Condividi tramite

Gestire gli eventi imprevisti di sicurezza in Microsoft Defender for Cloud

  • Articolo

La valutazione e l'analisi degli avvisi di sicurezza possono richiedere tempo anche per gli analisti della sicurezza più esperti. Per molti, è difficile capire da dove iniziare.

Defender per il cloud usa l'analisi per connettere le informazioni tra avvisi di sicurezza distinti. Usando queste connessioni, Defender for Cloud può fornire un'unica vista di una campagna di attacco e degli avvisi correlati, per aiutare comprendere le azioni dell'utente malintenzionato e le risorse interessate.

Questa pagina offre una panoramica degli eventi imprevisti in Defender per il cloud.

Che cos'è un evento imprevisto della sicurezza?

In Defender per il cloud, un evento imprevisto di sicurezza è un'aggregazione di tutti gli avvisi per una risorsa allineata ai modelli di kill chain. Gli eventi imprevisti vengono visualizzati nella pagina Avvisi di sicurezza. Selezionare un evento imprevisto per visualizzare gli avvisi correlati e ottenere altre informazioni.

Gestire gli eventi imprevisti della sicurezza

  1. Nella pagina degli avvisi di sicurezza di Defender per il cloud usare il pulsante Aggiungi filtro per filtrare in base al nome dell'avviso Rilevato evento imprevisto di sicurezza in più risorse.

    Individuazione degli eventi imprevisti nella pagina degli avvisi di sicurezza in Microsoft Defender per il cloud.

    L'elenco è ora filtrato per visualizzare solo gli eventi imprevisti. Si noti che gli eventi imprevisti per la sicurezza hanno un'icona diversa rispetto agli avvisi di sicurezza.

    Elenco di eventi imprevisti nella pagina Degli avvisi di sicurezza in Microsoft Defender per il cloud.

  2. Per visualizzare i dettagli di un evento imprevisto, selezionare uno dall'elenco. Viene visualizzato un riquadro laterale con altri dettagli sull'evento imprevisto.

    Riquadro laterale che mostra i dettagli dell'evento imprevisto.

  3. Per visualizzare altri dettagli, selezionare Visualizza dettagli completi.

    Rispondere agli eventi imprevisti di sicurezza in Microsoft Defender per il cloud.

    Il riquadro a sinistra della pagina Evento imprevisto per la sicurezza mostra le informazioni generali relative all'evento imprevisto per la sicurezza, come titolo, gravità, stato, orario dell'attività, descrizione e risorsa interessata. Accanto alla risorsa interessata è possibile visualizzare i tag di Azure pertinenti. Usare questi tag per dedurre il contesto organizzativo della risorsa quando si esamina l'avviso.

    Il riquadro destro include la scheda Avvisi con gli avvisi di sicurezza correlati come parte di questo evento imprevisto.

    Suggerimento

    Per altre informazioni su un avviso specifico, selezionarlo.

    Scheda Azione dell'evento imprevisto.

    Per passare alla scheda Esegui azione , selezionare la scheda o il pulsante nella parte inferiore del riquadro destro. Usare questa scheda per eseguire altre azioni, ad esempio:

    • Attenuare la minaccia : fornisce passaggi di correzione manuali per questo evento imprevisto di sicurezza
    • Prevenire attacchi futuri: fornisce raccomandazioni sulla sicurezza per ridurre la superficie di attacco, aumentare il comportamento di sicurezza e prevenire attacchi futuri
    • Attivare la risposta automatica: offre l'opzione per attivare un'app per la logica come risposta a questo evento imprevisto di sicurezza
    • Elimina avvisi simili: consente di eliminare gli avvisi futuri con caratteristiche simili se l'avviso non è pertinente per l'organizzazione

    Nota

    Lo stesso avviso può esistere come parte di un evento imprevisto, nonché per essere visibile come avviso autonomo.

  4. Per correggere le minacce nell'evento imprevisto, seguire la procedura di correzione fornita con ogni avviso.

Passaggi successivi

Questa pagina ha illustrato le funzionalità degli eventi imprevisti di sicurezza di Defender per il cloud. Per informazioni correlate, vedere le pagine seguenti: