Interruzione automatica degli attacchi in Microsoft Defender for Business

Un attacco gestito dall'uomo è un attacco attivo da parte di criminali informatici che si infiltrano in un'organizzazione, elevano i loro privilegi, navigano nella rete e distribuiscono ransomware o rubano informazioni. Questi tipi di attacchi possono essere catastrofici per le operazioni aziendali, tendono ad essere difficili da affrontare e a volte continuano a minacciare le operazioni aziendali dopo l'incontro iniziale. Per altre informazioni, vedere Attacchi ransomware gestiti dall'uomo.

Per proteggere da attacchi gestiti da esseri umani o da altri attacchi avanzati, Microsoft Defender XDR aggiunto un'interruzione automatica degli attacchi nel novembre 2022 per i clienti aziendali. Ora, queste funzionalità stanno arrivando a Defender for Business! Questo articolo descrive il funzionamento dell'interruzione automatica degli attacchi, come visualizzare i dettagli su un attacco e come ottenere queste funzionalità.

Funzionamento dell'interruzione automatica degli attacchi

L'interruzione automatica degli attacchi è progettata per:

  • Contenere attacchi avanzati in corso;
  • Limitare l'impatto e la progressione degli attacchi agli asset aziendali (ad esempio i dispositivi); E
  • Fornire più tempo al team IT/di sicurezza per correggere completamente un attacco.

L'interruzione automatica degli attacchi usa le informazioni dettagliate dei ricercatori di sicurezza Microsoft e dei modelli di intelligenza artificiale avanzati per contrastare le complessità degli attacchi avanzati. Limita i progressi di un attore di minacce all'inizio e riduce drasticamente l'impatto complessivo di un attacco, dai costi associati alla perdita di produttività. Vedere alcuni esempi nel blog sulla sicurezza microsoft.

Con l'interruzione automatica dell'attacco, non appena viene rilevato un attacco gestito dall'utente su un dispositivo, vengono immediatamente eseguiti passaggi per contenere il dispositivo e gli account utente interessati nel dispositivo. Un evento imprevisto viene creato nel portale di Microsoft Defender (https://security.microsoft.com). In questo caso, il team IT/sicurezza può visualizzare i dettagli sul rischio e sullo stato di contenimento degli asset compromessi durante e dopo il processo. Una pagina Evento imprevisto fornisce informazioni dettagliate sull'attacco e sullo stato aggiornato degli asset interessati.

Le azioni di risposta automatizzate includono:

  • Contenente un dispositivo bloccando la comunicazione in ingresso/in uscita
  • Contenente un account utente disconnettendo le connessioni utente correnti a livello di dispositivo

Importante

  • Per visualizzare le informazioni su un attacco avanzato rilevato, è necessario assegnare il ruolo Lettore di sicurezza, Amministratore della sicurezza o Amministratore globale.
  • Per eseguire azioni correttive, rilasciare un dispositivo o un utente indipendente o riabilitare un account utente, è necessario assegnare il ruolo Amministratore della sicurezza o Amministratore globale.
  • Vedere Ruoli di sicurezza e autorizzazioni in Defender per le aziende.

Visualizzare i dettagli su un attacco nel portale di Microsoft Defender

  1. Nel portale di Microsoft Defender passare a Eventi imprevisti.

  2. Selezionare un evento imprevisto contrassegnato con Interruzione degli attacchi.

  3. Esaminare il grafico degli eventi imprevisti, che consente di ottenere l'intera storia dell'attacco e di valutare l'impatto e lo stato dell'interruzione dell'attacco.

  4. Quando si è pronti per rilasciare un dispositivo o un account utente indipendente o riabilitare un account utente, seguire questa procedura:

    • Per rilasciare un dispositivo indipendente, selezionare il dispositivo e quindi scegliere Rilascia da contenimento.
    • Per rilasciare un utente indipendente, selezionare l'account utente e quindi nel riquadro laterale selezionare Annulla.

Gli eventi imprevisti interrotti includono un tag per Attack Disruption e il tipo di minaccia specifico identificato (ad esempio ransomware). Se il team IT/sicurezza riceve notifiche tramite posta elettronica degli eventi imprevisti, questi tag vengono visualizzati anche nei messaggi di posta elettronica.

Quando un evento imprevisto viene interrotto, il testo evidenziato viene visualizzato sotto il titolo dell'evento imprevisto. I dispositivi o gli account utente contenuti sono elencati con un'etichetta che ne indica lo stato.

Tenere traccia delle azioni di interruzione degli attacchi nel Centro notifiche

Il Centro notifiche riunisce tutte le azioni di correzione e risposta, indipendentemente dal fatto che tali azioni siano state eseguite automaticamente o manualmente. È possibile visualizzare tutte le azioni di interruzione automatica degli attacchi nel Centro notifiche. Inoltre, dopo che il team IT/sicurezza ha mitigato il rischio e completato l'indagine su un evento imprevisto, può rilasciare gli asset contenuti.

  1. Nel portale di Microsoft Defender passare ad Azioni & gli invii>al Centro notifiche.

  2. Selezionare la scheda Cronologia .

  3. Selezionare un'azione, ad esempio Contenere un utente o Un dispositivo, quindi scegliere Annulla.

Per altre informazioni, vedere Esaminare le azioni di correzione nel Centro notifiche.

Come ottenere l'interruzione automatica degli attacchi

L'interruzione automatica degli attacchi è integrata in Defender for Business; non è necessario attivare in modo esplicito queste funzionalità. È importante eseguire l'onboarding di tutti i dispositivi dell'organizzazione (computer, telefoni e tablet) in Defender for Business in modo che siano protetti il prima possibile.

Inoltre, iscriversi per ricevere le funzionalità di anteprima in modo da ottenere le funzionalità più recenti e più grandi non appena sono disponibili.