Scopri come Microsoft Defender per Endpoint sta potenziando il monitoraggio delle sessioni RDP compromesse.
La crescente minaccia degli attacchi informatici può essere attribuita in gran parte all’uso di strumenti come il Remote Desktop Protocol (RDP). Gli operatori umani, che rivestono un ruolo cruciale nella pianificazione e nell’esecuzione di attacchi, approfittano della GUI visibile fornita da RDP per controllare da remoto i dispositivi. Questo fattore rende l’analisi delle sessioni RDP un elemento vitale per la sicurezza informatica.
Microsoft Defender per Endpoint ha recentemente introdotto un livello aggiuntivo di dettagli nel monitoraggio delle sessioni RDP, aumentando la capacità di identificare dispositivi potenzialmente compromessi. Questa nuova funzionalità fornisce informazioni più dettagliate riguardo alle sessioni RDP, facilitando la correlazione dei dati e incrementando l’accuratezza delle operazioni di rilevamento delle minacce.
Tra i nuovi dati introdotti, si segnala l’aggiunta di otto campi extra nei report di Advanced Hunting. Questi campi que arricchiscono le informazioni sui processi, consentendo di avere una visione più chiara delle attività remote. Tra gli attributi forniti, troviamo identificativi delle sessioni, nomi dei dispositivi remoti e indirizzi IP, elementi essenziali per rilevare attività sospette.
Per esempio, la presenza di processi avviati sotto sessioni RDP e l’analisi delle interazioni degli utenti con i dispositivi possono rivelare schemi di attività potenzialmente dannosi. Microsoft Defender utilizza modelli di apprendimento automatico per distinguere tra comportamenti normali e attività sospette, ispezionando oltre 100 criteri per identificare eventuali anomalie.
In caso di attacchi ransomware, il monitoraggio delle sessioni RDP assume un’ulteriore importanza. Utilizzando i dati delle sessioni remote, è possibile tracciare e segnalare comportamenti sospetti. Un attacco tipico potrebbe essere caratterizzato dall’uso di strumenti dannosi, i quali attivano avvisi di elevata severità. A questo proposito, i servizi di Advanced Hunting permettono di eseguire query specifiche per analizzare i processi avviati da un IP sorgente durante una sessione RDP o evidenziare le azioni eseguite da account compromessi.
Un altro aspetto cruciale è la possibilità di scoprire tentativi di manomissione, poiché attività anomale registrate su più dispositivi possono indicare una preparazione a un attacco imminente. La personalizzazione delle query consente agli amministratori di monitorare i registri delle modifiche a parametri critici di sicurezza.
Con l’aumento dei rischi legati all’uso dell’RDP, il miglioramento dell’identificazione degli usi malevoli in Microsoft Defender per Endpoint offre agli amministratori una visione più dettagliata e un controllo maggiore durante la rilevazione, l’investigazione e la ricerca di minacce che evolvono rapidamente.