Category Archives: Advanced Threat Protection

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

Microsoft Defended Advanced Threat Protection (ATP) offre una varietà di strumenti che vi proteggono dagli attacchi di phising o dai siti poco sicuri.
È disponibile in diverse versioni: Microsoft Defender SmartScreen per Microsoft Edge, Microsoft Defender ATP network protection per gli altri browsers e numerazioni HTTP e HTTPS all’esterno del browser. Anche con una protezione di questo livello, Microsoft è cosciente del fatto che i team di security operations debbano poter personalizzare la protezione per il Web ed Internet a seconda delle singole esigenze dell’organizzazione.
Ora, tutto questo è possibile grazie alla console Microsoft Defender Security center.

La nuova funzionalità, attualmente in public preview, fa leva sulla protezione della rete in block mode e sull’ultima versione della piattaforma antimalware.
È consigliabile che le aziende abilitino dapprima la protezione della rete in modalità audit e, conseguentemente, si spostino in modalità di blocco.
Probabilmente, la vostra azienda utilizza metodi diversi per aggiornare la piattaforma antimalware: questo potrebbe avere come conseguenza il fatto che alcune macchine client si trovino in una versione diversa rispetto alla piattaforma. Vi consigliamo vivamente di aggiornare tutte le macchine perchè siano in grado di sfruttare la funzionalità.

Bene, ora che abbiamo parlato di prerequisiti, vediamo i vantaggi che un approccio di questo tipo può portare alle aziende.
Tenete in considerazione che gli hacker, per portare a termine i loro attacchi, utilizzano eccellenti tecniche di social engineering, in cui un URL o un indirizzo IP di phishing può essere rivolto ad un piccolo numero di utenti. Di conseguenza, è probabile che i team di security operations trovino URL maligni prima di Microsoft. Per questo motivo, hanno bisogno di strumenti veloci che blocchino questo tipo di attacchi.
Seconda cosa, le organizzazioni spesso acquistano sistemi di threat intelligence ed intendono utilizzarli per aumentare le funzionalità di threat intelligence di Microsoft.
Infine, può succedere che i servizi di intelligence e machine learning di Microsoft possano giudicare maligno un indicatore internet che impatta la produttività di un piccolo sottogruppo aziendale, come un team di security research. In questo caso, i gruppi di Security operations devono poter consentire questi indicatori, di modo che gli utenti vi accedano.

Per iniziare
Per revisionare URL, IP e domini presenti negli elenchi allow o block, seguite i seguenti passaggi:

1. Loggatevi all’interno di Microsoft Defender Security Center e recatevi su Settings > Rules > Indicators

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

2. Selezionate la tab IP addresses per visualizzare una lista di indirizzi IP.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

3. Selezionate URLs/Domains per visualizzare la lista di URL e domini.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

Per aggiungere una URL, un indirizzo IP o un dominio all’elenco di siti bloccati o permessi, seguite i seguenti passaggi.

1. Dalle impostazioni Indicators, recatevi sulla tab IP Addresses o URLs/Domains

2. Selezionate la voce Add Indicator dalla action bar

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

3. Inserite URL o Indirizzo IP e cliccate su Next.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

4. Scegliete fra le azioni seguenti, scrivete un titolo ed una descrizione per l’indicatore e cliccate su Next:

a. Allow – permette URL o IP all’interno dell’azienda, indipendentemente da quanto stabilito da Microsoft;
b. Alert only – permette agli utenti di accedere all’indicatore ma mostra loro un alert;
c. Alert and block – non permette ad utenti e processi di accedere a indirizzi URL o IP e presenta un alert; mostra una notifica di blocco all’utente assieme alla richiesta di contattare il dipartimento IT;
d. Warn – avvisa gli utenti quando stanno accedendo ad URL o indirizzi IP non sicuri, ma permette loro di ignorare l’avviso.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

5. Selezionate o la voce All machines in scope o Select from list: questo vi permette di targetizzare uno specifico gruppo di macchine.
In seguito, cliccate Next.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

6. Selezionate Save.

Come rimuovere URL o IP dall’elenco block or allow?
– Da IP Addresses o dalla tab URLs/Domains, selezionate l’indicatore che volete eliminare;
– cliccate su Delete.

Microsoft Defender ATP supporta gli IOC custom per URLs, indirizzi IP e domini

Microsoft, in questa funzionalità, vede un ottimo modo per sintonizzare le attuali funzionalità di protezione web.
Tenete anche presente che queste impostazioni sono comunicate tra client e cloud di Microsoft quindi saranno operative indipendentemente da dove si trovi il dispositivo.
Obiettivo di Microsoft è quello di portare all’interno delle Security Operation sempre più indicatori di customizzazione per proteggere le aziende.


Le informazioni presenti in questo post, sono prese dall’articolo: Microsoft Defender ATP supports custom IOCs for URLs, IP addresses, and domains.

Office 365 Advanced Threat Protection migliora la User Experience

Oggi vogliamo illustrarvi gli importanti cambiamenti alla user experience di Advanced Threat Protection.
L’obiettivo di Microsoft è quello di dare agli utenti la possibilità di prendere decisioni migliori che permettano di godere di una protezione proattiva.
Le nuove funzionalità danno agli utenti maggiori informazioni, rendendoli più autonomi ed in grado di prendere decisioni ragionate in tutta sicurezza.

Native Link Rendering
Il Native Link Rendering è ora disponibile per i clienti che utilizzano le Office Web Application (OWA).
Presto sarà messa a disposizione anche dei client Outlook. Questa nuova funzionalità, mostra il link originale all’utente, mentre il sistema lo trattiene in back end per analizzarlo.
Nessun’altra soluzione di sicurezza avanzata è in grado di fornire una funzionalità così potente e importante.
Il Native Link Rendering era molto richiesto dagli utenti poichè supporta l’educazione degli utenti finali fornendo loro visibilità dell’URL originale.

La feature ATP Safe Links ‘time-of-click-protection’ protegge gli utenti dalla navigazione su siti maligni. Per farlo, Safe Link cattura il link nel momento del click, offuscando l’URL originale: questo toglie agli utenti la possibilità di sapere come possa figurare una URL maligna. Per far sì che i clienti acquisiscano maggiore sicurezza e conoscenza sugli indicatori di link maligni, è necessario che il link originale venga mostrato.
La funzione di Native Link Rendering permette agli utenti di visualizzare il link originale. É una funzionalità unica e molto importante poichè fa sì che gli utenti prendano coscienza e siano più smart nei confronti dei link malevoli. Microsoft crede che educazione e presa di coscienza siano elementi fondamentali per la sicurezza ed il Native Link Rendering nasce proprio per educare e migliorare la consapevolezza degli utenti dando loro gli elementi per riconoscere le cyber minacce.

Office 365 Advanced Threat Protection migliora la User Experience
In questa immagine, la funzionalità di Native Link Rendering mostra la URL originale

Migliorate le pagine di Safe Links Warning
La user experience viene ulteriormente migliorata grazie alle pagine di Safe Links warning.
Di cosa si tratta? Sono pagine che forniscono dettagli specifici sul perchè venga generato un allarme. Le pagine di alert variano dal notificare all’utente che il link è ancora sotto analisi ad un avvertimento di errore generico.

Riepilogo delle pagine di Safe Links Warning
Riepilogo delle pagine di Safe Links Warning

Con queste informazioni aggiuntive, gli utenti hanno una percezione maggiore sul perchè un link venga segnalato.
In questo modo, anche l’utente finale ha la visibilità del quando e perchè le minacce vengano bloccate. Inoltre, utenti più informati possono prendere decisioni più ragionate e proteggersi meglio dalle minacce.

Feedback
Come di consueto, Microsoft chiede il feedback degli utenti, la loro voce è essenziale per continuare a migliorare ed aggiungere funzionalità che permettano di rendere Office 365 ancora più sicuro.