Gestire gli eventi imprevisti

  • 8 minuti

Microsoft Defender XDR offre un portale finalizzato alla correlazione delle minacce tra domini che consente di analizzare le diverse minacce. Gli eventi imprevisti sono basati su avvisi correlati creati quando si verifica un'attività o un evento dannoso sulla rete. I singoli avvisi forniscono indicazioni utili su un attacco in corso. Tuttavia, gli attacchi usano in genere diversi vettori e varie tecniche per eseguire una violazione. Mettere insieme i singoli indizi può diventare un'attività complessa e dispendiosa in termini di tempo.

Questo breve video offre una panoramica degli eventi imprevisti in Microsoft Defender XDR.

Un evento imprevisto è una raccolta di avvisi correlati che compongono la storia di un attacco. Microsoft Defender XDR aggrega automaticamente gli eventi dannosi e sospetti rilevati in diverse entità di dispositivi, utenti e cassette postali nella rete. Il raggruppamento degli avvisi correlati in un evento imprevisto offre agli addetti alla sicurezza un quadro completo di un attacco.

Ad esempio, gli addetti alla sicurezza possono vedere dove è stato avviato l'attacco, quali tattiche sono state usate e fino a che punto l'attacco è penetrato nella rete. Gli addetti alla sicurezza possono anche visualizzare l'ambito dell'attacco, ad esempio il numero di dispositivi, utenti e cassette postali interessati, la gravità dell'impatto e altre informazioni sulle entità coinvolte.

Se abilitato, Microsoft Defender XDR può analizzare e risolvere automaticamente i singoli avvisi tramite l'automazione e l'intelligenza artificiale. Gli addetti alla sicurezza possono anche eseguire procedure di correzione per risolvere gli attacchi direttamente dalla vista degli eventi imprevisti.

Gli eventi imprevisti degli ultimi 30 giorni vengono visualizzati nella coda degli eventi imprevisti. Qui gli addetti alla sicurezza possono identificare gli eventi imprevisti prioritari in base al livello di rischio e ad altri fattori.

Gli addetti alla sicurezza possono anche rinominare gli eventi imprevisti, assegnarli a singoli analisti, classificarli e aggiungervi tag per un'esperienza di gestione degli eventi imprevisti più efficace e personalizzata.

Classificare gli eventi imprevisti in ordine di priorità

Microsoft Defender XDR applica l'analisi della correlazione e aggrega tutti gli avvisi correlati e le indagini di prodotti diversi in un unico evento imprevisto. Attiva anche avvisi univoci sulle attività che possono essere identificate solo come dannose, data la visibilità end-to-end di Microsoft Defender XDR sull'intera proprietà e sulla famiglia di prodotti. Questa visualizzazione offre agli analisti delle operazioni di sicurezza la storia più ampia di un attacco, che li aiuta a comprendere meglio e a gestire minacce complesse nell'intera organizzazione.

La coda degli eventi imprevisti mostra una raccolta di eventi imprevisti contrassegnati rilevati in dispositivi, utenti e cassette postali. Consente di ordinare gli eventi imprevisti per classificarli in ordine di priorità e creare una decisione di risposta informata sulla cybersecurity.

Screenshot della coda degli eventi imprevisti di Microsoft Defender XDR.

Per impostazione predefinita, la coda nel portale di Microsoft Defender visualizza gli eventi imprevisti rilevati negli ultimi 30 giorni. L'evento imprevisto più recente si trova all'inizio dell'elenco, in modo che sia possibile visualizzarlo per primo.

La coda degli eventi imprevisti espone colonne personalizzabili che offrono visibilità sulle diverse caratteristiche dell'evento imprevisto o delle entità contenute. Questo livello di informazioni più approfondito consente di prendere una decisione informata in merito alla priorità degli eventi imprevisti da gestire.

Per una chiarezza immediata, la denominazione automatica degli eventi imprevisti genera nomi in base agli attributi di avviso, ad esempio numero di endpoint interessati, utenti interessati, origini di rilevamento o categorie. La denominazione automatica consente di comprendere rapidamente l'ambito dell'evento imprevisto.

Filtri disponibili

Stato

È possibile scegliere di limitare l'elenco degli eventi imprevisti visualizzati in base al relativo stato per vedere quali sono attivi o risolti.

Gravità

Il livello di gravità di un evento imprevisto è indicativo dell'impatto che può avere sulle risorse. Maggiore è la gravità, maggiore è l'impatto e in genere è necessaria l'attenzione più immediata.

Assegnazione di eventi imprevisti

È possibile scegliere di visualizzare gli avvisi assegnati all'utente o quelli gestiti dall'automazione.

Più origini di servizi

Selezionare No (impostazione predefinita) o Sì per abilitare.

Origini di servizi

Filtrare per visualizzare solo gli eventi imprevisti che contengono avvisi provenienti da origini diverse. Le origini includono Microsoft Defender per endpoint, Microsoft Cloud App Security, Microsoft Defender per identità, Microsoft Defender per Office 365.

Tag

Filtrare in base ai tag assegnati. Tutti i tag assegnati verranno visualizzati dopo aver selezionato il campo Tipo nome tag.

Categoria multipla

È possibile scegliere di visualizzare solo gli eventi imprevisti che sono stati associati a più categorie e, di conseguenza, possono causare ulteriori danni.

Categorie

Scegliere le categorie per concentrarsi su tattiche, tecniche o componenti di attacco specifici rilevati.

Entità

Filtrare in base al nome o all'ID dell'entità.

Riservatezza dei dati

Alcuni attacchi si concentrano sulla destinazione per sottrarre dati sensibili o preziosi. Applicando un filtro per verificare se i dati sensibili sono interessati dall'evento imprevisto, è possibile determinare rapidamente se sono state compromesse informazioni riservate. In tal caso, è possibile rispondere in via prioritaria a tali eventi imprevisti. Questa capacità di filtro è applicabile solo con l'attivazione di Microsoft Purview Information Protection.

Gruppo di dispositivi

Filtrare in base a gruppi di dispositivi definiti.

Piattaforma del sistema operativo

Limitare la visualizzazione della coda degli eventi imprevisti per sistema operativo.

Valutazione

Filtrare gli eventi imprevisti in base alle classificazioni impostate degli avvisi correlati. I valori includono avviso True, avviso False o non impostato.

Stato indagine automatizzata

Filtrare gli eventi imprevisti in base allo stato dell'indagine automatica.

Minaccia associata

Se si seleziona il campo Tipo di minaccia associato, sarà possibile immettere le informazioni sulle minacce e visualizzare i criteri di ricerca precedenti.

Visualizzare gli eventi imprevisti in anteprima

Le pagine del portale forniscono informazioni di anteprima per la maggior parte dei dati correlati all'elenco.

Le tre aree evidenziate nello screenshot sono il cerchio, il simbolo di maggiore e il collegamento effettivo.

Screenshot delle opzioni di informazioni sull'anteprima degli eventi imprevisti.

Cerchio vuoto

Selezionando il cerchio verrà aperta una finestra Dettagli sul lato destro della pagina con un'anteprima dell'elemento e un'opzione per aprire la pagina completa delle informazioni.

Screenshot della finestra Dettagli eventi imprevisti.

Simbolo di maggiore di

Se sono presenti record correlati che possono essere visualizzati, selezionando il segno di maggiore di questi verranno visualizzati sotto il record corrente.

Screenshot dei record degli eventi imprevisti correlati.

Collegamento

Il collegamento consente di passare alla pagina completa dell'elemento.

Gestire gli eventi imprevisti

La gestione degli eventi imprevisti è fondamentale per garantire il contenimento e la risoluzione delle minacce. In Microsoft Defender XDR è possibile accedere alla gestione degli eventi imprevisti che riguardano dispositivi, utenti e cassette postali. Per gestire gli eventi imprevisti, è sufficiente selezionarne uno dalla coda degli eventi imprevisti.

È possibile modificare il nome di un evento imprevisto, risolverlo e impostarne la classificazione e la determinazione. Si può anche assegnare l'evento imprevisto a se stessi e aggiungervi tag e commenti.

Se si vogliono spostare gli avvisi da un evento imprevisto a un altro durante l'indagine, si può farlo anche dalla scheda Avvisi, che consente di creare un evento imprevisto più grande o più piccolo che include tutti gli avvisi pertinenti.

Modificare il nome dell'evento imprevisto

Agli eventi imprevisti viene assegnato automaticamente un nome basato sugli attributi di avviso, ad esempio numero di endpoint interessati, utenti interessati, origini di rilevamento o categorie. La denominazione basata sugli attributi di avviso consente di comprendere rapidamente l'ambito dell'evento imprevisto. È possibile modificare il nome dell'evento imprevisto in modo che sia più in linea con la convenzione di denominazione preferita.

Assegnare eventi imprevisti

Se un evento imprevisto non è stato ancora assegnato, è possibile selezionare Assegna a me per assegnarlo a se stessi. In questo modo si presuppone che l'utente abbia la proprietà non solo dell'evento imprevisto, ma anche di tutti gli avvisi associati.

Impostare stato e classificazione

Stato dell'evento imprevisto

È possibile classificare gli avvisi (come attivi o risolti) modificandone lo stato mentre si conduce l'indagine. Questa capacità di aggiornare lo stato permette di organizzare e gestire il modo in cui il team può rispondere agli eventi imprevisti.

Ad esempio, l'analista del centro operazioni per la sicurezza (SOC) può esaminare gli eventi imprevisti attivi urgenti della giornata e decidere di assegnarli a se stesso per eseguire ulteriori indagini.

In alternativa, l'analista SOC potrebbe impostare l'evento imprevisto come risolto, se è stato effettivamente risolto. La risoluzione di un evento imprevisto chiude automaticamente tutti gli avvisi aperti che fanno parte dell'evento imprevisto.

Classificazione e determinazione

È possibile scegliere di non impostare una classificazione oppure decidere di specificare se un evento imprevisto è true o false. Questo consente al team di visualizzare i modelli e imparare da essi.

Aggiunta di commenti

È possibile aggiungere commenti e visualizzare gli eventi cronologici relativi a un evento imprevisto per vedere le modifiche apportate in precedenza.

Ogni volta che viene apportata una modifica o viene aggiunto un commento a un avviso, questo viene registrato nella sezione Commenti e cronologia.

I commenti aggiunti vengono visualizzati immediatamente nel riquadro.

Aggiungere tag agli eventi imprevisti

È possibile aggiungere tag personalizzati a un evento imprevisto, ad esempio per contrassegnare un gruppo di eventi imprevisti con caratteristiche comuni. Si può quindi filtrare la coda degli eventi imprevisti per tutti gli eventi imprevisti che contengono un tag specifico.