Analizzare gli avvisi in Microsoft Defender XDR

  • Articolo

Si applica a:

  • Microsoft Defender XDR

Nota

Questo articolo descrive gli avvisi di sicurezza in Microsoft Defender XDR. Tuttavia, è possibile usare gli avvisi attività per inviare notifiche tramite posta elettronica a se stessi o ad altri amministratori quando gli utenti eseguono attività specifiche in Microsoft 365. Per altre informazioni, vedere Create avvisi attività - Microsoft Purview | Microsoft Docs.

Gli avvisi sono alla base di tutti gli incidenti e indicano il verificarsi di eventi dannosi o sospetti nell'ambiente. Gli avvisi fanno tipicamente parte di un attacco più ampio e forniscono indizi su un incidente.

In Microsoft Defender XDR, gli avvisi correlati vengono aggregati per formare eventi imprevisti. Gli eventi imprevisti forniranno sempre il contesto più ampio di un attacco, tuttavia l'analisi degli avvisi può essere utile quando è necessaria un'analisi più approfondita.

La coda Avvisi mostra il set corrente di avvisi. Si arriva alla coda degli avvisi da Eventi imprevisti & avvisi > Avvisi all'avvio rapido del portale di Microsoft Defender.

Sezione Avvisi nel portale di Microsoft Defender

Gli avvisi provenienti da diverse soluzioni di sicurezza Microsoft, ad esempio Microsoft Defender per endpoint, Microsoft Defender per Office 365 e Microsoft Defender XDR, vengono visualizzati qui.

Per impostazione predefinita, la coda degli avvisi nel portale di Microsoft Defender visualizza gli avvisi nuovi e in corso degli ultimi 30 giorni. L'avviso più recente si trova in cima all'elenco, in modo da poterlo vedere per primo.

Nella coda degli avvisi predefinita è possibile selezionare Filtro per visualizzare un riquadro Filtro , da cui è possibile specificare un subset degli avvisi. Di seguito viene riportato un esempio.

Sezione Filtri nel portale di Microsoft Defender.

È possibile filtrare gli avvisi in base a questi criteri:

  • Gravità
  • Stato
  • Servizi di origine
  • Entità (asset interessati)
  • Stato dell'indagine automatizzata

Ruoli necessari per gli avvisi Defender per Office 365

Per accedere agli avvisi di Microsoft Defender per Office 365, è necessario disporre di uno dei ruoli seguenti:

  • Per Microsoft Entra ruoli globali:

    • Amministratore globale
    • Amministratore della sicurezza
    • Operatore della sicurezza
    • Ruolo con autorizzazioni di lettura globali
    • Ruolo con autorizzazioni di lettura per la sicurezza

  • Office 365 gruppi di ruoli sicurezza & conformità

    • Amministratore di conformità
    • Gestione organizzazione

  • Un ruolo personalizzato

Analizzare un avviso

Per visualizzare la pagina dell'avviso principale, selezionare il nome dell'avviso. Di seguito viene riportato un esempio.

Screenshot che mostra i dettagli di un avviso nel portale di Microsoft Defender

È anche possibile selezionare l'azione Apri pagina di avviso principale nel riquadro Gestisci avviso .

Una pagina di avviso è costituita da queste sezioni:

  • Storia degli avvisi, ovvero la catena di eventi e avvisi correlati a questo avviso in ordine cronologico
  • Dettagli riepilogo

In una pagina di avviso è possibile selezionare i puntini di sospensione (...) accanto a qualsiasi entità per visualizzare le azioni disponibili, ad esempio il collegamento dell'avviso a un altro evento imprevisto. L'elenco delle azioni disponibili dipende dal tipo di avviso.

Origini avvisi

Microsoft Defender XDR avvisi possono provenire da soluzioni come Microsoft Defender per endpoint, Microsoft Defender per Office 365, Microsoft Defender per identità, Microsoft Defender for Cloud Apps, il componente aggiuntivo per la governance delle app per Microsoft Defender for Cloud Apps Microsoft Entra ID Protectione Microsoft Data Loss Prevention. È possibile notare avvisi con caratteri anteporti all'avviso. La tabella seguente fornisce indicazioni per comprendere il mapping delle origini di avviso in base al carattere antepone all'avviso.

Nota

  • I GUID preposti sono specifici solo per le esperienze unificate, come la coda di avvisi unificata, la pagina di avvisi unificata, l'indagine unificata e l'incidente unificato.
  • Il carattere anteposto non modifica il GUID dell'avviso. L'unica modifica al GUID è il componente aggiunto.
Origine avviso Carattere preposto
Microsoft Defender XDR ra
ta per ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender per Office 365 fa{GUID}
Esempio: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender per endpoint da o ed per gli avvisi di rilevamento personalizzati
Microsoft Defender per identità aa{GUID}
Esempio: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Esempio: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection ad
App Governance ma
Prevenzione della perdita di dati Microsoft dl

Configurare Microsoft Entra servizio di avviso IP

  1. Passare al portale di Microsoft Defender (security.microsoft.com), selezionare Impostazioni>Microsoft Defender XDR.

  2. Nell'elenco selezionare Impostazioni servizio avvisi e quindi configurare il servizio di avviso Microsoft Entra ID Protection.

    Screenshot dell'impostazione Microsoft Entra ID Protection avvisi nel portale di Microsoft Defender.

Per impostazione predefinita, sono abilitati solo gli avvisi più rilevanti per il centro operativo di sicurezza. Per ottenere tutti i rilevamenti dei rischi IP Microsoft Entra, è possibile modificarlo nella sezione Impostazioni del servizio avvisi.

È anche possibile accedere alle impostazioni del servizio avvisi direttamente dalla pagina Eventi imprevisti nel portale di Microsoft Defender.

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Analizzare gli asset interessati

La sezione Azioni eseguite include un elenco di asset interessati, ad esempio cassette postali, dispositivi e utenti interessati da questo avviso.

È anche possibile selezionare Visualizza nel centro notifiche per visualizzare la scheda Cronologia del Centro notifiche nel portale di Microsoft Defender.

Traccia del ruolo di un avviso nella storia dell'avviso

La storia dell'avviso visualizza tutte le risorse o entità correlate all'avviso in una vista ad albero del processo. L'avviso nel titolo è quello in primo piano quando si arriva alla pagina dell'avviso selezionato. Gli asset nel brano dell'avviso sono espandibili e selezionabili. Forniscono informazioni aggiuntive e accelerano la risposta, consentendo di agire direttamente nel contesto della pagina di avviso.

Nota

La sezione della storia dell'avviso può contenere più di un avviso, con avvisi aggiuntivi correlati allo stesso albero di esecuzione visualizzato prima o dopo l'avviso selezionato.

Visualizzare altre informazioni sull'avviso nella pagina dei dettagli

La pagina dei dettagli mostra i dettagli dell'avviso selezionato, con i dettagli e le azioni correlate. Se si seleziona una delle entità o degli asset interessati nella storia dell'avviso, la pagina dei dettagli cambia per fornire informazioni contestuali e azioni per l'oggetto selezionato.

Dopo aver selezionato un'entità di interesse, la pagina dei dettagli viene modificata per visualizzare informazioni sul tipo di entità selezionato, informazioni cronologica quando è disponibile e opzioni per intervenire sull'entità direttamente dalla pagina di avviso.

Gestire gli avvisi

Per gestire un avviso, selezionare Gestisci avviso nella sezione dei dettagli di riepilogo della pagina dell'avviso. Per un singolo avviso, ecco un esempio del pannello Gestisci avviso.

Screenshot della sezione Gestisci avviso nel portale di Microsoft Defender

Il riquadro Gestisci avviso consente di visualizzare o specificare:

  • Stato dell'avviso (Nuovo, Risolto, In corso).
  • Account utente a cui è stato assegnato l'avviso.
  • Classificazione dell'avviso:
    • Non impostato (impostazione predefinita).
    • Vero positivo con un tipo di minaccia. Usare questa classificazione per gli avvisi che indicano accuratamente una minaccia reale. Specificando questo tipo di minaccia, il team di sicurezza visualizza i modelli di minaccia e agisce per difenderne l'organizzazione.
    • Attività informativa prevista con un tipo di attività. Usare questa opzione per gli avvisi tecnicamente accurati, ma che rappresentano un comportamento normale o un'attività di minaccia simulata. In genere si vuole ignorare questi avvisi, ma prevederli per attività simili in futuro, in cui le attività vengono attivate da utenti malintenzionati o malware effettivi. Usare le opzioni in questa categoria per classificare gli avvisi per i test di sicurezza, l'attività del team rosso e il comportamento insolito previsto da app e utenti attendibili.
    • Falso positivo per i tipi di avvisi creati anche quando non è presente alcuna attività dannosa o per un falso allarme. Usare le opzioni in questa categoria per classificare gli avvisi erroneamente identificati come normali eventi o attività come dannosi o sospetti. A differenza degli avvisi per "Attività informativa, prevista", che può essere utile anche per rilevare minacce reali, in genere non si vogliono visualizzare di nuovo questi avvisi. La classificazione degli avvisi come falsi positivi consente Microsoft Defender XDR migliorare la qualità del rilevamento.
  • Commento sull'avviso.

Nota

Intorno al 29 agosto 2022, i valori di determinazione degli avvisi supportati in precedenza ('Apt' e 'SecurityPersonnel') verranno deprecati e non più disponibili tramite l'API.

Nota

Un modo per gestire gli avvisi tramite l'uso di tag. La funzionalità di assegnazione di tag per Microsoft Defender per Office 365 viene implementata in modo incrementale ed è attualmente in anteprima.

Attualmente, i nomi di tag modificati vengono applicati solo agli avvisi creati dopo l'aggiornamento. Gli avvisi generati prima della modifica non rifletteranno il nome del tag aggiornato.

Per gestire un set di avvisi simile a un avviso specifico, selezionare Visualizza avvisi simili nella casella INFORMAZIONI DETTAGLIATE nella sezione dei dettagli di riepilogo della pagina dell'avviso.

Screenshot della selezione di un avviso nel portale di Microsoft Defender

Dal riquadro Gestisci avvisi, è possibile classificare contemporaneamente tutti gli avvisi correlati. Di seguito viene riportato un esempio.

Screenshot della gestione degli avvisi correlati nel portale di Microsoft Defender

Se avvisi simili sono già stati classificati in passato, è possibile risparmiare tempo usando Microsoft Defender XDR raccomandazioni per informazioni su come sono stati risolti gli altri avvisi. Nella sezione dei dettagli del riepilogo, selezionare Raccomandazioni.

Screenshot di un esempio di selezione delle raccomandazioni per un avviso

La scheda Raccomandazioni fornisce azioni e consigli per l'indagine, la correzione e la prevenzione. Di seguito viene riportato un esempio.

Screenshot di un esempio di consigli sugli avvisi

Ottimizzare un avviso

In qualità di analista del Centro operazioni di sicurezza ( SOC), uno dei principali problemi consiste nel valutare il numero elevato di avvisi attivati quotidianamente. Il tempo di un analista è prezioso e vuole concentrarsi solo su avvisi con gravità elevata e priorità elevata. Nel frattempo, gli analisti devono anche valutare e risolvere gli avvisi con priorità inferiore, che tende a essere un processo manuale.

L'ottimizzazione degli avvisi consente di ottimizzare e gestire gli avvisi in anticipo. Ciò semplifica la coda degli avvisi e consente di risparmiare tempo di valutazione nascondendo o risolvendo automaticamente gli avvisi, ogni volta che si verifica un determinato comportamento aziendale previsto e vengono soddisfatte le condizioni delle regole.

È possibile creare condizioni delle regole basate su "tipi di evidenza", ad esempio file, processi, attività pianificate e molti altri tipi di evidenza che attivano l'avviso. Dopo aver creato la regola, è possibile applicare la regola all'avviso selezionato o a qualsiasi tipo di avviso che soddisfi le condizioni della regola per ottimizzare l'avviso.

Inoltre, la funzionalità include anche gli avvisi provenienti da varie origini del servizio Microsoft Defender XDR. La funzionalità di ottimizzazione degli avvisi nell'anteprima pubblica riceve avvisi da carichi di lavoro come Defender per endpoint, Defender per Office 365, Defender per identità, Defender per le app cloud, Microsoft Entra ID Protection (IP Microsoft Entra) e altri, se queste origini sono disponibili nella piattaforma e nel piano. In precedenza, la funzionalità di ottimizzazione degli avvisi acquisisce solo gli avvisi dal carico di lavoro Defender per endpoint.

Nota

È consigliabile usare l'ottimizzazione degli avvisi, nota in precedenza come eliminazione degli avvisi, con cautela. In determinate situazioni, un'applicazione aziendale interna nota o test di sicurezza attivano un'attività prevista e non si vogliono visualizzare questi avvisi. È quindi possibile creare una regola per ottimizzare questi tipi di avviso.

Create condizioni delle regole per ottimizzare gli avvisi

Esistono due modi per ottimizzare un avviso in Microsoft Defender XDR. Per ottimizzare un avviso dalla pagina Impostazioni :

  1. Passare a Impostazioni. Nel riquadro sinistro passare a Regole e selezionare Ottimizzazione avvisi.

    Screenshot dell'opzione Ottimizzazione avvisi nella pagina Impostazioni di Microsoft Defender XDR.

    Selezionare Aggiungi nuova regola per ottimizzare un nuovo avviso. È anche possibile modificare una regola esistente in questa visualizzazione selezionando una regola dall'elenco.

    Screenshot dell'aggiunta di nuove regole nella pagina Ottimizzazione avvisi.

  2. Nel riquadro Ottimizza avviso è possibile selezionare le origini del servizio in cui si applica la regola nel menu a discesa in Origini del servizio.

    Screenshot del menu a discesa origine del servizio nella pagina Ottimizzare un avviso.

    Nota

    Vengono visualizzati solo i servizi a cui l'utente dispone dell'autorizzazione.

  3. Aggiungere indicatori di compromissione (IOC) che attivano l'avviso nella sezione IIC . È possibile aggiungere una condizione per arrestare l'avviso quando viene attivato da un CIO specifico o da qualsiasi cio cio aggiunto nell'avviso.

    Gli IIC sono indicatori come file, processi, attività pianificate e altri tipi di evidenza che attivano l'avviso.

    Screenshot del menu IOC nella pagina Ottimizzare un avviso.

    Per impostare più condizioni delle regole, usare AND, OR e le opzioni di raggruppamento per creare una relazione tra i diversi "tipi di evidenza" che causano l'avviso.

    1. Ad esempio, selezionare il ruolo entità di attivazione dell'evidenza: Trigger, equals ed any per arrestare l'avviso quando viene attivato da qualsiasi CIO aggiunto nell'avviso. Tutte le proprietà di questa "evidenza" verranno popolate automaticamente come nuovo sottogruppo nei rispettivi campi seguenti.

    Nota

    I valori delle condizioni non fanno distinzione tra maiuscole e minuscole.

    1. È possibile modificare e/o eliminare le proprietà di questa "prova" a seconda delle esigenze (usando caratteri jolly, se supportati).

    2. Oltre a file e processi, lo script AMSI (AntiMalware Scan Interface), l'evento WMI (Windows Management Instrumentation) e le attività pianificate sono alcuni dei nuovi tipi di evidenza aggiunti che è possibile selezionare nell'elenco a discesa dei tipi di evidenza.

    3. Per aggiungere un altro IOC, fare clic su Aggiungi filtro.

    Nota

    L'aggiunta di almeno un CIO alla condizione della regola è necessaria per ottimizzare qualsiasi tipo di avviso.

  4. Nella sezione Azione eseguire l'azione appropriata di Nascondi avviso o Risolvi avviso.

    Immettere Nome, Descrizione e fare clic su Salva.

    Nota

    Il titolo dell'avviso (Nome) si basa sul tipo di avviso (IoaDefinitionId) che decide il titolo dell'avviso. Due avvisi con lo stesso tipo di avviso possono cambiare in un titolo di avviso diverso.

    Screenshot del menu Azione nella pagina Ottimizzare un avviso.

Per ottimizzare un avviso dalla pagina Avvisi :

  1. Selezionare un avviso nella pagina Avvisi in Eventi imprevisti e avvisi. In alternativa, è possibile selezionare un avviso quando si esaminano i dettagli dell'evento imprevisto nella pagina Evento imprevisto.

    È possibile ottimizzare un avviso tramite il riquadro Ottimizza avviso che si apre automaticamente sul lato destro della pagina dei dettagli dell'avviso.

    Screenshot del riquadro Ottimizzazione di un avviso all'interno di una pagina Avviso.

  2. Selezionare le condizioni in cui si applica l'avviso nella sezione Tipi di avviso . Selezionare Solo questo tipo di avviso per applicare la regola all'avviso selezionato.

    Tuttavia, per applicare la regola a qualsiasi tipo di avviso che soddisfa le condizioni della regola, selezionare Qualsiasi tipo di avviso in base alle condizioni del CIO.

    Screenshot del riquadro Ottimizzare un avviso evidenziando la sezione Tipi di avviso.

  3. Se l'ottimizzazione degli avvisi è specifica di Defender per endpoint, è necessario compilare la sezione Ambito . Selezionare se la regola si applica a tutti i dispositivi dell'organizzazione o per un dispositivo specifico.

    Nota

    L'applicazione della regola a tutte le organizzazioni richiede un'autorizzazione del ruolo amministrativo.

    Screenshot del riquadro Ottimizzare un avviso evidenziando la sezione Ambito.

  4. Aggiungere le condizioni nella sezione Condizioni per arrestare l'avviso quando viene attivato da un CIO specifico o da qualsiasi cio cio aggiunto nell'avviso. In questa sezione è possibile selezionare un dispositivo specifico, più dispositivi, gruppi di dispositivi, l'intera organizzazione o per utente.

    Nota

    È necessario disporre di Amministrazione autorizzazione quando l'ambito è impostato solo per l'utente. Amministrazione'autorizzazione non è necessaria quando l'ambito è impostato per Utente insieme ai gruppi Dispositivo e Dispositivo.

    Screenshot del riquadro Ottimizzare un avviso evidenziando la sezione Condizioni.

  5. Aggiungere IIC in cui si applica la regola nella sezione IOC . È possibile selezionare Qualsiasi CIO per arrestare l'avviso, indipendentemente dalla "prova" che ha causato l'avviso.

    Screenshot di Ottimizzazione di un riquadro di avviso che evidenzia la sezione IOC.

  6. In alternativa, è possibile selezionare Compila automaticamente tutti gli IIC correlati all'avviso 7 nella sezione IOC per aggiungere tutti i tipi di prova correlati agli avvisi e le relative proprietà contemporaneamente nella sezione Condizioni .

    Screenshot del riempimento automatico di tutte le operazioni di I/O correlate agli avvisi.

  7. Nella sezione Azione eseguire l'azione appropriata di Nascondi avviso o Risolvi avviso.

    Immettere Nome, Commento e fare clic su Salva.

    Screenshot della sezione Azione nel riquadro Ottimizzazione avviso.

  8. Impedire che le operazioni di I/O vengano bloccate in futuro:

    Dopo aver salvato la regola di ottimizzazione degli avvisi, nella pagina Creazione regola completata visualizzata è possibile aggiungere gli IIC selezionati come indicatori all'"elenco consenti" e impedire che vengano bloccati in futuro.

    Tutte le operazioni di I/O correlate agli avvisi verranno visualizzate nell'elenco.

    Le operazioni di I/O selezionate nelle condizioni di eliminazione verranno selezionate per impostazione predefinita.

    1. Ad esempio, è possibile aggiungere file da consentire all'elemento Select evidence (IOC) per consentire. Per impostazione predefinita, il file che ha attivato l'avviso è selezionato.
    2. Immettere l'ambito in Selezionare l'ambito a cui applicare. Per impostazione predefinita, viene selezionato l'ambito per l'avviso correlato.
    3. Fare clic su Salva. Ora il file non è bloccato così come è nell'elenco consenti.

  9. La nuova funzionalità di ottimizzazione degli avvisi è disponibile per impostazione predefinita.

    Tuttavia, è possibile tornare all'esperienza precedente nel portale di Microsoft Defender passando a Impostazioni > Microsoft Defender XDR > Regole > Ottimizzazione avviso, quindi disattivare l'interruttore Nuova creazione regole di ottimizzazione abilitata.

    Nota

    Presto sarà disponibile solo la nuova esperienza di ottimizzazione degli avvisi. Non sarà possibile tornare all'esperienza precedente.

  10. Modificare le regole esistenti:

    È sempre possibile aggiungere o modificare le condizioni delle regole e l'ambito delle regole nuove o esistenti nel portale di Microsoft Defender, selezionando la regola pertinente e facendo clic su Modifica regola.

    Per modificare le regole esistenti, assicurarsi che l'interruttore Nuova creazione regole di ottimizzazione degli avvisi abilitata sia abilitata.

Risolvere un avviso

Al termine dell'analisi di un avviso che può essere risolto, passare al riquadro Gestisci avviso per l'avviso o avvisi simili e contrassegnare lo stato come Risolto e quindi classificarlo come Vero positivo con un tipo di minaccia, un'attività informativa prevista con un tipo di attività o un Falso positivo.

La classificazione degli avvisi consente Microsoft Defender XDR migliorare la qualità del rilevamento.

Usare Power Automate per valutare gli avvisi

I team delle moderne operazioni di sicurezza (SecOps) hanno bisogno di automazione per funzionare in modo efficace. Per concentrarsi sulla ricerca e l'analisi delle minacce reali, i team SecOps usano Power Automate per valutare l'elenco degli avvisi ed eliminare quelli che non sono minacce.

Criteri per la risoluzione degli avvisi

  • L'utente ha attivato il messaggio Out-of-Office
  • L'utente non è contrassegnato come ad alto rischio

Se entrambi sono true, SecOps contrassegna l'avviso come viaggio legittimo e lo risolve. Una notifica viene pubblicata in Microsoft Teams dopo la risoluzione dell'avviso.

Connettere Power Automate a Microsoft Defender for Cloud Apps

Per creare l'automazione, è necessario un token API prima di poter connettere Power Automate a Microsoft Defender for Cloud Apps.

  1. Aprire Microsoft Defender e selezionare Impostazioni> TokenAPIapp> cloud e quindi selezionare Aggiungi token nella scheda Token API.

  2. Specificare un nome per il token e quindi selezionare Genera. Salvare il token come necessario in un secondo momento.

Create un flusso automatizzato

Guardare questo breve video per informazioni sul funzionamento efficiente dell'automazione per creare un flusso di lavoro uniforme e su come connettere Power Automate a Defender per le app cloud.

Passaggi successivi

Se necessario per gli eventi imprevisti in-process, continuare l'indagine.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.