Vai al contenuto

Rilevamenti

I rilevamenti mostrano le attività su cui potrebbe essere necessario indagare.

I rilevamenti identificano le attività sui dispositivi che sono insolite o sospette ma che non sono state bloccate. Sono diversi dagli eventi, i quali prevedono invece l'individuazione e il blocco delle attività già identificate come dannose.

I rilevamenti vengono generati in base ai dati caricati dai dispositivi sul Sophos Data Lake. I dati vengono messi a confronto con regole di classificazione delle minacce. Quando viene individuata una corrispondenza, segnaliamo un rilevamento.

Questa pagina spiega come utilizzare i rilevamenti per cercare potenziali minacce.

Nota

I Casi possono raggruppare automaticamente i rilevamenti correlati per consentire analisi più avanzate. Vedere Casi.

Configurazione dei rilevamenti

Se ancora non si usano i rilevamenti, sarà necessario autorizzare i dispositivi a caricare dati sul Sophos Data Lake, per permetterci di utilizzare queste informazioni.

Si possono caricare dati provenienti dai prodotti Sophos e da prodotti di terze parti.

Per i caricamenti dai prodotti Sophos, vedere Caricamenti sul Data Lake. Per i caricamenti da prodotti di terze parti, vedere Integrazioni.

Visualizzazione dei rilevamenti

Per visualizzare i rilevamenti, selezionare Centro di analisi delle minacce > Rilevamenti.

La pagina Rilevamenti mostra i dati di rilevamento sotto forma di grafico a barre e di elenco.

Pagina Rilevamenti.

Il grafico a barre mostra un riepilogo dei rilevamenti più recenti su una linea temporale. Per impostazione predefinita, vengono mostrati i rilevamenti delle ultime 24 ore.

Grafico a barre dei Rilevamenti.

Utilizzo della barra di scorrimento dell’intervallo di tempo

È possibile utilizzare la barra di scorrimento per ingrandire i dettagli di un intervallo di tempo più breve, oppure per rimpicciolire i dettagli e visualizzare le informazioni di un intervallo più lungo. Basta cliccare sul punto di ridimensionamento all’estremità della barra e trascinarlo.

Si può anche impostare un intervallo di tempo diverso o personalizzato, utilizzando il menu sopra l’elenco dei rilevamenti.

Barra di scorrimento del grafico a barre dei Rilevamenti.

Passaggio del cursore del mouse su un elemento per visualizzare le statistiche

È anche possibile ottenere una ripartizione delle statistiche dei rilevamenti. Passare il cursore del mouse su una barra del grafico e posizionarlo su una banda, ad esempio Gravità alta, per visualizzare il numero di rilevamenti con quel livello di gravità.

Le statistiche del rilevamento verranno visualizzate quando l’utente passa il cursore del mouse sul grafico a barre.

Nota

Si può anche cliccare su una banda nel grafico a barre per visualizzare solo i rilevamenti di quel livello di gravità specifico nell’elenco dei rilevamenti.

Visualizzazione dell’elenco dei rilevamenti

L’elenco dei rilevamenti mostra tutti i rilevamenti e i seguenti dettagli:

  • Gravità. Il livello di rischio rappresentato da un rilevamento specifico.
  • Tipo. Il tipo di rilevamento. Attualmente, i tipi mostrati sono “Minaccia” e “Vulnerabilità”.
  • Rilevamento. Il nome del rilevamento.
  • Ora. L’ora di rilevamento.
  • Entità. Il dispositivo. In futuro, questa colonna verrà utilizzata per mostrare anche l’indirizzo IP o l’utente.
  • Categoria. Il tipo di origine. Endpoint, rete, firewall, e-mail, cloud, o provider di identità.
  • Origine. L’origine del rilevamento. L’origine può essere Sophos o un software di terze parti.
  • MITRE ATT&CK. La tattica e la tecnica Mitre ATT&CK corrispondenti.

Tabella dei Rilevamenti.

Modifica dell’intervallo di tempo

È possibile modificare l’intervallo di tempo dei rilevamenti che viene visualizzato nell’elenco dei rilevamenti e nel grafico a barre.

Nel menu a discesa sopra l’elenco, selezionare uno degli intervalli di tempo Più usati o cliccare su Intervallo di date assoluto per impostare un intervallo personalizzato.

Menu dell’intervallo di tempo.

Raggruppamento dei rilevamenti

I rilevamenti possono essere raggruppati in base alla regola con la quale hanno trovato corrispondenza.

  1. Nel menù a discesa Raggruppa per, selezionare ID di rilevamento.

    Opzione del menu Raggruppa per ID.

  2. I rilevamenti degli stessi eventi vengono raggruppati e visualizzati in una singola riga nell’elenco

    I Rilevamenti raggruppati in base all’ID nella tabella.

Filtro dei rilevamenti

È possibile filtrare i rilevamenti in base alla gravità, al tipo di minaccia, alla tattica MITRE ATT&CK utilizzata e ad altre caratteristiche.

  1. Nell’elenco Rilevamenti, cliccare su Mostra filtri.

    Elenco rilevamenti con il pulsante “Mostra filtri”.

  2. Cliccare su una categoria di filtro per visualizzare le caratteristiche che possono essere utilizzate come filtri. Ad esempio, cliccare su Tipo e selezionare Minaccia o Vulnerabilità.

    Elenco dei filtri.

  3. Cliccare su altre categorie e selezionare i filtri desiderati.

  4. Cliccare su Applica.

Per alcune categorie, ad esempio nome utente o nome del dispositivo, occorre immettere manualmente i termini da utilizzare per il filtro.

Per le categorie con molte caratteristiche selezionabili, come Tattica MITRE ATT&CK, è possibile cliccare su Seleziona tutto.

Per cancellare tutti i filtri, cliccare su Ripristina predefiniti.

È possibile applicare filtri sia ai rilevamenti che sono stati raggruppati, sia a quelli che non sono stati raggruppati.

Assegnazione di un ordine ai rilevamenti

È possibile ordinare l’elenco dei rilevamenti.

Cliccare sulle frecce di ordinamento accanto a un’intestazione di colonna per ordinare l’elenco in ordine alfabetico, numerico o di data, in ordine crescente o decrescente, oppure in ordine di priorità nella colonna Gravità.

Rilevamento ordinato in base alla gravità.

È possibile applicare l’assegnazione di un ordine sia ai rilevamenti che sono stati raggruppati, sia a quelli che non sono stati raggruppati.

Apertura e condivisione dei rilevamenti

  1. Cliccare sui tre puntini accanto al nome del rilevamento nella tabella Screenshot dell’icona con i puntini di sospensione..

  2. Cliccare su Apri in una nuova scheda per aprire i dettagli del rilevamento o su Copia link per condividere i dettagli con i colleghi.

    Menu dei rilevamenti con le opzioni di apertura e copia.

Visualizzazione dei dettagli di un rilevamento

Per visualizzare le informazioni complete di un rilevamento, ad esempio il dispositivo, gli utenti e i processi coinvolti, cliccare in qualsiasi punto della riga del rilevamento desiderato, all’interno della tabella.

Si aprirà un nuovo riquadro esterno sulla parte destra dello schermo.

Riquadro esterno con i dettagli del rilevamento.

Questo riquadro dei dettagli permette di controllare rapidamente i rilevamenti, di aprire più rilevamenti in nuove schede, di utilizzare query pivot, di ottenere dettagli da MITRE ATT&CK e di trovare rilevamenti simili.

Se si desidera visualizzare i dati completi sui quali si basano questi dettagli, cliccare sulla scheda Dati non elaborati.

Controllo rapido dei rilevamenti

Per controllare i dettagli di più rilevamenti, non occorre cambiare vista.

Cliccare su un rilevamento nella tabella principale per aprirne il riquadro esterno. Cliccare quindi su un altro rilevamento nella tabella. I dettagli del riquadro esterno cambieranno automaticamente, per mostrare i dettagli di quest’ultimo rilevamento.

Apertura di più rilevamenti

È possibile aprire più rilevamenti contemporaneamente in nuove schede, per poterli tenere aperti e confrontarli facilmente.

Nel riquadro esterno con i dettagli di un rilevamento, cliccare sul pulsante di espansione per aprire i dettagli del rilevamento in una nuova scheda.

Pulsante di espansione per aprire il rilevamento in una nuova scheda.

Utilizzo di query pivot, arricchimenti dei dati e azioni

È possibile ottenere maggiori informazioni sui rilevamenti utilizzando le query pivot.

Una query pivot consente di selezionare un dato significativo nei risultati di un rilevamento e di utilizzarlo come base per ulteriori indagini.

Nel riquadro esterno con i dettagli del rilevamento, saranno visibili tre puntini accanto ad alcune voci. Screenshot dell’icona con i puntini di sospensione.

Cliccare sull'icona per visualizzare le azioni che è possibile eseguire. Queste ultime dipenderanno dal tipo di dati.

  • Query. È possibile eseguire una query basta sui dati selezionati. Le query di Live Discover analizzano i dati presenti sui dispositivi (quando sono on-line). Le query sul Data Lake esaminano i dati che i dispositivi caricano sul Sophos Data Lake.
  • Arricchimenti dei dati. Gli arricchimenti dei dati aprono varie origini di dati di intelligence sulle minacce (ad esempio VirusTotal), che forniscono informazioni utili per indagare su una potenziale minaccia. Permettono anche di aprire i report di SophosLabs Intelix, se disponibili. Vedere Report di Intelix.
  • Azioni. Offrono ulteriori opzioni di rilevamento o correzione. Consentono, ad esempio, di eseguire la scansione di un dispositivo o di avviare Sophos Live Response per accedere a un dispositivo e svolgervi indagini.

Nell’esempio indicato, cliccando sull’icona accanto all’ID del processo Sophos è possibile eseguire query in base a quell’ID.

Menu pivot dei Rilevamenti.

Recupero di dettagli da MITRE ATT&CK

Per molti rilevamenti il riquadro dei dettagli di un rilevamento ne mostra la tattica MITRE ATT&CK.

Cliccare sulla freccia di apertura accanto alla tattica, per visualizzare la tecnica.

Cliccare sul link accanto a qualsiasi tattica o tecnica, ad esempio TA0002 Execution nello screenshot riportato di seguito, per accedere a dettagli più specifici sul sito web di MITRE.

Dettagli di rilevamento di MITRE.

Individuazione di rilevamenti simili

Nel riquadro esterno con i dettagli del rilevamento, cliccare su Rilevamenti simili. I rilevamenti simili verranno visualizzati nella tabella principale.

Aggiunta di rilevamenti a un caso

La funzionalità Casi raggruppa gli eventi sospetti segnalati dai Rilevamenti e aiuta a condurre indagini approfondite su questi eventi. Vedere Casi.

Nella pagina Rilevamentiè possibile aggiungere un rilevamento a un caso esistente oppure creare un nuovo caso.

Aggiunta a un caso

  1. Nell’elenco Rilevamenti, selezionare i rilevamenti che si desidera aggiungere.

    Pagina Rilevamenti con rilevamenti selezionati.

  2. Cliccare su Azioni > Aggiungi al caso.

    Menu Azioni.

  3. Cliccare su un caso e successivamente su Aggiungi al caso.

    Finestra di dialogo Aggiungi al caso.

Il nome del caso viene visualizzato nella colonna Casi per quel rilevamento e in fondo al rispettivo riquadro dei dettagli.

Il rilevamento è incluso nei dettagli del caso, alla pagina Casi.

Creazione di un caso

Per creare un nuovo caso e aggiungervi rilevamenti, procedere come segue:

  1. Nell’elenco Rilevamenti, selezionare i rilevamenti su cui si desidera svolgere indagini.

    Pagina Rilevamenti con rilevamenti selezionati.

  2. Cliccare su Azioni > Crea caso.

    Menu Azioni.

  3. In Crea caso, procedere come segue:

    1. Inserire un nome e una descrizione per il caso.
    2. Selezionare il livello di Gravità.
    3. Selezionare lo Stato (Nuovo o Indagine in corso).
    4. Selezionare un Assegnatario. Questo sarà l’amministratore che svolgerà indagini sul caso.
    5. Cliccare su Crea.

    Finestra di dialogo Crea caso.

Un caso viene aggiunto alla pagina Casi.

Il nome del caso viene visualizzato anche nella colonna Casi per quel rilevamento e in fondo al rispettivo riquadro dei dettagli.

Ricerca di potenziali minacce

I rilevamenti possono essere utilizzati per analizzare dispositivi, processi, utenti ed eventi alla ricerca di segni di potenziali minacce che non sono state bloccate da altre funzionalità Sophos. Per esempio:

  • Comandi insoliti che indicano tentativi di ispezione dei sistemi e persistenza al loro interno, elusione della protezione o furto di credenziali.
  • Avvisi di malware Sophos, come eventi di prevenzione dinamica dello shellcode, che indicano che un hacker potrebbe aver violato un dispositivo.
  • Rilevamenti di runtime su Linux, come le uscite dai container, che indicano che un hacker sta cercando di ottenere privilegi più elevati, per passare dall’accesso al container a quello all’host del container.

La maggior parte dei rilevamenti vengono correlati con il framework MITRE ATT&CK, che offre maggiori informazioni sulla tattica e sulla tecnica specifiche. Vedere https://attack.mitre.org/.

È anche possibile cercare indicatori di una minaccia sospetta o nota che Sophos ha rilevato altrove, oppure individuare software obsoleto o browser non sicuri.

Richiesta di assistenza

Il Supporto tecnico Sophos non può assistere nelle indagini sui rilevamenti.

Se si acquista il servizio Managed Detection and Response (MDR), i nostri analisti monitorano l’ambiente per rilevare eventuali attività dannose e contattano l’utente o avviano attività di risposta per suo conto 24/7. Vedere Managed Detection and Response.

Nota

Se si ritiene di aver subito una violazione della propria sicurezza e si richiede assistenza immediata, si consiglia di contattare il nostro team Rapid Response. Questo servizio è a pagamento. Vedere Sophos Rapid Response.