Esplorare, valutare e gestire gli eventi imprevisti di Microsoft Sentinel nel portale di Azure
Questo articolo descrive come esplorare ed eseguire la valutazione di base sugli eventi imprevisti nel portale di Azure.
Prerequisiti
L'assegnazione di ruolo risponditore di Microsoft Sentinel è necessaria per analizzare gli eventi imprevisti.
Altre informazioni sui ruoli in Microsoft Sentinel.
Se si dispone di un utente guest che deve assegnare eventi imprevisti, all'utente deve essere assegnato il ruolo Lettore directory nel tenant di Microsoft Entra. Gli utenti normali (nonguest) hanno questo ruolo assegnato per impostazione predefinita.
Esplorare e valutare gli eventi imprevisti
Dal menu di spostamento di Microsoft Sentinel, in Gestione delle minacce, selezionare Eventi imprevisti.
La pagina Eventi imprevisti fornisce informazioni di base su tutti gli eventi imprevisti aperti. Ad esempio:
Nella parte superiore della schermata è disponibile una barra degli strumenti con azioni che è possibile eseguire all'esterno di un evento imprevisto specifico, nella griglia nel suo complesso o su più eventi imprevisti selezionati. Sono inoltre presenti i conteggi degli eventi imprevisti aperti, nuovi o attivi e i conteggi degli eventi imprevisti aperti in base alla gravità.
Nel riquadro centrale è presente una griglia degli eventi imprevisti, ovvero un elenco di eventi imprevisti filtrati in base ai controlli di filtro nella parte superiore dell'elenco e una barra di ricerca per trovare eventi imprevisti specifici.
Sul lato è presente un riquadro dei dettagli che mostra informazioni importanti sull'evento imprevisto evidenziato nell'elenco centrale, insieme ai pulsanti per eseguire determinate azioni specifiche relative a tale evento imprevisto.
Il team addetto alle operazioni di sicurezza potrebbe disporre di regole di automazione per eseguire una valutazione di base sui nuovi eventi imprevisti e assegnarli al personale appropriato.
In tal caso, filtrare l'elenco degli eventi imprevisti in base al proprietario per limitare l'elenco agli eventi imprevisti assegnati all'utente o al team. Questo set filtrato rappresenta il carico di lavoro personale.
In caso contrario, è possibile eseguire manualmente la valutazione di base. Per iniziare, filtrare l'elenco degli eventi imprevisti in base ai criteri di filtro disponibili, sia che lo stato, la gravità o il nome del prodotto. Per altre informazioni, vedere Cercare eventi imprevisti.
Valutare un evento imprevisto specifico ed eseguire immediatamente un'azione iniziale, direttamente dal riquadro dei dettagli nella pagina Eventi imprevisti , senza dover immettere la pagina dei dettagli completi dell'evento imprevisto. Ad esempio:
Analizzare gli eventi imprevisti di Microsoft Defender XDR in Microsoft Defender XDR: seguire il collegamento Analisi in Microsoft Defender XDR per passare all'evento imprevisto parallelo nel portale di Defender. Tutte le modifiche apportate all'evento imprevisto in Microsoft Defender XDR vengono sincronizzate con lo stesso evento imprevisto in Microsoft Sentinel.
Aprire l'elenco delle attività assegnate: gli eventi imprevisti a cui sono assegnate attività visualizzano un conteggio delle attività completate e totali e un collegamento Visualizza dettagli completi. Seguire il collegamento per aprire la pagina Attività evento imprevisto per visualizzare l'elenco delle attività per questo evento imprevisto.
Assegnare la proprietà dell'evento imprevisto a un utente o a un gruppo selezionando dall'elenco a discesa Proprietario .
Gli utenti e i gruppi selezionati di recente vengono visualizzati nella parte superiore dell'elenco a discesa con immagine.
Aggiornare lo stato dell'evento imprevisto, ad esempio da Nuovo a Attivo o Chiuso, selezionando dall'elenco a discesa Stato . Quando si chiude un evento imprevisto, è necessario specificare un motivo. Per altre informazioni, vedere Chiudere un evento imprevisto.
Modificare la gravità dell'evento imprevisto selezionando nell'elenco a discesa Gravità .
Aggiungere tag per classificare gli eventi imprevisti. Potrebbe essere necessario scorrere verso il basso fino alla fine del riquadro dei dettagli per vedere dove aggiungere tag.
Aggiungere commenti per registrare azioni, idee, domande e altro ancora. Potrebbe essere necessario scorrere verso il basso fino alla fine del riquadro dei dettagli per vedere dove aggiungere commenti.
Se le informazioni nel riquadro dei dettagli sono sufficienti per richiedere ulteriori azioni di correzione o mitigazione, selezionare il pulsante Azioni nella parte inferiore per eseguire una delle operazioni seguenti:
Azione Descrizione Indagine Usare lo strumento di analisi grafica per individuare le relazioni tra avvisi, entità e attività, sia all'interno di questo evento imprevisto che in altri eventi imprevisti. Eseguire il playbook Eseguire un playbook su questo evento imprevisto per eseguire particolari azioni di arricchimento, collaborazione o risposta, ad esempio i tecnici SOC potrebbero aver reso disponibili. Creare una regola di automazione Creare una regola di automazione che venga eseguita solo su eventi imprevisti come questo (generato dalla stessa regola di analisi) in futuro, per ridurre il carico di lavoro futuro o per tenere conto di una modifica temporanea dei requisiti ,ad esempio per un test di penetrazione. Creare un team (anteprima) Creare un team in Microsoft Teams per collaborare con altri utenti o team tra i reparti per gestire l'evento imprevisto. Ad esempio:
Se sono necessarie altre informazioni sull'evento imprevisto, selezionare Visualizza dettagli completi nel riquadro dei dettagli per aprire e visualizzare i dettagli dell'evento imprevisto nell'intero evento, inclusi gli avvisi e le entità nell'evento imprevisto, un elenco di eventi imprevisti simili e informazioni dettagliate principali selezionate.
Cercare eventi imprevisti
Per trovare rapidamente un evento imprevisto specifico, immettere una stringa di ricerca nella casella di ricerca sopra la griglia degli eventi imprevisti e premere INVIO per modificare l'elenco degli eventi imprevisti visualizzati di conseguenza. Se l'evento imprevisto non è incluso nei risultati, è possibile limitare la ricerca usando le opzioni di ricerca avanzate.
Per modificare i parametri di ricerca, selezionare il pulsante Cerca e quindi selezionare i parametri in cui si vuole eseguire la ricerca.
Ad esempio:
Per impostazione predefinita, le ricerche degli eventi imprevisti vengono eseguite solo nei valori Id evento imprevisto, Titolo, Tag, Proprietario e Nome prodotto . Nel riquadro di ricerca scorrere verso il basso l'elenco per selezionare uno o più altri parametri da cercare e selezionare Applica per aggiornare i parametri di ricerca. Selezionare Imposta per reimpostare per impostazione predefinita i parametri selezionati sull'opzione predefinita.
Nota
Le ricerche nel campo Proprietario supportano sia nomi che indirizzi di posta elettronica.
L'uso di opzioni di ricerca avanzate modifica il comportamento di ricerca come indicato di seguito:
| Comportamento di ricerca | Descrizione |
|---|---|
| Colore del pulsante di ricerca | Il colore del pulsante di ricerca cambia, a seconda dei tipi di parametri attualmente in uso nella ricerca.
|
| Aggiornamento automatico | L'uso di parametri di ricerca avanzati impedisce di selezionare per aggiornare automaticamente i risultati. |
| Parametri di entità | Tutti i parametri di entità sono supportati per le ricerche avanzate. Durante la ricerca in qualsiasi parametro di entità, la ricerca viene eseguita in tutti i parametri di entità. |
| Stringhe di ricerca | La ricerca di una stringa di parole include tutte le parole nella query di ricerca. Le stringhe di ricerca fanno distinzione tra maiuscole e minuscole. |
| Supporto tra aree di lavoro | Le ricerche avanzate non sono supportate per le visualizzazioni tra aree di lavoro. |
| Numero di risultati della ricerca visualizzati | Quando si usano parametri di ricerca avanzati, vengono visualizzati solo 50 risultati alla volta. |
Suggerimento
Se non si riesce a trovare l'evento imprevisto che si sta cercando, rimuovere i parametri di ricerca per espandere la ricerca. Se la ricerca restituisce troppi elementi, aggiungere altri filtri per restringere i risultati.
Chiudere un evento imprevisto
Dopo aver risolto un evento imprevisto specifico(ad esempio, quando l'indagine raggiunge la conclusione), impostare lo stato dell'evento imprevisto su Chiuso. In questo caso, viene chiesto di classificare l'evento imprevisto specificando il motivo per cui si sta chiudendo. Questo passaggio è obbligatorio.
Selezionare Seleziona classificazione e scegliere una delle opzioni seguenti nell'elenco a discesa:
- Vero positivo : attività sospetta
- Positivo non dannoso : sospetto ma previsto
- Falso positivo : logica di avviso non corretta
- Falso positivo : dati non corretti
- Indeterminato
Per altre informazioni sui falsi positivi e sui positivi benigni, vedere Gestire i falsi positivi in Microsoft Sentinel.
Dopo aver scelto la classificazione appropriata, aggiungere un testo descrittivo nel campo Commento . Ciò è utile nel caso in cui sia necessario fare riferimento a questo evento imprevisto. Al termine, selezionare Applica e l'evento imprevisto viene chiuso.
Passaggio successivo
Per altre informazioni, vedere Analizzare in modo approfondito gli eventi imprevisti di Microsoft Sentinel nel portale di Azure