Gestione degli eventi imprevisti della sicurezza nel Centro sicurezza di AzureHandling Security Incidents in Azure Security Center

La valutazione e l'analisi degli avvisi di sicurezza possono essere dispendiose in termini di tempo anche per gli analisti della sicurezza più esperti e per molti è difficile addirittura stabilire da dove iniziare.Triaging and investigating security alerts can be time consuming for even the most skilled security analysts, and for many it is hard to even know where to begin. Usando funzionalità di analisi per collegare le informazioni di avvisi di sicurezza distinti, il Centro sicurezza può offrire una singola visualizzazione di una campagna di attacco e di tutti gli avvisi correlati, consentendo di comprendere rapidamente le azioni intraprese dall'utente malintenzionato e le risorse interessate.By using analytics to connect the information between distinct security alerts, Security Center can provide you with a single view of an attack campaign and all of the related alerts – you can quickly understand what actions the attacker took and what resources were impacted.

Questo documento illustra come usare le funzionalità degli avvisi del Centro sicurezza per gestire gli eventi imprevisti della sicurezza.This document discusses how to use security alert capability in Security Center to assist you handling security incidents.

Che cos'è un evento imprevisto della sicurezza?What is a security incident?

Nel Centro sicurezza un evento imprevisto della sicurezza è un'aggregazione di tutti gli avvisi relativi a una risorsa, in linea con i modelli delle catene di attacco .In Security Center, a security incident is an aggregation of all alerts for a resource that align with kill chain patterns. Gli eventi imprevisti vengono visualizzati nel riquadro e nel pannello Avvisi di sicurezza .Incidents appear in the Security Alerts tile and blade. Un evento imprevisto riporta un elenco degli avvisi correlati, che consente di ottenere altre informazioni su ogni occorrenza.An Incident will reveal the list of related alerts, which enables you to obtain more information about each occurrence.

Gestione degli eventi imprevisti della sicurezzaManaging security incidents

È possibile esaminare gli eventi imprevisti della sicurezza correnti visualizzando il riquadro Avvisi di sicurezza.You can review your current security incidents by looking at the security alerts tile. Accedere al portale di Azure e seguire questa procedura per visualizzare altri dettagli su ogni evento imprevisto della sicurezza:Access the Azure Portal and follow the steps below to see more details about each security incident:

  1. Nel dashboard del Centro sicurezza è disponibile il riquadro Avvisi di sicurezza .On the Security Center dashboard, you will see the Security alerts tile.

    Riquadro Avvisi di sicurezza nel Centro sicurezza di Azure

  2. Fare clic sul riquadro per espanderlo. In caso di rilevamento di un evento imprevisto della sicurezza, verrà visualizzato nel grafico degli avvisi di sicurezza come illustrato nell'immagine seguente:Click on this tile to expand it and if a security incident is detected, it will appear under the security alerts graph as shown below:

    Evento imprevisto della sicurezza

  3. Si noti che la descrizione dell'evento imprevisto della sicurezza ha un'icona diversa rispetto agli altri avvisi.Notice that the security incident description has a different icon compared to other alerts. Fare clic su di essa per visualizzare altri dettagli sull'evento imprevisto.Click on it to view more details about this incident.

    Evento imprevisto della sicurezza

  4. Nel pannello Evento imprevisto saranno visualizzati altri dettagli sull'evento imprevisto per la sicurezza. I dettagli includono la descrizione completa, la gravità, che in questo caso è alta, lo stato corrente, che in questo caso è ancora attivo e implica che l'utente non ha provveduto a risolverlo facendo clic con il pulsante destro del mouse sull'evento imprevisto nel pannello Avvisi di sicurezza, la risorsa che ha subito attacchi, in questo caso la VM1, la procedura di correzione e gli avvisi inclusi nell'evento imprevisto nel riquadro inferiore.On the incident blade you will see more details about this security incident, which includes its full description, its severity (which in this case is high), its current state (in this case it is still active, which implies the user hasn't taken an action to it - this can be done by right clicking on the incident in the Security alerts blade), the attacked resource (in this case VM1), the remediation steps for the incident, and in the bottom pane you have the alerts that were included in this incident. Per ottenere altre informazioni su ogni avviso, basta selezionarlo. Verrà aperto un altro pannello, come illustrato di seguito:If you want to obtain more information on each alert, just click on it and another blade will open, as shown below:

    Evento imprevisto della sicurezza

Le informazioni visualizzate in questo pannello variano in base all'avviso.The information on this blade will vary according to the alert. Per altre informazioni su come gestire questi avvisi, vedere Gestione e risposta agli avvisi di sicurezza nel Centro sicurezza di Azure .Read Managing and responding to security alerts in Azure Security Center for more information on how to manage these alerts. Alcune considerazioni importanti in merito a questa funzionalità:Some important considerations regarding this capability:

  • Un nuovo filtro consente di personalizzare la visualizzazione in modo che contenga solo l'evento imprevisto, solo gli avvisi o entrambi.A new filter enables you to customize your view to Incident only, Alerts only, or both.
  • Lo stesso avviso può essere incluso in un evento imprevisto (se applicabile) ed essere anche visibile come avviso autonomo.The same alert can exist as part of an Incident (if applicable), as well as to be visible as a standalone alert.

Vedere ancheSee also

In questo documento è stato descritto come usare le funzionalità relative agli eventi imprevisti della sicurezza nel Centro sicurezza di Azure.In this document, you learned how to use the security incident capability in Security Center. Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: