Microsoft Defender Experts for XDR è un servizio avanzato di rilevamento e risposta alle minacce (XDR) offerto da Microsoft, progettato per supportare le aziende nella protezione dei propri ambienti digitali. Integrando l'intelligenza artificiale con l'esperienza di analisti specializzati, il servizio fornisce monitoraggio proattivo, analisi delle minacce e raccomandazioni mirate per migliorare la sicurezza. Grazie a una visione completa delle minacce su endpoint, identità, e-mail, applicazioni e infrastrutture cloud, Defender Experts for XDR aiuta le organizzazioni a identificare e rispondere rapidamente agli attacchi, riducendo drasticamente il rischio di compromissioni. In questo articolo vedremo di approfondire le caratteristiche del servizio e quali sono delle possibili alternative nel caso si avesse bisogno di un approccio più personalizzato.
Col passare degli anni, il numero crescente delle minacce informatiche ha reso il lavoro degli esperti di cybersecurity uno sfiancante botta e risposta tra loro e gli agenti malevoli che infestano la rete.
I team di sicurezza non sono mai stati così tanto oberati di lavoro come adesso e le crescenti difficoltà legate alla gestione e al mantenimento delle infrastrutture di sicurezza aziendali possono rappresentare una sfida gravosa anche per professionisti che hanno a disposizione i migliori strumenti.
Chi utilizza Microsoft Defender XDR ha però un asso nella manica: il supporto dei professionisti Microsoft, fornito attraverso il servizio Defender Experts for XDR.
Questo servizio attualmente fornisce copertura per gli incidenti di Microsoft Defender XDR ed è stato progettato per dare man forte ai team di cybersecurity, riducendone il carico di lavoro e collaborando con loro per proteggerne l'organizzazione dalle attività malevole.
Microsoft Defender Experts for XDR offre capacità di operazioni di sicurezza end-to-end per monitorare, indagare e rispondere agli avvisi di sicurezza ed è pensato per i clienti con centri operativi di sicurezza (SOC) limitati, sovraccarichi di volume di avvisi, bisognosi di esperti qualificati o entrambe le casistiche.
Include anche la caccia alle minacce proattiva offerta da Defender Experts for Hunting (servizio separato che viene messo a disposizione nell’offerta di Experts for XDR).
Questi esperti possono intraprendere azioni in base ai ruoli concessi loro nel portale Microsoft Defender. Se agli analisti viene concesso il ruolo di lettore di sicurezza, possono indagare e fornire una risposta gestita affinché il team SOC agisca di conseguenza. Se, invece, gli viene concesso il ruolo di operatore di sicurezza, possono anche intraprendere azioni di rimedio specifiche concordate con il team SOC.
Scopriamo di più nelle prossime sezioni.
Microsoft Defender Experts for XDR è un servizio gestito di rilevamento e risposta esteso che aiuta i centri operativi di sicurezza (SOC) a concentrarsi e rispondere con precisione agli incidenti. Fornisce rilevamento e risposta estesi per i clienti che utilizzano i servizi Microsoft Defender XDR: Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps e Microsoft Entra ID.
Gli analisti cacceranno proattivamente le minacce su endpoint, email, identità e app cloud, eseguendo le operazioni per conto nostro.
Per farlo, gli esperti Microsoft necessiteranno di accesso ai dati di caccia avanzata di Microsoft Defender XDR in nostro possesso e acquistare questo servizio significa concedere il permesso a questi esperti di accedere a tali dati.
I dati operativi di Defender Experts for XDR, come i ticket dei casi e le note degli analisti, vengono generati e archiviati in un data center Microsoft nella regione degli Stati Uniti per la durata del servizio, indipendentemente dalla posizione di archiviazione del servizio Microsoft Defender XDR.
I dati generati per il pannello di reporting sono archiviati nella posizione di archiviazione del servizio Microsoft Defender XDR del cliente. Questi e i dati operativi verranno conservati per un periodo di grazia di massimo 90 giorni dopo la scadenza dell'abbonamento del cliente.
Se il cliente termina il proprio abbonamento, i dati verranno eliminati entro 30 giorni. Tutti i dati utilizzati per la caccia provenienti dai servizi Defender esistenti continueranno a risiedere nella posizione di archiviazione originale del servizio Microsoft Defender XDR del cliente.
Defender Experts for XDR amplia le capacità del proprio SOC, combinando l'automazione con l'expertise degli analisti di sicurezza Microsoft. Questa combinazione aiuta a rilevare e rispondere alle minacce con precisione e a migliorare significativamente la propria postura di sicurezza.
Con una profonda esperienza sui prodotti alimentata dall'intelligence sulle minacce, i professionisti della casa di Redmond possono aiutare i propri esperti di sicurezza a:
Oltre alla ricerca e all'intelligence costantemente aggiornata, personalizzata per le minacce attualmente rilevate attraverso i vari segnali di Microsoft Defender XDR, si riceverà anche una risposta gestita dagli analisti di sicurezza e supporto dai responsabili della consegna dei servizi focalizzati sulla sicurezza di Microsoft (SDM).
Vediamo le funzionalità principali del servizio nella tabella seguente.
Per implementare correttamente i processi aziendali all'interno dell'ecosistema Microsoft 365, è necessario un team con competenze trasversali:
Dev4Side Software ha le competenze tecniche verticali per fornirti un unico punto di contatto, trasversale per tutti gli elementi della tua sottoscrizione.
Adesso che abbiamo un’idea più chiara di questo servizio, è il momento di vedere un po’ più da vicino il come può aiutarci.
Una volta che il team di Defender Experts for XDR è pronto per avviare l'onboarding della propria organizzazione, riceveremo un'email di benvenuto per proseguire con la configurazione e iniziare.
Selezioniamo il link nell'email di benvenuto per avviare direttamente la configurazione delle impostazioni di Defender Experts nel portale Microsoft Defender. Potremo aprire questa configurazione anche andando su Settings > Defender Experts e selezionando "Get started".
Per impostazione predefinita, Defender Experts for XDR richiede l'accesso come Service provider, che consente agli esperti di Microsoft di accedere al proprio tenant e fornire i servizi in base ai ruoli di sicurezza assegnati.
Si dovrà concedere agli esperti uno o entrambi i seguenti permessi:
Defender Experts for XDR consente di escludere dispositivi e utenti dalle azioni di rimedio intraprese dagli esperti e di ottenere invece indicazioni per il rimedio per tali entità. Queste esclusioni si basano sui gruppi di dispositivi identificati in Microsoft Defender for Endpoint e sui gruppi di utenti identificati in Microsoft Entra ID.
Il servizio consente anche di determinare le persone o i gruppi all'interno della propria organizzazione che devono essere notificati in caso di incidenti critici, aggiornamenti del servizio, richieste occasionali e altre raccomandazioni:
Una volta identificati, le persone o i gruppi riceveranno un'email che li avvisa di essere stati designati come contatti per la notifica degli incidenti o per la revisione del servizio.
Oltre all'email e alla chat nel portale, si ha anche la possibilità di utilizzare Microsoft Teams per ricevere aggiornamenti sulle risposte gestite e comunicare con gli esperti Microsoft in tempo reale.
Quando questa impostazione è attivata, viene creato un nuovo team chiamato "Defender Experts team", dove le notifiche di risposta gestita relative agli incidenti in corso vengono inviate come nuovi post nel canale "Managed response". Defender Experts avrà accesso a tutti i messaggi pubblicati su qualsiasi canale del team Defender Experts.
Oltre al servizio di onboarding, l’esperienza degli analisti sulla suite di prodotti Microsoft Defender XDR consente di far eseguire una valutazione della prontezza e di aiutarci a sfruttare al massimo i prodotti di sicurezza Microsoft che abbiamo acquistato.
La valutazione della prontezza si basa sul numero di dispositivi e identità protetti nel proprio ambiente e sulle raccomandazioni legate alle policy dei Defender Experts. Per visualizzare la valutazione, nel portale Microsoft Defender, andiamo su Settings > Defender Experts e poi selezioniamo "Service Status".
La valutazione è composta da due parti:
La lista riporta i passaggi necessari che bisogna compiere prima di avviare il servizio. Diamo priorità alle azioni con stato "Complete now" per avviare il servizio Defender Experts for XDR il prima possibile.
I dati si basano sulle licenze di Defender for Endpoint e Defender for Identity; per raggiungere il numero target di asset protetti, aggiungiamo più dispositivi a Defender for Endpoint o installiamo più sensori di Defender for Identity.
Dopo aver completato tutte le attività richieste e raggiunto gli obiettivi di onboarding nella propria valutazione, il proprio service delivery manager (SDM) avvierà la fase di monitoraggio del servizio Defender Experts for XDR, durante la quale, per alcuni giorni, gli esperti inizieranno a monitorare da vicino l’ambiente per identificare minacce latenti, fonti di rischio e attività normale.
Man mano che sarà ottenuta una migliore comprensione degli asset critici, gli analisti potranno affinare le loro risposte.
Una volta che gli esperti inizieranno a svolgere attività di risposta completa per conto della nostra azienda, inizieremo a ricevere notifiche sugli incidenti che richiedono azioni di rimedio e raccomandazioni mirate sugli incidenti critici.
Potremo anche chattare con i nostri esperti o con gli SDM per risolvere eventuali dubbi importanti e rivedere regolarmente la sicurezza e la postura aziendale. Inoltre, potremo visualizzare report in tempo reale sul numero di incidenti che i Defender Experts hanno investigato e risolto per noi.
Ok, sappiamo cos’è e come funziona. Ora rimane solo da chiarire un ultimo punto: come usufruirne?
Ci sono alcuni prerequisiti che vanno rispettati e alcune informazioni che bisogna sapere per non incappare in errori d’utilizzo o incomprensioni sull’estensione del servizio e delle sue funzionalità.
Per prima cosa, Defender Experts for XDR è un servizio separato rispetto ai prodotti Defender che si possono avere in licenza.
Per iniziare con questo servizio gestito, sono richiesti i seguenti prerequisiti di licenza:
I seguenti prodotti sono idonei a ricevere la copertura di Defender Experts for XDR ed è necessario disporre delle relative licenze per utilizzare il servizio:
I seguenti prodotti non sono coperti da questo servizio:
Per ottenere una copertura XDR nativa, si consiglia poi di distribuire l'intera suite Microsoft Defender XDR.
Il servizio copre anche i server, sia on-premises che su provider di servizi cloud hyperscale, purché abbiano Defender for Endpoint distribuito con una licenza Microsoft Defender for Endpoint for Server. Ai fini della fatturazione, un server viene considerato come un account utente. Tuttavia, il servizio non copre i carichi di lavoro di Microsoft Defender for Cloud.
Ask Defender Experts è pensato per offrire una comprensione approfondita delle minacce complesse che colpiscono la propria organizzazione. Si concentra sui prodotti inclusi in Microsoft Defender XDR (Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender for Identity).
Come parte del servizio Microsoft Defender Experts for Hunting, ai clienti Microsoft vengono assegnati 10 crediti Ask Defender Experts all'inizio di ogni trimestre solare, che possono essere utilizzati per inviare domande.
I crediti non utilizzati nel trimestre corrente vengono trasferiti a quello successivo, ma è possibile utilizzare un massimo di 20 crediti per trimestre. Tutti i crediti non utilizzati scadono alla fine dell'anno solare o al termine dell'abbonamento, a seconda di quale evento si verifichi per primo.
Defender Experts for XDR è un servizio estremamente utile e che può fare la differenza in situazioni d’emergenza.
Tuttavia, come ogni soluzione generale, può avere i suoi limiti e le sue spigolature ed è quindi importante valutare se la propria azienda non necessiti di un approccio più personalizzato rispetto a quello che può essere fornito da Microsoft.
Un’ottima alternativa consiste quindi nel trovare un partner fidato, specializzato in prodotti Microsoft, che possa aiutare i propri team di cybersecurity a costruire e mantenere le difese digitali che gli servono, fornendo al bisogno consulenza e aiuto senza rischiare tempi d’attesa critici.
Con un partner, non c’è necessità di reinventare la ruota.
I professionisti di casa Redmond, per quanto estremamente validi, potrebbero non conoscere approfonditamente la nostra infrastruttura quanto qualcuno che si è preso la briga di studiarla nel tempo, o che l’ha costruita insieme a noi.
A chi rivolgersi dunque? Beh, perché non a Dev4Side?
Con decenni di esperienza accumulata nel campo della tecnologia Microsoft e riconosciuta come partner certificato dalla stessa casa produttrice, Dev4Side può essere l'alleato perfetto non solo per costruire, ma anche per difendere e mantenere le infrastrutture IT della propria azienda.
Tra le sue divisioni, ognuna con diverse competenze verticali, il team Infra&Security si occupa della gestione dei tenant Microsoft Azure e Microsoft 365 aziendali, aiutando i team SOC ad alleggerire il loro intenso carico di lavoro.
Oltre a configurare e gestire il tenant, gli esperti di cybersecurity di Dev4Side si prenderanno carico della creazione dei deployment applicativi tramite le pipelines di DevOps, dell'ottimizzazione dei costi per il mantenimento dell'infrastruttura di sicurezza e potranno dare una mano con i processi di monitoring e security per garantire sempre il massimo grado di sorveglianza attiva.
Ogni azienda ha le sue esigenze e un partner come Dev4Side può aiutare qualunque business a lavorare in maniera efficiente, offrendo supporto continuo e un servizio di consulenza d'eccellenza per garantire la migliore postura di sicurezza possibile.
La lotta alle minacce informatiche non è un’impresa che è sempre possibile affrontare da soli e, vista la quantità impressionante di sofisticati e pericolosi agenti malevoli sulla rete, non deve esserlo.
La sicurezza delle infrastrutture digitali è una responsabilità condivisa da tutti e piccole falle possono fare grandi danni in poco tempo. Quindi, è dovere di chiunque adottare la migliore postura di sicurezza per evitare qualsivoglia tipo di incidente.
Chiedere l’assistenza di esperti non è un’ammissione di incompetenza o inesperienza, ma significa partecipare attivamente allo sforzo collettivo di contrastare i pericoli del mondo digitale.
Microsoft Defender Experts for XDR si presenta come un buon alleato, che può aiutare il proprio business nella costante lotta per la cybersecurity mettendo a disposizione dei team di sicurezza interni l’esperienza e la conoscenza accumulate in anni di impegno contro le minacce informatiche che infestano la rete.
Se pensate di essere a rischio, non perdete altro tempo e cercate l’aiuto di esperti comprovati, ricordando sempre che se le vostre esigenze non sono in linea con le “misure standard” di Microsoft, partner come Dev4Side possono aiutare a costruire quelle difese impenetrabili di cui si ha bisogno in un panorama tecnologico sempre più complesso.
Microsoft Defender Experts for XDR è un servizio gestito di rilevamento e risposta estesa (XDR) pensato per aiutare i team di sicurezza delle aziende a fronteggiare le minacce informatiche con maggiore efficacia. Il servizio combina l’automazione dell’intelligenza artificiale con l’esperienza di analisti umani altamente qualificati, che lavorano in modo proattivo per monitorare, indagare e rispondere agli attacchi in corso.
Il funzionamento prevede un processo di onboarding iniziale durante il quale il team Microsoft riceve accesso al tenant dell’organizzazione. Una volta assegnati i permessi necessari, gli esperti possono svolgere azioni di indagine o direttamente di rimedio sugli incidenti rilevati, in base al ruolo assegnato. L’attività degli esperti viene tracciata tramite report e dashboard, e l’interazione può avvenire anche attraverso Microsoft Teams.
Il servizio offre copertura per i principali componenti della suite Microsoft Defender XDR, inclusi Endpoint, Office 365, Identity, Cloud Apps ed Entra ID. Sono esclusi invece Defender for IoT e i carichi di lavoro di Defender for Cloud.
Per poter utilizzare il servizio è indispensabile avere le licenze attive per Defender for Endpoint P2, Defender Antivirus in modalità attiva e Entra ID P1 per tutti gli utenti. Inoltre, occorre disporre delle licenze per tutti i prodotti che si desidera includere nel perimetro di protezione gestito.
Dopo la sottoscrizione del servizio, si riceve una mail di benvenuto che guida alla configurazione. Durante l’onboarding si configurano i permessi degli esperti, si selezionano i gruppi o dispositivi da escludere dalle azioni automatiche e si definiscono i contatti da notificare in caso di incidenti o attività critiche. L’onboarding termina quando tutti i requisiti tecnici sono soddisfatti e viene avviato il monitoraggio attivo da parte degli analisti.
Sì, ma solo se vengono autorizzati con il ruolo di Security Operator. In alternativa, con un ruolo più limitato come Security Reader, si limitano a fornire indicazioni e suggerimenti, lasciando l’azione finale al team interno.
Sì, tramite pannelli di controllo e report in tempo reale è possibile visualizzare le attività svolte dagli esperti, ricevere statistiche aggiornate e analizzare l’impatto degli interventi sulla postura di sicurezza aziendale. Le notifiche possono arrivare anche su Microsoft Teams, se configurato.
Il servizio gestisce direttamente il triage degli incidenti, effettua una caccia proattiva alle minacce con tecniche avanzate, fornisce accesso a esperti tramite la funzione “Ask Defender Experts” e include sessioni periodiche per la revisione dello stato di sicurezza e per suggerire miglioramenti continui.
Si tratta di un pacchetto di 10 crediti assegnati a ogni cliente Microsoft all’inizio di ogni trimestre solare. I crediti servono per fare domande dirette agli esperti tramite il portale. È possibile accumularne fino a 20 per trimestre, ma tutti quelli non utilizzati scadono alla fine dell’anno o alla cessazione del servizio.
Sì, il servizio copre anche i server, purché questi abbiano installato Defender for Endpoint e siano dotati della licenza corretta. Ai fini del conteggio per la fatturazione, ogni server è trattato come se fosse un utente.
Microsoft offre un servizio estremamente efficace ma standardizzato. Per esigenze specifiche o infrastrutture complesse, può essere utile affiancare un partner certificato come Dev4Side, in grado di fornire supporto continuativo e personalizzato sulla base delle necessità reali della propria organizzazione.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
