Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender for Cloud

Questo argomento illustra come visualizzare ed elaborare gli avvisi di Defender for Cloud e proteggere le risorse.

I rilevamenti avanzati che attivano gli avvisi di sicurezza sono disponibili solo con le funzionalità di sicurezza avanzate di Microsoft Defender for Cloud abilitate. È disponibile una versione di valutazione gratuita. Per eseguire l'aggiornamento, vedere Abilitare le protezioni avanzate.

Informazioni sugli avvisi di sicurezza

Defender for Cloud raccoglie, analizza e integra automaticamente i dati di log dalle risorse di Azure, dalla rete e dalle soluzioni dei partner connesse, ad esempio soluzioni firewall ed endpoint protection, per rilevare minacce reali e ridurre i falsi positivi. Un elenco di avvisi di sicurezza con priorità viene visualizzato in Defender for Cloud insieme alle informazioni necessarie per analizzare rapidamente il problema e le procedure da eseguire per correggere un attacco.

Per informazioni sui diversi tipi di avvisi, vedere Avvisi di sicurezza: una guida di riferimento.

Per una panoramica del modo in cui Defender for Cloud genera avvisi, vedere Come Microsoft Defender for Cloud rileva e risponde alle minacce.

Gestire gli avvisi di sicurezza

  1. Nella pagina di panoramica di Defender for Cloud selezionare il riquadro Avvisi di sicurezza nella parte superiore della pagina o il collegamento dalla barra laterale.

    Getting to the security alerts page from Microsoft Defender for Cloud's overview page

    Verrà visualizzata la pagina Avvisi di sicurezza.

    Microsoft Defender for Cloud's security alerts list

  2. Per filtrare l'elenco di avvisi, selezionare uno dei filtri pertinenti. Facoltativamente, è possibile aggiungere altri filtri con l'opzione Aggiungi filtro .

    Adding filters to the alerts view.

    L'elenco viene aggiornato in base alle opzioni di filtro selezionate. I filtri possono essere molto utili. Ad esempio, potrebbe essere necessario gestire gli avvisi di sicurezza che si sono verificati nelle ultime 24 ore, perché si sta esaminando una potenziale violazione del sistema.

Rispondere agli avvisi di sicurezza

  1. Nell'elenco Avvisi di sicurezza selezionare un avviso. Verrà visualizzato un riquadro laterale con una descrizione dell'avviso e l'indicazione di tutte le risorse interessate.

    Mini details view of a security alert.

    Suggerimento

    Con questo riquadro laterale aperto, è possibile esaminare rapidamente l'elenco degli avvisi con le frecce su e giù sulla tastiera.

  2. Per altre informazioni, selezionare Visualizza dettagli completi.

    Il riquadro a sinistra della pagina Avviso di sicurezza mostra le informazioni generali relative all'avviso di sicurezza, come titolo, gravità, stato, orario dell'attività, descrizione dell'attività sospetta e risorsa interessata. Oltre alla risorsa interessata sono indicati i tag di Azure rilevanti per la risorsa. Usare questi elementi per dedurre il contesto organizzativo della risorsa quando si esamina l'avviso.

    Il riquadro destro include la scheda Dettagli avviso contenente altri dettagli dell'avviso per facilitare l'analisi del problema: indirizzi IP, file, processi e altro ancora.

    Suggestions for what to do about security alerts.

    Nel riquadro destro è anche presente la scheda Azione di esecuzione . Usare questa scheda per eseguire ulteriori azioni relative all'avviso di sicurezza. Sono disponibili azioni come le seguenti:

    • Esaminare il contesto delle risorse : invia i log attività della risorsa che supportano l'avviso di sicurezza
    • Attenuare la minaccia : fornisce la procedura di correzione manuale per questo avviso di sicurezza
    • Prevenire attacchi futuri : fornisce raccomandazioni sulla sicurezza per ridurre la superficie di attacco, aumentare il comportamento di sicurezza e quindi prevenire attacchi futuri
    • Attivare una risposta automatica : offre l'opzione per attivare un'app per la logica come risposta a questo avviso di sicurezza
    • Elimina avvisi simili : offre la possibilità di eliminare gli avvisi futuri con caratteristiche simili se l'avviso non è rilevante per l'organizzazione

    Take action tab.

Modificare lo stato di più avvisi di sicurezza contemporaneamente

L'elenco degli avvisi include caselle di controllo che consentono di gestire più avvisi contemporaneamente. Ad esempio, a scopo di valutazione, è possibile decidere di ignorare tutti gli avvisi informativi per una risorsa specifica.

  1. Filtrare in base agli avvisi da gestire in blocco.

    In questo esempio sono stati selezionati tutti gli avvisi con gravità 'Informational' per la risorsa 'ASC-AKS-CLOUD-TALK'.

    Screenshot of filtering the alerts to the list of those to handle together.

  2. Usare le caselle di controllo per selezionare gli avvisi da elaborare oppure usare la casella di controllo nella parte superiore dell'elenco per selezionarle tutte.

    In questo esempio sono stati selezionati tutti gli avvisi. Si noti che il pulsante Cambia stato è ora disponibile.

    Screenshot of selecting all alerts to handle in bulk.

  3. Usare le opzioni Cambia stato per impostare lo stato desiderato.

Gli avvisi visualizzati nella pagina corrente verranno modificati in base al valore selezionato.

Vedi anche

In questo documento si è appreso come visualizzare gli avvisi di sicurezza. Per informazioni sul materiale correlato, vedere le pagine seguenti: