Gestire gli eventi imprevisti in Microsoft Defender

  • Articolo

Si applica a:

  • Microsoft Defender XDR
  • Microsoft Defender piattaforma SOC (Unified Security Operations Center)

La gestione degli eventi imprevisti è fondamentale per garantire che gli eventi imprevisti siano denominati, assegnati e contrassegnati per ottimizzare il tempo nel flusso di lavoro degli eventi imprevisti e contenere e risolvere più rapidamente le minacce.

Consiglio

Per un periodo di tempo limitato nel mese di gennaio 2024, quando si visita la pagina Eventi imprevisti , viene visualizzato Defender Boxed. Defender Boxed evidenzia i successi, i miglioramenti e le azioni di risposta della sicurezza dell'organizzazione durante il 2023. Per riaprire Defender Boxed, nel portale di Microsoft Defender passare a Eventi imprevisti e quindi selezionare Defender Boxed.

È possibile gestire eventi imprevisti da eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender (security.microsoft.com). Di seguito viene riportato un esempio.

Evidenziazione dell'opzione gestisci evento imprevisto all'interno della coda degli eventi imprevisti e del riquadro avvio rapido nel portale di Microsoft Defender

Ecco i modi in cui è possibile gestire gli eventi imprevisti:

È possibile gestire gli incidenti dal riquadroGestisci incidenti relativo a un incidente. Di seguito viene riportato un esempio.

Riquadro Gestisci eventi imprevisti nel portale di Microsoft Defender

È possibile visualizzare questo riquadro dal collegamento Gestisci evento imprevisto in:

  • Pagina della storia dell'avviso .
  • Riquadro Proprietà di un evento imprevisto nella coda degli eventi imprevisti.
  • Pagina di riepilogo di un evento imprevisto.
  • Opzione Gestisci evento imprevisto che si trova in alto a destra nella pagina Evento imprevisto.

Nei casi in cui si desidera spostare gli avvisi da un evento imprevisto a un altro, è anche possibile farlo dalla scheda Avvisi , creando così un evento imprevisto più grande o più piccolo che include tutti gli avvisi pertinenti.

Modificare il nome dell'evento imprevisto

Microsoft Defender assegna automaticamente un nome in base agli attributi di avviso, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini o le categorie di rilevamento. Il nome dell'evento imprevisto consente di comprendere rapidamente l'ambito dell'evento imprevisto. Ad esempio: evento imprevisto a più fasi su più endpoint segnalato da più origini.

È possibile modificare il nome dell'evento imprevisto dal campo Nome evento imprevisto nel riquadro Gestisci evento imprevisto .

Nota

Gli eventi imprevisti che si sono verificati prima dell'implementazione della funzionalità di denominazione automatica degli eventi imprevisti mantengono il nome.

Assegnare o modificare la gravità dell'evento imprevisto

È possibile assegnare o modificare la gravità di un evento imprevisto dal campo Gravità nel riquadro Gestisci evento imprevisto . La gravità di un evento imprevisto è determinata dalla gravità più elevata degli avvisi ad esso associati. La gravità di un evento imprevisto può essere impostata su alto, medio, basso o informativo.

Aggiungere tag agli eventi

È possibile aggiungere tag personalizzati a un incidente, ad esempio per contrassegnare un insieme di incidenti con caratteristiche comuni. In seguito sarà possibile filtrare la coda di tutti gli incidenti che contengono un tag specifico.

L'opzione da selezionare da un elenco di tag usati in precedenza e selezionati viene visualizzata dopo aver iniziato a digitare.

Assegnare un evento imprevisto

È possibile selezionare la casella Assegna a e specificare l'account utente per assegnare un evento imprevisto. Per riassegnare un evento imprevisto, rimuovere l'account di assegnazione corrente selezionando la "x" accanto al nome dell'account e quindi selezionare la casella Assegna a . L'assegnazione della proprietà di un evento imprevisto assegna la stessa proprietà a tutti gli avvisi ad esso associati.

È possibile ottenere un elenco di eventi imprevisti assegnati filtrando la coda degli eventi imprevisti.

  1. Nella coda degli eventi imprevisti selezionare Filtri.
  2. Nella sezione Assegnazione eventi imprevisti deselezionare Seleziona tutto. Selezionare Assegnato a me, Assegnato a un altro utente o Assegnato a un gruppo di utenti.
  3. Selezionare Applica e quindi chiudere il riquadro Filtri .

È quindi possibile salvare l'URL risultante nel browser come segnalibro per visualizzare rapidamente l'elenco degli eventi imprevisti assegnati all'utente.

Risolvere un evento imprevisto

Selezionare Risolvi evento imprevisto per spostare l'interruttore a destra quando viene risolto un evento imprevisto. La risoluzione di un evento imprevisto risolve anche tutti gli avvisi collegati e attivi correlati all'evento imprevisto.

Un evento imprevisto non risolto viene visualizzato come Attivo.

Specificare la classificazione

Nel campo Classificazione specificare se l'evento imprevisto è:

  • Non impostato (impostazione predefinita).
  • Vero positivo con un tipo di minaccia. Usare questa classificazione per gli eventi imprevisti che indicano con precisione una minaccia reale. Se si specifica il tipo di minaccia, il team di sicurezza può visualizzare i modelli di minaccia e agire per difendere l'organizzazione.
  • Attività informativa prevista con un tipo di attività. Usare le opzioni di questa categoria per classificare gli eventi imprevisti per i test di sicurezza, l'attività del team rosso e il comportamento insolito previsto da app e utenti attendibili.
  • I falsi positivi per i tipi di eventi imprevisti che si determinano possono essere ignorati perché sono tecnicamente imprecisi o fuorvianti.

Classificare gli eventi imprevisti e specificarne lo stato e il tipo consente di ottimizzare Microsoft Defender XDR per fornire una migliore determinazione del rilevamento nel tempo.

Aggiungere commenti

È possibile aggiungere più commenti a un evento imprevisto con il campo Commento . Il campo commento supporta testo e formattazione, collegamenti e immagini. Ogni commento è limitato a 30.000 caratteri.

Tutti i commenti vengono aggiunti agli eventi cronologici dell'evento imprevisto. È possibile visualizzare i commenti e la cronologia di un evento imprevisto dal collegamento Commenti e cronologia nella pagina Riepilogo .

Log attività

Il log attività visualizza un elenco di tutti i commenti e le azioni eseguite sull'evento imprevisto, noti come controlli e commenti. Tutte le modifiche apportate all'evento imprevisto, sia da un utente che dal sistema, vengono registrate nel log attività. Il log attività è disponibile dall'opzione Log attività nella pagina degli eventi imprevisti o nel riquadro sul lato evento imprevisto.

Evidenziazione dell'opzione del log attività dalla pagina degli eventi imprevisti nel portale di Microsoft Defender

È possibile filtrare le attività all'interno del log in base a commenti e azioni. Fare clic su Contenuto: Controlli, Commenti e quindi selezionare il tipo di contenuto per filtrare le attività. Di seguito viene riportato un esempio.

Evidenziazione delle opzioni di filtro all'interno del riquadro del log attività dalla pagina degli eventi imprevisti nel portale di Microsoft Defender

È anche possibile aggiungere commenti personalizzati usando la casella di commento disponibile nel log attività. La casella di commento accetta testo e formattazione, collegamenti e immagini.

Evidenziazione della casella dei commenti dalla pagina degli eventi imprevisti nel portale di Microsoft Defender

Esportare i dati degli eventi imprevisti in FORMATO PDF

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche del prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

La funzionalità di esportazione dei dati degli eventi imprevisti è attualmente disponibile per Microsoft Defender XDR e Microsoft Defender clienti della piattaforma SOC (Unified Security Operations Center) con la licenza Microsoft Copilot per la sicurezza.

È possibile esportare i dati di un evento imprevisto in formato PDF tramite la funzione Esporta evento imprevisto come PDF e salvarli in formato PDF. Questa funzione consente ai team di sicurezza di esaminare i dettagli di un evento imprevisto offline in qualsiasi momento.

I dati degli eventi imprevisti esportati includono le informazioni seguenti:

  • Panoramica contenente i dettagli dell'evento imprevisto
  • Il grafico della storia dell'attacco e le categorie di minacce
  • Gli asset interessati, che coprono fino a 10 asset per ogni tipo di asset
  • Elenco di prove che copre fino a 100 elementi
  • Supporto dei dati, inclusi tutti gli avvisi e le attività correlati registrati nel log attività

Ecco un esempio del PDF esportato:

Screenshot della prima pagina del PDF esportato.

Se si dispone della licenza Copilot per la sicurezza, il PDF esportato contiene i seguenti dati aggiuntivi sugli eventi imprevisti:

La funzione di esportazione in PDF è disponibile anche nel pannello laterale Copilot di un report eventi imprevisti generato.

Screenshot di azioni aggiuntive nella scheda risultati del report degli eventi imprevisti.

Per generare il PDF, seguire questa procedura:

  1. Aprire la pagina di un incidente. Selezionare i puntini di sospensione Altre azioni (...) nell'angolo in alto a destra e scegliere Esporta evento imprevisto come PDF. La funzione diventa disattivata durante la generazione del PDF.

    Screenshot che evidenzia l'opzione esporta evento imprevisto in FORMATO PDF.

  2. Viene visualizzata una finestra di dialogo che indica che il PDF viene generato. Selezionare Recupera per chiudere la finestra di dialogo. Inoltre, sotto il titolo dell'evento imprevisto viene visualizzato un messaggio di stato che indica lo stato corrente del download. Il processo di esportazione può richiedere alcuni minuti a seconda della complessità dell'evento imprevisto e della quantità di dati da esportare.

    Screenshot che evidenzia lo stato e il messaggio di esportazione prima del download.

  3. Quando il PDF è pronto, il messaggio di stato indica che il PDF è pronto e viene visualizzata un'altra finestra di dialogo. Selezionare Scarica nella finestra di dialogo per salvare il PDF nel dispositivo.

    Screenshot che evidenzia lo stato e il messaggio di esportazione quando è disponibile il download.

Il report viene memorizzato nella cache per un paio di minuti. Il sistema fornisce il PDF generato in precedenza se si tenta di esportare di nuovo lo stesso evento imprevisto entro un breve intervallo di tempo. Per generare una versione più recente del PDF, attendere alcuni minuti per la scadenza della cache.

Passaggi successivi

Per i nuovi eventi imprevisti, avviare l'indagine.

Per gli eventi imprevisti in-process, continuare l'indagine.

Per gli eventi imprevisti risolti, eseguire una revisione post-evento imprevisto.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.