Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/mdr/help/it-it/index.html?contextId=mode

Maggiori informazioni sulla Modalità di risposta alle minacce

Sappiamo che i team responsabili per la gestione dell’IT security possono avere caratteristiche molto diverse in termini di dimensioni, competenze ed esigenze. Il nostro obiettivo è permettere ai clienti di avere pieno controllo su come avviene l’escalation delle potenziali minacce, su quali azioni di risposta debbano (eventualmente) essere intraprese da noi e sulle persone da includere nelle comunicazioni.

Le subscription MDR Essentials e MDR Complete prevedono entrambe 2 opzioni di Modalità di risposta alle minacce:

  • Collabora

    La Modalità di risposta alle minacce “Collabora” invia notifiche sulle attività osservate, più consigli correlati a tali attività. Il team MDR Ops svolge indagini ma non intraprende alcuna azione di risposta senza il consenso o coinvolgimento attivo del cliente. Selezionando l’opzione Collabora, è possibile usufruire di alcune azioni di risposta del team MDR Ops, mentre il team aziendale interno o un altro Partner (ad es. un provider di servizi informatici gestiti) ne svolgerà altre.

    In questa modalità il team MDR Ops dovrà ricevere le dovute autorizzazioni per iscritto, prima di poter procedere con le azioni di risposta. Saremo come un copilota per il capitano, che in questo caso sarà il cliente.

    Collabora prevede anche un’opzione che autorizza il team MDR Ops ad agire in modalità Autorizza nel caso in cui Sophos non riceva conferma dopo aver cercato di raggiungere telefonicamente tutti i contatti specificati dal cliente. Se si desidera che Sophos segua questa strategia di azione, assicurarsi di selezionare la casella sotto Collabora in Sophos Central.

  • Autorizza

    La Modalità di risposta alle minacce “Autorizza” invia anche notifiche sulle attività osservate, ma tutte le azioni di contenimento (con neutralizzazione completa dell’attacco per i clienti MDR Complete) saranno gestite proattivamente dal team MDR Ops per conto del cliente, con informazioni sulla o sulle azioni intraprese. Selezionare l’opzione Autorizza significa affidarci la gestione di tutti i workload possibili, con notifica delle azioni di risposta intraprese e con l’escalation dei casi solo laddove siano necessarie azioni specifiche da parte del cliente o del suo team. In uno scenario come questo, assumeremo il ruolo di “capitano”.

Le modalità di risposta in azione

Procediamo ora a scoprire come funzionano le Modalità di risposta, utilizzando un esempio pratico:

Supponiamo che il team MDR Ops abbia identificato un attacco ransomware attivo nell’ambiente del cliente.

  • Collabora

    Il team MDR Ops segue la stessa procedura di contatto tramite telefono o e-mail descritta sopra. Tuttavia, magari il cliente non è in grado di svolgere le azioni di risposta necessarie, perché si trova in vacanza senza laptop oppure perché è a casa a prendersi cura di un figlio ammalato e ha bisogno di qualcuno che entri in azione per conto suo. In situazioni come queste, tutto quello di cui abbiamo bisogno è l’autorizzazione per eseguire queste azioni, e ci occuperemo noi di tutto.

  • Autorizza

    Il team MDR Ops intraprende rapidamente le azioni di risposta necessarie per neutralizzare l’attacco ransomware. Una volta annientata la minaccia, il team MDR Ops contatta il cliente telefonicamente o tramite e-mail e fornisce un resoconto dettagliato della minaccia e della o delle azioni svolte per neutralizzarla.