Gestire gli eventi imprevisti Microsoft Defender per endpoint
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
La gestione degli eventi imprevisti è una parte importante di ogni operazione di cybersecurity. È possibile gestire gli eventi imprevisti selezionando un evento imprevisto dalla coda Eventi imprevisti o dal riquadro Gestione eventi imprevisti.
Se si seleziona un evento imprevisto dalla coda Eventi imprevisti , viene visualizzato il riquadro Gestione eventi imprevisti in cui è possibile aprire la pagina degli eventi imprevisti per informazioni dettagliate.
È possibile assegnare eventi imprevisti a se stessi, modificare lo stato e la classificazione, rinominarli o commentarli per tenere traccia dello stato di avanzamento.
Consiglio
Per una maggiore visibilità a colpo d'occhio, i nomi degli eventi imprevisti vengono generati automaticamente in base agli attributi di avviso, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini o le categorie di rilevamento. In questo modo è possibile comprendere rapidamente l'ambito dell'incidente.
Ad esempio: evento imprevisto a più fasi su più endpoint segnalato da più origini.
Gli eventi imprevisti che si sono verificati prima dell'implementazione della denominazione automatica degli eventi imprevisti mantengono i nomi.
Assegnare gli eventi imprevisti
Se un evento imprevisto non è ancora stato assegnato, è possibile selezionare Assegna a me per assegnare l'evento imprevisto a se stessi. In questo modo si assume la proprietà non solo dell'evento, ma anche di tutti gli avvisi associati.
Impostare lo stato e la classificazione
Stato di un evento imprevisto
È possibile categorizzare gli eventi imprevisti, ad esempio Attivo oppure Risolto, modificando lo stato durante il corso dell'analisi. Questo consente di organizzare e gestire il modo in cui il team può rispondere agli eventi imprevisti.
Ad esempio, l'analista SOC può esaminare gli eventi imprevisti attivi urgenti per il giorno e decidere di assegnarli a se stesso per l'indagine.
In alternativa, può impostare l'evento come Risolto se l'evento è stato corretto.
Classificazione
È possibile scegliere di non impostare una classificazione oppure decidere di specificare se un evento è vero o falso. Così facendo, il team può visualizzare i criteri e imparare a usarli.
Aggiungere commenti
È possibile aggiungere commenti e visualizzare gli eventi cronologici relativi a un imprevisto per visualizzare le precedenti modifiche apportate.
Ogni volta che viene apportata una modifica o aggiunto un commento a un avviso, l'evento viene registrato nella sezione Commenti e cronologia.
I commenti aggiunti vengono visualizzati istantaneamente nel pannello.
Argomenti correlati
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.