Interruzione automatica degli attacchi in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
Microsoft Defender XDR correla milioni di segnali individuali per identificare campagne ransomware attive o altri attacchi sofisticati nell'ambiente con alta fiducia. Mentre è in corso un attacco, Defender XDR interrompe l'attacco, contenendo automaticamente gli asset compromessi usati dall'utente malintenzionato tramite l'interruzione automatica degli attacchi.
L'interruzione automatica degli attacchi limita il movimento laterale all'inizio e riduce l'impatto complessivo di un attacco, dai costi associati alla perdita di produttività. Allo stesso tempo, lascia ai team delle operazioni di sicurezza il controllo completo dell'analisi, della correzione e del ripristino online degli asset.
Questo articolo offre una panoramica dell'interruzione automatica degli attacchi e include collegamenti ai passaggi successivi e ad altre risorse.
Funzionamento dell'interruzione automatica degli attacchi
L'interruzione automatica degli attacchi è progettata per contenere gli attacchi in corso, limitare l'impatto sugli asset di un'organizzazione e offrire più tempo ai team di sicurezza per correggere completamente l'attacco. L'interruzione degli attacchi usa l'ampiezza completa dei segnali di rilevamento e risposta (XDR) estesi, tenendo conto dell'intero attacco per agire a livello di evento imprevisto. Questa funzionalità è diversa dai metodi di protezione noti, ad esempio la prevenzione e il blocco in base a un singolo indicatore di compromissione.
Anche se molte piattaforme di orchestrazione, automazione e risposta (SOAR) di XDR e sicurezza consentono di creare azioni di risposta automatica, l'interruzione automatica degli attacchi è integrata e usa le informazioni dettagliate dei ricercatori di sicurezza Microsoft e dei modelli di intelligenza artificiale avanzati per contrastare la complessità degli attacchi avanzati. L'interruzione automatica degli attacchi considera l'intero contesto dei segnali provenienti da origini diverse per determinare gli asset compromessi.
L'interruzione automatica degli attacchi opera in tre fasi chiave:
- Usa la capacità di Defender XDR di correlare i segnali provenienti da molte origini diverse in un singolo evento imprevisto ad alta attendibilità tramite informazioni dettagliate da endpoint, identità, strumenti di posta elettronica e collaborazione e app SaaS.
- Identifica gli asset controllati dall'utente malintenzionato e usati per diffondere l'attacco.
- Esegue automaticamente azioni di risposta nei prodotti Microsoft Defender rilevanti per contenere l'attacco in tempo reale isolando gli asset interessati.
Questa funzionalità rivoluzionaria limita i progressi di un attore di minacce all'inizio e riduce drasticamente l'impatto complessivo di un attacco, dai costi associati alla perdita di produttività.
Stabilire un livello elevato di attendibilità quando si esegue un'azione automatica
Sappiamo che l'azione automatica a volte comporta esitazioni da parte dei team di sicurezza, dato il potenziale impatto che può avere su un'organizzazione. Di conseguenza, le funzionalità di interruzione automatica degli attacchi in Defender XDR sono progettate per basarsi su segnali ad alta fedeltà. Usa anche la correlazione degli eventi imprevisti di Defender XDR con milioni di segnali dei prodotti Defender attraverso posta elettronica, identità, applicazioni, documenti, dispositivi, reti e file. Le informazioni dettagliate provenienti dall'analisi continua di migliaia di eventi imprevisti da parte del team di ricerca sulla sicurezza di Microsoft assicurano che l'interruzione automatica degli attacchi mantenga un elevato rapporto segnale-rumore (SNR).
Le indagini sono parte integrante del monitoraggio dei segnali e del panorama delle minacce di attacco per garantire una protezione accurata e di alta qualità.
Consiglio
Questo articolo descrive il funzionamento dell'interruzione degli attacchi. Per configurare queste funzionalità, vedere Configurare le funzionalità di interruzione degli attacchi in Microsoft Defender XDR.
Azioni di risposta automatizzate
L'interruzione automatica degli attacchi usa azioni di risposta XDR basate su Microsoft. Esempi di queste azioni sono:
Il dispositivo contiene: in base alla funzionalità di Microsoft Defender per endpoint, questa azione è un contenimento automatico di un dispositivo sospetto per bloccare qualsiasi comunicazione in ingresso/in uscita con tale dispositivo.
Disabilitare l'utente: in base alla funzionalità di Microsoft Defender per identità, questa azione è una sospensione automatica di un account compromesso per evitare danni aggiuntivi come lo spostamento laterale, l'uso di cassette postali dannose o l'esecuzione di malware. L'azione disabilita utente si comporta in modo diverso a seconda del modo in cui l'utente è ospitato nell'ambiente.
- Quando l'account utente è ospitato in Active Directory: Defender per identità attiva l'azione disabilita utente nei controller di dominio che eseguono l'agente defender per identità.
- Quando l'account utente è ospitato in Active Directory e viene sincronizzato in Microsoft Entra ID: Defender per identità attiva l'azione disabilita utente tramite controller di dominio di cui è stato eseguito l'onboarding. L'interruzione degli attacchi disabilita anche l'account utente nell'account sincronizzato con l'ID Entra.
- Quando l'account utente è ospitato solo nell'ID Entra (account nativo del cloud): l'interruzione dell'attacco disabilita l'account utente nell'account sincronizzato con l'ID Entra.
Nota
La disabilitazione dell'account utente in Microsoft Entra ID non dipende dalla distribuzione di Microsoft Defender per identità.
- Contiene l'utente: in base alla funzionalità di Microsoft Defender per endpoint, questa azione di risposta contiene automaticamente identità sospette temporaneamente per bloccare qualsiasi spostamento laterale e crittografia remota correlata alla comunicazione in ingresso con i dispositivi caricati di Defender per endpoint.
Per altre informazioni, vedere Azioni di correzione in Microsoft Defender XDR.
Azioni di risposta automatizzate per SAP con Microsoft Sentinel
Se si usa la piattaforma per le operazioni di sicurezza unificata e si distribuisce la soluzione Microsoft Sentinel per le applicazioni SAP, è anche possibile distribuire l'interruzione automatica degli attacchi per SAP.
Ad esempio, distribuire un'interruzione degli attacchi per consentire a SAP di contenere asset compromessi bloccando gli utenti SAP sospetti in caso di attacco di manipolazione del processo finanziario.
Dopo aver mitigato il rischio, gli amministratori Microsoft Defender possono sbloccare manualmente gli utenti bloccati automaticamente dalla risposta all'interruzione dell'attacco. La possibilità di sbloccare manualmente gli utenti è disponibile dal centro notifiche Microsoft Defender e solo per gli utenti bloccati dall'interruzione degli attacchi.
Per usare l'interruzione degli attacchi per SAP, distribuire un nuovo agente connettore dati o assicurarsi che l'agente usi la versione 90847355 o successiva e quindi assegnare e applicare i ruoli di Azure e SAP necessari. Per altre informazioni, vedere:
- Distribuire e configurare il contenitore che ospita l'agente del connettore dati SAP
- Aggiornare l'agente del connettore dati SAP di Microsoft Sentinel, in particolare Aggiornare il sistema per l'interruzione automatica degli attacchi.
Mentre si configura l'interruzione degli attacchi nel portale di Azure e nel sistema SAP, l'interruzione automatica degli attacchi viene visualizzata solo nella piattaforma delle operazioni di sicurezza unificata nel portale di Microsoft Defender.
Identificare quando si verifica un'interruzione dell'attacco nell'ambiente
La pagina dell'evento imprevisto Defender XDR rifletterà le azioni di interruzione automatica dell'attacco attraverso la storia dell'attacco e lo stato indicato da una barra gialla (figura 1). L'evento imprevisto mostra un tag di interruzione dedicato, evidenzia lo stato degli asset contenuti nel grafico degli eventi imprevisti e aggiunge un'azione al Centro notifiche.
. Visualizzazione degli eventi imprevisti che mostra la barra gialla in cui è stata eseguita l'interruzione automatica degli attacchi
L'esperienza utente Defender XDR include ora segnali visivi aggiuntivi per garantire la visibilità di queste azioni automatiche. È possibile trovarli nelle esperienze seguenti:
Nella coda degli eventi imprevisti:
- Accanto agli eventi imprevisti interessati viene visualizzato un tag denominato Interruzione degli attacchi
Nella pagina dell'evento imprevisto:
- Tag denominato Interruzione degli attacchi
- Un banner giallo nella parte superiore della pagina che evidenzia l'azione automatica eseguita
- Lo stato corrente dell'asset viene visualizzato nel grafico degli eventi imprevisti se viene eseguita un'azione su un asset, ad esempio l'account disabilitato o il dispositivo contenuto
Tramite API:
Una stringa (interruzione degli attacchi) viene aggiunta alla fine dei titoli di eventi imprevisti con un'elevata probabilità di interruzione automatica. Ad esempio:
Attacco di frode finanziaria bec lanciato da un account compromesso (interruzione dell'attacco)
Per altre informazioni, vedere Visualizzare i dettagli e i risultati dell'interruzione degli attacchi.
Passaggi successivi
- Configurazione dell'interruzione automatica degli attacchi in Microsoft Defender XDR
- Visualizzare i dettagli e i risultati
- Ottenere notifiche tramite posta elettronica per le azioni di risposta
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.