Gestione incidenti
Dopo aver iniziato a usare Microsoft Sentinel per generare eventi imprevisti, l'utente e il team IT contoso possono analizzare gli eventi imprevisti. Microsoft Sentinel include strumenti avanzati di analisi e analisi che è possibile usare per raccogliere informazioni e determinare i passaggi di correzione.
Esaminare gli eventi imprevisti
Per identificare e risolvere i problemi di sicurezza, esaminare prima di tutto eventuali eventi imprevisti. La pagina Panoramica in Microsoft Sentinel fornisce un elenco degli eventi imprevisti più recenti per un riferimento rapido. Per altri dettagli e una panoramica completa degli eventi imprevisti, usare la pagina Eventi imprevisti, che visualizza tutti gli eventi imprevisti nell'area di lavoro corrente e i dettagli su tali eventi imprevisti.
La pagina Eventi imprevisti offre un elenco completo degli eventi imprevisti in Microsoft Sentinel. La pagina fornisce anche informazioni di base sugli eventi imprevisti. Le informazioni includono gravità, ID, titolo, avvisi, nomi dei prodotti, ora di creazione, ora dell'ultimo aggiornamento, proprietario e stato. È possibile ordinare i dati in base a qualsiasi colonna dell'evento imprevisto e filtrare l'elenco degli eventi imprevisti in base a nome, gravità, stato, nome del prodotto o proprietario.
Da questa pagina è possibile eseguire diversi passaggi per indagare sugli eventi imprevisti.
Importante
Gli utenti di Microsoft Entra che indagano sugli eventi imprevisti devono essere membri del ruolo con autorizzazioni di lettura nella directory.
Esaminare i dettagli degli eventi imprevisti
Selezionare qualsiasi evento imprevisto nella pagina Eventi imprevisti per visualizzare altre informazioni sull'evento imprevisto nel riquadro a destra. Questo riquadro fornisce una descrizione dell'evento imprevisto ed elenca le prove, le entità e le tattiche correlate. Il riquadro contiene anche collegamenti alle cartelle di lavoro associate e alla regola di analisi che ha generato l'evento imprevisto. Queste informazioni consentono di chiarire la natura, il contesto e l'azione per l'evento imprevisto.
Nel riquadro dei dettagli dell'evento imprevisto selezionare Visualizza dettaglicompleti per aprire la pagina Evento imprevisto e visualizzare altri dettagli sull'evento imprevisto. È possibile usare questi dettagli per comprendere meglio il contesto dell'evento imprevisto. Ad esempio, in un evento imprevisto di attacco di forza bruta, è possibile passare alla query di Log Analytics per l'avviso per determinare il numero di attacchi.
Gestire la proprietà, lo stato e la gravità degli eventi imprevisti
Ogni evento imprevisto creato da Microsoft Sentinel include metadati associati che è possibile visualizzare e gestire. Queste informazioni consentono di:
- Assegnare e tenere traccia della proprietà degli eventi imprevisti.
- Impostare e tenere traccia dello stato di un evento imprevisto, dalla creazione alla risoluzione.
- Impostare e verificare la gravità.
Proprietà
In un ambiente tipico, a ogni evento imprevisto deve essere assegnato un proprietario del team di sicurezza. Il proprietario dell'evento imprevisto è responsabile della gestione complessiva degli eventi imprevisti, inclusi gli aggiornamenti di indagine e stato. È possibile modificare la proprietà in qualsiasi momento per assegnare l'evento imprevisto a un altro membro del team per la sicurezza per ulteriori indagini o per l'escalation.
Stato
A ogni nuovo evento imprevisto creato in Microsoft Sentinel viene assegnato lo stato Nuovo. Durante la revisione e la risposta agli eventi imprevisti, modificare manualmente lo stato in modo da riflettere lo stato corrente dell'evento imprevisto. Per gli eventi imprevisti con indagini in corso, impostare lo stato su Attivo. Quando un evento imprevisto viene risolto completamente, impostare lo stato su Chiuso.
Quando si imposta lo stato su Chiuso, viene richiesto di scegliere una delle soluzioni seguenti:
- Vero positivo: attività sospetta
- Positivo non dannoso: sospetto ma previsto
- Falso positivo: logica di avviso non corretta
- Falso positivo: Dati imprecisi
- Indeterminato
Gravità
La regola o l'origine di sicurezza Microsoft che ha generato l'evento imprevisto imposta inizialmente la gravità. Nella maggior parte dei casi, la gravità dell'evento imprevisto rimane invariata, ma è possibile modificare la gravità se si decide che l'evento imprevisto è più o meno grave di quanto inizialmente classificato. Le opzioni di gravità includono Informativo, Bassa, Media e Alta.
Usare il grafico di indagine
È possibile analizzare ulteriormente un evento imprevisto selezionando Ricerca nella pagina Evento imprevisto. Questa azione apre il grafico di indagine, uno strumento visivo che consente di identificare le entità coinvolte nell'attacco e le relazioni tra tali entità. Se l'evento imprevisto coinvolge più avvisi nel tempo, è anche possibile esaminare la sequenza temporale e le correlazioni tra gli avvisi.
Esaminare i dettagli delle entità
È possibile selezionare ogni entità nel grafico per esaminare altre informazioni sull'entità. Queste informazioni includono le relazioni con altre entità, l'utilizzo dell'account e i dettagli sul flusso di dati. Per ogni area di informazioni è possibile passare agli eventi correlati in Log Analytics e aggiungere i dati degli avvisi correlati al grafico.
Esaminare i dettagli dell'evento imprevisto
È possibile selezionare l'elemento dell'evento imprevisto nel grafico per osservare i metadati degli eventi imprevisti correlati al contesto di sicurezza e ambiente dell'evento imprevisto.