Condividi tramite

Iniziare a usare Defender Experts per il servizio XDR

  • Articolo

Si applica a:

Dopo aver completato i passaggi di onboarding e i controlli di conformità per Microsoft Defender Experts for XDR, i nostri esperti inizieranno a monitorare l'ambiente per semplificare il servizio in modo da poter eseguire un servizio completo per conto dell'utente. Durante questa fase, i nostri esperti identificano le minacce latenti, le fonti di rischio e la normale attività.

Una volta che i nostri esperti iniziano a eseguire un lavoro di risposta completo per conto dell'utente, si inizierà a ricevere notifiche sugli eventi imprevisti che richiedono passaggi di correzione e raccomandazioni mirate sugli eventi imprevisti critici. È anche possibile chattare con i nostri esperti o i responsabili della distribuzione dei servizi (SDM) in merito a query importanti e revisioni regolari del comportamento aziendale e di sicurezza e visualizzare report in tempo reale sul numero di eventi imprevisti che abbiamo indagato e risolto per conto dell'utente.

Rilevamento e risposta gestiti

Grazie a una combinazione di automazione e competenze umane, Defender Experts for XDR analizza gli eventi imprevisti di Microsoft Defender XDR, li assegna priorità per conto dell'utente, filtra il rumore, esegue indagini dettagliate e fornisce risposte gestite interattive ai team del centro operativo di sicurezza (SOC).

Aggiornamenti degli eventi imprevisti

Una volta che i nostri esperti iniziano a indagare su un evento imprevisto, i campi Assegnato a e Stato dell'evento vengono aggiornati rispettivamente a Defender Experts e In corso.

Quando i nostri esperti terminano l'indagine su un incidente, il campo Classificazione dell'evento imprevisto viene aggiornato a uno dei seguenti, a seconda dei risultati degli esperti:

  • True Positive
  • Falso positivo
  • Attività informativa prevista

Anche il campo Determinazione corrispondente a ogni classificazione viene aggiornato per fornire maggiori informazioni sui risultati che hanno portato i nostri esperti a determinare tale classificazione.

Screenshot della pagina Eventi imprevisti che mostra i campi Tag, Stato, Assegnato a, Classificazione e Determinazione.

Se un evento imprevisto è classificato come Falso positivo o Informativo, Attività prevista, il campo Stato dell'evento imprevisto viene aggiornato a Risolto. I nostri esperti terminano quindi il loro lavoro su questo evento imprevisto e il campo Assegnato a viene aggiornato a Non assegnato. I nostri esperti possono condividere gli aggiornamenti delle loro indagini e delle loro conclusioni durante la risoluzione di un evento imprevisto. Questi aggiornamenti vengono pubblicati nel riquadro a comparsa Commenti e cronologia dell'evento imprevisto.

Nota

I commenti degli eventi imprevisti sono post unidirezionali. Defender Experts non può rispondere a commenti o domande aggiunti nel pannello Commenti e cronologia . Per altre informazioni su come corrispondere ai nostri esperti, vedere Comunicare con gli esperti del servizio Microsoft Defender Experts for XDR.

In caso contrario, se un evento imprevisto è classificato come True Positive, gli esperti identificano le azioni di risposta necessarie che devono essere eseguite. Il metodo in cui vengono eseguite le azioni dipende dalle autorizzazioni e dai livelli di accesso assegnati al servizio Defender Experts for XDR. Altre informazioni sulla concessione delle autorizzazioni ai nostri esperti.

  • Se sono state concesse a Defender Experts for XDR le autorizzazioni di accesso consigliate per l'operatore di sicurezza, gli esperti potrebbero eseguire le azioni di risposta necessarie per l'evento imprevisto per conto dell'utente. Queste azioni, insieme a un riepilogo dell'indagine, vengono visualizzate nel riquadro a comparsa Risposta gestita dell'evento imprevisto nel portale di Microsoft Defender per la revisione dell'utente o del team SOC. Tutte le azioni completate da Defender Experts per XDR vengono visualizzate nella sezione Azioni completate . Tutte le azioni in sospeso che richiedono il completamento del team SOC sono elencate nella sezione Azioni in sospeso . Per altre informazioni, vedere la sezione Azioni . Dopo che gli esperti hanno intrapreso tutte le azioni necessarie per l'evento imprevisto, il relativo campo Stato viene quindi aggiornato in Risolto e il campo Assegnato a viene aggiornato a Non assegnato.

  • Se è stato concesso a Defender Experts per XDR l'accesso predefinito al lettore di sicurezza, le azioni di risposta necessarie, insieme a un riepilogo dell'indagine, vengono visualizzate nel riquadro a comparsa Risposta gestita dell'evento imprevisto nella sezione Azioni in sospeso del portale di Microsoft Defender da eseguire. Per altre informazioni, vedere la sezione Azioni . Per identificare il passaggio di consegne, il campo Stato dell'evento imprevisto viene aggiornato in Attesa dell'azione del cliente e il campo Assegnato a viene aggiornato al cliente.

È possibile controllare il numero di eventi imprevisti che richiedono l'azione nel banner Defender Experts nella parte superiore della home page di Microsoft Defender.

Screenshot della scheda Defender Experts nel portale di Microsoft Defender che mostra il numero di eventi imprevisti in attesa dell'azione dei clienti.

Per visualizzare gli eventi imprevisti che gli esperti hanno indagato o stanno attualmente analizzando, filtrare la coda degli eventi imprevisti nel portale di Microsoft Defender usando il tag Defender Experts .

Screenshot della coda Eventi imprevisti nel portale di Microsoft Defender filtrata per visualizzare solo quelli con il tag Defender Experts.

Come usare la risposta gestita in Microsoft Defender XDR

Nel portale di Microsoft Defender, un evento imprevisto che richiede l'attenzione tramite la risposta gestita ha il campo Assegnato a impostato su Cliente e una scheda attività nella parte superiore del riquadro Eventi imprevisti . I contatti degli eventi imprevisti designati ricevono anche una notifica di posta elettronica corrispondente con un collegamento al portale di Defender per visualizzare l'evento imprevisto. Altre informazioni sui contatti di notifica.

Selezionare Visualizza risposta gestita nella scheda attività o nella parte superiore della pagina del portale (scheda Risposta gestita ) per aprire un riquadro a comparsa in cui è possibile leggere il riepilogo delle indagini degli esperti, completare le azioni in sospeso identificate dagli esperti o interagire con essi tramite chat.

Riepilogo dell'indagine

La sezione Riepilogo delle indagini fornisce un contesto più contestuale sull'evento imprevisto analizzato dai nostri esperti per fornire visibilità sulla gravità e sul potenziale impatto se non viene affrontato immediatamente. Può includere la sequenza temporale del dispositivo, gli indicatori di attacco e gli indicatori di compromissione osservati e altri dettagli.

Screenshot del riepilogo dell'analisi della risposta gestita.

Azioni

Nella scheda Azioni vengono visualizzate schede attività che contengono azioni di risposta consigliate dagli esperti.

Defender Experts per XDR supporta attualmente le seguenti azioni di risposta gestita con un clic:

Azione Descrizione
Isolamento i dispositivi Isola un dispositivo, che consente di impedire a un utente malintenzionato di controllarlo ed eseguire altre attività, ad esempio l'esfiltrazione dei dati e lo spostamento laterale. Il dispositivo isolato sarà comunque connesso a Microsoft Defender per endpoint.
Quarantena del file Arresta l'esecuzione dei processi, mette in quarantena i file ed elimina i dati persistenti, ad esempio le chiavi del Registro di sistema.
Limitare l'esecuzione dell'app Limita l'esecuzione di programmi potenzialmente dannosi e blocca il dispositivo per evitare ulteriori tentativi.
Rilascio dall'isolamento Annulla l'isolamento di un dispositivo.
Rimuovere la restrizione dell'app Annulla il rilascio dall'isolamento.

Oltre a queste azioni con un solo clic, è anche possibile ricevere risposte gestite dai nostri esperti che è necessario eseguire manualmente.

Nota

Prima di eseguire una qualsiasi delle azioni di risposta gestita consigliate, assicurarsi che non siano già stati risolti dalle configurazioni automatizzate di analisi e risposta. Altre informazioni sulle funzionalità di analisi e risposta automatizzate in Microsoft Defender XDR.

Per visualizzare ed eseguire le azioni di risposta gestita:

  1. Selezionare i pulsanti freccia in una scheda azione per espanderla e leggere altre informazioni sull'azione richiesta.

    Screenshot dell'azione di risposta gestita per isolare il server di produzione del dispositivo.

  2. Per le schede con azioni di risposta con un clic, selezionare l'azione necessaria. Lo stato dell'azione nella scheda viene modificato in In corso, quindi in Non riuscito o Completato, a seconda del risultato dell'azione.

    Screenshot dell'azione di risposta gestita che mostra in corso per isolare il server di produzione del dispositivo.

    Consiglio

    È anche possibile monitorare lo stato delle azioni di risposta nel portale nel Centro notifiche. Se un'azione di risposta non riesce, provare a eseguire di nuovo questa operazione dalla pagina Visualizza i dettagli del dispositivo o avviare una chat con Defender Experts.

  3. Per le schede con le azioni necessarie che è necessario eseguire manualmente, selezionare Ho completato questa azione dopo averle eseguite, quindi selezionare Sì, l'ho fatto nella finestra di dialogo di conferma visualizzata.

    Screenshot dell'azione di risposta gestita per confermare il completamento dell'azione.

  4. Se non si vuole completare immediatamente un'azione necessaria, selezionare Ignora, quindi selezionare Sì, ignorare questa azione nella finestra di dialogo di conferma visualizzata.

Importante

Se si nota che uno dei pulsanti delle schede azione è disattivato, potrebbe indicare che non si dispone delle autorizzazioni necessarie per eseguire l'azione. Assicurarsi di aver eseguito l'accesso al portale di Microsoft Defender XDR con le autorizzazioni appropriate. La maggior parte delle azioni di risposta gestite richiede almeno l'accesso dell'operatore di sicurezza.

Se si verifica ancora questo problema anche con le autorizzazioni appropriate, passare a Visualizzare i dettagli del dispositivo e completare i passaggi da questa posizione.

Ottenere visibilità sulle indagini di Defender Experts nell'applicazione SIEM o ITSM

Poiché Defender Experts for XDR analizza gli eventi imprevisti e fornisce azioni correttive, è possibile avere visibilità sul proprio lavoro sugli eventi imprevisti nelle applicazioni siem (Security Information and Event Management) e IT Service Management (ITSM), incluse le applicazioni disponibili all'esterno.

Microsoft Sentinel

È possibile ottenere la visibilità degli eventi imprevisti in Microsoft Sentinel attivando il connettore dati XDR di Microsoft Defender predefinito. Altre informazioni.

Dopo aver attivato il connettore, gli aggiornamenti di Defender Experts ai campi Stato, Assegnazione, Classificazione e Determinazione in Microsoft Defender XDR verranno visualizzati nei campi Stato, Proprietario e Motivo della chiusura corrispondenti in Sentinel.

Nota

Lo stato degli eventi imprevisti analizzati dagli esperti di Defender in Microsoft Defender XDR passa in genere da Attivo a In corso ad Attesa dell'azione del cliente a Risolto, mentre in Sentinel segue il percorso Da nuovo ad Attivo a Risolto . Lo stato XDR di Microsoft Defender in attesa dell'azione del cliente non ha un campo equivalente in Sentinel; viene invece visualizzato come tag in un evento imprevisto in Sentinel.

La sezione seguente descrive come un evento imprevisto gestito dai nostri esperti viene aggiornato in Sentinel durante il percorso di indagine:

  1. Un evento imprevisto oggetto di indagine da parte dei nostri esperti ha lo stato elencato come Attivo e il Proprietario elencato come Defender Experts.
  2. Un evento imprevisto che i nostri esperti hanno confermato come True Positive ha una risposta gestita pubblicata in Microsoft Defender XDR e un tagin attesa di azione del cliente e il proprietario è elencato come Cliente. È necessario agire sull'evento imprevisto in base all'uso della risposta gestita fornita.
  3. Dopo che gli esperti hanno concluso l'indagine e chiuso un evento imprevisto come Falso positivo o Informativo, Attività prevista, lo stato dell'evento imprevisto viene aggiornato in Risolto, il proprietario viene aggiornato a Non assegnato e viene fornito un motivo per la chiusura .

Screenshot degli eventi imprevisti di Microsoft Sentinel.

Altre applicazioni

È possibile ottenere visibilità degli eventi imprevisti nell'applicazione SIEM o ITSM usando l'API XDR di Microsoft Defender o i connettori in Sentinel.

Dopo aver configurato un connettore, gli aggiornamenti da parte di Defender Experts ai campi Stato, Assegnazione, Classificazione e Determinazione di un evento imprevisto in Microsoft Defender XDR possono essere sincronizzati con le applicazioni SIEM o ITSM di terze parti, a seconda di come è stato implementato il mapping dei campi. Per illustrare, è possibile esaminare il connettore disponibile da Sentinel a ServiceNow.

Ottenere visibilità in tempo reale con i report di Defender Experts for XDR

Defender Experts per XDR include un report interattivo su richiesta che fornisce un riepilogo chiaro del lavoro svolto dagli analisti esperti per conto dell'utente, informazioni aggregate sul panorama degli eventi imprevisti e dettagli granulari su eventi imprevisti specifici. Il responsabile del recapito dei servizi (SDM) usa anche il report per fornire un contesto più in relazione al servizio durante una revisione aziendale mensile.

Screenshot del report Defender Experts for XDR.

Ogni sezione del report è progettata per fornire maggiori informazioni sugli eventi imprevisti che i nostri esperti hanno studiato e risolto nell'ambiente in tempo reale. È anche possibile selezionare l'intervallo Date per ottenere informazioni dettagliate sugli eventi imprevisti in base a gravità, categoria e comprendere il tempo impiegato per analizzare e risolvere un evento imprevisto durante un periodo specifico.

Informazioni sul report Defender Experts for XDR

La sezione più in alto del report Defender Experts for XDR fornisce la percentuale di eventi imprevisti risolti nell'ambiente, offrendo trasparenza nelle operazioni. Questa percentuale deriva dalle cifre seguenti, presentate anche nella relazione:

  • Indagine : numero di minacce attive e altri eventi imprevisti dalla coda degli eventi imprevisti che sono stati esaminati, analizzati o attualmente in corso di analisi nell'ambito.
  • Risolto : numero totale di eventi imprevisti indagati che sono stati chiusi.
  • Risolto direttamente : numero di eventi imprevisti indagati che siamo stati in grado di chiudere direttamente per conto dell'utente.
  • Risolto con la guida : numero di eventi imprevisti indagati risolti a causa dell'azione in una o più attività di risposta gestite.

Nella sezione Tempo medio per risolvere gli eventi imprevisti viene visualizzato un grafico a barre del tempo medio, in minuti, impiegato dagli esperti per analizzare e chiudere gli eventi imprevisti nell'ambiente e il tempo medio impiegato per eseguire le azioni di risposta gestite necessarie.

Le sezioni Eventi imprevisti per gravità, Eventi imprevisti per categoria e Eventi imprevisti per origine del servizio consentono di suddividere gli eventi imprevisti risolti rispettivamente per gravità, tecnica di attacco e origine del servizio di sicurezza Microsoft. Queste sezioni consentono di identificare potenziali punti di ingresso degli attacchi e tipi di minacce rilevate nell'ambiente, valutarne l'impatto e sviluppare strategie per mitigarli e prevenirli. Selezionare Visualizza eventi imprevisti per ottenere una visualizzazione filtrata della coda degli eventi imprevisti in base alle selezioni effettuate in ognuna delle due sezioni.

La sezione Asset più interessati mostra gli utenti e i dispositivi nell'ambiente coinvolti nel maggior numero di eventi imprevisti durante l'intervallo di date selezionato. È possibile visualizzare il volume degli eventi imprevisti in cui è stato coinvolto ogni asset. Selezionare un asset per ottenere una visualizzazione filtrata della coda degli eventi imprevisti in base agli eventi imprevisti che includevano l'asset.

Ricerca gestita proattiva

Defender Experts for XDR include anche la ricerca proattiva delle minacce offerta da Microsoft Defender Experts for Hunting. Defender Experts for Hunting è stato creato per i clienti che dispongono di un solido centro operativo di sicurezza, ma vogliono che Microsoft li aiuti a individuare in modo proattivo le minacce usando i dati di Microsoft Defender. Questo servizio proattivo di ricerca delle minacce va oltre l'endpoint per la ricerca tra endpoint, Office 365, applicazioni cloud e identità. I nostri esperti analizzano tutto ciò che trovano, quindi consegnano le informazioni di avviso contestuali insieme alle istruzioni di correzione, in modo da poter rispondere rapidamente.

Richiedere competenze avanzate sulle minacce su richiesta

Selezionare Ask Defender Experts direttamente all'interno del portale di Microsoft Defender XDR per ottenere risposte rapide e accurate a tutte le domande sulle minacce. Gli esperti possono fornire informazioni dettagliate per comprendere meglio le minacce complesse che l'organizzazione potrebbe affrontare. Consultare un esperto per:

  • Raccogliere informazioni aggiuntive su avvisi e eventi imprevisti, incluse le cause radice e l'ambito.
  • Ottenere maggiore chiarezza su dispositivi, avvisi o eventi imprevisti sospetti e ottenere i passaggi successivi se si trova di fronte a un utente malintenzionato avanzato.
  • Determinare i rischi e le protezioni disponibili correlate a gruppi di attività, campagne o tecniche di attacco emergenti.

Nota

Ask Defender Experts non è un servizio di risposta agli eventi imprevisti di sicurezza. Ha lo scopo di fornire una migliore comprensione delle minacce complesse che interessano l'organizzazione. Contattare il proprio team di risposta agli eventi imprevisti di sicurezza per risolvere i problemi di risposta agli eventi imprevisti di sicurezza urgenti. Se non si dispone di un proprio team di risposta agli eventi imprevisti di sicurezza e si desidera l'aiuto di Microsoft, creare una richiesta di supporto nel Premier Services Hub.

L'opzione Ask Defender Experts è disponibile nelle pagine degli eventi imprevisti e degli avvisi per porre domande contestuali su un evento imprevisto o un avviso specifico:

  • Menu a comparsa della pagina Avvisi:

Screenshot dell'opzione di menu Chiedi agli esperti defender nel menu a comparsa della pagina Avvisi nel portale di Microsoft Defender.

  • Menu azioni pagina eventi imprevisti:

IScreenshot dell'opzione di menu Chiedi esperti defender nel menu Azioni della pagina Eventi imprevisti nel portale di Microsoft Defender.

Vedere anche

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.