Eseguire indagini sugli incidenti in Microsoft Defender per endpoint

Si applica a:

Analizzare gli eventi imprevisti che interessano la rete, comprenderne il significato e raccogliere le prove per risolverli.

Quando si analizza un evento imprevisto, viene visualizzato:

  • Dettagli incidente
  • Azioni e commenti relativi agli eventi imprevisti
  • Schede (avvisi, dispositivi, indagini, prove, grafico)

Analizzare i dettagli dell'evento imprevisto

Fare clic su un evento imprevisto per visualizzare il riquadro Operazioni non consentite. Seleziona Apri pagina evento imprevisto per visualizzare i dettagli dell'evento imprevisto e le informazioni correlate (avvisi, dispositivi, indagini, prove, grafico).

Dettagli di un evento imprevisto

Avvisi

È possibile analizzare gli avvisi e vedere come sono stati collegati in un evento imprevisto. Gli avvisi sono raggruppati in eventi imprevisti in base ai motivi seguenti:

  • Indagine automatizzata - L'indagine automatizzata ha attivato l'avviso collegato durante l'analisi dell'avviso originale
  • Caratteristiche dei file - I file associati all'avviso hanno caratteristiche simili
  • Associazione manuale: un utente ha collegato manualmente gli avvisi
  • Tempo di proximate- Gli avvisi sono stati attivati sullo stesso dispositivo entro un determinato intervallo di tempo
  • Stesso file: i file associati all'avviso sono esattamente gli stessi
  • Stesso URL- L'URL che ha attivato l'avviso è esattamente lo stesso

Scheda Avvisi con i dettagli dell'evento imprevisto che mostra i motivi per cui gli avvisi sono stati collegati tra loro nell'evento imprevisto

Puoi anche gestire un avviso e visualizzare i metadati dell'avviso insieme ad altre informazioni. Per ulteriori informazioni, vedere Analizzare gli avvisi.

Dispositivi

Puoi anche analizzare i dispositivi che fanno parte di un evento imprevisto o sono correlati a un determinato evento. Per altre informazioni, vedi Analizzare i dispositivi.

Scheda Dispositivi nella pagina dei dettagli dell'evento imprevisto

Indagini

Selezionare Indagini per visualizzare tutte le indagini automatiche avviate dal sistema in risposta agli avvisi relativi agli eventi imprevisti.

Scheda Indagini nella pagina dei dettagli dell'evento imprevisto

Passare attraverso le prove

Microsoft Defender for Endpoint analizza automaticamente tutti gli eventi supportati e le entità sospette degli eventi imprevisti negli avvisi, fornendoti la risposta automatica e le informazioni sui file, i processi, i servizi e altro ancora importanti.

Ognuna delle entità analizzate verrà contrassegnata come infettata, correttiva o sospetta.

Scheda Evidenza nella pagina dei dettagli dell'evento imprevisto

Visualizzazione delle minacce di cybersecurity associate

Microsoft Defender for Endpoint aggrega le informazioni sulle minacce in un evento imprevisto in modo da poter visualizzare i modelli e le correlazioni provenienti da diversi punti dati. È possibile visualizzare tale correlazione tramite il grafico degli eventi imprevisti.

Grafico degli eventi imprevisti

Il Graph racconta la storia dell'attacco di cybersecurity. Ad esempio, mostra qual era il punto di ingresso, quale indicatore di compromissione o attività è stato osservato su quale dispositivo. ecc.

Grafico degli eventi imprevisti

È possibile fare clic sui cerchi nel grafico degli eventi imprevisti per visualizzare i dettagli dei file dannosi, i rilevamenti di file associati, il numero di istanze presenti in tutto il mondo, se è stato osservato nell'organizzazione, in tal caso, il numero di istanze.

Pagina dei dettagli dell'evento imprevisto