Gestire gli avvisi

  • Articolo
  • 6 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Questo articolo illustra come usare gli avvisi generati nel portale delle app di Defender per il cloud.

Nota

Gli avvisi vengono gestiti nei rispettivi criteri e possono essere configurati per l'invio come messaggio di posta elettronica, SMS o entrambi.

Gestire gli avvisi

Gli avvisi sono il primo elemento da prendere in considerazione per comprendere l'ambiente cloud in modo approfondito. È possibile che sia necessario creare nuovi criteri sulla base delle informazioni fornite dagli avvisi. Si potrebbe ad esempio notare un amministratore che accede dalla Groenlandia quando nessuno della propria organizzazione ha mai eseguito l'accesso dalla Groenlandia in precedenza. È possibile creare un criterio per sospendere automaticamente gli account amministratore usati per accedere dalla posizione specifica.

È consigliabile prendere in esame tutti gli avvisi e usarli come strumenti per la modifica dei criteri. Se eventi innocui vengono considerati violazioni dei criteri esistenti, è opportuno perfezionare i criteri in modo da ricevere un numero minore di avvisi non necessari.

  1. Nella pagina Avvisi selezionare Apri per Stato risoluzione.

    Questa sezione del dashboard offre una piena visibilità su qualsiasi attività sospetta o violazione dei criteri stabiliti. Questo consente di salvaguardare le condizioni di sicurezza definite per l'ambiente cloud.

    Alerts resolution status page.

  2. Per ciascun avviso è necessario analizzare e individuare la natura della violazione per determinare la risposta necessaria.

    • È possibile filtrare gli avvisi per Tipo di avviso o per Gravità in modo da elaborare prima quelli più importanti.

    • Selezionare un avviso specifico. A seconda del tipo di avviso, verranno indicate differenti azioni che è possibile eseguire prima di risolverlo.

    • È possibile filtrare in base alle app. Le app elencate sono quelle per cui sono state rilevate attività da Defender for Cloud Apps.

    • Quando si analizzano gli avvisi, è necessario gestire tre tipi di violazioni:

      • Violazioni gravi che richiedono una risposta immediata.
        Esempi:

        • Per un avviso di attività sospetta, può essere necessario sospendere l'account fino a quando l'utente non modifica la password.
        • Per una perdita di dati può essere necessario limitare le autorizzazioni o mettere in quarantena il file.
        • Se si individua una nuova app, può essere necessario bloccare l'accesso a tale servizio sul proxy o sul firewall.

      • Violazioni dubbie che richiedono un'analisi più approfondita.

        • È possibile contattare l'utente o il suo responsabile per chiedere chiarimenti sulla natura dell'attività.
        • Lasciare l'attività aperta fino a quando non si ottengono maggiori informazioni.

      • Violazioni autorizzate o comportamento anomalo: le violazioni autorizzate o il comportamento anomalo possono derivare dall'uso legittimo.

        • È possibile ignorare l'avviso.

  3. Quando si ignora un avviso, è utile inviare commenti e suggerimenti sul motivo per cui si sta ignorando l'avviso. Il team di Defender for Cloud Apps usa il feedback come indicazione dell'accuratezza dell'avviso. Queste informazioni vengano quindi usate per ottimizzare i modelli di Machine Learning per avvisi futuri. Se si seleziona la casella È possibile contattare l'utente corrente su questo avviso , in alcuni casi è possibile che l'utente venga restituito per ulteriori informazioni. È possibile seguire queste linee guida per decidere come classificare l'avviso:

    • Se un uso legittimo ha attivato l'avviso e non si tratta di un problema di sicurezza, il tipo di avviso potrebbe essere uno dei seguenti:

      • Positivo benigno: l'avviso è accurato, ma l'attività è legittima. È possibile ignorare l'avviso e impostare il motivo su Gravità effettiva è inferiore o Non interessante.
      • Falso positivo: l'avviso non è preciso. Ignorare l'avviso e impostare il motivo per cui l'avviso non è accurato.

    • Se c'è troppo rumore per determinare la legittimità e l'accuratezza di un avviso, ignorarlo e impostare il motivo su Troppi avvisi simili.

    • Vero positivo: se l'avviso è correlato a un evento rischioso effettivo che è stato eseguito intenzionalmente o involontariamente da un insider o da un esterno, è necessario impostare l'evento su Risolvi dopo aver eseguito tutte le azioni appropriate per correggere l'evento.

Tipi di avviso

La tabella seguente riporta un elenco degli avvisi che possono essere generati, oltre alle azioni consigliate per risolverli.

Tipo di avviso Descrizione Risoluzione consigliata
Violazione dei criteri attività Questo tipo di avviso è il risultato di un criterio creato. Per gestire questo tipo di avvisi in blocco, è consigliabile operare direttamente all'interno del centro criteri.

Ottimizzare il criterio per evitare la generazione di avvisi non necessari aggiungendo altri filtri e controlli più granulari.

Se il criterio è accurato, l'avviso motivato e si tratta di una violazione da interrompere immediatamente, è consigliabile aggiungere una correzione automatica al criterio.
Violazione dei criteri file Questo tipo di avviso è il risultato di un criterio creato. Per gestire questo tipo di avvisi in blocco, è consigliabile operare direttamente all'interno del centro criteri.

Ottimizzare il criterio per evitare la generazione di avvisi non necessari aggiungendo altri filtri e controlli più granulari.

Se il criterio è accurato, l'avviso motivato e si tratta di una violazione da interrompere immediatamente, è consigliabile aggiungere una correzione automatica al criterio.
Account compromesso Questo tipo di avviso viene generato quando Defender for Cloud Apps identifica un account compromesso. Ciò significa che esiste un'elevata probabilità che l'account sia stato usato in modo non autorizzato. È consigliabile sospendere l'account fino a quando non è possibile raggiungere l'utente e verificare che abbia modificato la password.
Account inattivo Questo avviso viene generato quando un account non viene usato da 60 giorni in una delle app cloud connesse. Contattare l'utente o il suo responsabile per determinare se l'account è ancora attivo. Se l'account non è più attivo, sospendere l'utente e annullare la licenza per l'app.
Nuovo utente amministratore Questo avviso indica la necessità di modificare l'account con privilegi per le app connesse. Verificare che le nuove autorizzazioni di amministratore siano effettivamente necessarie per l'utente. In caso contrario, è consigliabile revocare i privilegi di amministratore per ridurre l'esposizione.
Nuova località amministratore Questo avviso indica la necessità di modificare l'account con privilegi per le app connesse. Verificare che l'accesso da questa località anomala sia legittimo. In caso contrario, è consigliabile revocare le autorizzazioni di amministratore o sospendere l'account per ridurre l'esposizione.
Nuovo paese Si tratta di un avviso informativo sull'accesso a un'app connessa da una nuova località e viene generato una sola volta per paese/area geografica. Esaminare l'attività dell'utente specifico.
New discovered service (Nuovo servizio individuato) Si tratta di un avviso relativo allo shadow IT. Cloud Discovery ha rilevata una nuova app.
  • Valutare il rischio del servizio in base al catalogo delle app.
  • Eseguire il drill-down nell'attività per comprendere prevalenza e modelli di utilizzo.
  • Decidere se approvare o annullare l'approvazione dell'app.

Per le app non autorizzate:

  • Può essere necessario bloccare l'uso nel proxy o nel firewall.
  • Se sono presenti un'app non approvata e un'app approvata della stessa categoria, è possibile esportare un elenco di utenti dell'app non approvata e quindi contattarli per eseguirne la migrazione all'app approvata.
Attività sospetta Questo avviso indica che è stata rilevata un'attività sospetta, non allineata alle attività previste o agli utenti dell'organizzazione. Esaminare il comportamento e verificare con l'utente.

Questo tipo di avviso è un ottimo punto di partenza per comprendere l'ambiente in modo più approfondito. Usare questi avvisi per creare nuovi criteri. Se, ad esempio, un utente carica improvvisamente una grande quantità di dati in una delle app connesse, è possibile impostare una regola per gestire questi tipo di comportamenti anomali.
Uso dell'account personale Questo avviso indica che un nuovo account personale ha accesso a risorse delle app connesse. Rimuovere le collaborazioni dell'utente nell'account esterno.

Passaggi successivi

Per altre informazioni sull'analisi degli avvisi, vedere Analizzare.

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.