Si sa, ogni occasione è buona per i malintenzionati di cercare di carpire più vittime possibile e, purtroppo, il “recente” problema del COVID-19 era troppo gustoso per lasciarselo scappare.
Possibili soluzioni al problema, news sensazionalistiche sugli sviluppi globali, mail informative da parte dell’OMS o delle Nazioni Unite, chi dilaga grazie al phishing non si è fatto mancare nessun tentativo per cercare di infettare (almeno qui solo digitalmente) ignare persone che volevano semplicemente restare al passo con le ultime notizie.
Per questo motivo da diverso tempo Microsoft, e per l’esattezza il Microsoft Threat Intelligence team, utilizza il ben distribuito Microsoft Defender (l’antivirus integrato a Windows e presente in tutte le installazioni moderne del sisteam operativo) per catturare “data point” (ovvero indicazioni di riconoscimento, per chiarezza) necessari ad identificare questi tipi di attacchi, e construendosi un parecchio esaustivo pool di dati da cui attingere per l’analisi degli stessi.
In un post sul blog uscito qualche giorno fa l’azienda di Redmond ha annunciato che rilascerà tutti questi dati in open-source, al fine di permettere a chiunque l’analisi partendo da essi.
Microsoft processes trillions of signals each day across identities, endpoint, cloud, applications, and email, which provides visibility into a broad range of COVID-19-themed attacks, allowing us to detect, protect, and respond to them across our entire security stack
Microsoft ha analizzato miliardi di segnali ogni giorno attraverso identità, endpoint, applicazioni cloud ed email, che han fornito visibilità su un ampio gamma di attacchi a tema COVID-19, permettendoci di rilevare, proteggere e rispondere ad essi attraverso il nostro intero stack di sicurezza.
Questi dati vengono resi disponibili in tre modalità: tramite il MISP (Malware Information Sharing Platform), tramite Azure Sentinel (la soluzione SIEM/SOAR integrata con il cloud omonimo) ed attraverso le Microsoft Graph Security API. Inoltre, essendo proprio Azure Sentinel open-source (e disponibile su GitHub), è possibile scaricare da esso questi indicatori, disponibili in formato csv e json.
L’articolo di Microsoft è molto esaustivo e pratico riguardo come poter utilizzare questi dati e come integrarli nelle proprie configurazioni già esistenti, e può essere interessante dargli una lettura soprattutto nel caso in cui utilizzate soluzioni della famosa azienda per qualche servizio, sia esso personale o aziendale.
Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.
Lascia un commento