Dettagli e risultati di un'indagine automatizzata

Nota

Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.

Si applica a:

  • Microsoft 365 Defender

Con Microsoft 365 Defender, quando viene eseguita un'indagine automatizzata, i dettagli su tale indagine sono disponibili sia durante che dopo il processo di indagine automatizzata. Se si dispone delle autorizzazioni necessarie, è possibile visualizzare tali dettagli in una visualizzazione dei dettagli dell'indagine che fornisce lo stato aggiornato e la possibilità di approvare eventuali azioni in sospeso.

(NEW) Pagina analisi unificata

La pagina di indagine è stata aggiornata di recente per includere informazioni su dispositivi, posta elettronica e contenuti di collaborazione. La nuova pagina di indagine unificata definisce un linguaggio comune e offre un'esperienza unificata per le indagini automatiche in Microsoft Defender for Endpoint e Microsoft Defender per Office 365. Per accedere alla pagina di indagine unificata, seleziona il collegamento nel banner giallo che vedrai in:

Aprire la visualizzazione dei dettagli dell'indagine

È possibile aprire la visualizzazione dei dettagli dell'indagine utilizzando uno dei metodi seguenti:

Selezionare un elemento nel centro notifiche

Il centro notifiche migliorato (https://security.microsoft.com/action-center) riunisce le azioni di correzione nei dispositivi, nella posta elettronica & contenuto di collaborazione e nelle identità. Le azioni elencate includono le azioni di correzione eseguite automaticamente o manualmente. Nel centro notifiche è possibile visualizzare le azioni in attesa di approvazione e le azioni già approvate o completate. Puoi anche passare a ulteriori dettagli, ad esempio una pagina di indagine.

Suggerimento

È necessario disporre di determinate autorizzazioni per approvare, rifiutare o annullare azioni.

  1. Vai a Microsoft 365 Defender portale e accedi.

  2. Nel riquadro di spostamento, scegliere Centro notifiche.

  3. Nella scheda In sospeso o Cronologia, selezionare un elemento. Verrà visualizzato il riquadro a comparsa.

  4. Esaminare le informazioni nel riquadro a comparsa e quindi eseguire una delle operazioni seguenti:

    • Selezionare Apri pagina di indagine per visualizzare ulteriori dettagli sull'indagine.
    • Selezionare Approva per avviare un'azione in sospeso.
    • Selezionare Rifiuta per impedire l'esecuzione di un'azione in sospeso.
    • Seleziona Vai a ricerca per passare a Ricerca avanzata.

Aprire un'indagine dalla pagina dei dettagli dell'incidente

Utilizzare una pagina dei dettagli di un incidente per visualizzare informazioni dettagliate relative a un incidente, inclusi gli avvisi che sono stati attivati, le informazioni su eventuali dispositivi, gli account utente o le cassette postali interessati.

  1. Vai a Microsoft 365 Defender portale e accedi.

  2. Nel riquadro di spostamento scegliere Eventi imprevisti & avvisiIncidenti > .

  3. Selezionare un elemento nell'elenco e quindi scegliere Apri pagina evento imprevisto.

  4. Selezionare la scheda Indagini e quindi selezionare un'indagine nell'elenco. Verrà visualizzato il riquadro a comparsa.

  5. Selezionare Apri pagina di analisi.

Di seguito viene riportato un esempio.

Pagina di indagine nel portale Microsoft 365 Defender dati

Dettagli indagine

Utilizzare la vista dei dettagli dell'indagine per visualizzare le attività passate, attuali e in sospeso relative a un'indagine. Di seguito viene riportato un esempio.

Pagina dei dettagli dell'indagine nel portale Microsoft 365 Defender ricerca

Nella visualizzazione dei dettagli dell'indagine, è possibile vedere le informazioni nelle schede Grafico dell'indagine, Avvisi, Dispositivi, Identità, Risultati principali, Entità, Log, e Azioni in sospeso, descritte nella tabella seguente.

Nota

Le schede specifiche visualizzate in una pagina dei dettagli dell'indagine dipendono da ciò che include l'abbonamento. Ad esempio, se l'abbonamento non include Microsoft Defender per Office 365 Piano 2, non verrà visualizzata una scheda Cassette postali.

Scheda Descrizione
Grafico dell'indagine Fornisce una rappresentazione visiva dell'indagine. Descrive le entità ed elenca le minacce rilevate, insieme agli avvisi e alle eventuali azioni ancora in fase di approvazione.
È possibile selezionare un elemento nel grafico per visualizzare ulteriori dettagli. Ad esempio, selezionando l'icona Prova si visualizza la scheda Prova, in cui è possibile visualizzare le entità rilevate e i relativi verdetti.
Avvisi Elenca gli avvisi associati all'indagine. Gli avvisi possono derivare dalle funzionalità di protezione dalle minacce nel dispositivo di un utente, nelle app Office, Microsoft Defender per app cloud e altre funzionalità Microsoft 365 Defender sicurezza.
Dispositivi Elenca i dispositivi inclusi nell'indagine insieme al relativo livello di correzione. I livelli di correzione corrispondono al livello di automazione per i gruppi di dispositivi.
Cassette postali Elenca le cassette postali che sono influenzate dalle minacce rilevate.
Utenti Elenca gli account utente che sono influenzati dalle minacce rilevate.
Prova Elenca le prove generate da avvisi o indagini. Include verdetti (dannosi, sospetti, sconosciuti o nessuna minaccia trovata) e lo stato di correzione.
Entità Fornisce informazioni dettagliate su ogni entità analizzata, incluso un verdetto per ogni tipo di entità (Dannoso*, Sospetto* o Nessuna minaccia trovata).
Log Fornisce una visualizzazione cronologica dettagliata di tutte le azioni di indagine eseguite dopo l'attivazione di un avviso.
Cronologia azioni in sospeso Elenca gli elementi che richiedono l'approvazione per continuare. Passare al centro notifiche () perhttps://security.microsoft.com/action-center approvare le azioni in sospeso.

Passaggi successivi