Condividi tramite


Risposta al primo evento imprevisto in Microsoft Defender XDR

Si applica a:

  • Microsoft Defender XDR

Questa guida elenca le risorse Microsoft per i nuovi Microsoft Defender XDR agli utenti di eseguire in modo sicuro le attività quotidiane di risposta agli eventi imprevisti durante l'uso del portale. I risultati previsti per l'uso di questa guida sono:

  • Si apprenderà rapidamente come usare Microsoft Defender XDR per rispondere a eventi imprevisti e avvisi.
  • Si scopriranno le funzionalità del portale per facilitare l'analisi e la correzione degli eventi imprevisti tramite i video e le esercitazioni.

Microsoft Defender XDR consente di visualizzare eventi di minaccia rilevanti in tutti gli asset (dispositivi, identità, cassette postali, app cloud e altro ancora). Il portale consolida i segnali della suite di protezione Defender, Microsoft Sentinel e altre soluzioni siEM (Security Information and Event Management) integrate. Le informazioni sugli attacchi correlate con il contesto completo in un unico riquadro di vetro consentono di difendere e proteggere correttamente l'organizzazione.

Questa guida include tre sezioni principali:

  • Informazioni sugli eventi imprevisti: accesso, valutazione e gestione degli eventi imprevisti all'interno del portale
  • Analisi degli attacchi: raccolta di video ed esercitazioni su come analizzare attacchi specifici usando le funzionalità del portale.
  • Correzione degli attacchi: elenca le azioni automatizzate e manuali disponibili nel portale per correggere le minacce. Questa sezione include collegamenti a video ed esercitazioni.

Informazioni sugli eventi imprevisti

Un evento imprevisto è una catena di processi creati, comandi e azioni che potrebbero non essere coincisi. Un evento imprevisto offre un quadro olistico e un contesto di attività sospette o dannose. Un singolo evento imprevisto offre il contesto completo di un attacco invece di valutare centinaia di avvisi da più servizi.

Microsoft Defender XDR dispone di molte funzionalità che è possibile usare per rispondere a un evento imprevisto. È possibile esplorare gli eventi imprevisti selezionando Visualizza tutti gli eventi imprevisti nella scheda Eventi imprevisti attivi nella home page o tramite Eventi imprevisti & avvisi nel riquadro di spostamento sinistro.

Visualizzare tutti gli eventi imprevisti visualizzati nella Microsoft Defender XDR home page Figura 1. Scheda Eventi imprevisti attivi nella home page Microsoft Defender XDR

Coda degli eventi imprevisti in Microsoft Defender XDR Figura 2. Coda degli eventi imprevisti

Ogni evento imprevisto contiene avvisi correlati automaticamente da origini di rilevamento diverse e può coinvolgere diversi endpoint, identità o app cloud.

Valutazione degli eventi imprevisti

La priorità degli eventi imprevisti varia a seconda del risponditore, del team di sicurezza e dell'organizzazione. I piani di risposta agli eventi imprevisti e la direzione dei team di sicurezza possono imporre la priorità agli eventi imprevisti.

Microsoft Defender XDR dispone di vari indicatori, ad esempio gravità degli eventi imprevisti, tipi di utenti o tipi di minaccia per valutare e assegnare priorità agli eventi imprevisti. È possibile usare qualsiasi combinazione di questi indicatori immediatamente disponibili tramite i filtri della coda degli eventi imprevisti .

Un esempio di determinazione della priorità degli eventi imprevisti è la combinazione dei fattori seguenti per un evento imprevisto:

  • L'evento imprevisto ha una gravità elevata.
  • Lo stato dell'indagine di automazione non è riuscito.
  • Esistono 5 asset interessati in cui due degli asset sono contrassegnati con riservatezza dei dati altamente riservata.
  • Lo stato dell'evento imprevisto è nuovo.
  • L'evento imprevisto non è stato assegnato a alcun membro del team per l'indagine.

È possibile assegnare una priorità elevata all'evento imprevisto usando le informazioni precedenti. È possibile avviare l'indagine sugli eventi imprevisti una volta determinata una priorità.

Nota

Microsoft Defender XDR determina automaticamente filtri come gravità, stati di indagine, asset interessati e stati degli eventi imprevisti. Le informazioni si basano sulle attività di rete dell'organizzazione contestualizzate con i feed di intelligence sulle minacce e le azioni di correzione automatizzate applicate.

Gestire gli incidenti

È possibile contribuire all'efficienza della gestione degli eventi imprevisti fornendo informazioni essenziali in eventi imprevisti e avvisi. Quando si aggiungono informazioni ai filtri seguenti da quando si esegue la valutazione e l'analisi di ogni evento imprevisto, si fornisce un ulteriore contesto a tale evento imprevisto che gli altri risponditori possono sfruttare:

Informazioni su come classificare eventi imprevisti e avvisi tramite questo video:

Passaggi successivi

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.