Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/partner/help/it-it/index.html?contextId=mdr-weekly-and-monthly-report

Report settimanali e mensili di MDR

Come capire i report settimanali e mensili per i Partner sulle attività di MDR.

Il report mensile di MDR include solo i clienti gestiti da un MSP o con sottoscrizione mensile.

Riepilogo dei clienti

La sezione Riepilogo dei clienti fornisce informazioni sul numero totale di clienti, sulle modalità di risposta utilizzate, sui clienti che utilizzano le integrazioni e sul punteggio di integrità dell’account.

Modalità di risposta

Le Modalità di risposta indicano il numero di clienti per ogni modalità di risposta.

Conteggio dei clienti che utilizzano integrazioni

Il Conteggio dei clienti che utilizzano integrazioni mostra il numero di clienti con integrazioni abilitate che inviano attivamente dati. Se l’integrazione non è configurata, il cliente non viene conteggiato in questa sezione.

Punteggio di integrità dell’account

Il punteggio di integrità dell’account indica il numero di clienti con il rispettivo punteggio di integrità complessivo in un intervallo di punteggi specifico. Indica se i dispositivi o i criteri utilizzano impostazioni consigliate e sicure. Inoltre, riflette il punteggio più basso tra tutti i diversi tipi di controlli di integrità.

Le raccomandazioni della Verifica integrità account Sophos possono includere impostazioni quali l’attivazione delle funzionalità antiexploit (per proteggere i sistemi dai tentativi di furto di credenziali o di privilege escalation) o del rilevamento del traffico dannoso (per bloccare le comunicazioni con i server di comando e controllo). Le Verifiche integrità account Sophos servono a migliorare proattivamente il profilo di sicurezza e a rimuovere le vulnerabilità di sicurezza che potrebbero incidere negativamente sull’efficacia della protezione.

Sezione Riepilogo report.

Rilevamenti

Indica la variazione percentuale nei rilevamenti. I rilevamenti sono indicatori di attività generati automaticamente dalle tecnologie, che vengono valutati e classificati in base al loro potenziale di pericolo. Nella maggior parte dei casi questo dato è di natura puramente informativa e non genera di per sé la creazione di un caso. Spesso i rilevamenti includono elementi quali: esecuzioni di comandi, socket di rete aperti, eventi di autenticazione e applicazioni in esecuzione.

Casi

Indica la variazione percentuale nei Casi. sia che siano stati creati manualmente o automaticamente in seguito a un rilevamento, i casi vengono analizzati per stabilire se un rilevamento rappresenta una minaccia effettiva e se sono in corso attività dannose.

Escalation

Indica la variazione percentuale nei casi che richiedono input o azioni per il cliente che non possono essere svolte autonomamente dal team MDR Ops.

Minacce attive

Indica la variazione percentuale nelle minacce attive. Le Minacce attive sono indicatori di attacco (IoA) o di compromissione (IoC) confermati, che sono stati osservati nella rete di un cliente.

Dati su rilevamenti, casi, escalation e minacce attive.

Principali clienti per numero di rilevamenti correlati alle minacce

Il team MDR Ops lavora instancabilmente per migliorare le nostre capacità di rilevamento e questo potrebbe generare oscillazioni nel volume di rilevamenti osservati nel report. Queste variazioni potrebbero essere dovute all’eliminazione dei rilevamenti che offrivano informazioni limitate nel processo di identificazione delle minacce o all’ampliamento del nostro ambito di azione e visibilità per identificare minacce nuove ed emergenti.

Questa sezione fornisce informazioni sui clienti con il maggiore volume di rilevamenti, osservato nel corso di un mese o di una settimana. Aiuta il team MDR Ops a identificare i punti di inflessione in potenziali attività degli active adversary.

Principali clienti per numero di rilevamenti correlati alle minacce in un mese.

Riepilogo della classificazione dei rilevamenti

I rilevamenti MDR vengono classificati in categorie principali, per aiutare a capire i tipi di rilevamenti complessivi osservati sulla rete. Alcuni esempi includono i più comuni strumenti di attacco, l’esecuzione di PowerShell e la persistenza. Non tutti i rilevamenti indicano attività sospetta o dannosa. Alcuni potrebbero essere associati a dati innocui che sono stati raccolti.

Riepilogo della classificazione dei rilevamenti.

Framework MITRE ATT&CK

I rilevamenti MDR vengono mappati a tecniche specifiche del framework MITRE ATT&CK, una knowledge base ampiamente utilizzata che fornisce dati sui comportamenti degli hacker in base a osservazioni effettuate nel mondo reale. In questa sezione del report mensile viene fornita un’analisi dettagliata dei rilevamenti, in base alla percentuale.

Non tutti i rilevamenti rappresentano attività dannose, ed esistono comportamenti innocui che potrebbero essere simili a tattiche e tecniche note per essere utilizzate dagli active adversary. Inoltre, il numero totale di casi MDR potrebbe non corrispondere al numero totale di tattiche dei cybercriminali osservate. Questo può accadere per due motivi principali:

  • Un singolo caso MDR potrebbe comprendere più tattiche degli active adversary, facendo così in modo che il numero totale di tattiche sia superiore al numero di casi.
  • Alcuni casi MDR, come i casi del controllo integrità, potrebbero non includere tattiche tipiche dei cybercriminali, e questo potrebbe portare a osservare un numero di casi più alto rispetto a quello delle tattiche osservate.

Framework MITRE ATT&CK.

Stato del cliente

La sezione Stato del cliente fornisce un riepilogo statistico dei report delle attività settimanali o mensili di MDR per ogni cliente.

Sezione Stato del cliente.