Rispondere agli avvisi

  • 5 minuti

Dopo aver creato un set di avvisi, è possibile selezionare un avviso di sicurezza per ottenere altre informazioni sugli eventi che lo hanno attivato. È quindi possibile vedere quali passaggi, se presenti, è necessario eseguire per correggere un attacco. Gli avvisi di sicurezza sono raggruppati per tipo e data. La selezione di un avviso di sicurezza apre una visualizzazione contenente un elenco di avvisi, come illustrato nella figura seguente:

Screenshot that shows the security alert details pane.

In questo caso, gli avvisi attivati fanno riferimento ad attività di autenticazione sospette. Ogni avviso offre le informazioni seguenti:

  • Prima colonna: gravità degli avvisi
  • Seconda colonna: tipo di avviso
  • Terza colonna: risorsa interessata
  • Quarta colonna: ora di inizio dell'attività
  • Quinta colonna: finalità della kill chain di avviso
  • Sesta colonna: stato dell'avviso

Un tecnico della sicurezza esamina queste informazioni, seleziona un avviso e quindi seleziona Visualizza i dettagli completi nel riquadro degli avvisi per ottenere informazioni specifiche su:

  1. Che cosa è successo? (Possibile computer compromesso rilevato)
  2. Quando si è verificato l'evento? (Martedì 01 marzo 2022 10:31:00)
  3. Quale risorsa è stata attaccata? (CPSLab01001)
  4. Dove si trova la risorsa? (Sottoscrizione di Azure)
  5. Come è necessario intervenire? (Intervieni)

Screenshot that shows the full details pane for an alert.

Rispondere agli avvisi di sicurezza

L'area Dettagli avviso contiene altri dettagli su questo evento. Questi dettagli offrono informazioni dettagliate sull'azione che ha attivato l'avviso di sicurezza, la risorsa di destinazione, l'indirizzo IP di origine e raccomandazioni su come risolvere l'evento. In alcuni casi, l'indirizzo IP di origine è vuoto (non disponibile), perché non tutti i log eventi di sicurezza di Windows includono l'indirizzo IP.

La procedura di correzione consigliata da Defender for Cloud varia in base all'avviso di sicurezza. In alcuni casi, potrebbe essere necessario usare altre funzionalità di Azure per implementare la correzione consigliata. Selezionare la scheda Intervieni per visualizzare le raccomandazioni di correzione. Ad esempio, la correzione per questo attacco consiste nell'applicare password complesse o usare l'accesso JIT (Just-In-Time) nella risorsa.

Da questa scheda è possibile avviare un'indagine per comprendere meglio la cronologia dell'attacco, le modalità di esecuzione e i sistemi potenzialmente compromessi. È anche possibile vedere quali credenziali sono state usate e ottenere una rappresentazione grafica dell'intera catena di attacco.

Correlazione degli avvisi di sicurezza

Gli attacchi alle risorse basate sul cloud spesso generano grandi quantità di dati ed esaminare tutti i singoli avvisi per identificare la causa principale può diventare un'impresa. Defender for Cloud tiene traccia dei singoli avvisi di sicurezza, ma usa anche tecnologie per Big Data e Machine Learning per combinare avvisi diversi in eventi imprevisti.

Un evento imprevisto è una raccolta di singoli avvisi correlati. La combinazione di avvisi correlati in eventi imprevisti è una funzionalità avanzata di Defender per il cloud e richiede funzionalità di sicurezza avanzate per Microsoft Defender per il cloud.

Presentando insieme gli avvisi correlati, un tecnico della sicurezza può ottenere rapidamente un "quadro generale" di ciò che accade e avviare tempestivamente le procedure di blocco dell'attacco.

Verificare le conoscenze

1.

Vero o falso. Lo spostamento laterale nella catena di attacco è l'azione di spostamento laterale verso i server connessi per ottenere un accesso maggiore a dati potenziali.

2.

Selezionare la definizione migliore di un evento imprevisto per Defender for Cloud.

3.

Quali informazioni non sono presenti nei dettagli di un avviso?