Assegnare priorità agli eventi imprevisti nel portale di Microsoft Defender
La piattaforma delle operazioni di sicurezza unificata nel portale di Microsoft Defender applica l'analisi di correlazione e aggrega gli avvisi correlati e le indagini automatizzate da diversi prodotti in un evento imprevisto. Microsoft Sentinel e Defender XDR attivano anche avvisi univoci sulle attività che possono essere identificate come dannose solo a causa della visibilità end-to-end nella piattaforma unificata nell'intera suite di prodotti. Questa visualizzazione offre agli analisti della sicurezza la storia più ampia degli attacchi, che li aiuta a comprendere meglio e gestire le minacce complesse nell'intera organizzazione.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma di operazioni di sicurezza unificata nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Coda degli eventi imprevisti
La coda eventi imprevisti mostra una raccolta di eventi imprevisti creati tra dispositivi, utenti, cassette postali e altre risorse. Consente di ordinare gli eventi imprevisti per definire le priorità e creare una decisione di risposta informata alla sicurezza informatica, un processo noto come valutazione degli eventi imprevisti.
Consiglio
Per un periodo di tempo limitato nel mese di gennaio 2024, quando si visita la pagina Eventi imprevisti , viene visualizzato Defender Boxed. Defender Boxed evidenzia i successi, i miglioramenti e le azioni di risposta della sicurezza dell'organizzazione durante il 2023. Per riaprire Defender Boxed, nel portale di Microsoft Defender passare a Eventi imprevisti e quindi selezionare Defender Boxed.
È possibile accedere alla coda degli eventi imprevisti da Eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender. Di seguito viene riportato un esempio.
Selezionare Eventi imprevisti e avvisi più recenti per attivare o disattivare l'espansione della sezione superiore, che mostra un grafico della sequenza temporale del numero di avvisi ricevuti e di eventi imprevisti creati nelle ultime 24 ore.
Di seguito, la coda degli eventi imprevisti nel portale di Microsoft Defender visualizza gli eventi imprevisti visualizzati negli ultimi sei mesi. L'evento imprevisto più recente è nella parte superiore dell'elenco, quindi è possibile visualizzarlo per primo. È possibile scegliere un intervallo di tempo diverso selezionandolo dall'elenco a discesa nella parte superiore.
La coda degli eventi imprevisti include colonne personalizzabili (selezionare Personalizza colonne) che offrono visibilità sulle diverse caratteristiche dell'evento imprevisto o sulle entità interessate. Questo filtro consente di prendere una decisione informata in merito alla definizione delle priorità degli eventi imprevisti per l'analisi.
Nomi degli eventi imprevisti
Per una maggiore visibilità a colpo d'occhio, Microsoft Defender XDR genera automaticamente i nomi degli eventi imprevisti, in base agli attributi di avviso, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini di rilevamento o le categorie. Questa denominazione specifica consente di comprendere rapidamente l'ambito dell'evento imprevisto.
Ad esempio: evento imprevisto a più fasi su più endpoint segnalato da più origini.
Se microsoft Sentinel è stato caricato nella piattaforma delle operazioni di sicurezza unificata, è probabile che eventuali avvisi e eventi imprevisti provenienti da Microsoft Sentinel vengano modificati ,indipendentemente dal fatto che siano stati creati prima o dopo l'onboarding.
È consigliabile evitare di usare il nome dell'evento imprevisto come condizione per attivare le regole di automazione. Se il nome dell'evento imprevisto è una condizione e il nome dell'evento imprevisto cambia, la regola non verrà attivata.
Filtri
La coda degli eventi imprevisti offre anche più opzioni di filtro, che, se applicate, consentono di eseguire un'ampia analisi di tutti gli eventi imprevisti esistenti nell'ambiente o di decidere di concentrarsi su uno scenario o una minaccia specifici. Applicando i filtri a una coda di eventi imprevisti puoi determinare quale evento richiede un’attenzione immediata.
L'elenco Filtri sopra l'elenco degli eventi imprevisti mostra i filtri attualmente applicati.
Nella coda degli eventi imprevisti predefinita è possibile selezionare Aggiungi filtro per visualizzare l'elenco a discesa Aggiungi filtro da cui specificare i filtri da applicare alla coda eventi imprevisti per limitare il set di eventi imprevisti visualizzati. Di seguito viene riportato un esempio.
Selezionare i filtri da usare, quindi selezionare Aggiungi nella parte inferiore dell'elenco per renderli disponibili.
Ora i filtri selezionati vengono visualizzati insieme ai filtri applicati esistenti. Selezionare il nuovo filtro per specificarne le condizioni. Ad esempio, se si sceglie il filtro "Origini servizio/rilevamento", selezionarlo per scegliere le origini in base alle quali filtrare l'elenco.
È anche possibile visualizzare il riquadro Filtro selezionando uno dei filtri nell'elenco Filtri sopra l'elenco degli eventi imprevisti.
Questa tabella elenca i nomi dei filtri disponibili.
| Nome filtro | Descrizione/Condizioni |
|---|---|
| Stato | Selezionare Nuovo, In corso o Risolto. |
| Gravità dell'avviso Gravità dell'evento imprevisto |
La gravità di un avviso o di un evento imprevisto è indicativa dell'impatto che può avere sugli asset. Maggiore è la gravità, maggiore è l'impatto e in genere richiede l'attenzione più immediata. Selezionare Alto, Medio, Basso o Informativo. |
| Assegnazione di eventi imprevisti | Selezionare l'utente o gli utenti assegnati. |
| Più servizi di origine | Specificare se il filtro è per più di un'origine del servizio. |
| Origini di servizio/rilevamento | Specificare gli eventi imprevisti che contengono avvisi da uno o più degli eventi seguenti: Molti di questi servizi possono essere espansi nel menu per rivelare altre scelte di origini di rilevamento all'interno di un determinato servizio. |
| Tag | Selezionare uno o più nomi di tag dall'elenco. |
| Più categorie | Specificare se il filtro è per più di una categoria. |
| Categorie | Scegliere le categorie per concentrarsi su tattiche, tecniche o componenti di attacco specifici visualizzati. |
| Entità | Specificare il nome di un asset, ad esempio un utente, un dispositivo, una cassetta postale o un nome di applicazione. |
| Riservatezza dei dati | Alcuni attacchi sono incentrati sull’estrazione di dati riservati o di valore. Applicando un filtro per etichette di riservatezza specifiche, è possibile determinare rapidamente se le informazioni sensibili sono state potenzialmente compromesse e assegnare priorità alla risoluzione di tali eventi imprevisti. Questo filtro visualizza le informazioni solo quando sono state applicate etichette di riservatezza da Microsoft Purview Information Protection. |
| Gruppi di dispositivi | Specificare il nome di un gruppo di dispositivi . |
| Piattaforma del sistema operativo | Specificare i sistemi operativi del dispositivo. |
| Classificazione | Specificare il set di classificazioni degli avvisi correlati. |
| Stato dell'indagine automatizzata | Specificare lo stato dell'indagine automatizzata. |
| Minaccia associata | Specificare una minaccia denominata. |
| Criteri di avviso | Specificare un titolo per i criteri di avviso. |
Il filtro predefinito consiste nel visualizzare tutti gli avvisi e gli eventi imprevisti con stato Nuovo e In corso e con una gravità alta, media o bassa.
È possibile rimuovere rapidamente un filtro selezionando la X nel nome di un filtro nell'elenco Filtri .
È anche possibile creare set di filtri all'interno della pagina eventi imprevisti selezionando Query > filtro salvate Create set di filtri. Se non sono stati creati set di filtri, selezionare Salva per crearne uno.
Salvare i filtri personalizzati come URL
Dopo aver configurato un filtro utile nella coda degli eventi imprevisti, è possibile aggiungere un segnalibro all'URL della scheda del browser o salvarlo in altro modo come collegamento in una pagina Web, un documento Word o una posizione di propria scelta. Il segnalibro consente di accedere con un solo clic alle visualizzazioni chiave della coda degli eventi imprevisti, ad esempio:
- Nuovi eventi imprevisti
- Eventi imprevisti di gravità elevata
- Eventi imprevisti non assegnati
- Gravità elevata, eventi imprevisti non assegnati
- Eventi imprevisti assegnati
- Eventi imprevisti assegnati a me e per Microsoft Defender per endpoint
- Eventi imprevisti con tag o tag specifici
- Eventi imprevisti con una categoria di minacce specifica
- Eventi imprevisti con una minaccia associata specifica
- Eventi imprevisti con un attore specifico
Dopo aver compilato e archiviato l'elenco di visualizzazioni filtro utili come URL, usarlo per elaborare rapidamente e assegnare priorità agli eventi imprevisti nella coda e gestirli per l'assegnazione e l'analisi successive.
Ricerca
Dalla casella Search nome o ID sopra l'elenco degli eventi imprevisti, è possibile cercare gli eventi imprevisti in diversi modi, per trovare rapidamente ciò che si sta cercando.
Search in base al nome o all'ID dell'evento imprevisto
Search direttamente per un evento imprevisto digitando l'ID evento imprevisto o il nome dell'evento imprevisto. Quando si seleziona un evento imprevisto dall'elenco dei risultati della ricerca, il portale di Microsoft Defender apre una nuova scheda con le proprietà dell'evento imprevisto, da cui è possibile avviare l'indagine.
Search da asset interessati
È possibile assegnare un nome a un asset, ad esempio un utente, un dispositivo, una cassetta postale, il nome dell'applicazione o una risorsa cloud, e trovare tutti gli eventi imprevisti correlati a tale asset.
Specificare un intervallo di tempo
L'elenco predefinito degli eventi imprevisti è per quelli che si sono verificati negli ultimi sei mesi. È possibile specificare un nuovo intervallo di tempo dalla casella a discesa accanto all'icona del calendario selezionando:
- Un giorno
- Tre giorni
- Una settimana
- 30 giorni
- 30 giorni
- Sei mesi
- Intervallo personalizzato in cui è possibile specificare sia date che ore
Passaggi successivi
Dopo aver determinato quale evento imprevisto richiede la priorità più alta, selezionarlo e:
- Gestire le proprietà dell'evento imprevisto per tag, assegnazione, risoluzione immediata per eventi imprevisti falsi positivi e commenti.
- Inizia le indagini.
Vedere anche
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per