NAKIVO > Blog

Indagine e risposta alle minacce nella sicurezza di Office 365

Pubblicato: Settembre 14, 2022

Written by: NAKIVO Team

& Con il rischio sempre crescente dei crimini informatici, le aziende di tutto il mondo lottano per salvaguardare il loro bene più prezioso: i dati. Fortunatamente, Microsoft Defender per Office 365 fornisce agli amministratori e agli analisti IT funzionalità di indagine e risposta alle minacce, che consentono loro di proteggere in modo proattivo gli utenti e i dati.

Utilizzando queste funzioni di sicurezza integrate in Office 365, è possibile ottenere informazioni preziose sulle minacce comuni, raccogliere dati pratici e pianificare azioni di risposta efficaci. Il team di sicurezza può facilmente identificare, effettuare il monitoraggio e respingere le attività dannose prima che causino danni irreparabili all’organizzazione.

Questo post analizza i vari strumenti inclusi nelle funzionalità di indagine e risposta alle minacce di Microsoft. Continuate a leggere per avere una panoramica delle diverse funzioni e di come si combinano per creare uno scudo infallibile contro gli attacchi basati su file ed e-mail.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Che cos’è Office 365 Threat Investigation and Response?

Office 365 Threat Investigation and Response è un termine generico che si riferisce a una serie di funzionalità disponibili in Microsoft Defender per Office 365 piano 2. Questi strumenti aiutano gli amministratori e gli analisti IT a effettuare il monitoraggio e la raccolta di informazioni sulle potenziali minacce. I team di sicurezza possono quindi utilizzare le azioni di risposta disponibili nel portale Microsoft 365 Defender per affrontare i rischi in SharePoint Online, OneDrive for Business, Exchange Online e Microsoft Teams.

Con queste funzioni di sicurezza di Office 365, è possibile raccogliere dati da diverse origini, quali incidenti di sicurezza precedenti, attività degli utenti, autenticazione, e-mail e computer compromessi. Il flusso di lavoro di indagine e risposta alle minacce include quanto segue:

  • Explorer (rilevamenti in tempo reale in MS Defender per Office 365 Plan 1)
  • Incidenti (noti anche come indagini)
  • Formazione sulla simulazione di attacchi
  • Indagini e risposte automatizzate

È importante sottolineare che tutte queste funzionalità forniscono la protezione necessaria raccogliendo dati dai tracker di minacce integrati in Microsoft Defender, quindi esaminiamole più da vicino.

Monitoraggio delle minacce

Il monitoraggio delle minacce è una raccolta di widget, grafici e tabelle informativi che forniscono il monitoraggio di Office 365. Mostrano dettagli utili sulle minacce informatiche che possono influire sulla vostra organizzazione. Le pagine dei tracker contengono dati aggiornati periodicamente sui rischi di tendenza, come malware e schemi di phishing, per indicare quali sono attualmente i problemi più pericolosi per la tua organizzazione. Inoltre, è possibile trovare una colonna Azioni che reindirizza a Threat Explorer, dove è possibile visualizzare informazioni più approfondite.

Nota:

  • I tracker delle minacce sono inclusi in Microsoft Defender per Office 365 Plan 2 e per utilizzarli è necessaria l’autorizzazione di amministratore globale, amministratore della sicurezza o lettore della sicurezza.
  • Per accedere ai tracker delle minacce della propria organizzazione, andare su https://security.microsoft.com/, fare clic su e-mail & collaborazione, quindi Tracker delle minacce. È anche possibile andare direttamente a https://security.microsoft.com/threattrackerv2.

Ci sono quattro diverse funzioni nei tracker delle minacce: Tracker degni di nota, Tracker di tendenza, Query tracciate e Query salvate.

Tracker degni di nota

Questo widget mostra minacce nuove o esistenti di varia gravità e se sono presenti o meno nel tuo ambiente Microsoft 365. In caso affermativo, puoi anche visualizzare i collegamenti ad articoli utili che descrivono i dettagli del problema e il suo impatto sulla sicurezza di Office 365 nella tua organizzazione.

Il team di sicurezza deve controllare regolarmente i tracker degni di nota, poiché vengono pubblicati solo per un paio di settimane e poi sostituiti da elementi più recenti. In questo modo l’elenco rimane aggiornato e si può rimanere informati sui rischi più rilevanti.

Tracker di tendenza

I tracker di tendenza evidenziano le minacce più recenti inviate all’indirizzo e-mail dell’organizzazione durante l’ultima settimana. Gli amministratori ottengono informazioni più approfondite visualizzando valutazioni dinamiche delle tendenze del malware a livello di tenant e identificando il comportamento delle famiglie di malware.

Query tracciate

Le query tracciate sono un altro strumento di monitoraggio di Office 365 che valuta periodicamente l’attività nel tuo ambiente Microsoft sfruttando le query salvate. Si tratta di un processo automatico che fornisce informazioni recenti sulle attività sospette per garantire protezione dalle minacce di Office 365.

Query salvate

Le ricerche comuni di Explorer o le query di Noteworthy Tracker che si eseguono abitualmente possono essere memorizzate come query salvate. In questo modo non è necessario creare una nuova ricerca ogni volta e si può accedere facilmente alle query salvate in precedenza.

Explorer delle minacce e rilevamenti in tempo reale

In Microsoft Defender per Office 365, Explorer, noto anche come Explorer delle minacce, consente agli esperti di sicurezza di analizzare le potenziali minacce che prendono di mira la vostra organizzazione e di effettuare il monitoraggio del volume degli attacchi nel tempo. Con questa funzione, è possibile visualizzare report completi e raccomandazioni sui criteri per imparare come rispondere in modo efficiente ai rischi che cercano di infiltrarsi nella propria organizzazione.

Nota:

  • Explorer è incluso nel piano 2 di Microsoft Defender per Office 365, mentre il piano 1 offre rilevamenti in tempo reale.
  • Per accedere a uno di questi strumenti, vai su Sicurezza & Centro conformità quindi Gestione delle minacce.

Threat Explorer fornisce informazioni importanti sulle minacce, quali dati storici di base, metodi di diffusione comuni e possibili danni che potrebbero essere causati. Gli analisti possono utilizzare questo strumento come punto di partenza per le loro indagini, al fine di esaminare i dati in base all’Infrastruttura degli aggressori, alle famiglie di minacce e ad altri parametri.

Controlla il malware rilevato

È possibile utilizzare Explorer per visualizzare il malware rilevato nelle e-mail dell’organizzazione. Il report può essere filtrato in base alle diverse tecnologie Microsoft 365.

Visualizza l’URL di phishing e clicca sui dati del verdetto

Anche i tentativi di phishing tramite URL nei messaggi e-mail vengono visualizzati in Threat Explorer. Questo rapporto include un elenco di URL consentiti, bloccati e ignorati, ordinati in due tabelle:

  • URL principali: Gli aggressori a volte aggiungono URL validi insieme ai link dannosi per confondere il destinatario. Questo elenco contiene principalmente URL legittimi trovati nei messaggi filtrati e sono ordinati in base al numero totale di e-mail.
  • Clic più frequenti: Questi sono gli URL protetti da Safe Links che sono stati aperti e sono ordinati in base al numero totale di clic. I link qui riportati sono molto probabilmente dannosi ed è possibile trovare il conteggio dei clic di Safe Links accanto a ciascun URL.

Nota: Quando si imposta il filtro antiphishing di Office 365, è necessario configurare Safe Links e i relativi criteri per identificare quali URL sono stati cliccati e beneficiare della protezione al momento del clic e della registrazione dei verdetti sui clic.

I valori dei verdetti sui clic visualizzati in Explorer aiutano a comprendere l’azione intrapresa una volta selezionato un URL:

  • Consentito: L’utente è riuscito a navigare all’URL.
  • Bloccato: L’utente non è riuscito a navigare all’URL.
  • Verdetto in sospeso: La pagina in attesa di detonazione è stata visualizzata quando l’utente ha cliccato sull’URL.
  • Errore: La pagina di errore è stata presentata all’utente poiché si è verificato un errore durante il tentativo di acquisire il verdetto.
  • Errore: Si è verificata un’eccezione sconosciuta durante il tentativo di acquisire il verdetto. È possibile che l’utente abbia cliccato sull’URL.
  • Nessuno: Impossibile acquisire il verdetto. È possibile che l’utente abbia cliccato sull’URL.
  • Bloccato sovrascritto: L’utente ha ignorato il blocco e ha navigato verso l’URL.
  • Verdetto in sospeso ignorato: La pagina di detonazione è stata visualizzata, ma l’utente ha ignorato il messaggio per accedere all’URL.

Rivedere i messaggi e-mail segnalati dagli utenti

Questo rapporto mostra i dati relativi ai messaggi che gli utenti della tua organizzazione hanno segnalato come spam, non spam o phishing. Per ottenere risultati migliori, si consiglia di configurare protezione antispam per Office 365.

Individuare e analizzare le e-mail dannose che sono state consegnate

I rilevamenti in tempo reale e Threat Explorer offrono al personale addetto alla sicurezza la possibilità di analizzare attività ostili che potrebbero mettere a rischio l’organizzazione. Le azioni disponibili sono:

  • Individuazione e identificazione dell’indirizzo IP di un mittente di e-mail dannose
  • Individuazione ed eliminazione dei messaggi
  • Avvio di un incidente per condurre ulteriori indagini
  • Controllo dell’azione di consegna e dell’ubicazione
  • Visualizza la cronologia delle e-mail

Visualizza i file dannosi rilevati in SharePoint Online, OneDrive e Microsoft Teams

I report in Explorer elencano le informazioni sui file identificati come dannosi da Safe Attachments per OneDrive, Microsoft Teams e SharePoint Online. Gli amministratori possono anche visualizzare questi file in quarantena.

Controlla il report sullo stato della protezione dalle minacce

Questo widget mostra lo stato della sicurezza di Office 365. Oltre al conteggio dei messaggi e-mail che contengono contenuti dannosi, puoi anche trovare:

  • File o URL che sono stati bloccati
  • Eliminazione automatica zero-hour (ZAP)
  • Collegamenti sicuri
  • Allegati sicuri
  • Funzioni di protezione dall’impersonificazione nei criteri anti-phishing

Queste informazioni consentono di analizzare le tendenze in materia di sicurezza, in modo da poter determinare se i criteri adottati necessitano di adeguamenti.

Formazione sulla simulazione di attacchi

Configurare ed eseguire attacchi informatici realistici ma benigni nella propria organizzazione per testare i criteri di sicurezza e identificare le vulnerabilità prima che si verifichi un attacco reale. Queste simulazioni fanno parte della protezione dalle minacce di Office 365, poiché guidano i tuoi dipendenti a rimanere vigili contro schemi di ingegneria sociale come gli attacchi di phishing.

Nota: è possibile accedere a questa funzione andando su portale Microsoft 365 Defender > e-mail & collaborazione > Formazione sulla simulazione di attacchi. Oppure vai direttamente alla pagina Formazione sulla simulazione di attacchi.

La formazione sulla simulazione di attacchi ha un flusso di lavoro specifico che consiste in una serie di passaggi che devi completare prima di lanciare l’attacco simulato.

Scegliere una tecnica di ingegneria sociale

Primo, è necessario scegliere uno degli schemi di ingegneria sociale disponibili:

  • Collegamento al malware: Esegue un codice arbitrario da un file ospitato su un servizio di condivisione file affidabile, quindi invia un messaggio contenente un link a questo file dannoso. Se l’utente apre il file, il dispositivo viene compromesso.
  • Raccolta di credenziali: Gli utenti vengono reindirizzati a quello che sembra un sito web ben noto dove possono inserire il proprio nome utente e password.
  • Link nell’allegato: un URL viene aggiunto a un allegato di e-mail e si comporta in modo simile alla raccolta di credenziali.
  • Allegato malware: un allegato dannoso viene aggiunto a un messaggio. Se l’allegato viene aperto, il dispositivo della destinazione viene compromesso.
  • URL drive-by: un URL reindirizza l’utente a un sito web familiare che installa codice dannoso in background. La protezione degli endpoint di Office 365 potrebbe non essere in grado di contrastare tali minacce e, di conseguenza, il dispositivo viene infettato.

Scegli un nome e descrivi la simulazione

Il passo successivo consiste nell’inserire un nome univoco e descrittivo per la simulazione che stai creando. Una descrizione dettagliata è facoltativa.

Selezionare un payload

In questa pagina, è necessario selezionare il payload che verrà presentato agli utenti nella simulazione. Può trattarsi di un messaggio e-mail o di una pagina web. È possibile scegliere dal catalogo integrato che contiene i payload disponibili. È anche possibile creare un payload personalizzato che funzioni meglio con la propria organizzazione.

Utenti target

Qui è possibile selezionare gli utenti della propria azienda che riceveranno la formazione sulla simulazione di attacco. È possibile includere tutti gli utenti o scegliere destinazioni e gruppi specifici.

Assegnare la formazione

Microsoft consiglia di assegnare una formazione per ogni simulazione creata, poiché i dipendenti che la seguono sono meno propensi a cadere vittime di un attacco simile. È possibile visualizzare i corsi e i moduli suggeriti e scegliere quelli più adatti alle proprie esigenze in base ai risultati dell’utente.

Selezionare la notifica per l’utente finale

Questa scheda consente di configurare le impostazioni di notifica. È possibile aggiungere una notifica di rinforzo positivo se si sceglie Notifiche personalizzate per l’utente finale per incoraggiare gli utenti una volta completata la formazione.

Indagine e risposta automatizzate (AIR)

Nella sicurezza di Office 365, le funzionalità di indagine e risposta automatizzate (AIR) attivano avvisi automatici quando una minaccia nota è la destinazione della tua organizzazione. Ciò riduce il lavoro manuale e consente al tuo team di sicurezza di operare in modo più efficiente, esaminando, dando priorità e rispondendo di conseguenza.

Un’indagine automatizzata può essere avviata sia da un allegato sospetto arrivato in un messaggio di posta elettronica, sia da un analista che utilizza Threat Explorer. AIR raccoglie i dati relativi all’e-mail in questione, come i destinatari previsti, i file e gli URL. Gli amministratori e il personale addetto alla sicurezza possono esaminare i risultati dell’indagine e verificare i consigli per approvare o rifiutare le azioni correttive.

AIR può essere attivato da uno dei seguenti avvisi:

  • È stato cliccato un URL potenzialmente dannoso
  • Un utente ha segnalato un’e-mail come phishing o malware
  • Un messaggio e-mail contenente malware o URL di phishing è stato rimosso dopo la consegna
  • È stato rilevato un modello di invio di e-mail sospetto
  • A un utente è stato impedito di inviare messaggi

Conclusione

Office 365 Threat Investigation offre varie funzionalità che aiutano a proteggere i dati. Con Microsoft Defender per Office 365 piano 2, è possibile utilizzare funzioni avanzate come i tracker delle minacce e l’esploratore delle minacce. È inoltre possibile condurre simulazioni di attacchi per mantenere gli utenti vigili e al sicuro da potenziali attacchi informatici. Inoltre, è possibile impostare l’indagine e la risposta automatizzate (AIR) per alleggerire il carico di lavoro del team di sicurezza, in modo che possa concentrarsi sulle minacce più urgenti.

Detto questo, l’unico modo per garantire la protezione completa di un ambiente Office 365 è implementare una soluzione moderna di protezione dei dati come NAKIVO Backup & Replication. La soluzione offre potenti funzionalità di backup e ripristino per Exchange Online, Teams, OneDrive for Business e SharePoint Online.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Le persone leggono anche

Picture
Come utilizzare il backup della cartella PC di OneDrive
Picture
Come migrare da VMware a Hyper-V
Picture
Come configurare un dominio SSO vSphere in vCenter