Report settimanali e mensili di MDR
Come capire i report settimanali e mensili per i sottoambienti sulle attività di MDR.
Riepilogo dei sottoambienti
La sezione Riepilogo dei sottoambienti fornisce informazioni sul numero totale di sottoambienti, sulle modalità di risposta utilizzate, sui sottoambienti che utilizzano le integrazioni e sul punteggio di integrità dell’account.
Modalità di risposta
Le Modalità di risposta indicano il numero di sottoambienti per ogni modalità di risposta.
Conteggio dei sottoambienti che utilizzano integrazioni
Il conteggio dei sottoambienti che utilizzano integrazioni mostra il numero di sottoambienti con integrazioni abilitate che inviano attivamente dati. Se l’integrazione non è abilitata, il sottoambiente non viene conteggiato in questa sezione.
Punteggio di integrità dell’account
Il punteggio di integrità dell’account indica il numero di sottoambienti con il rispettivo punteggio di integrità complessivo in un intervallo di punteggi specifico. Indica se i dispositivi o i criteri utilizzano impostazioni consigliate e sicure. Inoltre, riflette il punteggio più basso tra tutti i diversi tipi di controlli di integrità.
Le raccomandazioni della Verifica integrità account Sophos possono includere impostazioni quali l’attivazione delle funzionalità antiexploit (per proteggere i sistemi dai tentativi di furto di credenziali o di privilege escalation) o del rilevamento del traffico dannoso (per bloccare le comunicazioni con i server di comando e controllo). Le Verifiche integrità account Sophos servono a migliorare proattivamente il profilo di sicurezza e a rimuovere le vulnerabilità di sicurezza che potrebbero incidere negativamente sull’efficacia della protezione.
Rilevamenti
Indica la variazione percentuale nei rilevamenti. I rilevamenti sono indicatori di attività generati automaticamente dalle tecnologie, che vengono valutati e classificati in base al loro potenziale di pericolo. Nella maggior parte dei casi questo dato è di natura puramente informativa e non genera di per sé la creazione di un caso. Spesso i rilevamenti includono elementi quali: esecuzioni di comandi, socket di rete aperti, eventi di autenticazione e applicazioni in esecuzione.
Casi
Indica la variazione percentuale nei Casi. sia che siano stati creati manualmente o automaticamente in seguito a un rilevamento, i casi vengono analizzati per stabilire se un rilevamento rappresenta una minaccia effettiva e se sono in corso attività dannose.
Escalation
Indica la variazione percentuale nei casi che richiedono input o azioni per il sottoambiente che non possono essere svolte autonomamente dal team MDR Ops.
Minacce attive
Indica la variazione percentuale nelle minacce attive. Le Minacce attive sono indicatori di attacco (IoA) o di compromissione (IoC) confermati, che sono stati osservati nella rete di un cliente.
Principali sottoambienti per numero di rilevamenti correlati alle minacce
Il team MDR Ops lavora instancabilmente per migliorare le nostre capacità di rilevamento e questo potrebbe generare oscillazioni nel volume di rilevamenti osservati nel report. Queste variazioni potrebbero essere dovute all’eliminazione dei rilevamenti che offrivano informazioni limitate nel processo di identificazione delle minacce o all’ampliamento del nostro ambito di azione e visibilità per identificare minacce nuove ed emergenti.
Questa sezione fornisce informazioni sui sottoambienti con il maggiore volume di rilevamenti, osservato nel corso di un mese o una settimana. Aiuta il team MDR Ops a identificare i punti di inflessione in potenziali attività degli active adversary.
Riepilogo della classificazione dei rilevamenti
I rilevamenti MDR vengono classificati in categorie principali, per aiutare a capire i tipi di rilevamenti complessivi osservati sulla rete. Alcuni esempi includono i più comuni strumenti di attacco, l’esecuzione di PowerShell e la persistenza. Non tutti i rilevamenti indicano attività sospetta o dannosa. Alcuni potrebbero essere associati a dati innocui che sono stati raccolti.
Framework MITRE ATT&CK
I rilevamenti MDR vengono mappati a tecniche specifiche del framework MITRE ATT&CK, una knowledge base ampiamente utilizzata che fornisce dati sui comportamenti degli hacker in base a osservazioni effettuate nel mondo reale. In questa sezione del report mensile viene fornita un’analisi dettagliata dei rilevamenti, in base alla percentuale.
Non tutti i rilevamenti rappresentano attività dannose, ed esistono comportamenti innocui che potrebbero essere simili a tattiche e tecniche note per essere utilizzate dagli active adversary. Inoltre, il numero totale di casi MDR potrebbe non corrispondere al numero totale di tattiche dei cybercriminali osservate. Questo può accadere per due motivi principali:
- Un singolo caso MDR potrebbe comprendere più tattiche degli active adversary, facendo così in modo che il numero totale di tattiche sia superiore al numero di casi.
- Alcuni casi MDR, come i casi del controllo integrità, potrebbero non includere tattiche tipiche dei cybercriminali, e questo potrebbe portare a osservare un numero di casi più alto rispetto a quello delle tattiche osservate.
Stato dei sottoambienti
La sezione Stato dei sottoambienti fornisce un riepilogo statistico dei report delle attività settimanali o mensili di MDR per ogni sottoambiente.