Condividi tramite

Eseguire indagini sugli incidenti in Microsoft Defender per endpoint

  • Articolo

Si applica a:

Analizzare gli eventi imprevisti che influiscono sulla rete, comprendere il significato e confrontare le prove per risolverli.

Quando si esamina un evento imprevisto, si noterà:

  • Dettagli incidente
  • Commenti e azioni degli eventi imprevisti
  • Schede (avvisi, dispositivi, indagini, prove, grafico)

Analizzare i dettagli dell'evento imprevisto

Fare clic su un evento imprevisto per visualizzare il riquadro Eventi imprevisti. Selezionare Apri pagina degli eventi imprevisti per visualizzare i dettagli dell'evento imprevisto e le informazioni correlate (avvisi, dispositivi, indagini, prove, grafico).

I dettagli di un evento imprevisto

Avvisi

È possibile analizzare gli avvisi e vedere come sono stati collegati tra loro in un evento imprevisto. Gli avvisi vengono raggruppati in eventi imprevisti in base ai motivi seguenti:

  • Indagine automatizzata: l'indagine automatizzata ha attivato l'avviso collegato durante l'analisi dell'avviso originale
  • Caratteristiche dei file: i file associati all'avviso hanno caratteristiche simili
  • Associazione manuale: un utente ha collegato manualmente gli avvisi
  • Tempo massimo: gli avvisi sono stati attivati nello stesso dispositivo entro un determinato intervallo di tempo
  • Stesso file: i file associati all'avviso sono esattamente gli stessi
  • Stesso URL: l'URL che ha attivato l'avviso è esattamente lo stesso

Scheda Avvisi con la pagina dei dettagli degli eventi imprevisti che mostra i motivi per cui gli avvisi sono stati collegati tra loro in tale evento imprevisto

È anche possibile gestire un avviso e visualizzare i metadati degli avvisi insieme ad altre informazioni. Per altre informazioni, vedere Analizzare gli avvisi.

Dispositivi

È anche possibile analizzare i dispositivi che fanno parte o sono correlati a un determinato evento imprevisto. Per altre informazioni, vedere Analizzare i dispositivi.

Scheda Dispositivi nella pagina dei dettagli dell'evento imprevisto

Indagini

Selezionare Indagini per visualizzare tutte le indagini automatiche avviate dal sistema in risposta agli avvisi degli eventi imprevisti.

Scheda Indagini nella pagina dei dettagli dell'evento imprevisto

Esaminare le prove

Microsoft Defender per endpoint analizza automaticamente tutti gli eventi supportati dagli eventi imprevisti e le entità sospette negli avvisi, fornendo risposte automatiche e informazioni su file, processi, servizi e altro ancora importanti.

Ognuna delle entità analizzate verrà contrassegnata come infetta, correzione o sospetta.

Scheda Evidenza nella pagina dei dettagli dell'evento imprevisto

Visualizzazione delle minacce associate alla cybersecurity

Microsoft Defender per endpoint aggrega le informazioni sulle minacce in un evento imprevisto in modo da poter visualizzare i modelli e le correlazioni provenienti da vari punti dati. È possibile visualizzare tale correlazione tramite il grafico degli eventi imprevisti.

Grafico degli eventi imprevisti

Il grafico racconta la storia dell'attacco alla cybersecurity. Ad esempio, mostra qual era il punto di ingresso, quale indicatore di compromissione o attività è stato osservato in quale dispositivo. and so on.

Grafico degli eventi imprevisti

È possibile fare clic sui cerchi nel grafico degli eventi imprevisti per visualizzare i dettagli dei file dannosi, i rilevamenti di file associati, il numero di istanze in tutto il mondo, se è stato osservato nell'organizzazione, in caso affermativo, il numero di istanze.

Pagina dei dettagli dell'evento imprevisto

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.