This is the Trace Id: c3c2b45a292dbc5f17a9e67ce654625c
Passa a contenuti principali Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Visualizza tutti i prodotti Cybersecurity basata su intelligenza artificiale Sicurezza del cloud Sicurezza dati e governance Identità e accesso alla rete Privacy e gestione dei rischi Sicurezza per intelligenza artificiale Piccole e medie imprese SecOps unificate Zero Trust Prezzi Servizi Partner Perché Microsoft Security Sensibilizzazione sulla cybersecurity Storie di clienti Nozioni di base sulla sicurezza Versioni di valutazione dei prodotti Riconoscimento nel settore Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Blog di Microsoft Security Eventi di Microsoft Security Community tecnica Microsoft Documentazione Raccolta di contenuti tecnici Formazione e certificazioni Compliance Program per Microsoft Cloud Centro protezione Microsoft Service Trust Portal Microsoft Secure Future Initiative Hub soluzioni aziendali Contatto vendite Scarica la versione di valutazione gratuita Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Intelligenza artificiale di Microsoft Azure Space Realtà mista Microsoft HoloLens Microsoft Viva Calcolo quantistico Istruzione Automotive Servizi finanziari Enti pubblici Settore sanitario Produzione Vendita al dettaglio Trova un partner Diventa un partner Rete di partner Microsoft Marketplace Aziende software Blog Microsoft Advertising Centro per sviluppatori Documentazione Eventi Gestione delle licenze Microsoft Learn Microsoft Research Visualizza mappa del sito
Ecco il testo alternativo richiesto, senza menzionare il volto sfocato: **Testo alternativo:** Una persona che tiene un tablet in una sala server, mentre visualizza un dashboard con grafici e metriche di sistema sullo schermo.

Che cosa sono gli indicatori di compromissione (IOC)?

Informazioni su come monitorare, identificare e usare gli indicatori di compromissione e come rispondere a essi.
Scopri Microsoft Defender Threat Intelligence

Spiegazione degli indicatori di compromissione

Un indicatore di compromissione (IOC) è la prova che qualcuno potrebbe aver violato la rete o l'endpoint di un'organizzazione. Questi dati forensi non indicano solo una potenziale minaccia, ma segnalano che si è già verificato un attacco, ad esempio malware, credenziali compromesse o esfiltrazione di dati. I professionisti della sicurezza cercano gli IOC nei registri eventi, nelle soluzioni XDR (funzionalità di rilevamento e reazione estese) e nelle soluzioni SIEM (informazioni di sicurezza e gestione degli eventi). Durante un attacco, il team usa gli IOC per eliminare la minaccia e mitigare i danni. Dopo il ripristino, gli IOC consentono a un'organizzazione di comprendere meglio cosa è successo, in modo che il team di sicurezza dell'organizzazione possa rafforzare la sicurezza e ridurre il rischio di un altro evento imprevisto simile.

Esempi di indicatori di compromissione

Nella sicurezza IOC, l'IT monitora l'ambiente alla ricerca dei seguenti indizi di un attacco in corso:

Anomalie del traffico di rete

Nella maggior parte delle organizzazioni, esistono modelli coerenti per il traffico di rete che entra ed esce dall'ambiente digitale. Quando le condizioni cambiano, ad esempio se i dati che escono dall'organizzazione sono significativamente più numerosi o se c'è un'attività che proviene da una posizione insolita della rete, potrebbe essere il segno di un attacco.

Tentativi di accesso insoliti

Analogamente al traffico di rete, le abitudini lavorative delle persone sono prevedibili. Le persone di solito eseguono l'accesso dalle stesse posizioni e approssimativamente dagli stessi orari durante la settimana. I professionisti della sicurezza possono rilevare un account compromesso prestando attenzione agli accessi in orari dispari del giorno o da aree geografiche insolite, ad esempio un paese in cui un'organizzazione non ha alcun ufficio. È anche importante prendere nota di più accessi non riusciti dallo stesso account. Anche se le persone dimenticano periodicamente le password o hanno problemi di accesso, in genere sono in grado di risolvere la situazione dopo alcuni tentativi. La presenza di ripetuti tentativi di accesso non riusciti può indicare che qualcuno sta tentando di accedere all'organizzazione usando un account rubato.

Irregolarità degli account con privilegi

Molti utenti malintenzionati, che si tratti di interni o esterni, sono interessati ad accedere agli account amministrativi e ad acquisire dati sensibili. Il comportamento atipico associato a questi account, ad esempio un tentativo di escalation dei privilegi, può rappresentare un segno di violazione.

Modifiche alle configurazioni dei sistemi

Il malware viene spesso programmato per apportare modifiche alle configurazioni dei sistemi, ad esempio l'abilitazione dell'accesso remoto o la disabilitazione del software di sicurezza. Monitorando queste modifiche di configurazione impreviste, i professionisti della sicurezza possono identificare una violazione prima che si verifichi un danno eccessivo.

Installazioni o aggiornamenti software imprevisti

Molti attacchi iniziano con l'installazione di software, ad esempio malware o ransomware, progettato per rendere i file inaccessibili o per consentire agli utenti malintenzionati di accedere alla rete. Grazie al monitoraggio delle installazioni e degli aggiornamenti software non pianificati, le organizzazioni possono intercettare rapidamente questi IOC.

Numerose richieste per lo stesso file

La presenza di più richieste per un singolo file può indicare che un utente malintenzionato sta tentando di rubarlo e ha provato diversi metodi per accedervi.

Richieste insolite di Domain Name System

Alcuni utenti malintenzionati usano un metodo di attacco denominato "comando e controllo". Installano malware nel server di un'organizzazione che crea una connessione a un server di cui loro sono proprietari. Quindi, inviano comandi dal server al computer infetto per tentare di rubare i dati o interrompere le operazioni. La presenza di richieste DNS (Domain Name System) insolite consente all'IT di rilevare questi attacchi.

Come identificare gli IOC

I segni di un attacco digitale vengono registrati nei file di log. Come parte della sicurezza informatica IOC, i team monitorano regolarmente i sistemi digitali alla ricerca di attività sospette. Le moderne soluzioni SIEM e XDR semplificano questo processo attraverso algoritmi di intelligenza artificiale e Machine Learning che stabiliscono una linea di base per gli eventi che normalmente possono verificarsi nell'organizzazione e quindi avvisano il team delle eventuali anomalie. È anche importante coinvolgere i dipendenti al di fuori della sicurezza, che potrebbero ricevere messaggi di posta elettronica sospetti o scaricare accidentalmente un file infetto. Un buon programma di formazione sulla sicurezza aiuta i lavoratori a migliorare l'individuazione delle e-mail compromesse e offre loro la possibilità di segnalare tutto ciò che sembra strano.

Perché gli IOC sono importanti

Il monitoraggio degli IOC è fondamentale per ridurre i rischi per la sicurezza di un'organizzazione. Il rilevamento anticipato degli IOC consente ai team di sicurezza di rispondere e risolvere rapidamente agli attacchi, riducendo il tempo di inattività e le interruzioni. Il monitoraggio regolare offre anche ai team maggiori informazioni sulle vulnerabilità dell'organizzazione, che possono quindi essere attenuate.

Risposta agli indicatori di compromissione

Dopo aver identificato un IOC, i team di sicurezza devono rispondere in modo efficace per garantire il minor numero possibile di danni all'organizzazione. I passaggi seguenti consentono alle organizzazioni di rimanere concentrate e di arrestare le minacce il più rapidamente possibile:

Stabilire un piano di risposta agli eventi imprevisti

Rispondere a un incidente è stressante e richiede tempo, perché più a lungo gli utenti malintenzionati rimangono inosservati, più è probabile che riescano a raggiungere i loro obiettivi. Molte organizzazioni sviluppano un piano di risposta agli eventi imprevisti per guidare i team durante le fasi critiche di una risposta. Il piano descrive il modo in cui l'organizzazione definisce un evento imprevisto, i ruoli e le responsabilità, i passaggi necessari per risolvere un evento imprevisto e il modo in cui il team deve comunicare con i dipendenti e gli stakeholder esterni.

Isolare i sistemi e i dispositivi compromessi

Dopo che un'organizzazione ha identificato una minaccia, il team di sicurezza isola rapidamente le applicazioni o i sistemi sotto attacco dal resto delle reti. Ciò contribuisce a impedire che gli utenti malintenzionati accedano ad altre parti dell'azienda.

Eseguire analisi forensi

L'analisi forense consente alle organizzazioni di individuare tutti gli aspetti di una violazione, tra cui l'origine, il tipo di attacco e gli obiettivi degli utenti malintenzionati. L'analisi viene eseguita durante l'attacco per comprendere la portata della compromissione. Una volta ripresa dall'attacco, l'organizzazione dovrebbe condurre un'ulteriore analisi per aiutare il team a comprendere le possibili vulnerabilità e altre informazioni dettagliate.

Eliminare la minaccia

Il team rimuove l'utente malintenzionato e qualsiasi malware dai sistemi e dalle risorse interessati, il che può comportare la disconnessione dei sistemi.

Implementare miglioramenti alla sicurezza e ai processi

Una volta ripresa dall'incidente, è importante che l'organizzazione valuti perché l'attacco è avvenuto e se ci sono operazioni che avrebbe potuto eseguire per evitarlo. Potrebbe trattarsi di esserci semplici miglioramenti del processo e dei criteri che ridurranno il rischio di un attacco simile in futuro, oppure il team potrebbe identificare soluzioni a più lungo raggio da aggiungere a una roadmap per la sicurezza.



Soluzioni IOC

La maggior parte delle violazioni della sicurezza lascia una traccia forense nei file di log e nei sistemi. Imparare a identificare e monitorare questi IOC aiuta le organizzazioni a isolare ed eliminare rapidamente gli utenti malintenzionati. Molti team si occupano di soluzioni SIEM, come Microsoft Sentinel e Microsoft Defender XDR, che sfruttano l'intelligenza artificiale e l'automazione per far emergere gli IOC e correlarli con altri eventi. Un piano di risposta agli eventi imprevisti consente ai team di anticipare gli attacchi e arrestarli rapidamente. Quando si parla di sicurezza informatica, più velocemente le aziende capiscono cosa sta succedendo, più è probabile che riescano a fermare un attacco prima che costi loro denaro o danneggi la loro reputazione. La sicurezza IOC è fondamentale per aiutare le organizzazioni a ridurre il rischio di una violazione costosa.
Risorse

Scopri di più su Microsoft Security

  1.
Un uomo e una donna seduti a un tavolo, con la donna che scrive su un libro e un portatile visibile.

Microsoft Threat Protection

Identifica gli incidenti nella tua organizzazione e rispondi a essi con la protezione dalle minacce più recente.
Scopri di più
Una persona seduta alla scrivania che usa un portatile.

Microsoft Sentinel

Unifica dati e contesto di sicurezza per alimentare una difesa agentica con una soluzione SIEM & una piattaforma incentrata sull'IA.
Scopri di più
Una donna che guarda il suo cellulare.

Microsoft Defender XDR

Con le soluzioni XDR, potrai bloccare gli attacchi a endpoint, posta elettronica, identità, applicazioni e dati.
Scopri di più
Un gruppo di tre persone in un ufficio luminoso, sorridenti e concentrate mentre guardano un portatile tenuto da una sola persona.

Community di intelligence sulle minacce

Ottieni gli aggiornamenti più recenti dall'edizione community di Microsoft Defender Threat Intelligence.
Scopri di più
Torna alla sezione Prodotti correlati
DOMANDE FREQUENTI

Domande frequenti

  • Esistono diversi tipi di IOC. Alcuni dei più comuni sono:
    • Anomalie del traffico di rete
    • Tentativi di accesso insoliti
    • Irregolarità degli account con privilegi
    • Modifiche alle configurazioni di sistema
    • Installazioni o aggiornamenti software imprevisti
    • Numerose richieste per lo stesso file
    • Richieste insolite di Domain Name System
  • Un indicatore di compromissione è la prova digitale che si è già verificato un attacco. Un indicatore di un attacco è la prova che è probabile che si verifichi un attacco. Ad esempio, una campagna di phishing è un indicatore di attacco perché non ci sono prove che l'utente malintenzionato abbia violato la società. Tuttavia, se qualcuno fa clic su un collegamento di phishing e scarica malware, l'installazione del malware è un indicatore di compromissione.
  • Gli indicatori di compromissione nei messaggi di posta elettronica includono un'improvviso flusso di posta indesiderata, allegati o collegamenti insoliti o un messaggio di posta elettronica imprevisto inviato da una persona nota. Ad esempio, se un dipendente invia a un collega un messaggio di posta elettronica con uno strano allegato, ciò potrebbe indicare che il suo account è stato compromesso.
  • Esistono diversi modi per identificare un sistema compromesso. Una modifica del traffico di rete da un determinato computer potrebbe essere un indicatore della compromissione. Se una persona che di solito non ha bisogno di un sistema inizia ad accedervi regolarmente, è un segnale di allarme. Anche le modifiche alle configurazioni nel sistema o un'installazione software imprevista potrebbero indicare una compromissione.
  • Tre esempi di IOC sono:
    • Un account utente con sede in America del Nord inizia ad accedere alle risorse aziendali dall'Europa.
    • Migliaia di richieste di accesso su diversi account utente, che indicano che l'organizzazione è vittima di un attacco di forza bruta.
    • Nuove richieste di Domain Name System provenienti da un nuovo host o da un Paese in cui i dipendenti e i clienti non risiedono.

Segui Microsoft Security

Surface Pro Surface Laptop Copilot per le organizzazioni Copilot per l'utilizzo personale Microsoft 365 Esplora i prodotti Microsoft App di Windows 11 Profilo account Download Center Supporto Microsoft Store Resi Monitoraggio ordini Riciclaggio Garanzie commerciali Microsoft Education Dispositivi per l'istruzione Microsoft Teams per l'istruzione Microsoft 365 Education Office Education Formazione e sviluppo per gli insegnanti Offerte per studenti e genitori Azure per studenti
Intelligenza artificiale di Microsoft Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Piccole imprese Sviluppatore Microsoft Microsoft Learn Supporto per le app del marketplace di IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Aziende software Visual Studio Opportunità di carriera Informazioni su Microsoft Notizie aziendali Privacy in Microsoft Investitori Accessibilità
Italiano (Italia) Privacy per l'integrità dei consumer Riferimenti societari Contatta Microsoft Privacy Gestisci i cookie Condizioni per l'utilizzo Marchi Informazioni sulle inserzioni EU Compliance DoCs