Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/mdr/help/it-it/index.html?contextId=threatAdvisor-monthly

Capire il report mensile

Panoramica

Il Punteggio della protezione di Sophos MDR costituisce un’analisi aggregata delle raccomandazioni per il miglioramento dello stato di sicurezza complessivo, e svolge un confronto tra i consigli implementati e quelli non applicati.

Le raccomandazioni della Verifica integrità account Sophos possono includere azioni quali l’attivazione delle funzionalità antiexploit (per proteggere i sistemi dai tentativi di furto di credenziali o di privilege escalation) o del rilevamento del traffico dannoso (per bloccare le comunicazioni con i server di comando e controllo). Le Verifiche integrità account Sophos servono a migliorare proattivamente il profilo di sicurezza e a rimuovere le vulnerabilità di sicurezza che potrebbero incidere negativamente sull’efficacia della protezione.

Il Punteggio complessivo di protezione sarà uno dei seguenti:

  • Se Verde, indica uno stato Ottimale (piena conformità alle best practice consigliate)
  • Se Giallo, indica uno stato di sicurezza Danneggiato (alcune configurazioni aumentano l’esposizione ai rischi, ma non influiscono sull’efficacia del servizio MDR)
  • Se Rosso, significa che la situazione richiede un intervento (sono presenti diverse configurazioni ad alto rischio, che impediscono al servizio MDR di funzionare a un livello ottimale)

Il Totale licenze distribuite fornisce informazioni sull’utilizzo della licenza, con un link che permette di accedere alla pagina delle Licenze su Central.

La Pipeline degli eventi fornisce visibilità sul panorama complessivo dei dati che vengono inviati attraverso Sophos, con informazioni su come il servizio MDR ha gestito ed elaborato i dati.

Punteggio della protezione.

Casi

Il report mensile include 3 mesi (90 giorni) di metriche dei casi per le linee di tendenza. Permette di visualizzare, nel tempo, il tipo di casi e la rispettiva origine del rilevamento.

Casi.

È anche disponibile un’analisi dettagliata delle metriche di un Caso per il mese corrente, in base allo Stato.

Casi in un mese, in base allo stato.

L’Attività dei casi elenca i casi attualmente aperti e quelli Risolti di recente, indicando: il numero del caso, il tipo di caso, una breve descrizione con un riepilogo, più lo stato del caso.

Stato del caso.

Rilevamenti totali

Il team MDR Ops lavora instancabilmente per migliorare le nostre capacità di rilevamento e questo potrebbe generare oscillazioni nel volume di rilevamenti osservati nel report. Queste variazioni potrebbero essere dovute all’eliminazione dei rilevamenti che offrivano informazioni limitate nel processo di identificazione delle minacce o all’ampliamento del nostro ambito di azione e visibilità per identificare minacce nuove ed emergenti.

La quantità totale dei rilevamenti delle minacce nel vostro ambiente sta crescendo, diminuendo o è stabile? Questa sezione fornisce approfondimenti sul volume totale di rilevamenti secondo i dati osservati nel corso di un mese e aiuta il team MDR Ops a identificare i punti di infezione delle attività potenzialmente ostili.

I Rilevamenti totali sono suddivisi in base al mese e al livello di gravità. Il report include 3 mesi di dati, per consentirne il confronto mese per mese.

Rilevamenti totali in un mese.

Riepilogo della classificazione dei rilevamenti

I rilevamenti MDR vengono classificati in categorie principali, per aiutare a capire i tipi di rilevamenti complessivi osservati sulla rete. Alcuni esempi includono i più comuni strumenti di attacco, l’esecuzione di PowerShell e la persistenza. Proprio come per tutti i rilevamenti, neanche questi sono di per sé indicatori di attività sospetta o dannosa e potrebbero riguardare dati sicuri.

DetectionClassificationSummary.

Framework MITRE ATT&CK

I rilevamenti MDR vengono mappati a tecniche specifiche del framework MITRE ATT&CK, una knowledge base ampiamente utilizzata che fornisce dati sui comportamenti degli hacker in base a osservazioni effettuate nel mondo reale. In questa sezione del report mensile viene fornita un’analisi dettagliata dei rilevamenti, in base alla percentuale.

Come per tutti i rilevamenti, anche questi non sono necessariamente dannosi e i comportamenti sicuri potrebbero trovare corrispondenza con varie tattiche e tecniche utilizzate dagli hacker. È importante sottolineare anche che il numero totale di casi MDR potrebbe essere diverso dal numero totale di tattiche ostili osservate. Un singolo caso MDR può includere tattiche multiple. Di conseguenza, il numero di tattiche potrebbe essere superiore a quello totale di casi MDR. È anche possibile che vengano creati casi MDR che non sono associati a una tattica di attacco (ad es. i casi della verifica dello stato di integrità) e che quindi fanno sì che il numero totale di casi MDR superi quello totale di tattiche dei cybercriminali.

Framework MITRE ATT&CK.

Rilevamenti delle integrazioni

Le integrazioni MDR mettono a disposizione degli esperti del team MDR tutti i dati fondamentali e sottraggono agli hacker sempre più possibilità di nascondersi. I Rilevamenti delle integrazioni indicano le integrazioni che hanno generato un rilevamento.

Rilevamenti delle integrazioni.

Le Altre attività di Sophos MDR contengono un elenco delle azioni di risposta intraprese più recentemente, oltre alle comunicazioni con il contatto o i contatti dell’account.

Azioni di risposta recenti.

Comunicazioni recenti.