Panoramica di Office 365 Threat Intelligence

Importante :  Il presente articolo è stato tradotto automaticamente, vedere la dichiarazione di non responsabilità. Per visualizzare la versione inglese dell'articolo, fare clic qui.

Questo articolo spiega come usare Office 365 Threat Intelligence per identificare le minacce per l'organizzazione, rispondere ad attacchi di malware, phishing e di altro tipo rilevati da Office 365 e cercare indicatori di minacce che potrebbero essere stati ricevuti da report di utenti, altre persone all'interno della community per la sicurezza oppure nelle notizie o in altre fonti di informazioni. Threat Intelligence consente anche di determinare se gli attacchi rilevati sono mirati o meno. Per gli abbonati a Office 365 Enterprise E5, Threat Intelligence è incorporato nel sistema di sicurezza e conformità.

Che cos'è Threat Intelligence?

Office 365 vanta uno dei più grandi servizi di posta elettronica aziendale e famiglia di prodotti per la produttività al mondo e gestisce contenuti creati su milioni di dispositivi. Nell'intento di proteggere queste informazioni, Microsoft ha creato un vasto archivio di informazioni sulle minacce, oltre ai sistemi necessari per identificare schemi corrispondenti ad attacchi e attività sospette. In Office 365, la caratteristica Threat Intelligence è una raccolta di queste informazioni usate nell'analisi del tenant per trovare ed eliminare le minacce in maniera proattiva. Threat Intelligence è un set di strumenti e dashboard disponibili nel Centro sicurezza e conformità di Office 365 che consentono di identificare e rispondere alle minacce.

Office 365 Threat Intelligence monitora i segnali che provengono da diverse origini, come le attività degli utenti, le procedure di autenticazione, la posta elettronica, i PC compromessi e gli eventi imprevisti per la sicurezza. Questi dati possono essere analizzati e visualizzati per consentire ai decisori aziendali e agli amministratori globali e della sicurezza di Office 365 di comprendere e rispondere alle minacce per gli utenti e la proprietà intellettuale dell'organizzazione.

  • È possibile usare il dashboard delle minacce per visualizzare le minacce che sono già state gestite, oltre che come pratico strumento per segnalare ai decisori aziendali le azioni già intraprese da Threat Intelligence per proteggere l'azienda.

  • Se è in corso un attacco o si sta esaminando un attacco al proprio tenant di Office 365, usare Esplora minacce per analizzare le minacce. Esplora minacce mostra il volume degli attacchi nel tempo e consente di analizzare questi dati in base a famiglia di minaccia, infrastruttura dell'autore dell'attacco e altri parametri. Si può anche contrassegnare qualsiasi messaggio di posta elettronica sospetto per l'elenco degli eventi imprevisti.

  • È inoltre possibile contrassegnare i messaggi di posta elettronica sospetti presenti in Esplora minacce per un'indagine approfondita e gestire i risultati nell'elenco Eventi imprevisti, un modo pratico per mantenere il controllo durante un attacco.

Questo dashboard rappresenta un'eccellente risorsa quando occorre un riepilogo delle minacce al proprio tenant di Office 365. Offre un grafico delle minacce rilevate settimanalmente, contraddistinte da colori diversi, e rappresenta graficamente le tendenze del malware e le famiglie di malware identificate, oltre alle tendenze relative alla sicurezza nel settore e a un'utile mappa termica delle origini degli attacchi per il proprio tenant specifico. Il dashboard mostra anche agli amministratori globali e della sicurezza un elenco degli utenti maggiormente interessati e degli avvisi recenti su cui è possibile fare clic per ottenere maggiori informazioni, oltre ad altri utili riquadri di informazioni.

Schermata di grafici e diagrammi per riepilogo Dashboard di Business Intelligence rischio delle minacce specifiche tenant di Office 365

Il dashboard offre agli esperti della sicurezza un eccellente strumento per inviare report ai decisori aziendali, come gli amministratori delegati (CEO) o i direttori tecnici (CTO).

Il dashboard offre anche un punto di accesso alla pagina Esplora minacce e molti dei collegamenti disponibili connettono queste due visualizzazioni di Threat Intelligence. Ad esempio, il riquadro Analisi delle minacce nel dashboard contiene collegamenti che portano a Esplora minacce:

  • Mostra i messaggi rimossi dopo il recapito

  • Trova i messaggi dannosi inviati a qualcuno nell'organizzazione

Questo riquadro di riepilogo dovrebbe essere controllato ogni giorno.

All'apertura di Esplora minacce, viene visualizzato un grafico contraddistinto da colori diversi che rappresenta gli attacchi mirati all'organizzazione. La visualizzazione predefinita suddivide il malware per famiglia di minacce. Questo riquadro contiene una visualizzazione delle principali famiglie di malware, un elenco di messaggi di posta elettronica e una mappa delle origini dei messaggi. Mostra anche i principali utenti interessati.

NOTA  È possibile impostare le opzioni Tutta la posta elettronica e Malware per dominio del mittente, indirizzo IP del mittente, stato di protezione o tecnologia, oltre a esportare i dati del grafico e l'elenco di messaggi di posta elettronica.

Schermata della finestra di Esplora risorse rischio in Office 365 codificata a colori da una famiglia di malware

Quando si fa clic su una specifica famiglia di malware (ad esempio JS/Nemucod), vengono visualizzate informazioni dettagliate sull'impatto di tale malware sull'organizzazione e sulle azioni che può eseguire. Nel relativo riquadro delle minacce è disponibile la definizione della famiglia di malware. La visualizzazione di ogni minaccia principale mostra gli utenti interessati (destinatari, indirizzi dei mittenti, indirizzi IP e stato), oltre alle schede Dettagli tecnici, Dettagli globali e Analisi avanzata.

NOTA  I messaggi di posta elettronica sospetti eventualmente elencati nella scheda Utenti possono essere selezionati e aggiunti rapidamente a un processo di analisi per un ulteriore monitoraggio e approfondimento. In questo modo non si perdono nella mischia nel momento in cui dovesse emergere una minaccia.

La scheda Dettagli tecnici contiene un documento con informazioni estremamente dettagliate sulla minaccia malware, per consentire la ricerca di comportamenti specifici.

Se non si sa a quale profondità occorre eseguire la ricerca o non si conosce la portata dell'attacco, nella scheda Dettagli globali sono elencati i paesi e i settori maggiormente colpiti. Ad esempio, se si lavora nel settore manifatturiero in Giappone o in quello minerario negli Stati Uniti, i grafici forniscono un contesto e aiutano a determinare un livello di minaccia generale. Naturalmente, se si rileva che il proprio settore, nello specifico, è sottoposto ad attacchi sempre più spesso, significa che occorre mobilitare il team responsabile della sicurezza ed esaminare le informazioni di Esplora minacce in maniera proattiva.

Schermata di dettaglio globale di superiore rischi di Business Intelligence di rischio

Ogni file o documento allegato che supera i controlli di Advanced Threat Protection viene inserito in una sandbox, dove può essere aperto e testato per rilevare prove di attività dannose. In questo modo possono essere rilevate potenziali minacce, macro sospette o nuovo malware. Da queste esecuzioni di test vengono estratti degli indicatori e gli eventuali riscontri vengono inseriti nella scheda finale di una minaccia principale: Analisi avanzata.

I risultati delle esecuzioni di test sono disponibili in Comportamento osservato. Nell'esempio seguente, un file allegato non ha superato il test in quanto è stato trovato un programma di intercettazione password all'interno di una macro. L'indirizzo IP e l'URL con cui il file sta cercando di comunicare sono specificati in Traffico di rete. Infine è possibile vedere il file eseguibile scaricato dalla macro durante il test, ossia il motivo principale per cui questo test viene eseguito in un ambiente virtuale isolato creato per esporre le minacce prima che danneggino gli utenti.

Schermata di un'analisi advaned specifico dell'allegato del file

NOTA  Se si usano altri dispositivi o servizi di sicurezza per filtrare gli attacchi prima che raggiungano il sito di Office 365, Esplora minacce e la telemetria associata mostrano solo gli attacchi non rilevati dall'altro servizio o dispositivo. Tenere presente che questo scenario può cambiare i risultati di caratteristiche come Dettagli globali e Analisi avanzata.

Interventi di utilizzo per tenere traccia delle campagne di phishing o malware lo scopo gli utenti e il monitoraggio di trigger azioni quali eliminare gli allegati o spostare messaggi di posta elettronica in una cartella posta indesiderata.

Per creare un nuovo evento, cercare i messaggi identificati come sospetti nella visualizzazione Tutta la posta elettronica di Esplora minacce. Dopo aver filtrato la posta in modo da visualizzare solo i messaggi da monitorare o correggere, usare il pulsante Aggiungi messaggi a eventi per creare un nuovo evento o aggiungere i messaggi a un evento esistente.

Dopo aver aggiunto i messaggi a un evento, è possibile eseguire un'azione correttiva su di essi. Nella pagina Eventi imprevisti selezionare l'evento creato e quindi selezionare Invii di posta. Nella finestra di dialogo della posta inviata scegliere Sposta in posta indesiderata o Elimina allegati. Se per errore si spostano messaggi di posta elettronica in una cartella della posta indesiderata, è possibile recuperarli selezionando Sposta in Posta in arrivo.

Schermata dell'elenco di posta elettronica della riparazione operazioni non consentite

È possibile tenere traccia dello stato dell'azione correttiva avviata nella scheda Log azioni.

Gli stessi dati disponibili nel dashboard di Threat intelligence e in Esplora minacce sono disponibili anche nel Centro sicurezza e conformità e nell'API Management Activity di Office 365. I feed contengono:

  • Un record per ogni messaggio di posta elettronica che contiene una minaccia indirizzata alla propria organizzazione

  • Un record per ogni messaggio rimosso da Zero-Hour Auto Purge

La documentazione relativa ai feed di Threat Intelligence è disponibile qui: API Management Activity di Office 365

Nota : Dichiarazione di non responsabilità per la traduzione automatica: Il presente articolo è stato tradotto tramite un software di traduzione automatica e non da una persona. Microsoft offre le traduzioni automatiche per consentire a coloro che non conoscono la lingua inglese di leggere gli articoli sui prodotti, sui servizi e sulle tecnologie Microsoft. Dal momento che l'articolo è stato tradotto automaticamente, potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli.

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×