Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/mdr/help/it-it/index.html?contextId=threatAdvisor-monthly

Capire il report mensile

Panoramica

Punteggio di integrità dell’account

Il Punteggio di integrità dell’account è un punteggio calcolato su 100. Indica se i dispositivi o i criteri utilizzano impostazioni consigliate e sicure. Inoltre, riflette il punteggio più basso tra tutti i diversi tipi di controlli di integrità. Per comprendere come viene calcolato il punteggio, vedere Punteggi del controllo integrità. Per visualizzare i dettagli di ogni controllo di integrità, cliccare sul link Maggiori informazioni per visitare la pagina Verifica integrità account in Sophos Central.

Le raccomandazioni della Verifica integrità account Sophos possono includere azioni quali l’attivazione delle funzionalità antiexploit (per proteggere i sistemi dai tentativi di furto di credenziali o di privilege escalation) o del rilevamento del traffico dannoso (per bloccare le comunicazioni con i server di comando e controllo). Le Verifiche integrità account Sophos servono a migliorare proattivamente il profilo di sicurezza e a rimuovere le vulnerabilità di sicurezza che potrebbero incidere negativamente sull’efficacia della protezione.

Il Punteggio complessivo di protezione sarà uno dei seguenti:

  • Se Verde, indica uno stato Ottimale (piena conformità alle best practice consigliate)
  • Se Giallo, indica uno stato di sicurezza Danneggiato (alcune configurazioni aumentano l’esposizione ai rischi, ma non influiscono sull’efficacia del servizio MDR)
  • Se Rosso, significa che la situazione richiede un intervento (sono presenti diverse configurazioni ad alto rischio, che impediscono al servizio MDR di funzionare a un livello ottimale)

Totale licenze distribuite

Il Totale licenze distribuite fornisce informazioni sull’utilizzo della licenza, con un link che permette di accedere alla pagina delle Licenze su Central.

Pipeline degli eventi

La Pipeline degli eventi fornisce visibilità sul panorama complessivo dei dati che vengono inviati attraverso Sophos, con informazioni su come il servizio MDR ha gestito ed elaborato i dati. Il primo livello, “Rilevamenti relativi alle minacce”, è per tutti i rilevamenti generati nell’ambiente. Poiché utilizza più regole di rilevamento per ridurre le informazioni superflue e concentrarsi sui rilevamenti sui quali è possibile intervenire, il secondo livello, “Rilevamenti in escalation e correlati”, riflette questo aspetto. Il livello successivo per i “Casi” riflette il numero di casi generati automaticamente, in base ai rilevamenti sui quali è possibile intervenire. “Escalation” sono i casi che richiedono la presa di consapevolezza, il contributo o l’azione del cliente. Gli “Incidenti” sono casi che riguardano un evento confermato di compromissione o accesso non autorizzato al sistema o ai sistemi e che rappresentano una minaccia imminente per le risorse del Cliente/dell’MSP, inclusi: attacchi con autori che agiscono in tempo reale, crittografia o eliminazione permanente dei dati, ed esfiltrazione.

Punteggio della protezione.

Casi

Il report mensile include 3 mesi (90 giorni) di metriche dei casi per le linee di tendenza. Permette di visualizzare, nel tempo, il tipo di casi e la rispettiva origine del rilevamento.

Casi.

È anche disponibile un’analisi dettagliata delle metriche di un Caso per il mese corrente, in base allo Stato.

Casi in un mese, in base allo stato.

L’Attività dei casi elenca i casi attualmente aperti e quelli Risolti di recente, indicando: il numero del caso, il tipo di caso, una breve descrizione con un riepilogo, più lo stato del caso.

Stato del caso.

Rilevamenti totali

Il team MDR Ops lavora instancabilmente per migliorare le nostre capacità di rilevamento e questo potrebbe generare oscillazioni nel volume di rilevamenti osservati nel report. Queste variazioni potrebbero essere dovute all’eliminazione dei rilevamenti che offrivano informazioni limitate nel processo di identificazione delle minacce o all’ampliamento del nostro ambito di azione e visibilità per identificare minacce nuove ed emergenti.

La quantità totale dei rilevamenti delle minacce nel vostro ambiente sta crescendo, diminuendo o è stabile? Questa sezione fornisce approfondimenti sul volume totale di rilevamenti secondo i dati osservati nel corso di un mese e aiuta il team MDR Ops a identificare i punti di infezione delle attività potenzialmente ostili.

I Rilevamenti totali sono suddivisi in base al mese e al livello di gravità. Il report include 3 mesi di dati, per consentirne il confronto mese per mese.

Rilevamenti totali in un mese.

Riepilogo della classificazione dei rilevamenti

I rilevamenti MDR vengono classificati in categorie principali, per aiutare a capire i tipi di rilevamenti complessivi osservati sulla rete. Alcuni esempi includono i più comuni strumenti di attacco, l’esecuzione di PowerShell e la persistenza. Proprio come per tutti i rilevamenti, neanche questi sono di per sé indicatori di attività sospetta o dannosa e potrebbero riguardare dati sicuri.

DetectionClassificationSummary.

Framework MITRE ATT&CK

I rilevamenti MDR vengono mappati a tecniche specifiche del framework MITRE ATT&CK, una knowledge base ampiamente utilizzata che fornisce dati sui comportamenti degli hacker in base a osservazioni effettuate nel mondo reale. In questa sezione del report mensile viene fornita un’analisi dettagliata dei rilevamenti, in base alla percentuale.

Come per tutti i rilevamenti, anche questi non sono necessariamente dannosi e i comportamenti sicuri potrebbero trovare corrispondenza con varie tattiche e tecniche utilizzate dagli hacker. È importante sottolineare anche che il numero totale di casi MDR potrebbe essere diverso dal numero totale di tattiche ostili osservate. Un singolo caso MDR può includere tattiche multiple. Di conseguenza, il numero di tattiche potrebbe essere superiore a quello totale di casi MDR. È anche possibile che vengano creati casi MDR che non sono associati a una tattica di attacco (ad es. i casi della verifica dello stato di integrità) e che quindi fanno sì che il numero totale di casi MDR superi quello totale di tattiche dei cybercriminali.

Framework MITRE ATT&CK.

Rilevamenti delle integrazioni

Le integrazioni MDR mettono a disposizione degli esperti del team MDR tutti i dati fondamentali e sottraggono agli hacker sempre più possibilità di nascondersi. I Rilevamenti delle integrazioni indicano le integrazioni che hanno generato un rilevamento.

Rilevamenti delle integrazioni.

Le Altre attività di Sophos MDR contengono un elenco delle azioni di risposta intraprese più recentemente, oltre alle comunicazioni con il contatto o i contatti dell’account.

Azioni di risposta recenti.

Comunicazioni recenti.