Gestire gli eventi imprevisti in Microsoft 365 Defender

Importante

Il nuovo portale di Microsoft 365 Defender è ora disponibile. Questa nuova esperienza porta Defender per Endpoint, Defender per Office 365, Microsoft 365 Defender e altro ancora nel portale Microsoft 365 Defender. Informazioni sulle novità.

Si applica a:

  • Microsoft 365 Defender

La gestione degli incidenti è fondamentale per garantire che le minacce siano contenute e trattate.

Ratulac-acrolinx-updates È possibile gestire gli eventi imprevisti da Eventi imprevisti & avvisi > Eventi imprevisti sulla barra di avvio veloce del portale di Microsoft 365 Defender (security.microsoft.com). Di seguito viene riportato un esempio.

Esempio della coda degli eventi imprevisti.

Ecco i modi in cui è possibile gestire gli eventi imprevisti:

È possibile gestire gli incidenti dal riquadro Gestisci incidenti relativo a un incidente. Di seguito viene riportato un esempio.

Esempio del riquadro Gestisci evento imprevisto di un evento imprevisto.

È possibile visualizzare questo riquadro dal collegamento Gestisci operazioni non consentite in:

  • Riquadro Proprietà di un evento imprevisto nella coda degli eventi imprevisti.
  • Pagina di riepilogo di un evento imprevisto.

Nei casi in cui si desidera spostare gli avvisi da un evento imprevisto a un altro, è possibile farlo anche dalla scheda Avvisi, creando così un evento imprevisto più grande o più piccolo che include tutti gli avvisi pertinenti.

Modificare il nome dell'evento imprevisto

Microsoft 365 Defender assegna automaticamente un nome in base agli attributi degli avvisi, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini di rilevamento o le categorie. In questo modo è possibile comprendere rapidamente l'ambito dell'incidente. Ad esempio: evento imprevisto a più fasi in più endpoint segnalati da più origini.

È possibile modificare il nome dell'evento imprevisto dal campo Nome evento imprevisto nel riquadro Gestisci evento imprevisto.

Nota

Gli eventi imprevisti esistenti prima dell'implementazione della funzionalità di denominazione automatica degli eventi imprevisti manterranno il nome.

Aggiungere tag agli eventi

È possibile aggiungere tag personalizzati a un incidente, ad esempio per contrassegnare un insieme di incidenti con caratteristiche comuni. In seguito sarà possibile filtrare la coda di tutti gli incidenti che contengono un tag specifico.

Quando si inizia a digitare, è possibile selezionare da un elenco di tag selezionati.

Assegnare un evento imprevisto

Se non è stato ancora assegnato un evento imprevisto, è possibile selezionare la casella Assegna a e specificare l'account utente (Anteprima). Riassunzione di un evento imprevisto, rimuovere l'account di assegnazione corrente selezionando la "x" accanto al nome dell'account e quindi selezionare la casella Assegna a. L'assegnazione della proprietà di un evento imprevisto assegna la stessa proprietà a tutti gli avvisi associati.

È possibile ottenere un elenco di eventi imprevisti assegnati filtrando la coda degli eventi imprevisti.

  1. Nella coda degli eventi imprevisti selezionare Filtri.
  2. nella sezione Assegnazione evento imprevisto deselezionare Seleziona tutto e selezionare Assegnato a me.
  3. Selezionare Applica e quindi chiudere il riquadro Filtri.

È quindi possibile salvare l'URL risultante nel browser come segnalibro per visualizzare rapidamente l'elenco degli eventi imprevisti assegnati all'utente.

Risolvere un evento imprevisto

Se l'evento imprevisto è stato risolto, selezionare Risolvi evento imprevisto per spostare l'interruttore verso destra. Si noti che la risoluzione di un evento imprevisto risolve anche tutti gli avvisi collegati e attivi correlati all'evento imprevisto.

Un evento imprevisto non risolto viene visualizzato come Attivo.

Impostare la classificazione e la determinazione

La classificazione degli eventi imprevisti è se si tratta di un avviso vero o falso, configurato dal campo Classificazione.

Se si tratta di un avviso vero, è necessario specificare anche il tipo di minaccia con il campo Determinazione. Se si specifica il tipo di minaccia, il team di sicurezza può visualizzare i modelli di minaccia e agire per difendere l'organizzazione.

Aggiungere commenti

È possibile aggiungere più commenti a un evento imprevisto con il campo Commento. Ogni commento viene aggiunto agli eventi cronologici dell'incidente. È possibile visualizzare i commenti e la cronologia di un evento imprevisto dal collegamento Commenti e cronologia nella pagina Riepilogo.

Passaggi successivi

Per i nuovi eventi imprevisti, avviare l'indagine.

Per gli incidenti in-process, continuare l'indagine.

Per gli eventi imprevisti risolti, eseguire una revisione post-incidente.

Vedere anche