Vai al contenuto

Rilevamenti

I rilevamenti mostrano le attività su cui potrebbe essere necessario indagare.

Per visualizzare i rilevamenti, selezionare Centro di analisi delle minacce > Rilevamenti.

I rilevamenti identificano le attività sui dispositivi che sono insolite o sospette ma che non sono state bloccate. Sono diversi dagli eventi, i quali prevedono invece l'individuazione e il blocco delle attività già identificate come dannose.

I rilevamenti vengono generati in base ai dati caricati dai dispositivi sul Sophos Data Lake.

I dati vengono messi a confronto con regole di classificazione delle minacce. Quando viene individuata una corrispondenza, segnaliamo un rilevamento.

Questa pagina spiega come utilizzare i rilevamenti per cercare potenziali minacce.

Nota

Le Indagini possono raggruppare automaticamente i rilevamenti correlati per svolgere un'analisi più avanzata. Vedere Indagini.

Configurazione dei rilevamenti

Se ancora non si usano i rilevamenti, sarà necessario autorizzare i dispositivi a caricare dati sul Sophos Data Lake, per permetterci di utilizzare queste informazioni. Per farlo, procedere come segue.

  1. Aprire Impostazioni globali.
  2. Sotto Endpoint Protection o Server Protection, cliccare su Caricamenti sul Data Lake. Attivare i caricamenti.

    I caricamenti per computer e server devono essere attivati separatamente.

Cominceremo ora a mostrare i rilevamenti.

Per maggiori informazioni sui caricamenti dei dati, vedere Caricamenti sul Data Lake.

Visualizzazione dei dettagli dei rilevamenti

Per visualizzare i rilevamenti, selezionare Centro di analisi delle minacce > Rilevamenti.

I rilevamenti vengono raggruppati in base alla regola con cui hanno trovato corrispondenza e alla data. L'elenco dei rilevamenti mostra quanto segue:

  • Rischio. Il rischio viene calcolato su una scala da 1 (minimo) a 10 (massimo). Con le impostazioni predefinite, vengono visualizzati solo i rilevamenti con un punteggio pari o superiore a 7. Il punteggio può essere utile per stabilire la priorità con cui svolgere le indagini.
  • Regola di classificazione. Il nome della regola che ha trovato corrispondenza.
  • Conteggio. Il numero di volte in cui la regola di classificazione ha trovato corrispondenza in un determinato giorno.
  • Elenco di dispositivi. L'ultimo dispositivo con cui quel giorno la regola ha trovato corrispondenza e il numero di altri dispositivi con lo stesso rilevamento.
  • Primo rilevamento e Ultimo rilevamento. Il primo e l'ultimo rilevamento quel giorno, in base alla regola di classificazione.
  • Descrizione. L'elemento che la regola identifica.
  • Mitre ATT&CK. La Tattica e la Tecnica Mitre ATT&CK corrispondenti.

Per informazioni dettagliate su un rilevamento, ad esempio il dispositivo, gli utenti e i processi coinvolti, cliccare sulla freccia a destra.

Elenco dei rilevamenti

Ricerca di potenziali minacce

I rilevamenti possono essere utilizzati per analizzare dispositivi, processi, utenti ed eventi alla ricerca di segni di potenziali minacce che non sono state bloccate da altre funzionalità Sophos. Per esempio:

  • Comandi insoliti che indicano tentativi di ispezione dei sistemi e persistenza al loro interno, elusione della protezione o furto di credenziali.
  • Avvisi di malware Sophos, ad esempio eventi di prevenzione dinamica dello shellcode, che indicano che un hacker potrebbe aver violato un dispositivo.
  • Rilevamenti di runtime su Linux, come le uscite dai container, che indicano che un hacker sta cercando di ottenere privilegi più elevati, per passare dall’accesso al container a quello all’host del container.

La maggior parte dei rilevamenti vengono correlati con il framework MITRE ATT&CK, che offre maggiori informazioni sulla tattica e sulla tecnica specifiche. Vedere https://attack.mitre.org/

È anche possibile cercare indicatori di una minaccia sospetta o nota che Sophos ha rilevato altrove, oppure individuare software obsoleto o browser non sicuri.

Utilizzo di query pivot, arricchimenti dei dati e azioni

È possibile ottenere maggiori informazioni sui rilevamenti utilizzando le query pivot.

Una query pivot consente di selezionare un dato significativo nei risultati di un rilevamento e di utilizzarlo come base per ulteriori indagini.

Se si aprono i risultati completi di un rilevamento, verrà visualizzata un'icona con i puntini di sospensione accanto ad alcune voci. Screenshot dell'icona con i puntini di sospensione

Cliccare sull'icona per visualizzare le azioni che è possibile eseguire. Queste ultime dipenderanno dal tipo di dati.

  • Query. È possibile eseguire una query basta sui dati selezionati. Le query di Live Discover analizzano i dati presenti sui dispositivi. Le query sul Data Lake esaminano i dati che i dispositivi caricano sul Sophos Data Lake.
  • Arricchimenti dei dati. Questi siti web aperti di terze parti come VirusTotal o IP Abuse DB permettono di cercare informazioni su una potenziale minaccia individuata.
  • Azioni. Offrono ulteriori opzioni di rilevamento o correzione. È ad esempio possibile eseguire la scansione di un dispositivo o avviare Sophos Live Response per accedere a un dispositivo e svolgervi indagini.

In questo esempio, cliccando sull'icona accanto all'indirizzo IP è possibile eseguire query in base all'indirizzo IP o cercare informazioni di terze parti sui rischi associati.

Menu pivot Rilevamenti

Come ricevere assistenza

Il nostro servizio Managed Threat Response è in grado di monitorare un ambiente 24h su 24 e 7gg su 7 per rilevare attività dannose e rispondere immediatamente alle minacce.

Vedere https://www.sophos.com/it-it/products/managed-threat-response.aspx.

Nota

Se si ritiene di aver subito una violazione della propria sicurezza e si richiede assistenza immediata, si consiglia di contattare il nostro team Rapid Response. Questo servizio è a pagamento.

Vedere https://www.sophos.com/it-it/products/managed-threat-response/rapid-response.aspx.