cd ../blog
12 marzo 2026mitresecuritym365

Microsoft Defender MITRE ATT&CK su Microsoft 365

Microsoft Defender MITRE ATT&CK su Microsoft 365

Qualche settimana fa ho deciso di smettere di guardare Microsoft Defender solo come un prodotto endpoint e di esplorare come funziona quando diventa parte dell'ecosistema Microsoft 365. Ho accesso a un tenant sandbox M365 E5 tramite il Microsoft 365 Developer Program (developer.microsoft.com) — abbastanza per passare ore nel portale Microsoft 365 Defender (ora rinominato Microsoft Defender XDR).

Quello che ho trovato è un approccio XDR cloud-native che cambia parecchio il modo di pensare alla copertura MITRE.

Microsoft 365 Defender — Portal Navigation

Il portale Microsoft 365 Defender

📍 security.microsoft.com → Incidents & alerts → Incidents → [seleziona incident] → Attack story → MITRE ATT&CK

Il portale unificato security.microsoft.com aggrega segnali da tutta la suite: endpoint, email, identità, app cloud. La cosa che mi ha subito colpito è il tab MITRE ATT&CK integrato direttamente negli incidents: ogni alert viene mappato automaticamente su tactic e technique, con link alla knowledge base MITRE.

Advanced Hunting consente query KQL su eventi aggregati da più prodotti. In un'infrastruttura puramente cloud è possibile cercare T1078 (Valid Accounts) su endpoint, identità e workload cloud contemporaneamente, senza switchare console.

💡 La visualizzazione MITRE nel portale è interattiva: cliccando su una tactic si vedono le tecniche coperte dal proprio tenant, non quelle teoriche del prodotto. Utile per capire i gap reali.

Defender for Office 365

📍 security.microsoft.com → Email & collaboration → Attack simulation training

Defender for Office 365 (MDO) è il layer di protezione email e collaboration. La sua rilevanza MITRE è concentrata su Phishing (T1566), spear-phishing via link (T1566.002) e allegati malevoli (T1566.001), tutte tecniche di TA0001 (Initial Access) e TA0043 (Reconnaissance).

Safe Links detonazione-URL in tempo reale e Safe Attachments sandboxing automatico coprono il vettore email in modo trasparente. Quello che non è ovvio subito: MDO copre anche TA0009 (Collection) tramite il rilevamento di regole di forward automatico, una tecnica di BEC (T1114.003) spesso sottovalutata.

💡 Nel portale si può creare una simulazione di attacco phishing con Attack Simulator — ottimo per testare la copertura reale senza dover usare strumenti esterni.

Defender for Endpoint (cloud-managed)

📍 security.microsoft.com → Hunting → Advanced hunting → Nuova query

Defender for Endpoint (MDE) in modalità cloud-managed (senza Configuration Manager on-prem) è il cuore della copertura MITRE. Come documentato nel mio articolo precedente, MDE copre 141 su 218 tecniche Enterprise.

In cloud la differenza principale è nell'onboarding: bastano pochi minuti via Intune policy e il sensore è operativo. Live Response funziona allo stesso modo: sessione remota con comandi di hunting direttamente sull'endpoint, utile per verificare T1059 (Command and Scripting Interpreter) o T1105 (Ingress Tool Transfer) durante un incident.

La copertura MITRE rimane quella di MDE — sono i dati che alimentano la matrice del portale unificato. La differenza cloud è nell'integrazione: un alert MDE viene automaticamente correlato con segnali MDO e Defender for Identity in un unico incident.

Defender for Cloud Apps & Secure Score

📍 security.microsoft.com → Cloud apps → App governance / Policies

📍 security.microsoft.com → Exposure management → Secure score

Defender for Cloud Apps (MDCA) aggiunge la dimensione CASB: visibilità sulle app SaaS usate nel tenant, rilevamento shadow IT, e policy su comportamenti anomali come download massivi (T1530, Data from Cloud Storage) o accessi da location insolite (T1078).

Quello che mi ha sorpreso è il Secure Score integrato: non è solo un punteggio di postura, ma suggerisce azioni concrete mappate su controlli MITRE. Abilitare MFA su tutti gli admin, per esempio, viene presentato come mitigazione diretta di T1078.004 (Cloud Accounts).

La cosa interessante da developer: tramite il Microsoft 365 Developer Program su developer.microsoft.com si ottiene un tenant sandbox E5 gratuito per esplorare tutte queste funzionalità. Il volume di telemetria e la profondità delle query KQL sono genuinamente impressionanti per un prodotto cloud-managed.

Il takeaway principale dopo questa esplorazione: la differenza rispetto a MDE standalone non è nella copertura MITRE delle singole tecniche, ma nella correlazione cross-prodotto. Un attacco che passa da email a endpoint a identità viene tracciato come incident unico, con timeline consolidata. In un ambiente on-prem con prodotti separati questo richiede un SIEM dedicato; in M365 è built-in.