Gestire e rispondere agli avvisi di sicurezza

Defender per il Cloud raccoglie, analizza e integra automaticamente i dati di log delle risorse di Azure ibride e multicoud, della rete e di soluzioni dei partner connesse, come firewall e agenti per endpoint. Defender per il cloud usa i dati di log per rilevare minacce reali e ridurre i falsi positivi. Defender for Cloud visualizza un elenco degli avvisi di sicurezza in ordine di priorità, insieme alle informazioni necessarie per analizzare rapidamente il problema e ai passaggi per risolvere un attacco.

Questo articolo illustra come visualizzare ed elaborare gli avvisi di Defender per il cloud e proteggere le risorse.

Quando si valutano gli avvisi di sicurezza, è necessario classificare in ordine di priorità gli avvisi in base alla gravità dell'avviso, risolvendo prima gli avvisi di gravità più elevati. Altre informazioni sulla classificazione degli avvisi.

Suggerimento

È possibile connettere Microsoft Defender per il cloud alle soluzioni SIEM, tra cui Microsoft Sentinel e usare gli avvisi dello strumento preferito. Altre informazioni su come trasmettere gli avvisi a una soluzione SIEM, SOAR o gestione dei servizi IT.

Gestire gli avvisi di sicurezza

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud> Avvisi di sicurezza.

    Screenshot that shows the security alerts page from Microsoft Defender for Cloud's overview page.

  3. (Facoltativo) Filtrare l'elenco degli avvisi con uno dei filtri pertinenti. È possibile aggiungere filtri aggiuntivi con l'opzione Aggiungi filtro .

    Screenshot that shows you how to add filters to the alerts view.

    L'elenco viene aggiornato in base ai filtri selezionati. Ad esempio, è possibile risolvere gli avvisi di sicurezza che si sono verificati nelle ultime 24 ore perché si sta esaminando una potenziale violazione nel sistema.

Analizzare un avviso di sicurezza

Ogni avviso contiene informazioni relative all'avviso che consente di eseguire l'indagine.

Per analizzare un avviso di sicurezza:

  1. Selezionare un avviso. Verrà visualizzato un riquadro laterale con una descrizione dell'avviso e l'indicazione di tutte le risorse interessate.

    Screenshot of the high-level details view of a security alert.

  2. Esaminare le informazioni generali sull'avviso di sicurezza.

    • Gravità, stato e tempo di attività dell'avviso
    • Descrizione dell'attività esatta rilevata
    • Risorse interessate
    • Finalità kill chain dell'attività nella matrice MITRE ATT&CK (se applicabile)
  3. Selezionare View full details (Visualizza dettagli completi).

    Il riquadro destro include la scheda Dettagli avviso contenente altri dettagli dell'avviso per analizzare il problema: indirizzi IP, file, processi e altro ancora.

    Screenshot that shows the full details page for an alert.

    Nel riquadro di destra è anche disponibile la scheda Azione . Utilizzare questa scheda per eseguire ulteriori azioni relative all'avviso di sicurezza. Sono disponibili azioni come le seguenti:

    • Esaminare il contesto delle risorse: invia i log attività della risorsa che supportano l'avviso di sicurezza
    • Attenuare la minaccia : fornisce passaggi di correzione manuali per questo avviso di sicurezza
    • Prevenire attacchi futuri: fornisce raccomandazioni sulla sicurezza per ridurre la superficie di attacco, aumentare il comportamento di sicurezza e quindi prevenire attacchi futuri
    • Attivare una risposta automatica: offre l'opzione per attivare un'app per la logica come risposta a questo avviso di sicurezza
    • Elimina avvisi simili: consente di eliminare gli avvisi futuri con caratteristiche simili se l'avviso non è pertinente per l'organizzazione

    Screenshot that shows the options available in the Take action tab.

Per altri dettagli, contattare il proprietario della risorsa per verificare se l'attività rilevata è un falso positivo. È anche possibile analizzare i log non elaborati generati dalla risorsa attaccata.

Modificare lo stato di più avvisi di sicurezza contemporaneamente

L'elenco degli avvisi include caselle di controllo che consentono di gestire più avvisi contemporaneamente. Ad esempio, a scopo di valutazione, è possibile decidere di ignorare tutti gli avvisi informativi per una risorsa specifica.

  1. Filtrare in base agli avvisi da gestire in blocco.

    In questo esempio vengono selezionati gli avvisi con gravità per Informational la risorsa ASC-AKS-CLOUD-TALK .

    Screenshot that shows how to filter alerts to show related alerts.

  2. Usare le caselle di controllo per selezionare gli avvisi da elaborare.

    In questo esempio vengono selezionati tutti gli avvisi. Il pulsante Cambia stato è ora disponibile.

    Screenshot of selecting all alerts to handle in bulk.

  3. Usare le opzioni Cambia stato per impostare lo stato desiderato.

    Screenshot of the security alerts status tab.

Gli avvisi visualizzati nella pagina corrente hanno lo stato modificato nel valore selezionato.

Rispondere a un avviso di sicurezza

Dopo aver esaminato un avviso di sicurezza, è possibile rispondere all'avviso dall'interno di Microsoft Defender per il cloud.

Per rispondere a un avviso di sicurezza:

  1. Aprire la scheda Intervieni per visualizzare le risposte raccomandate.

    Screenshot of the security alerts take action tab.

  2. Esaminare la sezione Mitiga la minaccia per la procedura di analisi manuale da eseguire per mitigare il problema.

  3. Per rafforzare le risorse ed evitare attacchi futuri di questo tipo, seguire le raccomandazioni per la sicurezza riportate nella sezione Evita attacchi futuri.

  4. Per attivare un'app per la logica con passaggi di risposta automatizzati, usare la sezione Trigger automated response (Attiva risposta automatizzata) e selezionare Trigger logic app (Attiva app per la logica).

  5. Se l'attività rilevata non è dannosa, è possibile eliminare gli avvisi futuri di questo tipo usando la sezione Elimina avvisi simili e selezionare Crea regola di eliminazione.

  6. Selezionare Configura impostazioni di notifica tramite posta elettronica per visualizzare gli utenti che ricevono messaggi di posta elettronica relativi agli avvisi di sicurezza in questa sottoscrizione. Contattare il proprietario della sottoscrizione per configurare le impostazioni di posta elettronica.

  7. Quando si completa l'indagine sull'avviso e si risponde nel modo appropriato, modificare lo stato in Ignorato.

    Screenshot of the alert's status drop down menu

    L'avviso viene rimosso dall'elenco di avvisi principale. È possibile usare il filtro nella pagina dell'elenco degli avvisi per visualizzare tutti gli avvisi con lo stato Ignorato.

  8. Microsoft incoraggia l'invio di feedback sull'avviso

    1. contrassegnandolo come utile o non utile.

    2. Selezionare un motivo e aggiungere un commento.

      Screenshot of the provide feedback to Microsoft window that allows you to select the usefulness of an alert.

    Suggerimento

    Microsoft esamina il feedback per migliorare gli algoritmi e fornire avvisi di sicurezza più efficaci.

Per informazioni sui diversi tipi di avvisi, vedere Avvisi di sicurezza - guida di riferimento.

Per una panoramica del modo in cui Defender per il cloud genera avvisi, vedere Come Microsoft Defender per il cloud rileva e risponde alle minacce.

Esaminare i risultati dell'analisi senza agente

I risultati per lo scanner basato su agente e senza agente vengono visualizzati nella pagina Avvisi di sicurezza.

Screenshot of the security alerts page that shows the results of both the agent-based and agentless scan results.

Nota

La correzione di uno di questi avvisi non correggerà l'altro avviso fino al completamento dell'analisi successiva.

Vedi anche

In questo documento si è appreso come visualizzare gli avvisi di sicurezza. Per il materiale correlato, vedere le pagine seguenti: