Assegnare priorità agli eventi imprevisti nel portale di Microsoft Defender
La piattaforma delle operazioni di sicurezza unificata nel portale di Microsoft Defender applica l'analisi di correlazione e aggrega gli avvisi correlati e le indagini automatizzate da diversi prodotti in un evento imprevisto. Microsoft Sentinel e Defender XDR attivano anche avvisi univoci sulle attività che possono essere identificate come dannose solo a causa della visibilità end-to-end nella piattaforma unificata nell'intera suite di prodotti. Questa visualizzazione offre agli analisti della sicurezza la storia più ampia degli attacchi, che li aiuta a comprendere meglio e gestire le minacce complesse nell'intera organizzazione.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma di operazioni di sicurezza unificata di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Coda degli eventi imprevisti
La coda eventi imprevisti mostra una raccolta di eventi imprevisti creati tra dispositivi, utenti, cassette postali e altre risorse. Consente di ordinare gli eventi imprevisti per definire le priorità e creare una decisione di risposta informata alla sicurezza informatica, un processo noto come valutazione degli eventi imprevisti.
È possibile accedere alla coda degli eventi imprevisti da Eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender. Di seguito viene riportato un esempio.
Selezionare Eventi imprevisti e avvisi più recenti per attivare o disattivare l'espansione della sezione superiore, che mostra un grafico della sequenza temporale del numero di avvisi ricevuti e di eventi imprevisti creati nelle ultime 24 ore.
Di seguito, la coda degli eventi imprevisti nel portale di Microsoft Defender visualizza gli eventi imprevisti visualizzati negli ultimi sei mesi. È possibile scegliere un intervallo di tempo diverso selezionandolo dall'elenco a discesa nella parte superiore. Gli eventi imprevisti vengono organizzati in base agli aggiornamenti automatici o manuali più recenti apportati a un evento imprevisto. È possibile organizzare gli eventi imprevisti in base alla colonna ora dell'ultimo aggiornamento per visualizzare gli eventi imprevisti in base agli aggiornamenti automatici o manuali più recenti eseguiti.
La coda degli eventi imprevisti include colonne personalizzabili che offrono visibilità sulle diverse caratteristiche dell'evento imprevisto o sulle entità interessate. Questo filtro consente di prendere una decisione informata in merito alla definizione delle priorità degli eventi imprevisti per l'analisi. Selezionare Personalizza colonne per eseguire le personalizzazioni seguenti in base alla visualizzazione preferita:
- Selezionare/deselezionare le colonne che si desidera visualizzare nella coda degli eventi imprevisti.
- Disporre l'ordine delle colonne trascinandole.
Nomi degli eventi imprevisti
Per una maggiore visibilità a colpo d'occhio, Microsoft Defender XDR genera automaticamente i nomi degli eventi imprevisti, in base agli attributi di avviso, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini di rilevamento o le categorie. Questa denominazione specifica consente di comprendere rapidamente l'ambito dell'evento imprevisto.
Ad esempio: evento imprevisto a più fasi su più endpoint segnalato da più origini.
Se è stato caricato Microsoft Sentinel nella piattaforma delle operazioni di sicurezza unificata, è probabile che eventuali avvisi e eventi imprevisti provenienti da Microsoft Sentinel abbiano i nomi modificati (indipendentemente dal fatto che siano stati creati prima o dopo l'onboarding).
È consigliabile evitare di usare il nome dell'evento imprevisto come condizione per attivare le regole di automazione. Se il nome dell'evento imprevisto è una condizione e il nome dell'evento imprevisto cambia, la regola non verrà attivata.
Filtri
La coda degli eventi imprevisti offre anche più opzioni di filtro, che, se applicate, consentono di eseguire un'ampia analisi di tutti gli eventi imprevisti esistenti nell'ambiente o di decidere di concentrarsi su uno scenario o una minaccia specifici. Applicando i filtri a una coda di eventi imprevisti puoi determinare quale evento richiede un’attenzione immediata.
L'elenco Filtri sopra l'elenco degli eventi imprevisti mostra i filtri attualmente applicati.
Nella coda degli eventi imprevisti predefinita è possibile selezionare Aggiungi filtro per visualizzare l'elenco a discesa Aggiungi filtro da cui specificare i filtri da applicare alla coda eventi imprevisti per limitare il set di eventi imprevisti visualizzati. Di seguito viene riportato un esempio.
Selezionare i filtri da usare, quindi selezionare Aggiungi nella parte inferiore dell'elenco per renderli disponibili.
Ora i filtri selezionati vengono visualizzati insieme ai filtri applicati esistenti. Selezionare il nuovo filtro per specificarne le condizioni. Ad esempio, se si sceglie il filtro "Origini servizio/rilevamento", selezionarlo per scegliere le origini in base alle quali filtrare l'elenco.
È anche possibile visualizzare il riquadro Filtro selezionando uno dei filtri nell'elenco Filtri sopra l'elenco degli eventi imprevisti.
Questa tabella elenca i nomi dei filtri disponibili.
Nome filtro | Descrizione/Condizioni |
---|---|
Stato | Selezionare Nuovo, In corso o Risolto. |
Gravità dell'avviso Gravità dell'evento imprevisto |
La gravità di un avviso o di un evento imprevisto è indicativa dell'impatto che può avere sugli asset. Maggiore è la gravità, maggiore è l'impatto e in genere richiede l'attenzione più immediata. Selezionare Alto, Medio, Basso o Informativo. |
Assegnazione di eventi imprevisti | Selezionare l'utente o gli utenti assegnati. |
Più servizi di origine | Specificare se il filtro è per più di un'origine del servizio. |
Origini di servizio/rilevamento | Specificare gli eventi imprevisti che contengono avvisi da uno o più degli eventi seguenti: Molti di questi servizi possono essere espansi nel menu per rivelare altre scelte di origini di rilevamento all'interno di un determinato servizio. |
Tag | Selezionare uno o più nomi di tag dall'elenco. |
Più categorie | Specificare se il filtro è per più di una categoria. |
Categorie | Scegliere le categorie per concentrarsi su tattiche, tecniche o componenti di attacco specifici visualizzati. |
Entità | Specificare il nome di un asset, ad esempio un utente, un dispositivo, una cassetta postale o un nome di applicazione. |
Riservatezza dei dati | Alcuni attacchi sono incentrati sull’estrazione di dati riservati o di valore. Applicando un filtro per etichette di riservatezza specifiche, è possibile determinare rapidamente se le informazioni sensibili sono state potenzialmente compromesse e assegnare priorità alla risoluzione di tali eventi imprevisti. Questo filtro visualizza le informazioni solo quando sono state applicate etichette di riservatezza da Microsoft Purview Information Protection. |
Gruppi di dispositivi | Specificare il nome di un gruppo di dispositivi . |
Piattaforma del sistema operativo | Specificare i sistemi operativi del dispositivo. |
Classificazione | Specificare il set di classificazioni degli avvisi correlati. |
Stato dell'indagine automatizzata | Specificare lo stato dell'indagine automatizzata. |
Minaccia associata | Specificare una minaccia denominata. |
Criteri di avviso | Specificare un titolo per i criteri di avviso. |
ID sottoscrizione avviso | Specificare un avviso in base a un ID sottoscrizione. |
Il filtro predefinito consiste nel visualizzare tutti gli avvisi e gli eventi imprevisti con stato Nuovo e In corso e con una gravità alta, media o bassa.
È possibile rimuovere rapidamente un filtro selezionando la X nel nome di un filtro nell'elenco Filtri .
È anche possibile creare set di filtri all'interno della pagina eventi imprevisti selezionando Query > filtro salvate Crea set di filtri. Se non sono stati creati set di filtri, selezionare Salva per crearne uno.
Nota
Microsoft Defender XDR clienti possono ora filtrare gli eventi imprevisti con avvisi in cui un dispositivo compromesso comunica con dispositivi ot (Operational Technology) connessi alla rete aziendale tramite l'integrazione dell'individuazione dei dispositivi di Microsoft Defender per IoT e Microsoft Defender per endpoint. Per filtrare questi eventi imprevisti, selezionare Qualsiasi nelle origini di servizio/rilevamento, quindi selezionare Microsoft Defender per IoT nel nome del prodotto oppure vedere Analizzare gli eventi imprevisti e gli avvisi in Microsoft Defender per IoT nel portale di Defender. È anche possibile usare i gruppi di dispositivi per filtrare gli avvisi specifici del sito. Per altre informazioni sui prerequisiti di Defender per IoT, vedere Introduzione al monitoraggio IoT aziendale in Microsoft Defender XDR.
Salvare i filtri personalizzati come URL
Dopo aver configurato un filtro utile nella coda degli eventi imprevisti, è possibile aggiungere un segnalibro all'URL della scheda del browser o salvarlo in altro modo come collegamento in una pagina Web, un documento Word o una posizione di propria scelta. Il segnalibro consente di accedere con un solo clic alle visualizzazioni chiave della coda degli eventi imprevisti, ad esempio:
- Nuovi eventi imprevisti
- Eventi imprevisti di gravità elevata
- Eventi imprevisti non assegnati
- Gravità elevata, eventi imprevisti non assegnati
- Eventi imprevisti assegnati
- Eventi imprevisti assegnati a me e per Microsoft Defender per endpoint
- Eventi imprevisti con tag o tag specifici
- Eventi imprevisti con una categoria di minacce specifica
- Eventi imprevisti con una minaccia associata specifica
- Eventi imprevisti con un attore specifico
Dopo aver compilato e archiviato l'elenco di visualizzazioni filtro utili come URL, usarlo per elaborare rapidamente e assegnare priorità agli eventi imprevisti nella coda e gestirli per l'assegnazione e l'analisi successive.
Ricerca
Nella casella Cerca nome o ID sopra l'elenco degli eventi imprevisti è possibile cercare gli eventi imprevisti in diversi modi per trovare rapidamente ciò che si sta cercando.
Ricerca in base al nome o all'ID dell'evento imprevisto
Cercare direttamente un evento imprevisto digitando l'ID evento imprevisto o il nome dell'evento imprevisto. Quando si seleziona un evento imprevisto dall'elenco dei risultati della ricerca, il portale di Microsoft Defender apre una nuova scheda con le proprietà dell'evento imprevisto, da cui è possibile avviare l'indagine.
Ricerca in base agli asset interessati
È possibile assegnare un nome a un asset, ad esempio un utente, un dispositivo, una cassetta postale, il nome dell'applicazione o una risorsa cloud, e trovare tutti gli eventi imprevisti correlati a tale asset.
Specificare un intervallo di tempo
L'elenco predefinito degli eventi imprevisti è per quelli che si sono verificati negli ultimi sei mesi. È possibile specificare un nuovo intervallo di tempo dalla casella a discesa accanto all'icona del calendario selezionando:
- Un giorno
- Tre giorni
- Una settimana
- 30 giorni
- 30 giorni
- Sei mesi
- Intervallo personalizzato in cui è possibile specificare sia date che ore
Passaggi successivi
Dopo aver determinato quale evento imprevisto richiede la priorità più alta, selezionarlo e:
- Gestire le proprietà dell'evento imprevisto per tag, assegnazione, risoluzione immediata per eventi imprevisti falsi positivi e commenti.
- Inizia le indagini.
Vedere anche
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.