This is the Trace Id: f8cedc8356999d0cbd98f8595f84a8a7
Passa a contenuti principali Perché Microsoft Security Cybersecurity basata su intelligenza artificiale Sicurezza del cloud Sicurezza dati e governance Identità e accesso alla rete Privacy e gestione dei rischi Sicurezza per intelligenza artificiale SecOps unificate Zero Trust Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) Microsoft Entra Agent ID Microsoft Entra per ID esterno Microsoft Entra ID Governance Microsoft Entra ID Protection Accesso a Internet Microsoft Entra Accesso privato Microsoft Entra Gestione delle autorizzazioni di Microsoft Entra ID verificato di Microsoft Entra ID dei carichi di lavoro di Microsoft Entra Microsoft Entra Domain Services Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender per endpoint Microsoft Defender per Office 365 Microsoft Defender per identità Microsoft Defender for Cloud Apps Gestione dell'esposizione in Microsoft Security Gestione delle vulnerabilità di Microsoft Defender Microsoft Defender Threat Intelligence Famiglia di prodotti Microsoft Defender per Business Premium Microsoft Defender per il cloud Microsoft Defender Cloud Security Posture Mgmt Gestione della superficie di attacco esterna di Microsoft Defender Firewall di Azure Firewall app Web Azure Protezione DDoS di Azure Sicurezza avanzata di GitHub Microsoft Defender per endpoint Microsoft Defender XDR Microsoft Defender for Business Funzionalità fondamentali di Microsoft Intune Microsoft Defender per IoT Gestione delle vulnerabilità di Microsoft Defender Analisi avanzata di Microsoft Intune Gestione privilegi endpoint Microsoft Intune Microsoft Intune Enterprise Application Management Assistenza remota di Microsoft Intune Microsoft Cloud PKI Conformità delle comunicazioni Microsoft Purview Microsoft Purview Compliance Manager Gestione del ciclo di vita dei dati di Microsoft Purview Microsoft Purview eDiscovery Microsoft Purview Audit Gestione dei rischi Microsoft Priva Richieste di diritti degli interessati Microsoft Priva Governance dei dati di Microsoft Purview Famiglia di prodotti Microsoft Purview per Business Premium Funzionalità di sicurezza dei dati Microsoft Purview Prezzi Servizi Partner Sensibilizzazione sulla cybersecurity Storie di clienti Nozioni di base sulla sicurezza Versioni di valutazione dei prodotti Riconoscimento nel settore Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Blog di Microsoft Security Eventi di Microsoft Security Community tecnica Microsoft Documentazione Raccolta di contenuti tecnici Formazione e certificazioni Compliance Program per Microsoft Cloud Centro protezione Microsoft Service Trust Portal Microsoft Secure Future Initiative Hub soluzioni aziendali Contatto vendite Scarica la versione di valutazione gratuita Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Intelligenza artificiale di Microsoft Azure Space Realtà mista Microsoft HoloLens Microsoft Viva Calcolo quantistico Sostenibilità Istruzione Automotive Servizi finanziari Enti pubblici Settore sanitario Produzione Vendita al dettaglio Trova un partner Diventa un partner Rete di partner Microsoft Marketplace Marketplace Rewards Società di sviluppo software Blog Microsoft Advertising Centro per sviluppatori Documentazione Eventi Gestione delle licenze Microsoft Learn Microsoft Research Visualizza mappa del sito

Cos'è la rilevazione delle minacce informatiche?

La rilevazione delle minacce informatiche è il processo di ricerca proattiva di minacce sconosciute o non rilevate nella rete, negli endpoint e nei dati di un'organizzazione.

Come funziona la rilevazione delle minacce informatiche

La rilevazione delle minacce informatiche usa i cacciatori di minacce per cercare preventivamente potenziali minacce e attacchi all'interno di un sistema o di una rete. Ciò consente di rispondere in modo agile ed efficiente a cyberattacchi sempre più complessi e gestiti dall'uomo. Anche se i metodi tradizionali di cybersecurity identificano le violazioni di sicurezza a posteriori, la rilevazione delle minacce informatiche parte dal presupposto che si sia verificata una violazione e può identificare, adattare e rispondere alle potenziali minacce immediatamente al momento del rilevamento.

Gli utenti malintenzionati sofisticati possono violare un'organizzazione e rimanere inosservati per lunghi periodi di tempo, giorni, settimane o anche di più. L'aggiunta della rilevazione delle minacce informatiche al profilo esistente di strumenti di sicurezza, come il rilevamento e reazione dagli endpoint (EDR) e la gestione delle informazioni di sicurezza e gestione degli eventi (SIEM), consente di prevenire e correggere attacchi che altrimenti potrebbero non essere rilevati dagli strumenti di sicurezza automatizzati.

Rilevazione delle minacce automatica

I cacciatori di minacce informatiche possono automatizzare alcuni aspetti del processo usando l'apprendimento automatico, l'automazione e l'intelligenza artificiale. L’uso di soluzioni come SIEM e EDR può aiutare i cacciatori di minacce a semplificare le procedure di ricerca monitorando, rilevando e rispondendo alle potenziali minacce. I cacciatori di minacce possono creare e automatizzare diversi playbook per rispondere a minacce diverse, riducendo così il carico dei team IT ogni volta che si verificano attacchi simili.

Strumenti e tecniche per la rilevazione delle minacce informatiche

I cacciatori di minacce hanno a disposizione numerosi strumenti, tra cui soluzioni come SIEM e XDR, progettati per collaborare.

  • SIEM: SIEM, una soluzione che raccoglie dati da più origini con l’analisi in tempo reale, può fornire ai cacciatori di minacce indizi su potenziali minacce.
  • Funzionalità di rilevamento e reazione estese (XDR): I cacciatori di minacce possono usare XDR, che fornisce l’intelligence sulle minacce e l’interruzione automatica degli attacchi, per ottenere una maggiore visibilità sulle minacce.
  • EDR: L'EDR, che monitora i dispositivi degli utenti finali, fornisce anche ai cacciatori di minacce un potente strumento, fornendo informazioni dettagliate sulle potenziali minacce all'interno di tutti gli endpoint di un'organizzazione.

Tre tipi di rilevazione delle minacce informatiche

La rilevazione delle minacce informatiche assume in genere una delle tre forme seguenti:

Strutturata: In una ricerca strutturata, i cacciatori di minacce cercano tattiche, tecniche e procedure (TTP) sospette che suggeriscono potenziali minacce. Piuttosto che rivolgersi ai dati o al sistema e cercare i responsabili della violazione, il cacciatore di minacce crea un'ipotesi sul metodo di un potenziale utente malintenzionato e opera metodicamente per identificare i sintomi di tale attacco. Poiché la rilevazione strutturata è un approccio più proattivo, i professionisti IT che usano questa tattica possono spesso intercettare o arrestare rapidamente gli utenti malintenzionati.

Non strutturata: In una ricerca non strutturata, il cacciatore di minacce informatiche cerca un indicatore di compromissione (IoC) ed esegue la ricerca da questo punto di partenza. Poiché il cacciatore di minacce può tornare indietro e cercare nei dati cronologici modelli e indizi, le ricerche non strutturate possono talvolta identificare minacce non rilevate in precedenza che potrebbero ancora mettere a rischio l'organizzazione.

Situazionale: La ricerca delle minacce situazionali dà priorità alle risorse o ai dati specifici all'interno dell'ecosistema digitale. Se un'organizzazione valuta che determinati dipendenti o asset rappresentano i rischi più elevati, può indirizzare i cacciatori di minacce informatiche a concentrare gli sforzi per prevenire o correggere gli attacchi contro queste persone, set di dati o endpoint vulnerabili.

Passaggi e implementazione della rilevazione delle minacce

I cacciatori di minacce informatiche seguono spesso questi passaggi fondamentali durante l'analisi e la correzione di minacce e attacchi:

  1. Creare una teoria o un'ipotesi su una potenziale minaccia. I cacciatori di minacce potrebbero iniziare identificando i TTP comuni di un utente malintenzionato.
  2. Condurre ricerche. I cacciatori di minacce analizzano i dati, i sistemi e le attività dell'organizzazione - una soluzione SIEM può essere uno strumento utile - e raccolgono ed elaborano le informazioni rilevanti.
  3. Identificare il trigger. I risultati delle ricerche e altri strumenti di sicurezza possono aiutare i cacciatori di minacce a riconoscere un punto di partenza per le loro indagini.
  4. Analizzare la minaccia. I cacciatori di minacce usano le loro ricerche e gli strumenti di sicurezza per determinare se la minaccia è dannosa.
  5. Rispondere e correggere. I cacciatori di minacce intervengono per risolvere la minaccia.

Tipi di minacce che i cacciatori possono rilevare

La rilevazione delle minacce informatiche è in grado di identificare un'ampia gamma di minacce diverse, tra cui:

  • Software dannoso e virus: Il Software dannosoSoftware dannoso impedisce l'uso di dispositivi normali ottenendo un accesso non autorizzato ai dispositivi endpoint. Gli Attacchi di phishing, spyware, adware, trojan, worm e ransomware sono tutti esempi di software dannoso. I virus, alcune delle forme più comuni di software dannoso, sono progettati per interferire con il normale funzionamento di un dispositivo registrando, danneggiando o eliminando i dati prima di diffondersi ad altri dispositivi in rete.
  • Minacce interne: Le minacce interne derivano da persone che hanno accesso autorizzato alla rete di un'organizzazione. Sia attraverso azioni dolose che attraverso comportamenti accidentali o negligenti, questi insider utilizzano in modo improprio o causano danni alle reti, ai dati, ai sistemi o alle strutture dell'organizzazione.
  • Minacce persistenti avanzate: Gli attori sofisticati che violano la rete di un'organizzazione e rimangono inosservati per un certo periodo di tempo rappresentano minacce persistenti avanzate. Questi utenti malintenzionati sono abili e spesso hanno risorse adeguate.
    Attacchi di ingegneria sociale: I cyberattacker possono usare la manipolazione e l'inganno per indurre i dipendenti di un'organizzazione a concedere l'accesso o informazioni riservate. Gli attacchi di ingegneria sociale più comuni includono il phishing, l'adescamento e lo scareware.

 

Procedure consigliate per la rilevazione delle minacce informatiche

Quando si implementa un protocollo di rilevazione delle minacce informatiche nell’organizzazione, tenere presenti le procedure consigliate seguenti:

  • Fornire ai cacciatori di minacce una visibilità completa dell’organizzazione. I cacciatori di minacce hanno più successo quando comprendono il quadro generale.
  • Mantenere strumenti di sicurezza complementari come SIEM, XDR ed EDR. I cacciatori di minacce informatiche si affidano alle automazioni e ai dati forniti da questi strumenti per identificare le minacce più rapidamente e con un contesto più ampio per una risoluzione più rapida.
  • Rimani informato sulle minacce e le tattiche emergenti più recenti. Gli utenti malintenzionati e le loro tattiche sono in continua evoluzione: assicurarsi che i cacciatori di minacce dispongano delle risorse più aggiornate sulle tendenze correnti.
  • Formare i dipendenti per identificare e segnalare i comportamenti sospetti. È possibile ridurre la possibilità di minacce interne mantenendo il personale informato.
  • Implementare la gestione delle vulnerabilità per ridurre l'esposizione complessiva al rischio da parte dell’organizzazione.

Perché la rilevazione delle minacce è importante per le organizzazioni

Poiché gli attori malintenzionati diventano sempre più sofisticati nei loro metodi di attacco, è fondamentale che le organizzazioni investano nella rilevazione proattiva delle minacce informatiche. Complementare a forme più passive di protezione dalle minacce, la rilevazione delle minacce informatiche colma le lacune della sicurezza, consentendo alle organizzazioni di correggere minacce che altrimenti non verrebbero rilevate. L'intensificarsi delle minacce da parte di utenti malintenzionati complessi significa che le organizzazioni devono rafforzare le loro difese per mantenere la fiducia nella loro capacità di gestire i dati sensibili e ridurre i costi associati alle violazioni della sicurezza.

Prodotti come Microsoft Sentinel possono contribuire a prevenire le minacce raccogliendo, archiviando e accedendo ai dati storici su scala cloud, semplificando le indagini e automatizzando le attività più comuni. Queste soluzioni possono fornire ai cacciatori di minacce informatiche strumenti potenti per proteggere l’organizzazione.

Altre informazioni su Microsoft Security

Microsoft Sentinel

L'analisi di sicurezza intelligente rileva e blocca le minacce nell'intera azienda.

Altre informazioni

Microsoft Defender Experts for Hunting

Estendi la rilevazione delle minacce proattiva oltre l'endpoint.

Altre informazioni

Microsoft Defender Threat Intelligence

Proteggi la tua organizzazione dagli hacker e dalle minacce di oggi, come il ransomware.

Altre informazioni

SIEM e XDR

Rileva, analizza e rispondi alle minacce sull'intero patrimonio digitale.

Altre informazioni

Domande frequenti

  • Un esempio di rilevazione delle minacce informatiche è una rilevazione basata su ipotesi in cui il cacciatore di minacce identifica le tattiche, le tecniche e le procedure sospette che un utente malintenzionato potrebbe usare, quindi ne cerca le prove all'interno della rete di un'organizzazione.

  • Il rilevamento delle minacce è un approccio attivo, spesso automatizzato, alla sicurezza informatica, mentre la rilevazione delle minacce è un approccio proattivo, non automatizzato.

  • Un centro operazioni per la sicurezza (SOC) è una funzione o un team centralizzato, in sede o esternalizzato, responsabile del miglioramento della postura di sicurezza informatica di un'organizzazione e della prevenzione, rilevamento e risposta alle minacce. La rilevazione delle minacce informatiche è una delle tattiche usate dai SOC per identificare e correggere le minacce.

  • Gli strumenti di rilevazione delle minacce informatiche sono risorse software a disposizione dei team IT e dei cacciatori di minacce per aiutare a rilevare e risolvere le minacce. Esempi di strumenti per la rilevazione delle minacce sono le protezioni antivirus e firewall, il software EDR, gli strumenti SIEM e l'analisi dei dati.

  • Lo scopo principale della rilevazione delle minacce informatiche è quello di rilevare e correggere in modo proattivo minacce e attacchi sofisticati prima che danneggino l'organizzazione.

  • L’Intelligence sulle minacce informatiche è il software di cybersecurity di informazioni e dati che raccoglie, spesso automaticamente, come parte dei protocolli di sicurezza per una migliore protezione dagli attacchi informatici. La rilevazione alle minacce consiste nel prendere le informazioni raccolte dall'intelligence sulle minacce e usarle per formulare ipotesi e azioni per la ricerca e la correzione delle minacce.

Segui Microsoft Security

Surface Pro Surface Laptop Surface Laptop Studio 2 Copilot per le organizzazioni Copilot per l'utilizzo personale Microsoft 365 Esplora i prodotti Microsoft App di Windows 11 Profilo account Download Center Supporto Microsoft Store Resi Monitoraggio ordini Riciclaggio Garanzie commerciali Microsoft Education Dispositivi per l'istruzione Microsoft Teams per l'istruzione Microsoft 365 Education Office Education Formazione e sviluppo per gli insegnanti Offerte per studenti e genitori Azure per studenti
Intelligenza artificiale di Microsoft Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Piccole imprese Sviluppatore Microsoft Microsoft Learn Supporto per le app del marketplace di IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Opportunità di carriera Informazioni su Microsoft Notizie aziendali Privacy in Microsoft Investitori Accessibilità Sostenibilità
Italiano (Italia)
Icona di rifiuto esplicito delle scelte di privacy Le tue scelte sulla privacy
Privacy per l'integrità dei consumer Riferimenti societari Contatta Microsoft Privacy Gestisci i cookie Condizioni per l'utilizzo Marchi Informazioni sulle inserzioni EU Compliance DoCs