Indagine e risposta alle minacce nella sicurezza di Office 365

Con il rischio sempre crescente di crimini informatici, le aziende di tutto il mondo lottano per proteggere il loro bene più prezioso: i loro dati. Fortunatamente, Microsoft Defender for Office 365 fornisce agli amministratori IT e agli analisti capacità di indagine e risposta alle minacce, che consentono loro di proteggere in modo proattivo gli utenti e i dati.

Utilizzando queste funzionalità di sicurezza integrate di Office 365, è possibile ottenere preziose informazioni sulle minacce comuni, raccogliere dati pratici e pianificare azioni di risposta efficaci. Il tuo team di sicurezza può facilmente identificare, monitorare e respingere le attività malevole prima che causino danni irreparabili alla tua organizzazione.

Questo post analizza gli strumenti inclusi nell’indagine e risposta alle minacce di Microsoft. Continua a leggere per avere una panoramica delle diverse funzionalità e come si combinano per creare uno scudo infallibile contro gli attacchi basati su file e email.

Cos’è l’indagine e risposta alle minacce di Office 365?

L’indagine e risposta alle minacce di Office 365 è un termine ombrello che si riferisce a un insieme di capacità in Microsoft Defender for Office 365 piano 2. Questi strumenti aiutano gli amministratori IT e gli analisti a monitorare e raccogliere informazioni sulle minacce potenziali. I team di sicurezza possono quindi utilizzare le azioni di risposta disponibili nel portale Microsoft 365 Defender per affrontare i rischi in SharePoint Online, OneDrive for Business, Exchange Online e Microsoft Teams.

Con queste funzionalità di sicurezza di Office 365, è possibile raccogliere dati da diverse fonti come incidenti di sicurezza precedenti, attività degli utenti, autenticazioni, email e computer compromessi. Il flusso di lavoro per l’indagine e la risposta alle minacce include quanto segue:

• Explorer (individuazioni in tempo reale in MS Defender per Office 365 Piano 1)
• Incidenti (noti anche come Indagini)
• Formazione alla simulazione di attacchi
• Indagine e risposta automatizzate

È importante sottolineare che tutte queste funzionalità forniscono la protezione necessaria raccogliendo dati dai tracker di minacce integrati in Microsoft Defender, quindi diamo un’occhiata più da vicino a questi per primi.

Tracker di Minacce

I tracker di minacce sono una raccolta di widget informativi, grafici e tabelle che forniscono monitoraggio di Office 365. Mostrano dettagli utili sulle minacce informatiche che possono influenzare la tua organizzazione. Le pagine dei tracker contengono cifre aggiornate periodicamente su rischi in tendenza come malware e schemi di phishing per indicare quali problemi sono attualmente i più pericolosi per la tua organizzazione. Inoltre, puoi trovare una colonna Azioni che ti reindirizza a Threat Explorer dove puoi visualizzare informazioni più approfondite.

Nota:

• I tracker di minacce sono inclusi nel Piano 2 di Microsoft Defender per Office 365 e è necessaria un’autorizzazione di amministratore globale, amministratore di sicurezza o lettore di sicurezza per utilizzarli.
• Per accedere ai Tracker delle Minacce per la tua organizzazione, vai su https://security.microsoft.com/, clicca su Email & collaborazione, quindi su Tracker delle Minacce. Puoi anche andare direttamente su https://security.microsoft.com/threattrackerv2.

Ci sono quattro diverse funzionalità nei tracker delle minacce: Tracker degne di nota, Tracker in tendenza, Query Tracciate e Query Salvate.

Tracker degne di nota

Questo widget mostra minacce nuove o esistenti di varia gravità e se esistono o meno all’interno del tuo ambiente Microsoft 365. In caso positivo, è possibile visualizzare anche collegamenti ad articoli utili che dettagliano il problema e come può influenzare la sicurezza di Office 365 nella tua organizzazione.

Il tuo team di sicurezza dovrebbe controllare regolarmente i tracker degne di nota poiché vengono pubblicati solo per un paio di settimane e poi sostituiti da elementi più recenti. Questo tiene aggiornata la lista in modo che tu possa rimanere informato su rischi più rilevanti.

Tracker in tendenza

I tracker in tendenza evidenziano le ultime minacce inviate alla tua email dell’organizzazione durante l’ultima settimana. Gli amministratori ottengono migliori informazioni visualizzando valutazioni dinamiche delle tendenze malware a livello di tenant e identificando il comportamento delle famiglie di malware.

Query Tracciate

Le query monitorate rappresentano un altro strumento di monitoraggio di Office 365 che valuta periodicamente l’attività nel tuo ambiente Microsoft sfruttando le query salvate. Si tratta di un processo automatico che fornisce informazioni recenti su attività sospette per garantire la protezione contro le minacce di Office 365.

Query salvate

Le ricerche nell’Explorer comuni o le query di tracciamento degne di nota che normalmente esegui possono essere memorizzate come query salvate. In questo modo, non è necessario creare una nuova ricerca ogni volta e accedere facilmente alle query salvate in precedenza.

Explorer delle minacce e rilevamenti in tempo reale

In Microsoft Defender per Office 365, l’Explorer, noto anche come Threat Explorer, consente agli esperti di sicurezza di analizzare le potenziali minacce che puntano la tua organizzazione e monitorare il volume degli attacchi nel tempo. Con questa funzione, puoi visualizzare rapporti dettagliati e raccomandazioni sulla politica per imparare come rispondere in modo efficiente alle minacce che cercano di penetrare la tua organizzazione.

Nota:

• L’Explorer è incluso nel piano 2 di Microsoft Defender per Office 365, mentre il piano 1 offre i rilevamenti in tempo reale.
• Per accedere a uno di questi strumenti, vai al Centro sicurezza e conformità e poi a Gestione minacce.

Threat Explorer fornisce informazioni importanti sulle minacce, come dati storici di base, metodi comuni di distribuzione e il possibile danno che potrebbe essere causato. Gli analisti possono utilizzare questo strumento come punto di partenza per le loro indagini per esaminare i dati relativi all’infrastruttura dell’attaccante, alle famiglie di minacce e ad altri parametri.

Verifica malware rilevato

È possibile utilizzare Explorer per visualizzare il malware scoperto nella posta elettronica dell’organizzazione. Il rapporto può essere filtrato per diverse tecnologie Microsoft 365.

Visualizza URL di phishing e dati del verdetto del clic

I tentativi di phishing tramite URL nei messaggi di posta elettronica sono anche mostrati in Threat Explorer. Questo rapporto include un elenco di URL consentiti, bloccati e sovrascritti ordinati in due tabelle:

• Primi URL: A volte gli attaccanti aggiungono URL validi insieme ai link dannosi per confondere il destinatario. Questo elenco contiene principalmente URL legittimi trovati nei messaggi che hai filtrato e sono ordinati per conteggio totale di posta elettronica.
• Clic più frequenti: Questi sono gli URL avvolti da Safe Links che sono stati aperti e sono ordinati per conteggio totale di clic. I collegamenti qui sono molto probabilmente dannosi e puoi trovare il conteggio del verdetto del clic di Safe Links accanto a ciascun URL.

Nota: Quando si configura il filtro anti-phishing di Office 365, è necessario configurare Safe Links e le relative politiche per identificare quali URL sono stati cliccati e beneficiare della protezione al momento del clic e della registrazione dei verdetto dei clic.

I valori del verdetto del clic visualizzati in Explorer ti aiutano a capire l’azione che è stata intrapresa una volta selezionato un URL:

• Ammesso: L’utente è riuscito a navigare all’URL.
• Bloccato: L’utente non è riuscito a navigare all’URL.
• Verdetto in sospeso: La pagina di detonazione in attesa è stata mostrata quando l’utente ha cliccato sull’URL.
• Errore: La pagina di errore è stata presentata all’utente poiché si è verificato un errore nel tentativo di catturare il verdetto.
• Errore: Si è verificata un’eccezione sconosciuta nel tentativo di catturare il verdetto. È possibile che l’utente abbia cliccato sull’URL.
• Nessuno: Non è stato possibile catturare il verdetto. È possibile che l’utente abbia cliccato sull’URL.
• Blocco annullato: L’utente ha annullato il blocco e ha navigato all’URL.
• Verdetto in sospeso bypassato: La pagina di detonazione è stata mostrata ma l’utente ha ignorato il messaggio per accedere all’URL.

Rivedere i messaggi di posta elettronica segnalati dagli utenti

Questo rapporto mostra dati relativi ai messaggi che gli utenti della tua organizzazione hanno segnalato come spam, non spam o phishing. Per ottenere risultati migliori, è consigliabile configurare la protezione dallo spam per Office 365.

Trovare e investigare email dannose che sono state consegnate

Le rilevazioni in tempo reale e l’Esploratore minacce danno al personale della sicurezza la possibilità di investigare attività ostili che potrebbero mettere a rischio la tua organizzazione. Le azioni disponibili sono:

• Individuare e identificare l’indirizzo IP di un mittente di email dannose
• Ricerca ed eliminazione dei messaggi
• Avvio di un incidente per condurre ulteriori indagini
• Controlla l’azione di consegna e la posizione
• Visualizza la cronologia della tua email

Visualizza i file dannosi rilevati in SharePoint Online, OneDrive e Microsoft Teams

I report nell’elenco Esplora forniscono informazioni sui file identificati come dannosi da Safe Attachments per OneDrive, Microsoft Teams e SharePoint Online. Gli amministratori possono anche visualizzare questi file in quarantena.

Controlla il rapporto sullo stato della protezione dalle minacce

Questo widget visualizza lo stato della tua sicurezza di Office 365. Oltre al conteggio dei messaggi di posta elettronica contenenti contenuti dannosi, puoi trovare anche:

• File o URL bloccati
• Purge automatico Zero-hour (ZAP)
• Link sicuri
• Allegati sicuri
• Funzionalità di protezione dall’usurpazione nelle politiche anti-phishing

Queste informazioni ti consentono di analizzare le tendenze della sicurezza in modo da poter determinare se le tue politiche necessitano di aggiustamenti.

Formazione alla simulazione di attacchi

Configura ed esegui attacchi informatici realistici ma benigni nella tua organizzazione per testare le tue politiche di sicurezza e identificare vulnerabilità prima che si verifichi un attacco effettivo. Queste simulazioni fanno parte della protezione dalle minacce di Office 365 poiché aiutano ad addestrare i tuoi dipendenti a rimanere vigili contro schemi di ingegneria sociale come gli attacchi di phishing.

Nota: Puoi accedere a questa funzionalità recandoti al portale di Microsoft 365 Defender > Email & collaborazione > Simulazione di attacco. Oppure vai direttamente alla pagina della simulazione di attacco.

La simulazione di attacco ha un flusso di lavoro specifico composto da una serie di passaggi che devi completare prima di lanciare l’attacco simulato.

Scegli una tecnica di ingegneria sociale

Per prima cosa, devi scegliere uno dei schemi di ingegneria sociale disponibili:

• Collegamento a malware: Esegue un codice arbitrario da un file ospitato su un servizio di condivisione file affidabile, quindi invia un messaggio contenente un collegamento a questo file dannoso. Se l’utente apre il file, il dispositivo viene compromesso.
• Raccolta credenziali: Gli utenti vengono reindirizzati a ciò che sembra essere un sito web ben noto dove possono inserire il loro nome utente e password.
• Collegamento in allegato: Un URL viene aggiunto a un allegato email e si comporta in modo simile alla raccolta credenziali.
• Allegato malware: Viene aggiunto un allegato dannoso a un messaggio. Se l’allegato viene aperto, il dispositivo del destinatario viene compromesso.URL di passaggio: Un URL reindirizza l’utente a un sito web familiare che installa codice dannoso in background. La protezione degli endpoint di Office 365 potrebbe non essere in grado di respingere tali minacce e di conseguenza, il dispositivo viene infettato.
• URL drive-by: Un URL reindirizza l’utente a un sito web familiare che installa codice dannoso in background. La protezione del punto di terminazione di Office 365 potrebbe non essere in grado di dissuadere tali minacce e di conseguenza il dispositivo viene infettato.

Scegli un nome e descrivi la simulazione

Il passo successivo è inserire un nome unico e descrittivo per la simulazione che stai creando. Una descrizione dettagliata è facoltativa.

Seleziona un Payload

In questa pagina, dovresti scegliere il payload che verrà presentato agli utenti nella simulazione. Potrebbe trattarsi di un messaggio di posta elettronica o di una pagina web. Puoi scegliere dal catalogo integrato che contiene i payload disponibili. È anche possibile creare un payload personalizzato che funzioni meglio con la tua organizzazione.

Utenti bersaglio

Qui selezioni gli utenti della tua azienda che riceveranno la formazione sulla simulazione di attacco. Puoi includere tutti gli utenti o scegliere bersagli e gruppi specifici.

Assegna la formazione

Microsoft raccomanda di assegnare la formazione per ogni simulazione che crei, dal momento che i dipendenti che la affrontano sono meno inclini a cadere vittime di un attacco simile. Puoi visualizzare i corsi e i moduli suggeriti e scegliere quelli che meglio si adattano alle tue esigenze in base ai risultati dell’utente.

Seleziona la notifica per l’utente finale

Questa scheda ti consente di configurare le impostazioni di notifica. Puoi aggiungere una notifica di rinforzo positivo se scegli Notifiche personalizzate per l’utente finale per incoraggiare i tuoi utenti una volta completata la formazione.

Indagine e risposta automatizzate (AIR)

Nella sicurezza di Office 365, le capacità di Indagine e Risposta Automatica (AIR) attivano allarmi automatici quando una minaccia ben nota prende di mira la tua organizzazione. Questo riduce il lavoro manuale e consente al tuo team di sicurezza di operare in modo più efficiente, rivedendo, prioritizzando e rispondendo di conseguenza.

Un’indagine automatizzata può essere avviata sia da un allegato sospetto arrivato in un messaggio di posta elettronica, sia da un analista che utilizza l’Esploratore delle Minacce. AIR raccoglie dati relativi all’email in questione, come destinatari previsti, file e URL. Gli amministratori e il personale di sicurezza possono rivedere i risultati dell’indagine e controllare le raccomandazioni per approvare o respingere le azioni di risanamento.

AIR può essere attivato da uno dei seguenti allarmi:

• A possibly malicious URL was clicked
• A user reported an email as phishing or malware
• Un messaggio di posta elettronica contenente malware o un URL di phishing è stato rimosso dopo la consegna
• A suspicious email sending pattern was detected
• A user is restricted from sending messages

Conclusione

L’indagine sulle minacce di Office 365 offre varie capacità che aiutano a proteggere i tuoi dati. Con il piano 2 di Microsoft Defender for Office 365, puoi utilizzare funzionalità avanzate come i tracker delle minacce e l’Esploratore delle Minacce. Puoi anche condurre un addestramento alla simulazione di attacchi per mantenere i tuoi utenti vigili e al sicuro da potenziali cyberattacchi. Inoltre, puoi configurare l’indagine e la risposta automatizzate (AIR) per alleggerire il carico di lavoro del tuo team di sicurezza, in modo che possano concentrarsi su minacce più prioritarie.

Detto ciò, l’unico modo per garantire una protezione completa di un ambiente Office 365 è implementare una soluzione moderna di protezione dei dati come NAKIVO Backup & Replication. La soluzione fornisce potenti capacità di backup e ripristino per Exchange Online, Teams, OneDrive for Business e SharePoint Online.