilizzare il file EICAR (Istituto Europeo per la Ricerca Antivirus Informatica) per simulare il rilevamento di malware (come descritto nell'Articolo 1 - Defender per Endpoint).

  1. Su un dispositivo integrato con Defender for Endpoint, provare a scaricare o creare un file EICAR (https://www.eicar.org/download/eicar.com.txt).
  2. Defender for Endpoint dovrebbe rilevare e bloccare il file.
  3. Nel portale Microsoft 365 Defender, vai a Incidenti e avvisi > Avvisi.
  4. Dovresti vedere un avviso relativo al rilevamento EICAR.
  5. Verificare se questo avviso è stato correlato a un incidente esistente o se è stato creato un nuovo incidente.

2. Controllare il tempo di risposta e la correlazione

Osserva il tempo necessario affinché un avviso venga generato e correlato a un incidente dopo la simulazione. Questo ti aiuta a comprendere l'efficacia del monitoraggio in tempo reale.

Suggerimenti e best practice per la sicurezza

  • Integra tutte le origini: collega il maggior numero possibile di origini dati e prodotti Defender al portale Microsoft 365 Defender per la visualizzazione più completa e la migliore correlazione degli incidenti.
  • Definire ruoli e responsabilità: stabilire chiaramente chi è responsabile del monitoraggio, delle indagini e della risposta agli incidenti.
  • Automatizza le risposte semplici: utilizza le risorseStrumenti di automazione (playbook) per rispondere automaticamente a tipi di avvisi di bassa gravità o per raccogliere informazioni aggiuntive su avvisi di gravità elevata.
  • Rimani aggiornato: rimani aggiornato con le nuove funzionalità e funzionalità di Microsoft 365 Defender poiché la piattaforma viene costantemente migliorata.
  • Formazione continua: investi nella formazione del tuo team SecOps in modo che abbia familiarità con gli strumenti e le tattiche di attacco più recenti.
  • Esercizi di simulazione: conduci regolarmente esercizi di simulazione degli incidenti per testare l'efficacia dei tuoi processi e strumenti.

Risoluzione dei problemi comuni

  • Gli avvisi non vengono visualizzati nel portale: verificare che i prodotti Defender pertinenti siano attivi e configurati correttamente. Assicurati che i connettori dati funzionino e inviino i log. Controlla le impostazioni delle regole di rilevamento sui singoli prodotti Defender.
  • Avvisi non correlati tra incidenti: Microsoft 365 Defender viene correlato automaticamente. Se gli avvisi correlati non vengono raggruppati insieme, potrebbe verificarsi un ritardo nell'acquisizione del registro oppure le informazioni contestuali (utente, dispositivo, IP) potrebbero non essere sufficienti per la correlazione automatica. Controlla i log di controllo e il tempo di acquisizione.
  • Problemi di prestazioni del portale: svuota la cache del browser, prova a utilizzare un browser diverso o controlla la connettività di rete. In caso di grandi volumi di dati il ​​caricamento dell'interfaccia potrebbe richiedere del tempo.
  • Le azioni di risposta falliscono: controlla le autorizzazioni dell'account che tenta di eseguire l'azione. Assicurati che il dispositivo o l'utente di destinazione sia online e accessibile dai servizi Defender.

Conclusione

Il portale Microsoft 365 Defender è uno strumento indispensabile per qualsiasi organizzazione che cerca una strategia di sicurezza efficace, proattiva e reattiva. Centralizzando il monitoraggio degli incidenti, correlando gli avvisi provenienti da più fonti e fornendo funzionalità complete di indagine e risposta, consente ai team SecOps di proteggere i propri ambienti in tempo reale. L'implementazione e l'utilizzo efficace di questa piattaforma non solo migliora la visibilità delle minacce, ma riduce anche significativamente i tempi di risposta, rafforzando la resilienza informatica dell'organizzazione contro gli attacchi più sofisticati.

Riferimenti:

[1]Microsoft Learn. Portale di Microsoft 365 Defender. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2]Microsoft Learn. Panoramica degli incidenti in Microsoft 365 Defender. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3]Microsoft Learn. Requisiti di licenza per Microsoft 365 Defender. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide