Rilevamento e risposta gestiti
Si applica a:
Per istruzioni sul rilevamento gestito e sulla risposta, vedere questo breve video.
Grazie a una combinazione di automazione e competenze umane, Microsoft Defender Experts for XDR analizza gli eventi imprevisti di Microsoft Defender XDR, li assegna priorità per conto dell'utente, filtra il rumore, esegue indagini dettagliate e fornisce risposte gestite interattive ai team del centro operativo di sicurezza (SOC).
Aggiornamenti degli eventi imprevisti
Una volta che i nostri esperti iniziano a indagare su un evento imprevisto, i campi Assegnato a e Stato dell'evento vengono aggiornati rispettivamente a Defender Experts e In corso.
Quando i nostri esperti terminano l'indagine su un incidente, il campo Classificazione dell'evento imprevisto viene aggiornato a uno dei seguenti, a seconda dei risultati degli esperti:
- True Positive
- Falso positivo
- Attività informativa prevista
Anche il campo Determinazione corrispondente a ogni classificazione viene aggiornato per fornire maggiori informazioni sui risultati che hanno portato i nostri esperti a determinare tale classificazione.
Se un evento imprevisto è classificato come Falso positivo o Informativo, Attività prevista, il campo Stato dell'evento imprevisto viene aggiornato a Risolto. I nostri esperti terminano quindi il loro lavoro su questo evento imprevisto e il campo Assegnato a viene aggiornato a Non assegnato. I nostri esperti possono condividere gli aggiornamenti delle loro indagini e delle loro conclusioni durante la risoluzione di un evento imprevisto. Questi aggiornamenti vengono pubblicati nel riquadro a comparsa Commenti e cronologia dell'evento imprevisto.
Nota
I commenti degli eventi imprevisti sono post unidirezionali. Defender Experts non può rispondere a commenti o domande aggiunti nel pannello Commenti e cronologia . Per altre informazioni su come corrispondere ai nostri esperti, vedere Comunicare con gli esperti del servizio Microsoft Defender Experts for XDR.
In caso contrario, se un evento imprevisto è classificato come True Positive, gli esperti identificano le azioni di risposta necessarie che devono essere eseguite. Il metodo in cui vengono eseguite le azioni dipende dalle autorizzazioni e dai livelli di accesso assegnati al servizio Defender Experts for XDR. Altre informazioni sulla concessione delle autorizzazioni ai nostri esperti.
Se sono state concesse a Defender Experts for XDR le autorizzazioni di accesso consigliate per l'operatore di sicurezza, gli esperti potrebbero eseguire le azioni di risposta necessarie per l'evento imprevisto per conto dell'utente. Queste azioni, insieme a un riepilogo dell'indagine, vengono visualizzate nel riquadro a comparsa Risposta gestita dell'evento imprevisto nel portale di Microsoft Defender per la revisione dell'utente o del team SOC. Tutte le azioni completate da Defender Experts per XDR vengono visualizzate nella sezione Azioni completate . Tutte le azioni in sospeso che richiedono il completamento del team SOC sono elencate nella sezione Azioni in sospeso . Per altre informazioni, vedere la sezione Azioni . Dopo che gli esperti hanno intrapreso tutte le azioni necessarie per l'evento imprevisto, il relativo campo Stato viene quindi aggiornato in Risolto e il campo Assegnato a viene aggiornato a Non assegnato.
Se è stato concesso a Defender Experts per XDR l'accesso predefinito al lettore di sicurezza, le azioni di risposta necessarie, insieme a un riepilogo dell'indagine, vengono visualizzate nel riquadro a comparsa Risposta gestita dell'evento imprevisto nella sezione Azioni in sospeso del portale di Microsoft Defender da eseguire. Per altre informazioni, vedere la sezione Azioni . Per identificare il passaggio di consegne, il campo Stato dell'evento imprevisto viene aggiornato in Attesa dell'azione del cliente e il campo Assegnato a viene aggiornato al cliente.
È possibile controllare il numero di eventi imprevisti che richiedono l'azione nel banner Defender Experts nella parte superiore della home page di Microsoft Defender.
Per visualizzare gli eventi imprevisti che gli esperti hanno indagato o stanno attualmente analizzando, filtrare la coda degli eventi imprevisti nel portale di Microsoft Defender usando il tag Defender Experts .
Come usare la risposta gestita in Microsoft Defender XDR
Nel portale di Microsoft Defender, un evento imprevisto che richiede attenzione tramite la risposta gestita ha il campo Stato impostato su In attesa dell'azione del cliente, il campo Assegnato a impostato su Cliente e una scheda attività nella parte superiore del riquadro Eventi imprevisti . I contatti degli eventi imprevisti designati ricevono anche una notifica di posta elettronica corrispondente con un collegamento al portale di Defender per visualizzare l'evento imprevisto. Altre informazioni sui contatti di notifica. Si riceverà anche una notifica di Teams che informa l'utente sugli aggiornamenti. Altre informazioni sulla configurazione di Teams
Selezionare Visualizza risposta gestita nella scheda attività o nella parte superiore della pagina del portale (scheda Risposta gestita ) per aprire un riquadro a comparsa in cui è possibile leggere il riepilogo delle indagini degli esperti, completare le azioni in sospeso identificate dagli esperti o interagire con essi tramite chat.
Riepilogo dell'indagine
La sezione Riepilogo delle indagini fornisce un contesto più contestuale sull'evento imprevisto analizzato dai nostri esperti per fornire visibilità sulla gravità e sul potenziale impatto se non viene affrontato immediatamente. Può includere la sequenza temporale del dispositivo, gli indicatori di attacco e gli indicatori di compromissione osservati e altri dettagli.
Azioni
Nella scheda Azioni vengono visualizzate schede attività che contengono azioni di risposta consigliate dagli esperti.
Defender Experts per XDR supporta attualmente le seguenti azioni di risposta gestita con un clic:
| Azione | Descrizione |
|---|---|
| Isolamento i dispositivi | Isola un dispositivo, che consente di impedire a un utente malintenzionato di controllarlo ed eseguire altre attività, ad esempio l'esfiltrazione dei dati e lo spostamento laterale. Il dispositivo isolato sarà comunque connesso a Microsoft Defender per endpoint. |
| Quarantena del file | Arresta l'esecuzione dei processi, mette in quarantena i file ed elimina i dati persistenti, ad esempio le chiavi del Registro di sistema. |
| Limitare l'esecuzione dell'app | Limita l'esecuzione di programmi potenzialmente dannosi e blocca il dispositivo per evitare ulteriori tentativi. |
| Rilascio dall'isolamento | Annulla l'isolamento di un dispositivo. |
| Rimuovere la restrizione dell'app | Annulla il rilascio dall'isolamento. |
Oltre a queste azioni con un solo clic, è anche possibile ricevere risposte gestite dai nostri esperti che è necessario eseguire manualmente.
Nota
Prima di eseguire una qualsiasi delle azioni di risposta gestita consigliate, assicurarsi che non siano già stati risolti dalle configurazioni automatizzate di analisi e risposta. Altre informazioni sulle funzionalità di analisi e risposta automatizzate in Microsoft Defender XDR.
Per visualizzare ed eseguire le azioni di risposta gestita:
- Selezionare i pulsanti freccia in una scheda azione per espanderla e leggere altre informazioni sull'azione richiesta.
- Per le schede con azioni di risposta con un clic, selezionare l'azione necessaria. Lo stato dell'azione nella scheda viene modificato in In corso, quindi in Non riuscito o Completato, a seconda del risultato dell'azione.
Consiglio
È anche possibile monitorare lo stato delle azioni di risposta nel portale nel Centro notifiche. Se un'azione di risposta non riesce, provare a eseguire di nuovo questa operazione dalla pagina Visualizza i dettagli del dispositivo o avviare una chat con Defender Experts.
- Per le schede con le azioni necessarie che è necessario eseguire manualmente, selezionare Ho completato questa azione dopo averle eseguite, quindi selezionare Sì, l'ho fatto nella finestra di dialogo di conferma visualizzata.
- Se non si vuole completare immediatamente un'azione necessaria, selezionare Ignora, quindi selezionare Sì, ignorare questa azione nella finestra di dialogo di conferma visualizzata.
Importante
Se si nota che uno dei pulsanti delle schede azione è disattivato, potrebbe indicare che non si dispone delle autorizzazioni necessarie per eseguire l'azione. Assicurarsi di aver eseguito l'accesso al portale di Microsoft Defender XDR con le autorizzazioni appropriate. La maggior parte delle azioni di risposta gestite richiede almeno l'accesso dell'operatore di sicurezza. Se si verifica ancora questo problema anche con le autorizzazioni appropriate, passare a Visualizzare i dettagli del dispositivo e completare i passaggi da questa posizione.
Ottenere visibilità sulle indagini di Defender Experts nell'applicazione SIEM o ITSM
Poiché Defender Experts for XDR analizza gli eventi imprevisti e fornisce azioni correttive, è possibile avere visibilità sul proprio lavoro sugli eventi imprevisti nelle applicazioni siem (Security Information and Event Management) e IT Service Management (ITSM), incluse le applicazioni disponibili all'esterno.
Microsoft Sentinel
È possibile ottenere la visibilità degli eventi imprevisti in Microsoft Sentinel attivando il connettore dati XDR di Microsoft Defender predefinito. Altre informazioni.
Dopo aver attivato il connettore, gli aggiornamenti di Defender Experts ai campi Stato, Assegnazione, Classificazione e Determinazione in Microsoft Defender XDR verranno visualizzati nei campi Stato, Proprietario e Motivo della chiusura corrispondenti in Sentinel.
Nota
Lo stato degli eventi imprevisti analizzati dagli esperti di Defender in Microsoft Defender XDR passa in genere da Attivo a In corso ad Attesa dell'azione del cliente a Risolto, mentre in Sentinel segue il percorso Da nuovo ad Attivo a Risolto . Lo stato XDR di Microsoft Defender in attesa dell'azione del cliente non ha un campo equivalente in Sentinel; viene invece visualizzato come tag in un evento imprevisto in Sentinel.
La sezione seguente descrive come un evento imprevisto gestito dai nostri esperti viene aggiornato in Sentinel durante il percorso di indagine:
- Un evento imprevisto oggetto di indagine da parte dei nostri esperti ha lo stato elencato come Attivo e il Proprietario elencato come Defender Experts.
- Un evento imprevisto che i nostri esperti hanno confermato come True Positive ha una risposta gestita pubblicata in Microsoft Defender XDR e un tagin attesa di azione del cliente e il proprietario è elencato come Cliente. È necessario agire sull'evento imprevisto in base all'uso della risposta gestita fornita.
- Dopo che gli esperti hanno concluso l'indagine e chiuso un evento imprevisto come Falso positivo o Informativo, Attività prevista, lo stato dell'evento imprevisto viene aggiornato in Risolto, il proprietario viene aggiornato a Non assegnato e viene fornito un motivo per la chiusura .
Altre applicazioni
È possibile ottenere visibilità degli eventi imprevisti nell'applicazione SIEM o ITSM usando l'API XDR di Microsoft Defender o i connettori in Sentinel.
Dopo aver configurato un connettore, gli aggiornamenti da parte di Defender Experts ai campi Stato, Assegnazione, Classificazione e Determinazione di un evento imprevisto in Microsoft Defender XDR possono essere sincronizzati con le applicazioni SIEM o ITSM di terze parti, a seconda di come è stato implementato il mapping dei campi. Per illustrare, è possibile esaminare il connettore disponibile da Sentinel a ServiceNow.
Vedere anche
- Informazioni e gestione delle notifiche degli eventi imprevisti di Defender Experts for XDR
- Informazioni sulla risposta gestita
- Ottenere visibilità in tempo reale con i report di Defender Experts for XDR
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per