Come Microsoft Defender rileva le tecniche MITRE ATT&CK

Ho scritto questo articolo esplorando come Microsoft Defender for Endpoint gestisce le tecniche MITRE ATT&CK. Se hai installato Defender e vuoi capire cosa sta effettivamente monitorando sotto il cofano, questo è il punto di partenza giusto.

Microsoft Defender XDR: copertura ATT&CK cross-dominio

Chi conosce il framework MITRE ATT&CK sa che un rilevamento efficace richiede di mappare ogni tattica e tecnica a una toolchain concreta. Microsoft Defender XDR (Extended Detection and Response) consolida i segnali provenienti da identità, endpoint, cloud e posta elettronica in un'unica piattaforma di rilevamento. Per un'introduzione dettagliata al framework ATT&CK in sé, consulta il mio articolo dedicato a MITRE ATT&CK.

Prodotto	Tattica	Tecniche chiave
Defender XDR	Initial Access, Exfiltration	T1566, T1078, T1528
Defender for Identity	Lateral Movement, Priv. Esc.	T1550.002, T1550.003, T1558.003
Defender for Endpoint	Execution, Persistence, Defense Evasion	T1059, T1547, T1055

Defender XDR copre nativamente un ampio insieme di tattiche ATT&CK: Initial Access (T1566 Phishing, T1190 Exploit Public-Facing Application), Execution (T1059 Command and Scripting Interpreter), Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement ed Exfiltration. Il motore di correlazione aggrega gli alert dei prodotti Microsoft 365 Defender in incident unici, riducendo il mean time to detect (MTTD) per gli attacchi multi-fase.

MITRE ATT&CK Enterprise — copertura Microsoft Defender XDR, MDI, MDE — MITRE ATT&CK Enterprise — copertura Defender XDR · Defender for Identity · Defender for Endpoint

Tra i rilevamenti chiave a livello XDR figurano le catene di Business Email Compromise (BEC) mappate a T1078 Valid Accounts e T1114 Email Collection, e l'abuso OAuth mappato a T1528 Steal Application Access Token. Il pannello Threat Analytics fornisce schede di copertura per tecnica allineate ad ATT&CK, permettendo ai team di sicurezza di identificare le lacune nella propria postura di rilevamento.

💡 Il pannello Threat Analytics è sottovalutato: in cinque minuti mostra esattamente dove hai copertura e dove no, senza dover consultare documentazione esterna.

Scendendo un livello, l'aspetto più interessante riguarda il movimento laterale all'interno di Active Directory.

Microsoft Defender for Identity: movimento laterale e privilege escalation

Defender for Identity (MDI) monitora il traffico di Active Directory Domain Services tramite un sensore installato sui domain controller. Le sue capacità di rilevamento sono particolarmente efficaci contro le tecniche ATT&CK che prendono di mira l'infrastruttura di identità.

Per il Lateral Movement (TA0008), MDI rileva:

T1550.002 Pass the Hash — pattern di autenticazione NTLM anomali in cui un hash viene riutilizzato su più sistemi senza logon interattivo.
T1550.003 Pass the Ticket — riutilizzo di ticket Kerberos da IP sorgente inattesi, indicativo di attacchi Golden Ticket o Silver Ticket.
T1021.002 SMB/Windows Admin Shares — movimento laterale tramite condivisioni amministrative rilevato attraverso l'analisi delle sessioni SMB.

Per la Privilege Escalation (TA0004), MDI copre:

T1134 Access Token Manipulation — rilevamento dell'impersonation di token tramite richieste di delega Kerberos sospette.
T1484.001 Domain Policy Modification: Group Policy Object — alert su modifiche GPO non autorizzate che potrebbero abilitare persistenza o escalation di privilegi.
T1558.003 Kerberoasting — rilevamento dell'enumerazione SPN e di richieste TGS anomale verso account di servizio con password deboli.

MDI costruisce inoltre baseline comportamentali per entità (utente, computer, gruppo), consentendo il rilevamento di attività di ricognizione anomale mappate a T1087 Account Discovery e T1069 Permission Groups Discovery anche quando le singole chiamate API appaiono legittime.

Passando all'endpoint, la granularità aumenta ulteriormente.

Microsoft Defender for Endpoint: execution, persistence e defense evasion

Defender for Endpoint (MDE) fornisce telemetria a livello kernel da endpoint Windows, macOS e Linux. La sua copertura ATT&CK al layer endpoint è la più granulare tra i tre prodotti Defender.

I rilevamenti per Execution (TA0002) includono:

T1059.001 PowerShell — l'integrazione AMSI segnala script offuscati, comandi encodati (-EncodedCommand) e cmdlet malevoli noti in tempo reale.
T1059.003 Windows Command Shell — catene LOLBin come cmd.exe /c certutil -urlcache -split vengono segnalate tramite regole comportamentali.
T1204.002 Malicious File — l'analisi dell'albero di processi rileva processi figlio generati da documenti Office (Word verso PowerShell, Excel verso WScript) come indicatori di esecuzione di macro.

💡 Le regole ASR di MDE sono la funzione più ignorata e al contempo più efficace contro il malware commodity. Vale la pena passarci qualche ora in modalità audit prima di abilitarle.

I rilevamenti per Persistence (TA0003) includono:

T1547.001 Boot or Logon Autostart: Registry Run Keys — il monitoraggio delle scritture nel registro segnala aggiunte a HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
T1053.005 Scheduled Task — la creazione di task pianificati tramite schtasks.exe o l'interfaccia COM del Task Scheduler viene correlata con la lineage di processo per identificare origini sospette.
T1543.003 Windows Service — le nuove installazioni di servizi con percorsi binari sospetti o pattern di DLL hijacking vengono segnalate tramite le regole T1574.001 DLL Search Order Hijacking.

Defense Evasion (TA0005) è una delle categorie di rilevamento più solide di MDE:

T1055 Process Injection — la scansione della memoria rileva l'iniezione di shellcode tramite catene VirtualAllocEx, WriteProcessMemory e CreateRemoteThread.
T1562.001 Disable or Modify Tools — la manomissione delle impostazioni di Windows Defender tramite registro o PowerShell attiva immediatamente gli alert di tamper protection.
T1027 Obfuscated Files or Information — l'analisi dell'entropia su script e binari depositati su disco identifica packing o encoding che si discosta dalla baseline.

Conoscere le tecniche coperte è solo metà del lavoro: l'altra metà è sapere come agire sui dati.

Raccomandazioni operative

Mappare i prodotti Defender ad ATT&CK ha valore solo se viene operazionalizzato. Ecco le azioni concrete per i team di sicurezza:

Esegui la valutazione della copertura ATT&CK in Defender XDR (Threat Analytics poi Coverage). Identifica le tecniche prive di regole di rilevamento e prioritizzale per la creazione di detection personalizzate.
Abilita tutti i sensori MDI su domain controller, server ADFS e AD CS. La superficie di attacco di Active Directory Certificate Services — inclusi gli abusi ESC1-ESC8 sui template di certificato — è coperta solo quando il sensore MDI è installato sul server CA.
Configura le regole ASR (Attack Surface Reduction) di MDE prima in modalità audit, poi in enforcement. Le regole che prendono di mira T1059, T1204 e T1547 possono ridurre significativamente il blast radius del malware commodity senza impattare i carichi di lavoro legittimi.
Correla gli alert di movimento laterale di MDI con le timeline di esecuzione processi di MDE. Un alert Pass-the-Hash in MDI allineato a un evento di accesso in memoria simile a mimikatz in MDE sul computer sorgente è una prova ad alta confidenza di credential dumping seguito da movimento laterale.
Esporta gli incident di Defender XDR in Microsoft Sentinel per la retention a lungo termine e query di threat hunting con tag ATT&CK. Le query KQL con scope a ID di tecnica specifici operazionalizzano il framework su larga scala.

La suite Defender offre una copertura ATT&CK solida out-of-the-box, ma esistono lacune — in particolare nelle tecniche cloud-native (T1537 Transfer Data to Cloud Account, T1619 Cloud Storage Object Discovery) che richiedono la licenza e la configurazione di Defender for Cloud Apps. Un'analisi periodica delle lacune rispetto alla matrice ATT&CK, combinata con esercizi di purple team mirati alle tecniche non coperte, rimane il metodo più affidabile per mantenere l'efficacia del rilevamento.

Ho trovato questo esercizio molto utile per capire concretamente cosa fa Defender. Se hai domande o vuoi condividere la tua esperienza con ATT&CK e Defender, scrivimi.