Comprendere gli incidenti

Completato

Le minacce correlate alla tecnologia a un'organizzazione sono chiamate eventi imprevisti. La gestione degli eventi imprevisti è il processo completo di indagine sugli eventi imprevisti, dalla creazione di eventi imprevisti all'analisi e alla risoluzione approfondite. Microsoft Sentinel può aiutare il team IT a organizzare, analizzare e tenere traccia degli eventi imprevisti dalla creazione tramite la risoluzione.

È possibile usare Microsoft Sentinel per esaminare informazioni dettagliate sugli eventi imprevisti, assegnare un proprietario dell'evento imprevisto, impostare e gestire la gravità degli eventi imprevisti e gestire lo stato degli eventi imprevisti. Microsoft Sentinel offre un ambiente di gestione degli eventi imprevisti completo per gestire questi passaggi.

Concetti chiave

È importante comprendere i concetti chiave seguenti relativi alla gestione degli eventi imprevisti di Microsoft Sentinel:

• Connettori dati. È possibile usare i connettori dati di Microsoft Sentinel per inserire e raccogliere dati dai servizi correlati alla sicurezza. I connettori dati possono raccogliere eventi da computer Linux o Windows che eseguono l'agente di Log Analytics, da un server Syslog Linux per dispositivi come firewall o proxy o direttamente dai servizi di Microsoft Azure. Questi eventi vengono inoltrati a un'area di lavoro Log Analytics associata a Microsoft Sentinel.
• Eventi. Microsoft Sentinel archivia gli eventi in un'area di lavoro Log Analytics. Questi eventi contengono i dettagli dell'attività correlata alla sicurezza che si vuole monitorare da Microsoft Sentinel.
• Regole di analisi. Le regole di analisi rilevano eventi di sicurezza importanti e generano avvisi. È possibile creare regole di analisi usando modelli predefiniti o usando query KQL (Kusto Query Language) personalizzate sulle aree di lavoro Log Analytics in Microsoft Sentinel.
• Avvisi. Le regole di analisi generano avvisi quando rilevano eventi di sicurezza importanti. È possibile configurare gli avvisi per generare eventi imprevisti.
• Eventi imprevisti. Microsoft Sentinel crea eventi imprevisti dagli avvisi delle regole di analisi. Gli eventi imprevisti possono contenere più avvisi correlati. Ogni evento imprevisto viene usato come punto di partenza e come meccanismo di rilevamento per l'analisi delle problematiche di sicurezza nell'ambiente.

Pagina panoramica di Microsoft Sentinel

La gestione degli eventi imprevisti in Microsoft Sentinel inizia nella pagina Panoramica, in cui è possibile esaminare l'ambiente Microsoft Sentinel corrente. La pagina Panoramica mostra un elenco degli eventi imprevisti più recenti, insieme ad altre importanti informazioni di Microsoft Sentinel. È possibile usare questa pagina per comprendere la situazione di sicurezza generale prima di analizzare gli eventi imprevisti.

Verificare le conoscenze

1.

Quale componente di Microsoft Sentinel genera avvisi?

Eventi imprevisti.

Regole di analisi.

Connettori dati.

Eventi.

2.

Qual è l'obiettivo principale della gestione degli eventi imprevisti in Microsoft Sentinel?

Per comprendere lo stato di integrità della sicurezza in Azure.

Per tenere traccia e gestire tutti i problemi di Azure.

Per tenere traccia e risolvere i problemi di sicurezza nell'ambiente dell'organizzazione.

Per gestire i ruoli di sicurezza nell'ambiente.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.