Security

Microsoft Sentinel UEBA amplia il rilevamento AWS

3 min di lettura

Riepilogo

Microsoft Sentinel UEBA aggiunge ora analisi comportamentali più ricche per i dati AWS CloudTrail, offrendo ai team di sicurezza contesto integrato come geografia alla prima occorrenza, ISP non comune, azioni insolite e volume operativo anomalo. L’aggiornamento aiuta i difensori a rilevare più rapidamente attività AWS sospette e riduce la necessità di baseline KQL complesse e arricchimento manuale.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft sta ampliando Microsoft Sentinel UEBA per rafforzare il rilevamento delle minacce in AWS con analisi comportamentali più ricche. Per i team di security operations che gestiscono ambienti ibridi e multi-cloud, questo è importante perché gli eventi AWS CloudTrail ora arrivano con contesto integrato che può accelerare le indagini e migliorare la qualità del rilevamento.

Invece di affidarsi a query KQL complesse, soglie statiche o baseline mantenute manualmente, i difensori possono usare insight UEBA precomputati per identificare più rapidamente comportamenti sospetti nelle attività AWS.

Novità di Microsoft Sentinel UEBA per AWS

Microsoft ha aggiunto un supporto UEBA più ampio tra origini dati multi-cloud e di identità, incluse AWS, GCP, Okta e altri log di autenticazione. Per AWS nello specifico, i miglioramenti principali includono:

  • Più arricchimenti comportamentali AWS per gli eventi CloudTrail al momento dell'ingestione
  • Insight binari come:
    • Geografia alla prima occorrenza
    • ISP non comune
    • Azione insolita
    • Volume operativo anomalo
  • Supporto della tabella BehaviorAnalytics per l’attività AWS, con esposizione di insight su utente, dispositivo e attività
  • Tabella Anomalies con sei rilevamenti di anomalie AWS integrati dai modelli di machine learning di Microsoft
  • Integrazione con il portale Defender per mostrare anomalie UEBA nelle pagine entità utente e nei grafi degli incidenti

Microsoft definisce questo approccio binary feature stacking, in cui gli analisti combinano semplici indicatori comportamentali vero/falso per individuare rapidamente attività degli attaccanti che altrimenti potrebbero confondersi con le normali operazioni AWS.

Perché è importante per i team di sicurezza

Le indagini in AWS spesso dipendono da log CloudTrail grezzi e da logica personalizzata per determinare se un comportamento sia davvero sospetto. Questo processo può richiedere tempo ed essere costoso, soprattutto in ambienti cloud in rapido cambiamento.

Con Sentinel UEBA, amministratori e analisti ottengono:

  • Triage più rapido degli avvisi AWS
  • Minore dipendenza da baseline KQL progettate manualmente
  • Contesto migliore sia per identità umane sia non umane
  • Rilevamento delle anomalie più coerente tra ambienti ibridi e multi-cloud

L’aggiornamento è particolarmente utile per i team SOC che vogliono ridurre l’alert fatigue migliorando al contempo la visibilità su azioni AWS rischiose come accessi insoliti, modifiche ai privilegi IAM o user agent mai visti prima.

Dettagli chiave di implementazione

Il contesto comportamentale AWS appare in due tabelle principali:

BehaviorAnalytics

Questa è la principale superficie di indagine per l’attività AWS arricchita con UEBA. Include campi come EventSource, ActivityType e ActionType, oltre a campi di insight dinamici come UserInsights, DeviceInsights e ActivityInsights.

Anomalies

Questa tabella contiene i rilevamenti di anomalie AWS preaddestrati di Microsoft. I record includono:

  • Mapping MITRE ATT&CK
  • AnomalyScore
  • AnomalyReasons
  • Arricchimenti comportamentali correlati

Cosa dovrebbero fare ora gli amministratori IT e della sicurezza

  • Esaminare gli attuali rilevamenti AWS CloudTrail in Sentinel
  • Identificare le regole di analisi che dipendono da logica di baseline pesante
  • Testare gli arricchimenti UEBA nelle tabelle BehaviorAnalytics e Anomalies
  • Usare i flussi di lavoro di hunting nel portale Defender per indagare più rapidamente sulle anomalie degli utenti
  • Aggiornare i playbook SOC per sfruttare il contesto comportamentale AWS precomputato

Per le organizzazioni che proteggono AWS insieme agli ambienti Microsoft, questo aggiornamento può semplificare la detection engineering e migliorare l’efficienza della risposta.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Microsoft SentinelUEBAAWSCloudTrailthreat detection

Articoli correlati

Security

Difesa Microsoft con AI contro nuove minacce AI

Microsoft afferma che l’AI sta accelerando il modo in cui le vulnerabilità vengono individuate e sfruttate, riducendo il tempo a disposizione dei difensori per reagire. In risposta, l’azienda sta ampliando il rilevamento delle vulnerabilità guidato dall’AI, la gestione dell’esposizione e le protezioni basate su Defender, oltre ad anticipare una nuova soluzione di scansione multi-modello per i clienti a giugno 2026.

Security

Rilevamento lavoratori IT infiltrati con Defender

Microsoft ha illustrato strategie di rilevamento per identificare attori di minaccia allineati alla Corea del Nord che si spacciano per assunzioni IT da remoto per infiltrarsi nelle organizzazioni. Le indicazioni si concentrano sulla correlazione dei segnali di HR SaaS, identità, email, conferenze e Microsoft 365, così che i team di sicurezza e HR possano individuare candidati sospetti prima e dopo l’onboarding.

Security

Prevenzione cyberattacchi opportunistici: guida Microsoft

Microsoft invita le organizzazioni a rendere più difficili i cyberattacchi opportunistici eliminando le credenziali, riducendo le superfici di attacco pubbliche e standardizzando modelli di piattaforma sicuri. Le indicazioni sono particolarmente rilevanti per i team che gestiscono workload Azure, Dynamics 365 e Power Platform su larga scala, dove architetture incoerenti e segreti esposti possono facilitare il movimento laterale degli attaccanti.

Security

Attacco di impersonificazione Teams cross-tenant

Microsoft ha descritto una catena di intrusione gestita da operatori umani in cui gli attaccanti usano chat Microsoft Teams cross-tenant per impersonare il personale helpdesk e indurre gli utenti a concedere accesso remoto tramite strumenti come Quick Assist. La campagna è rilevante perché combina collaborazione legittima, supporto remoto e strumenti amministrativi per consentire movimento laterale, persistenza ed esfiltrazione dei dati, il tutto apparendo come normale attività IT.

Security

{{Microsoft Defender predictive shielding blocca attacchi AD}}

Microsoft ha spiegato come predictive shielding in Defender possa contenere la compromissione di un dominio Active Directory limitando gli account ad alto privilegio esposti prima che gli aggressori riutilizzino credenziali rubate. La funzionalità aiuta i team di sicurezza a ridurre il movimento laterale e a colmare il gap di risposta durante attacchi rapidi basati sull’identità.

Security

Intrusione macOS di Sapphire Sleet: insight chiave

Microsoft Threat Intelligence ha illustrato una campagna mirata a macOS di Sapphire Sleet che usa social engineering e falsi aggiornamenti software invece di sfruttare vulnerabilità. La catena di attacco si basa sull’esecuzione avviata dall’utente di AppleScript e Terminal per aggirare le protezioni native di macOS, rendendo particolarmente importanti difese stratificate, consapevolezza degli utenti e rilevamento degli endpoint.