AI e ML in Microsoft Defender

Intelligenza Artificiale e Machine Learning per l'intelligence sulle minacce e la neutralizzazione automatica delle attività dannose.

Microsoft Defender offre una gamma completa di funzionalità di sicurezza per proteggere i dispositivi e i dati aziendali. Monitora costantemente il sistema per rilevare attività sospette e potenziali minacce e utilizza tecnologie avanzate come l’intelligenza artificiale e il machine learning per analizzare i dati in tempo reale e identificare comportamenti anomali.

 

Come utilizza l’AI e il ML Microsoft Defender?

Microsoft Defender Threat Intelligence sfrutta l’intelligenza artificiale per identificare ed eliminare le minacce informatiche moderne. Ad esempio, è in grado di analizzare il traffico di rete, rilevare modelli indicativi di attività dannose e correlare i dati tra i sistemi per individuare le minacce con velocità e precisione senza precedenti. I modelli di apprendimento automatico addestrati su dati storici possono prevedere potenziali attacchi, consentendo alle organizzazioni di rafforzare preventivamente le proprie difese.

Sistema di Autogestione delle Minacce: Microsoft Defender include un sistema di autogestione delle minacce che utilizza l’AI per automatizzare la risposta alle minacce. Questo sistema può rilevare e neutralizzare automaticamente le attività dannose, riducendo il tempo di reazione e migliorando la sicurezza complessiva. La protezione cloud e l’invio automatico di campioni lavorano insieme a Microsoft Defender Antivirus per proteggere contro nuove minacce emergenti.

  • Esempi di Utilizzo:

Rilevamento e Prevenzione delle Minacce: I sistemi basati sull’intelligenza artificiale sono in grado di rilevare le minacce informatiche con una velocità e una precisione senza precedenti. L’AI permette una risposta più rapida alle minacce analizzando il traffico di rete, identificando modelli indicativi di attività dannose e correlando i dati tra i sistemi.

Analisi Comportamentale: Una componente critica della sicurezza efficace è il riconoscimento dei segnali di minacce basati sui comportamenti degli utenti e delle applicazioni. I sistemi di intelligenza artificiale eccellono nell’analisi del comportamento degli utenti e delle entità (UEBA), soprattutto nella rilevazione di minacce interne o comportamenti dannosi.

Operazioni di Sicurezza Automatizzate: L’intelligenza artificiale può automatizzare le attività ripetitive nei SOC, come l’analisi dei log e il triage degli incidenti.

 

È corretto parlare solamente di AI in relazione a Microsoft Defender?

Parlare di intelligenza artificiale (AI) è corretto, ma potrebbe essere utile adottare un approccio più generico e includere anche altri termini correlati come l’apprendimento automatico (ML) e l’elaborazione del linguaggio naturale (NLP). Questi termini coprono una gamma più ampia di tecnologie e tecniche utilizzate per migliorare la sicurezza informatica e automatizzare la risposta alle minacce.

Ad esempio, l’AI è un termine generico che si riferisce a sistemi o macchine che imitano l’intelligenza umana per eseguire compiti e che possono migliorare iterativamente in base alle informazioni raccolte. L’apprendimento automatico (ML) è una sottocategoria dell’AI che utilizza algoritmi per analizzare dati, apprendere da essi e fare previsioni o decisioni senza essere esplicitamente programmato per eseguire tali compiti. L’elaborazione del linguaggio naturale (NLP) è un’altra sottocategoria dell’AI che si concentra sull’interazione tra computer e linguaggio umano, permettendo ai sistemi di comprendere, interpretare e rispondere al linguaggio umano in modo significativo.

Quindi, mentre parlare di AI è corretto, includere anche ML e NLP può fornire una visione più completa delle tecnologie utilizzate e delle loro applicazioni.

 

 

Guida all’attivazione dell’AI in Microsoft Defender

Accedi al portale di Office 365: Utilizza le tue credenziali aziendali per accedere al portale. Vai al menu delle applicazioni e seleziona “Centro Sicurezza e Conformità”. Trova Microsoft Defender sotto “Gestione delle minacce”.

 

Che linguaggio viene utilizzato in Microsoft Defender?

Microsoft Defender utilizza il linguaggio di query Kusto (KQL) per la ricerca avanzata e l’analisi dei dati. Questo linguaggio consente di costruire query per trovare informazioni in uno schema specializzato, aiutando gli utenti ad analizzare i dati e identificare minacce. In Microsoft Defender, puoi impiegare diverse tabelle per rilevare eventi di sicurezza.

Ecco alcune delle principali tabelle che puoi utilizzare:

  • DeviceProcessEvents: Contiene info sugli eventi di processo sui dispositivi, come programmi e script. Monitora attività sospette.
  • DeviceNetworkEvents: Raccoglie dati sugli eventi di rete, inclusi dettagli sulle connessioni. Identifica traffico sospetto.
  • DeviceFileEvents: Info sugli eventi relativi ai file, come creazione, modifica o eliminazione. Monitora attività file per possibili attacchi.
  • DeviceRegistryEvents: Dati sugli eventi del registro di sistema. Rileva modifiche sospette che potrebbero indicare malware.
  • DeviceImageLoadEvents: Eventi di caricamento immagini, come DLL e altri file. Monitora caricamenti sospetti.
  • DeviceEvents: Una tabella generale che raccoglie vari eventi, inclusi processo, rete, file e registro. Fornisce una visione d’insieme.
  • DeviceAlertEvents: Info sugli avvisi generati dai dispositivi. Monitora e risponde agli avvisi di sicurezza.
  • DeviceLogonEvents: Dati sugli eventi di accesso. Monitora e rileva accessi non autorizzati.
  • DeviceSecurityEvents: Info sugli eventi di sicurezza, come rilevamenti di malware e altre minacce. Monitora e risponde agli eventi di sicurezza.

Ricerca avanzata: La ricerca avanzata in Microsoft Defender sfrutta il linguaggio di query Kusto. Gli utenti possono impiegare operatori e istruzioni Kusto per formulare query mirate all’individuazione di informazioni specifiche. Ad esempio, è possibile eseguire query per identificare eventi di esecuzione di PowerShell che potrebbero includere un download, filtrando i dati secondo vari criteri quali il nome del file, il comando del processo e l’indirizzo IP remoto.

Incidenti e avvisi: Nella sezione “Incidenti e avvisi” della piattaforma Microsoft Defender, gli utenti possono visualizzare tutte le segnalazioni e procedere con un’analisi dettagliata attraverso query inserite nella sezione KQL. Questo consente un’analisi approfondita dei dati e una rapida identificazione delle minacce.


Cos’è il linguaggio Kusto e quali sono alcuni comandi utilizzabili?

Il linguaggio di query Kusto (KQL) rappresenta uno strumento avanzato per l’analisi dei dati, permettendo di esplorare dataset, individuare modelli, identificare anomalie e outlier, e sviluppare modelli statistici. KQL è progettato per interrogare dati strutturati, semistrutturati e non strutturati con efficienza. Il linguaggio è sia espressivo che leggibile, facilitando la comprensione e ottimizzando le operazioni di creazione di query.

Comandi disponibili in KQL

  • let: Definisce variabili temporanee che possono essere utilizzate nelle query. Ad esempio, è possibile definire una variabile per un intervallo di tempo specifico e utilizzarla in più parti della query.
  • where: Filtra i dati in base a condizioni specifiche. Ad esempio, è possibile filtrare i dati per mostrare solo gli eventi che si sono verificati negli ultimi 7 giorni.
  • summarize: Aggrega i dati in base a funzioni specifiche, come somma, media, conteggio, ecc. Ad esempio, è possibile aggregare i dati per calcolare il numero totale di eventi per ogni giorno.
  • project: Seleziona e rinomina colonne specifiche dai dati. Ad esempio, è possibile selezionare solo le colonne di interesse e rinominarle per una migliore leggibilità.
  • join: Unisce due tabelle in base a una chiave comune. Ad esempio, è possibile unire i dati degli eventi di processo con quelli degli eventi di rete per ottenere una visione completa delle attività sui dispositivi.
  • extend: Aggiunge nuove colonne ai dati esistenti. Ad esempio, è possibile calcolare nuove metriche e aggiungerle come colonne ai dati.
  • order by: Ordina i dati in base a una o più colonne. Ad esempio, è possibile ordinare gli eventi in base alla data e all’ora per visualizzare gli eventi più recenti per primi.
  • distinct: Rimuove i duplicati dai dati, restituendo solo le righe uniche. Ad esempio, è possibile utilizzare distinct per ottenere un elenco di indirizzi IP unici dai dati di rete.
  • take: Restituisce un numero specifico di righe dai dati. Ad esempio, è possibile utilizzare take per ottenere le prime 100 righe di un set di dati.
  • limit: Simile a take, limita il numero di righe restituite dai dati. Ad esempio, è possibile utilizzare limit per ottenere le prime 50 righe di un set di dati.
  • top: Restituisce le righe con i valori più alti o più bassi in una colonna specifica. Ad esempio, è possibile utilizzare top per ottenere le 10 righe con i valori di CPU più alti.
  • sort: Ordina i dati in base a una o più colonne. Ad esempio, è possibile utilizzare sort per ordinare gli eventi in base alla data e all’ora.
  • mv-expand: Espande i valori di una colonna che contiene array o oggetti JSON in righe separate. Ad esempio, è possibile utilizzare mv-expand per espandere una colonna che contiene un elenco di indirizzi IP in righe separate.
  • parse: Analizza i dati in base a un modello specifico. Ad esempio, è possibile utilizzare parse per estrarre informazioni da stringhe di testo complesse.
  • union: Combina i dati di più tabelle in un’unica tabella. Ad esempio, è possibile utilizzare union per combinare i dati degli eventi di processo e degli eventi di rete.

 

Esempi di query Kusto

Questo è un esempio di query Kusto per trovare tutti gli eventi di accesso ai dispositivi nelle ultime 24 ore:

DeviceLogonEvents

| where Timestamp > ago(24h)

| project Timestamp, DeviceName, AccountName, LogonType

| order by Timestamp desc

Questa query impiega la tabella “DeviceLogonEvents” per filtrare gli eventi di accesso registrati nelle ultime 24 ore. Essa seleziona le colonne “Timestamp”, “DeviceName”, “AccountName” e “LogonType”, ordinando i risultati in ordine decrescente di “Timestamp” al fine di visualizzare prima gli eventi più recenti.

  • Esistono delle query già create?

Esistono delle query già create e utilizzabili e vengono rese pubbliche nella sezione “Query Community” all’interno della sezione “Query” in “Rilevazione avanzata”:

 

Vuoi conoscere meglio Microsoft Defender, in relazione a Microsoft Sentinel? Leggi anche “Microsoft Defender vs Microsoft Sentinel: la Guida 2025

Cyber Security

Articoli correlati

Contattaci

La tua crescita parte da qui
Per maggiori informazioni

Contattaci

    Iscriviti alla newsletter

      Tematiche d'interesse