Modifica

Gestire e rispondere agli avvisi di sicurezza

  • Procedure

Defender per il Cloud raccoglie, analizza e integra automaticamente i dati di log delle risorse di Azure ibride e multicoud, della rete e di soluzioni dei partner connesse, come firewall e agenti per endpoint. Defender per il cloud usa i dati di log per rilevare minacce reali e ridurre i falsi positivi. Defender for Cloud visualizza un elenco degli avvisi di sicurezza in ordine di priorità, insieme alle informazioni necessarie per analizzare rapidamente il problema e ai passaggi per risolvere un attacco.

Questo articolo illustra come visualizzare ed elaborare gli avvisi di Defender per il cloud e proteggere le risorse.

Quando si valutano gli avvisi di sicurezza, è necessario classificare in ordine di priorità gli avvisi in base alla gravità dell'avviso, risolvendo prima gli avvisi di gravità più elevati. Altre informazioni sulla classificazione degli avvisi.

Suggerimento

È possibile connettere Microsoft Defender per il cloud alle soluzioni SIEM, tra cui Microsoft Sentinel e usare gli avvisi dello strumento preferito. Altre informazioni su come trasmettere gli avvisi a una soluzione SIEM, SOAR o gestione dei servizi IT.

Prerequisiti

Per i prerequisiti e i requisiti, vedere Matrice di supporto per Defender per il cloud.

Gestire gli avvisi di sicurezza

Seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud> Avvisi di sicurezza.

    Screenshot che mostra la pagina degli avvisi di sicurezza dalla pagina di panoramica di Microsoft Defender per il cloud.

  3. (Facoltativo) Filtrare l'elenco degli avvisi con uno dei filtri pertinenti. È possibile aggiungere filtri aggiuntivi con l'opzione Aggiungi filtro .

    Screenshot che mostra come aggiungere filtri alla visualizzazione avvisi.

    L'elenco viene aggiornato in base ai filtri selezionati. Ad esempio, è possibile risolvere gli avvisi di sicurezza che si sono verificati nelle ultime 24 ore perché si sta esaminando una potenziale violazione nel sistema.

Analizzare un avviso di sicurezza

Ogni avviso contiene informazioni relative all'avviso che consente di eseguire l'indagine.

Per analizzare un avviso di sicurezza:

  1. Selezionare un avviso. Verrà visualizzato un riquadro laterale con una descrizione dell'avviso e l'indicazione di tutte le risorse interessate.

    Screenshot della visualizzazione dettagli generale di un avviso di sicurezza.

  2. Esaminare le informazioni generali sull'avviso di sicurezza.

    • Gravità, stato e tempo di attività dell'avviso
    • Descrizione dell'attività esatta rilevata
    • Risorse interessate
    • Finalità kill chain dell'attività nella matrice MITRE ATT&CK (se applicabile)

  3. Selezionare View full details (Visualizza dettagli completi).

    Il riquadro destro include la scheda Dettagli avviso contenente altri dettagli dell'avviso per analizzare il problema: indirizzi IP, file, processi e altro ancora.

    Screenshot che mostra la pagina dei dettagli completi per un avviso.

    Nel riquadro di destra è anche disponibile la scheda Azione . Utilizzare questa scheda per eseguire ulteriori azioni relative all'avviso di sicurezza. Sono disponibili azioni come le seguenti:

    • Esaminare il contesto delle risorse: invia i log attività della risorsa che supportano l'avviso di sicurezza
    • Attenuare la minaccia : fornisce passaggi di correzione manuali per questo avviso di sicurezza
    • Prevenire attacchi futuri: fornisce raccomandazioni sulla sicurezza per ridurre la superficie di attacco, aumentare il comportamento di sicurezza e quindi prevenire attacchi futuri
    • Attivare una risposta automatica: offre l'opzione per attivare un'app per la logica come risposta a questo avviso di sicurezza
    • Elimina avvisi simili: consente di eliminare gli avvisi futuri con caratteristiche simili se l'avviso non è pertinente per l'organizzazione

    Screenshot che mostra le opzioni disponibili nella scheda Azione di esecuzione.

    Per altri dettagli, contattare il proprietario della risorsa per verificare se l'attività rilevata è un falso positivo. È anche possibile analizzare i log non elaborati generati dalla risorsa attaccata.

Modificare lo stato di più avvisi di sicurezza contemporaneamente

L'elenco degli avvisi include caselle di controllo che consentono di gestire più avvisi contemporaneamente. Ad esempio, a scopo di valutazione, è possibile decidere di ignorare tutti gli avvisi informativi per una risorsa specifica.

  1. Filtrare in base agli avvisi da gestire in blocco.

    In questo esempio vengono selezionati gli avvisi con gravità per Informational la risorsa ASC-AKS-CLOUD-TALK .

    Screenshot che mostra come filtrare gli avvisi per visualizzare gli avvisi correlati.

  2. Usare le caselle di controllo per selezionare gli avvisi da elaborare.

    In questo esempio vengono selezionati tutti gli avvisi. Il pulsante Cambia stato è ora disponibile.

    Screenshot della selezione di tutti gli avvisi da gestire in blocco.

  3. Usare le opzioni Cambia stato per impostare lo stato desiderato.

    Screenshot della scheda relativa allo stato degli avvisi di sicurezza.

    Gli avvisi visualizzati nella pagina corrente hanno lo stato modificato nel valore selezionato.

Rispondere a un avviso di sicurezza

Dopo aver esaminato un avviso di sicurezza, è possibile rispondere all'avviso dall'interno di Microsoft Defender per il cloud.

Per rispondere a un avviso di sicurezza:

  1. Aprire la scheda Intervieni per visualizzare le risposte raccomandate.

    Screenshot della scheda Azioni di esecuzione degli avvisi di sicurezza.

  2. Esaminare la sezione Mitiga la minaccia per la procedura di analisi manuale da eseguire per mitigare il problema.

  3. Per rafforzare le risorse ed evitare attacchi futuri di questo tipo, seguire le raccomandazioni per la sicurezza riportate nella sezione Evita attacchi futuri.

  4. Per attivare un'app per la logica con passaggi di risposta automatizzati, usare la sezione Trigger automated response (Attiva risposta automatizzata) e selezionare Trigger logic app (Attiva app per la logica).

  5. Se l'attività rilevata non è dannosa, è possibile eliminare gli avvisi futuri di questo tipo usando la sezione Elimina avvisi simili e selezionare Crea regola di eliminazione.

  6. Selezionare Configura impostazioni di notifica tramite posta elettronica per visualizzare gli utenti che ricevono messaggi di posta elettronica relativi agli avvisi di sicurezza in questa sottoscrizione. Contattare il proprietario della sottoscrizione per configurare le impostazioni di posta elettronica.

  7. Quando si completa l'indagine sull'avviso e si risponde nel modo appropriato, modificare lo stato in Ignorato.

    Screenshot del menu a discesa stato dell'avviso.

    L'avviso viene rimosso dall'elenco di avvisi principale. È possibile usare il filtro nella pagina dell'elenco degli avvisi per visualizzare tutti gli avvisi con lo stato Ignorato.

  8. Microsoft incoraggia l'invio di feedback sull'avviso

    1. contrassegnandolo come utile o non utile.
    2. Selezionare un motivo e aggiungere un commento.

    Screenshot della finestra invia commenti e suggerimenti a Microsoft che consente di selezionare l'utilità di un avviso.

    Suggerimento

    Microsoft esamina il feedback per migliorare gli algoritmi e fornire avvisi di sicurezza più efficaci.

    Per informazioni sui diversi tipi di avvisi, vedere Avvisi di sicurezza - guida di riferimento.

    Per una panoramica del modo in cui Defender per il cloud genera avvisi, vedere Come Microsoft Defender per il cloud rileva e risponde alle minacce.

    Esaminare i risultati dell'analisi senza agente

    I risultati per lo scanner basato su agente e senza agente vengono visualizzati nella pagina Avvisi di sicurezza.

    Screenshot della pagina degli avvisi di sicurezza che mostra i risultati dell'analisi basata su agente e senza agente.

    Nota

    La correzione di uno di questi avvisi non correggerà l'altro avviso fino al completamento dell'analisi successiva.

Contenuto correlato