Analizzare il dispositivo

  • 7 minuti

Analizzare i dettagli di un avviso generato su uno specifico dispositivo per identificare altri comportamenti o eventi che potrebbero essere correlati all'avviso o al potenziale ambito della violazione.

È possibile selezionare i dispositivi interessati ogni volta che compaiono nel portale per aprire un report dettagliato sul dispositivo. I dispositivi interessati sono identificati nelle aree seguenti:

  • Elenco di dispositivi

  • Coda avvisi

  • Dashboard delle operazioni di sicurezza

  • Qualsiasi singolo avviso

  • Visualizzazione dettagli file singoli

  • Qualsiasi indirizzo IP o visualizzazione dei dettagli del dominio

Quando si analizza uno specifico dispositivo, viene visualizzato quanto segue:

  • Dettagli dispositivo

  • Azioni di risposta

  • Schede (panoramica, avvisi, sequenza temporale, raccomandazioni sulla sicurezza, inventario software, vulnerabilità individuate, KB (ID Knowledge Base) mancanti)

  • Schede (avvisi attivi, utenti connessi, valutazione della sicurezza)

Dettagli dispositivo

La sezione dei dettagli dispositivo contiene informazioni come il dominio, il sistema operativo e lo stato di integrità del dispositivo. Se nel dispositivo è disponibile un pacchetto di indagine, verrà visualizzato un collegamento che consente di scaricare il pacchetto.

Azioni di risposta

Le azioni di risposta compaiono nella parte superiore della pagina di un dispositivo specifico e includono:

  • Gestire i tag

  • Isolare il dispositivo

  • Limita esecuzione delle app

  • Esegui l'analisi antivirus

  • Raccogliere il pacchetto di indagine

  • Avvia sessione di Live Response

  • Avvia indagine automatizzata

  • Consultare un esperto di minacce

  • Centro notifiche

È possibile eseguire azioni di risposta nel Centro operativo, nella pagina di uno specifico dispositivo o nella pagina di uno specifico file.

Schede

Panoramica

La scheda Panoramica mostra le schede relative ad avvisi attivi, utenti connessi e valutazione della sicurezza.

Avvisi attivi

In questo riquadro è possibile visualizzare il numero complessivo di avvisi attivi in rete negli ultimi 30 giorni. Gli avvisi vengono raggruppati in Nuovo e In corso. Ogni gruppo è ulteriormente organizzato in sottocategorie in base ai livelli di gravità degli avvisi corrispondenti. Selezionare il numero di avvisi all'interno di ogni grafico ad anello per visualizzare una vista ordinata della coda della categoria (New o In progress).

Utenti connessi

La scheda Utenti connessi mostra il numero di utenti che hanno eseguito l'accesso negli ultimi 30 giorni e gli utenti più o meno frequenti. Selezionando il collegamento "Visualizza tutti gli utenti" si apre il riquadro dei dettagli, che mostra il tipo di utente, il tipo di accesso e quando l'utente ha eseguito l'accesso la prima e l'ultima volta.

Valutazione della sicurezza

La scheda Valutazione della sicurezza mostra il livello di esposizione generale, le raccomandazioni sulla sicurezza, il software installato e le vulnerabilità individuate. Il livello di esposizione di un dispositivo è determinato dall'impatto cumulativo dei consigli per la sicurezza in sospeso.

Avvisi

La scheda Avvisi contiene un elenco degli avvisi associati al dispositivo. Questo elenco è una versione filtrata della coda Avvisi e mostra una breve descrizione dell'avviso, la gravità (alta, media, bassa, informativo), lo stato nella coda (nuovo, in corso, risolto), la classificazione (non impostato, avviso False o avviso True) stato dell'indagine, categoria dell'avviso, utente che se ne sta occupando e ultima attività. È anche possibile filtrare gli avvisi.

Sequenza temporale

La scheda Sequenza temporale fornisce una visualizzazione cronologica degli eventi e degli avvisi associati osservati nel dispositivo. Questo può essere utile per correlare tutti gli eventi, i file e gli indirizzi IP correlati al dispositivo.

La sequenza temporale consente inoltre di eseguire in modo selettivo il drill-down negli eventi che si sono verificati in un determinato periodo di tempo. È possibile visualizzare la sequenza temporale degli eventi che si sono verificati in un dispositivo in un periodo di tempo specificato. Per controllare ulteriormente la visualizzazione, è possibile filtrare per gruppi di eventi o personalizzare le colonne.

Alcune delle funzionalità includono:

  • Ricerca di eventi specifici

    • Usare la barra di ricerca per cercare specifici eventi della sequenza temporale.

  • Filtro degli eventi da una data specifica

    • Selezionare l'icona del calendario in alto a sinistra nella tabella per visualizzare gli eventi del giorno precedente, della settimana precedente, degli ultimi 30 giorni o di un intervallo personalizzato. Per impostazione predefinita, la sequenza temporale del dispositivo è configurata in modo da mostrare gli eventi degli ultimi 30 giorni.

    • Usare la sequenza temporale per passare a un momento specifico evidenziando la sezione. Le frecce nella sequenza temporale indicano le indagini automatizzate

  • Esportazione di eventi dettagliati della sequenza temporale del dispositivo

    • Esportare la sequenza temporale del dispositivo per la data corrente o per un intervallo di date specificato fino a sette giorni.

Per determinati eventi sono disponibili altri dettagli che variano in base al tipo di evento, ad esempio:

  • Contenuto da Application Guard: l'evento del Web browser è stato limitato da un contenitore isolato

  • È stata rilevata una minaccia attiva: il rilevamento si è verificato mentre la minaccia era in esecuzione

  • Correzione non riuscita: è stato richiamato un tentativo di correggere la minaccia rilevata, ma non è riuscito

  • Correzione riuscita: la minaccia rilevata è stata interrotta e pulita

  • Avviso ignorato dall'utente: un utente ha ignorato l'avviso di Windows Defender SmartScreen e ne ha eseguito l'override

  • Rilevato script sospetto: è stato trovato uno script potenzialmente dannoso in esecuzione

  • Categoria dell'avviso: se l'evento ha causato la generazione di un avviso, viene fornita la categoria dell'avviso, ad esempio Movimento laterale

Contrassegnare un evento

Durante l'esplorazione della sequenza temporale del dispositivo, è possibile cercare e filtrare eventi specifici. È possibile impostare flag di evento:

  • Evidenziando gli eventi più importanti

  • Contrassegnando gli eventi che richiedono un approfondimento

  • Creando una sequenza temporale delle violazioni pulita

Trovare l'evento da contrassegnare. Selezionare l'icona del flag nella colonna Flag.

Visualizzare gli eventi contrassegnati

Nella sezione Filtri della sequenza temporale abilitare solo gli eventi contrassegnati. Selezionare Applica. Vengono visualizzati solo gli eventi contrassegnati. È possibile applicare più filtri facendo clic sulla barra del tempo. In questo modo verranno visualizzati solo gli eventi precedenti a quello contrassegnato.

Dettagli evento

Selezionare un evento per visualizzare i dettagli pertinenti relativi all'evento. Viene visualizzato un riquadro con informazioni generali sull'evento. Quando applicabile e quando sono disponibili i dati, compare anche un grafico che mostra le entità correlate e le relative relazioni.

Per esaminare in modo più approfondito l'evento e gli eventi correlati, è possibile eseguire rapidamente una query di ricerca avanzata selezionando Rileva gli eventi correlati. La query restituirà l'evento selezionato e l'elenco degli altri eventi che si sono verificati all'incirca nello stesso momento nello stesso endpoint.

Suggerimenti per la sicurezza

Le raccomandazioni sulla sicurezza vengono generate dalla funzionalità Gestione di minacce e vulnerabilità di Microsoft Defender per endpoint. Selezionando una raccomandazione verrà visualizzato un riquadro in cui è possibile vedere i dettagli pertinenti, ad esempio la descrizione della raccomandazione e i potenziali rischi associati al non implementarla.

Inventario software

La scheda Inventario software consente di visualizzare il software nel dispositivo insieme a eventuali punti di debolezza o minacce. Selezionando il nome del software si passa alla pagina dei dettagli del software, in cui è possibile visualizzare le raccomandazioni sulla sicurezza, le vulnerabilità individuate, i dispositivi installati e la distribuzione della versione.

Vulnerabilità individuate

La scheda Vulnerabilità individuate mostra il nome, la gravità e i dati analitici sulle minacce relativi alle vulnerabilità individuate nel dispositivo. Se si selezionano vulnerabilità specifiche, ne vengono mostrate una descrizione e i dettagli.

KB mancanti

La scheda KB mancanti elenca gli aggiornamenti della sicurezza mancanti per il dispositivo.