Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender correla milioni di segnali individuali per identificare campagne ransomware attive o altri attacchi sofisticati nell'ambiente con alta fiducia. Mentre è in corso un attacco, Defender interrompe l'attacco includendo automaticamente gli asset compromessi usati dall'utente malintenzionato tramite l'interruzione automatica degli attacchi.
L'interruzione automatica degli attacchi limita il movimento laterale all'inizio e riduce l'impatto complessivo di un attacco, dai costi associati alla perdita di produttività. Allo stesso tempo, lascia ai team delle operazioni di sicurezza il controllo completo dell'analisi, della correzione e del ripristino online degli asset.
Questo articolo offre una panoramica dell'interruzione automatica degli attacchi e include collegamenti ai passaggi successivi e ad altre risorse.
Consiglio
Questo articolo descrive il funzionamento dell'interruzione degli attacchi. Per configurare queste funzionalità, vedere Configurare le funzionalità di interruzione degli attacchi in Microsoft Defender.
Funzionamento dell'interruzione automatica degli attacchi
L'interruzione automatica degli attacchi è progettata per contenere gli attacchi in corso, limitare l'impatto sugli asset di un'organizzazione e offrire più tempo ai team di sicurezza per correggere completamente l'attacco. L'interruzione degli attacchi usa l'ampiezza completa dei segnali di rilevamento e risposta (XDR) estesi, tenendo conto dell'intero attacco per agire a livello di evento imprevisto. Questa funzionalità è diversa dai metodi di protezione noti, ad esempio la prevenzione e il blocco in base a un singolo indicatore di compromissione.
Anche se molte piattaforme di orchestrazione, automazione e risposta (SOAR) di XDR e sicurezza consentono di creare azioni di risposta automatica, l'interruzione automatica degli attacchi è integrata e usa le informazioni dettagliate dei ricercatori di sicurezza Microsoft e dei modelli di intelligenza artificiale avanzati per contrastare la complessità degli attacchi avanzati. L'interruzione automatica degli attacchi considera l'intero contesto dei segnali provenienti da origini diverse per determinare gli asset compromessi.
L'interruzione automatica degli attacchi opera in tre fasi chiave:
- Usa la capacità di Microsoft Defender di correlare i segnali provenienti da molte origini diverse in un singolo evento imprevisto ad alta attendibilità tramite informazioni dettagliate da endpoint, identità, strumenti di posta elettronica e collaborazione e app SaaS.
- Identifica gli asset controllati dall'utente malintenzionato e usati per diffondere l'attacco.
- Esegue automaticamente azioni di risposta nei prodotti Microsoft Defender rilevanti per contenere l'attacco in tempo reale, contenendo e disabilitando gli asset interessati.
Questa funzionalità rivoluzionaria limita i progressi di un attore di minacce all'inizio e riduce drasticamente l'impatto complessivo di un attacco, dai costi associati alla perdita di produttività.
Come Defender stabilisce la fiducia per l'azione automatica
I team di sicurezza potrebbero esitare quando i sistemi eseguono azioni automatiche perché le azioni di risposta possono influire sulle operazioni aziendali. L'interruzione automatica degli attacchi risolve questo problema usando segnali ad alta fedeltà e correlazione a livello di evento imprevisto tra dati reali da posta elettronica, identità, applicazioni, documenti, dispositivi, reti e file.
L'attendibilità nell'interruzione automatica degli attacchi si riferisce alla precisione del rilevatore, misurata dal rapporto segnale-rumore (SNR). Per le azioni di contenimento, Defender mantiene un livello di attendibilità del 99% o superiore in base ai dati di produzione reali. Defender valuta ogni riscontro del rilevatore rispetto a un ampio set di indicatori per classificare i veri positivi e i falsi positivi combinando gli output di Machine Learning, la correlazione tra carichi di lavoro e la classificazione degli eventi imprevisti guidati da esperti.
Defender convalida i rilevatori in modalità di controllo prima del rilascio generale e distribuisce gradualmente solo i rilevatori che soddisfano requisiti di qualità rigorosi. Questo processo mira a mantenere bassi i falsi positivi mantenendo allo stesso tempo un'interruzione efficace degli attacchi attivi. I rilevatori di interruzioni vengono valutati in modo continuo e dinamico per mantenere la qualità e l'attendibilità del rilevamento.
Gli esperti di sicurezza Microsoft esaminano continuamente le attività di interruzione, monitorano le anomalie e valutano l'impatto per preservare l'elevata qualità del rilevamento nel tempo.
Inoltre, tutte le azioni automatiche possono essere annullate dal team di sicurezza, in modo da mantenere il controllo completo sull'ambiente. Per altre informazioni, vedere Dettagli e risultati di un'azione di interruzione automatica degli attacchi.
Come l'interruzione degli attacchi usa l'intelligenza artificiale
L'IA di interruzione degli attacchi usa un insieme di modelli e rilevatori appositamente sviluppati nella suite Microsoft Defender. Queste funzionalità vengono addestrate e ottimizzate usando più origini dati, tra cui:
- Telemetria del carico di lavoro di Defender correlata
- Intelligence sulle minacce Microsoft
- Precedenti eventi imprevisti e analisi post-evento imprevisto appresi dai clienti Microsoft
La piattaforma usa diversi approcci di Machine Learning, tra cui modelli a grafo, alberi delle decisioni potenziati, reti neurali e modelli di linguaggio ridotto dedicati per migliorare la qualità del rilevamento e la precisione dell'azione.
La qualità del modello e del rilevatore viene mantenuta tramite cicli di progettazione e convalida continui anziché un singolo punto di rilascio statico. Prima dell'implementazione generale, i nuovi rilevatori passano attraverso una convalida pre-rilascio rigorosa e una distribuzione in fasi. La qualità continua è supportata dalla revisione da parte di esperti delle decisioni relative all'intelligenza artificiale e dalla copertura della risposta operativa 24x7 per un comportamento anomalo.
Azioni di risposta automatizzate
L'interruzione automatica degli attacchi usa azioni di risposta XDR basate su Microsoft. Esempi di queste azioni sono:
Il dispositivo contiene: in base alla funzionalità di Microsoft Defender per endpoint, questa azione è un contenimento automatico di un dispositivo sospetto per bloccare qualsiasi comunicazione in ingresso/in uscita con tale dispositivo.
- Inoltre, Defender per endpoint contiene automaticamente indirizzi IP dannosi associati a dispositivi non individuati o non caricati per bloccare qualsiasi movimento laterale e attività di crittografia in altri dispositivi defender per endpoint caricati o individuati. Questa operazione viene eseguita tramite il criterio Contain IP (Preview). Inoltre, gli indirizzi IP degli asset critici compromessi sono automaticamente contenuti con meccanismi di blocco specifici per arrestare la diffusione di un attacco evitando al tempo stesso la perdita di produttività.
Disabilitare l'utente: in base alla funzionalità di Microsoft Defender per identità, questa azione è una sospensione automatica di un account compromesso per evitare danni aggiuntivi come lo spostamento laterale, l'uso di cassette postali dannose o l'esecuzione di malware. L'azione disabilita utente si comporta in modo diverso a seconda del modo in cui l'utente è ospitato nell'ambiente.
- Quando l'account utente è ospitato in Active Directory: Defender per identità attiva l'azione disabilita utente nei controller di dominio che eseguono l'agente defender per identità.
- Quando l'account utente è ospitato in Active Directory e viene sincronizzato in Microsoft Entra ID: Defender per identità attiva l'azione disabilita utente tramite controller di dominio di cui è stato eseguito l'onboarding. L'interruzione degli attacchi disabilita anche l'account utente nell'account sincronizzato Microsoft Entra ID.
- Quando l'account utente è ospitato solo nel Microsoft Entra ID (account nativo del cloud): l'interruzione dell'attacco disabilita l'account utente nell'account sincronizzato Microsoft Entra ID.
Nota
La disabilitazione dell'account utente in Microsoft Entra ID non dipende dalla distribuzione di Microsoft Defender per identità.
Contiene l'utente: in base alla funzionalità di Microsoft Defender per endpoint, questa azione di risposta contiene automaticamente identità sospette temporaneamente per bloccare qualsiasi spostamento laterale e crittografia remota correlata alla comunicazione in ingresso con i dispositivi caricati di Defender per endpoint.
Defender per endpoint impone il contenimento degli utenti a livello di endpoint e non disabilita l'account nel provider di identità. Defender per endpoint blocca l'uso di identità compromesse nei dispositivi protetti e limita l'accesso basato sull'autenticazione, l'accesso al file system e i percorsi di comunicazione di rete.
Questa azione applica i controlli a livello granulare, in modo che Microsoft possa indirizzare l'attività correlata agli attacchi e mantenere la normale comunicazione aziendale laddove possibile.
Per altre informazioni, vedere Azioni di correzione in Microsoft Defender.
Identificare quando si verifica un'interruzione dell'attacco nell'ambiente
La pagina Microsoft Defender evento imprevisto rifletterà le azioni automatiche di interruzione dell'attacco attraverso la storia dell'attacco e lo stato indicato da una barra gialla (figura 1). L'evento imprevisto mostra un tag di interruzione dedicato, evidenzia lo stato degli asset contenuti nel grafico degli eventi imprevisti e aggiunge un'azione al Centro notifiche.
. Visualizzazione degli eventi imprevisti che mostra la barra gialla in cui è stata eseguita l'interruzione automatica degli attacchi
L'esperienza utente Microsoft Defender include ora segnali visivi aggiuntivi per garantire la visibilità di queste azioni automatiche. È possibile trovarli nelle esperienze seguenti:
Nella coda degli eventi imprevisti:
- Accanto agli eventi imprevisti interessati viene visualizzato un tag denominato Interruzione degli attacchi
Nella pagina dell'evento imprevisto:
- Tag denominato Interruzione degli attacchi
- Un banner giallo nella parte superiore della pagina che evidenzia l'azione automatica eseguita
- Lo stato corrente dell'asset viene visualizzato nel grafico degli eventi imprevisti se viene eseguita un'azione su un asset, ad esempio l'account disabilitato o il dispositivo contenuto
Tramite API:
Una stringa (interruzione degli attacchi) viene aggiunta alla fine dei titoli di eventi imprevisti con un'elevata probabilità di interruzione automatica. Ad esempio:
Attacco di frode finanziaria bec lanciato da un account compromesso (interruzione dell'attacco)
Per altre informazioni, vedere Visualizzare i dettagli e i risultati dell'interruzione degli attacchi.
Passaggi successivi
- Configurare l'interruzione automatica degli attacchi
- Visualizzare i dettagli e i risultati
- Ottenere notifiche tramite posta elettronica per le azioni di risposta
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.