Rilevamenti

I rilevamenti mostrano le attività su cui potrebbe essere necessario indagare.

Per visualizzare i rilevamenti, selezionare Panoramica > Centro di analisi delle minacce > Rilevamenti.

I rilevamenti identificano le attività sui dispositivi che sono insolite o sospette ma che non sono state bloccate. Sono diversi dagli eventi, che prevedono l'individuazione e il blocco delle attività che sappiamo essere dannose.

I rilevamenti si basano sui dati caricati dai dispositivi sul Sophos Data Lake. Per informazioni su come configurare i caricamenti, vedere Caricamenti sul Data Lake.

I dati vengono verificati in base a regole di classificazione delle minacce. Quando viene individuata una corrispondenza, segnaliamo un rilevamento.

Assegniamo ai rilevamenti un punteggio di rischio da 1 (minimo) a 10 (massimo). Il punteggio indica quanto siamo certi che il rilevamento è correlato ad attività dannose.

Significato effettivo dei dettagli dei rilevamenti

I rilevamenti vengono raggruppati in base alla regola con cui hanno trovato corrispondenza e alla data. I dettagli dei rilevamenti indicano quanto segue:

  • Rischio. Il rischio viene calcolato su una scala da 1 (minimo) a 10 (massimo). Un punteggio pari a 0 significa che il livello di rischio non è stato determinato. Con le impostazioni predefinite, vengono visualizzati solo i rilevamenti con un punteggio pari o superiore a 7. Il punteggio può essere utile per stabilire la priorità con cui svolgere le indagini.
  • Regola di classificazione. Il nome della regola che ha trovato corrispondenza.
  • Conteggio. Il numero di volte in cui la regola di classificazione ha trovato corrispondenza in un determinato giorno.
  • Elenco di dispositivi. L'ultimo dispositivo con cui quel giorno la regola ha trovato corrispondenza e il numero di altri dispositivi con lo stesso rilevamento.
  • Primo/ultimo rilevamento. Il primo e l'ultimo rilevamento quel giorno, in base alla regola di classificazione.
  • Descrizione. L'elemento che la regola identifica.
  • Mitre ATT&CK. La Tattica e la Tecnica Mitre ATT&CK corrispondenti.

Come utilizzare i rilevamenti

I rilevamenti possono essere utilizzati per analizzare dispositivi, processi, utenti ed eventi alla ricerca di segni di potenziali minacce che non sono state bloccate da altre funzionalità Sophos. Per esempio:

  • Comandi insoliti che indicano tentativi di ispezione dei sistemi e persistenza al loro interno, elusione della protezione o furto di credenziali.
  • Avvisi di malware Sophos, ad esempio eventi di prevenzione dinamica dello shellcode, che indicano che un hacker potrebbe aver violato un dispositivo.

La maggior parte dei rilevamenti vengono correlati con il framework MITRE ATT&CK, che offre maggiori informazioni sulla tattica e sulla tecnica specifiche. Vedere https://attack.mitre.org/

È anche possibile intraprendere ulteriori azioni in base al rilevamento. Per esempio:

  • Cercare nei dispositivi segni di una minaccia sospetta o nota, se Sophos Central l'ha rilevata altrove o se ci sono segnalazioni di comportamento sospetto per un utente.
  • Individuare eventuali software obsoleti o browser con impostazioni non sicure.

Come ricevere assistenza

Il nostro servizio Managed Threat Response è in grado di monitorare un ambiente 24h su 24 e 7gg su 7 per rilevare attività dannose e rispondere immediatamente alle minacce.

Vedere https://www.sophos.com/it-it/products/managed-threat-response.aspx.

Nota Se si ritiene di aver subito una violazione della propria sicurezza e si richiede assistenza immediata, si consiglia di contattare il nostro team Rapid Response. Questo servizio è a pagamento.

Vedere https://www.sophos.com/it-it/products/managed-threat-response/rapid-response.aspx.