Condividi tramite


Dettagli e risultati di un'indagine automatizzata

Si applica a:

  • Microsoft Defender XDR

Con Microsoft Defender XDR, quando viene eseguita un'indagine automatizzata, i dettagli su tale indagine sono disponibili sia durante che dopo il processo di indagine automatizzato. Se si dispone delle autorizzazioni necessarie, è possibile visualizzare tali dettagli in una visualizzazione dei dettagli dell'indagine che fornisce lo stato aggiornato e la possibilità di approvare eventuali azioni in sospeso.

(NUOVO) Pagina di indagine unificata

La pagina di indagine è stata aggiornata di recente per includere informazioni su dispositivi, posta elettronica e contenuto di collaborazione. La nuova pagina di indagine unificata definisce un linguaggio comune e offre un'esperienza unificata per le indagini automatiche tra Microsoft Defender per endpoint e Microsoft Defender per Office 365. Per accedere alla pagina di indagine unificata, selezionare il collegamento nel banner giallo visualizzato in:

Aprire la visualizzazione dei dettagli dell'indagine

È possibile aprire la visualizzazione dei dettagli dell'indagine utilizzando uno dei metodi seguenti:

Selezionare un elemento nel centro notifiche

Il centro notifiche migliorato (https://security.microsoft.com/action-center) riunisce le azioni di correzione nei dispositivi, la posta elettronica & il contenuto di collaborazione e le identità. Le azioni elencate includono azioni correttive eseguite automaticamente o manualmente. Nel centro notifiche è possibile visualizzare le azioni in attesa di approvazione e le azioni già approvate o completate. È anche possibile passare ad altri dettagli, ad esempio una pagina di indagine.

Consiglio

È necessario disporre di determinate autorizzazioni per approvare, rifiutare o annullare le azioni.

  1. Passare a Microsoft Defender portale e accedere.

  2. Nel riquadro di spostamento, scegliere Centro notifiche.

  3. Nella scheda In sospeso o Cronologia, selezionare un elemento. Verrà aperto il riquadro a comparsa.

  4. Esaminare le informazioni nel riquadro a comparsa e quindi seguire questa procedura:

    • Selezionare pagina Apri indagine per visualizzare altri dettagli sull'indagine.
    • Selezionare Approva per avviare un'azione in sospeso.
    • Selezionare Rifiuta per impedire l'esecuzione di un'azione in sospeso.
    • Selezionare Vai a caccia per passare a Ricerca avanzata.

Aprire un'indagine dalla pagina dei dettagli dell'incidente

Utilizzare una pagina dei dettagli di un incidente per visualizzare informazioni dettagliate relative a un incidente, inclusi gli avvisi che sono stati attivati, le informazioni su eventuali dispositivi, gli account utente o le cassette postali interessati.

  1. Passare a Microsoft Defender portale e accedere.

  2. Nel riquadro di spostamento scegliere Eventi imprevisti & avvisiEventi imprevisti>.

  3. Selezionare un elemento nell'elenco e quindi scegliere Apri pagina evento imprevisto.

  4. Selezionare la scheda Indagini e quindi selezionare un'indagine nell'elenco. Verrà aperto il riquadro a comparsa.

  5. Selezionare Apri pagina di indagine.

Di seguito viene riportato un esempio.

Pagina di indagine nel portale di Microsoft Defender

Dettagli indagine

Utilizzare la vista dei dettagli dell'indagine per visualizzare le attività passate, attuali e in sospeso relative a un'indagine. Di seguito viene riportato un esempio.

Pagina dei dettagli dell'indagine nel portale di Microsoft Defender

Nella visualizzazione dei dettagli dell'indagine, è possibile vedere le informazioni nelle schede Grafico dell'indagine, Avvisi, Dispositivi, Identità, Risultati principali, Entità, Log, e Azioni in sospeso, descritte nella tabella seguente.

Nota

Le schede specifiche visualizzate nella pagina dei dettagli di un'indagine dipendono dall'abbonamento sottoscritto. Ad esempio, se la sottoscrizione non include Microsoft Defender per Office 365 piano 2, non verrà visualizzata una scheda Cassette postali.

Scheda Descrizione
Grafico dell'indagine Fornisce una rappresentazione visiva dell'indagine. Descrive le entità ed elenca le minacce rilevate, insieme agli avvisi e alle eventuali azioni ancora in fase di approvazione.
È possibile selezionare un elemento nel grafico per visualizzare altri dettagli. Ad esempio, selezionando l'icona Evidenza si accede alla scheda Evidenza , in cui è possibile visualizzare le entità rilevate e i relativi verdetti.
Avvisi Elenca gli avvisi associati all'indagine. Gli avvisi possono provenire da funzionalità di protezione dalle minacce nel dispositivo di un utente, nelle app di Office, Microsoft Defender for Cloud Apps e in altre funzionalità di Microsoft Defender XDR.

Se viene visualizzato un tipo di avviso non supportato, significa che le funzionalità di indagine automatizzata non possono rilevare tale avviso per eseguire un'indagine automatizzata. Tuttavia, è possibile analizzare questi avvisi manualmente.
Dispositivi Elenchi dispositivi inclusi nell'indagine insieme al livello di correzione. I livelli di correzione corrispondono al livello di automazione per i gruppi di dispositivi.
Cassette postali Elenchi cassette postali interessate dalle minacce rilevate.
Utenti Elenchi account utente interessati dalle minacce rilevate.
Prove Elenchi elementi di prova generati da avvisi o indagini. Include i verdetti (Dannoso, Sospetto, Sconosciuto o Nessuna minaccia trovata) e lo stato di correzione.
Entità Fornisce informazioni dettagliate su ogni entità analizzata, incluso un verdetto per ogni tipo di entità (Dannoso, Sospetto o Nessuna minaccia trovata).
Log Fornisce una visualizzazione cronologica e dettagliata di tutte le azioni di indagine eseguite dopo l'attivazione di un avviso.
Cronologia azioni in sospeso Elenca gli elementi che richiedono l'approvazione per continuare. Passare al Centro notifiche (https://security.microsoft.com/action-center) per approvare le azioni in sospeso.

Stati di indagine

Nella tabella seguente sono elencati gli stati di indagine e gli elementi che indicano.

Stato dell'indagine Definizione
Benigna Gli artefatti sono stati indagati e si è determinato che non sono state trovate minacce.
PendingResource Un'indagine automatizzata viene sospesa perché un'azione di correzione è in attesa di approvazione o il dispositivo in cui è stato trovato un artefatto non è temporaneamente disponibile.
UnsupportedAlertType Un'indagine automatizzata non è disponibile per questo tipo di avviso. Ulteriori indagini possono essere eseguite manualmente, usando la ricerca avanzata.
Esito negativo Almeno un analizzatore di analisi ha riscontrato un problema in cui non è stato possibile completare l'indagine. Se un'indagine ha esito negativo dopo l'approvazione delle azioni di correzione, le azioni di correzione potrebbero avere ancora avuto esito positivo.
Correzione completata Un'indagine automatizzata completata e tutte le azioni di correzione sono state completate o approvate.

Per fornire un contesto più contestuale sulla visualizzazione degli stati di indagine, nella tabella seguente sono elencati gli avvisi e il relativo stato di indagine automatizzato corrispondente. Questa tabella è inclusa come esempio di ciò che un team delle operazioni di sicurezza potrebbe visualizzare nel portale di Microsoft Defender.

Nome avviso Gravità Stato dell'indagine Stato Categoria
È stato rilevato malware in un file di immagine del disco wim Informativa Benigna Risolti Malware
Malware rilevato in un file di archivio rar Informativa PendingResource Nuovo Malware
Malware rilevato in un file di archivio rar Informativa UnsupportedAlertType New Malware
Malware rilevato in un file di archivio rar Informativa UnsupportedAlertType New Malware
Malware rilevato in un file di archivio rar Informativa UnsupportedAlertType New Malware
Malware rilevato in un file di archivio ZIP Informativa PendingResource New Malware
Malware rilevato in un file di archivio ZIP Informativa PendingResource New Malware
Malware rilevato in un file di archivio ZIP Informativa PendingResource Nuovo Malware
Malware rilevato in un file di archivio ZIP Informativa PendingResource New Malware
Wpakill hacktool è stato impedito Bassa Esito negativo Nuovo Malware
GendowsBatch hacktool è stato impedito Bassa Esito negativo New Malware
Keygen hacktool è stato impedito Bassa Esito negativo Nuovo Malware
Malware rilevato in un file di archivio ZIP Informativa PendingResource New Malware
Malware rilevato in un file di archivio rar Informativa PendingResource New Malware
Malware rilevato in un file di archivio rar Informativa PendingResource New Malware
Malware rilevato in un file di archivio ZIP Informativa PendingResource New Malware
Malware rilevato in un file di archivio rar Informativa PendingResource New Malware
Malware rilevato in un file di archivio rar Informativa PendingResource New Malware
È stato rilevato malware in un file di immagine del disco iso Informativa PendingResource Nuovo Malware
È stato rilevato malware in un file di immagine del disco iso Informativa PendingResource New Malware
Malware rilevato in un file di dati di Outlook pst Informativa UnsupportedAlertType New Malware
Malware rilevato in un file di dati di Outlook pst Informativa UnsupportedAlertType New Malware
MediaGet rilevato Medio Parzialmenteinvestita New Malware
TrojanEmailFile Medio Corretto correttamente Risolti Malware
È stato impedito il malware CustomEnterpriseBlock Informativa Corretto correttamente Risolti Malware
Un malware CustomEnterpriseBlock attivo è stato bloccato Bassa Corretto correttamente Risolti Malware
Un malware CustomEnterpriseBlock attivo è stato bloccato Bassa Corretto correttamente Risolti Malware
Un malware CustomEnterpriseBlock attivo è stato bloccato Bassa Corretto correttamente Risolti Malware
TrojanEmailFile Medio Benigna Risolti Malware
È stato impedito il malware CustomEnterpriseBlock Informativa UnsupportedAlertType New Malware
È stato impedito il malware CustomEnterpriseBlock Informativa Corretto correttamente Risolti Malware
TrojanEmailFile Medio Corretto correttamente Risolti Malware
TrojanEmailFile Medio Benigna Risolti Malware
Un malware CustomEnterpriseBlock attivo è stato bloccato Bassa PendingResource New Malware

Passaggi successivi

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.