Eseguire indagini sugli eventi imprevisti

  • 4 minuti

La pagina degli eventi imprevisti fornisce le informazioni e i collegamenti di navigazione descritti di seguito.

Panoramica dell'evento imprevisto

La pagina Panoramica fornisce un'istantanea delle informazioni principali sull'evento imprevisto.

Screenshot of the Incident overview pane.

Le categorie di attacco forniscono un quadro visivo e numerico di quanto avanzato sia l'attacco rispetto alla kill chain. Come per altri prodotti microsoft per la sicurezza, Microsoft Defender XDR è allineato al framework MITRE ATT&CK™.

La sezione Ambito fornisce un elenco delle principali risorse interessate che fanno parte di questo evento imprevisto. Se sono presenti informazioni specifiche relative a questa risorsa, ad esempio il livello di rischio, la priorità dell'indagine ed eventuali tag, queste informazioni verranno visualizzate in questa sezione.

La sequenza temporale degli avvisi fornisce una rapida panoramica dell'ordine cronologico in cui si sono verificati gli avvisi e i motivi per cui questi avvisi sono collegati a questo evento imprevisto.

Infine, la sezione Evidenza fornisce un riepilogo del numero di elementi diversi inclusi nell'evento imprevisto e del loro stato di correzione, in modo da poter identificare immediatamente se è necessaria un'azione da parte dell'utente.

Questa panoramica può agevolare la valutazione iniziale dell'evento imprevisto fornendo informazioni dettagliate sulle caratteristiche principali dell'evento imprevisto che è opportuno conoscere.

Avvisi

È possibile visualizzare tutti gli avvisi correlati all'evento imprevisto e altre informazioni su di essi, come il livello di gravità, le entità coinvolte nell'avviso, l'origine degli avvisi (Microsoft Defender per identità, Microsoft Defender per endpoint, Microsoft Defender per Office 365) e il motivo per cui sono stati collegati tra loro.

Per impostazione predefinita, gli avvisi sono elencati in ordine cronologico per consentire all'utente di vedere prima come si è svolto l'attacco nel tempo. Facendo clic su ogni avviso si accede alla pagina dell'avviso pertinente, in cui è possibile eseguire un'indagine approfondita dell'avviso.

Dispositivi

Nella scheda Dispositivi sono elencati tutti i dispositivi in cui vengono visualizzati gli avvisi correlati all'evento imprevisto.

Facendo clic sul link del nome del computer in cui è stato condotto l'attacco, si accede alla pagina dei dispositivi. Nella pagina dei dispositivi è possibile visualizzare gli avvisi che sono stati attivati su di essi e gli eventi correlati indicati per facilitare le indagini.

Utenti

È possibile visualizzare gli utenti che sono stati identificati come parte di un evento imprevisto specifico o correlati a esso.

Facendo clic sul nome utente si passa alla pagina Microsoft Defender for Cloud Apps dell'utente, in cui è possibile eseguire ulteriori indagini.

Cassette postali

È possibile esaminare le cassette postali che sono state identificate come parte di un evento imprevisto o correlate a esso.

App

È possibile esaminare le app che sono state identificate come parte di un evento imprevisto o correlate a esso.

Indagini

Selezionare Indagini per visualizzare tutte le indagini automatizzate generate da avvisi in questo evento imprevisto. Le indagini eseguiranno azioni di correzione o attenderanno l'approvazione delle azioni da parte dell'analista.

Selezionare un'indagine per passare alla relativa pagina dei dettagli in cui sono disponibili informazioni complete sullo stato dell'indagine e della correzione. Se una o più azioni sono ancora in attesa dell'approvazione come parte dell'indagine, verranno visualizzate nella scheda Azioni in sospeso.

Evidenza e risposte

Microsoft Defender XDR esamina automaticamente tutti gli eventi supportati dagli eventi imprevisti e le entità sospette negli avvisi, fornendo informazioni e risposte automatiche sui file, i processi, i servizi, i messaggi di posta elettronica e altro ancora importanti. In questo modo è possibile rilevare e bloccare rapidamente potenziali minacce nell'evento imprevisto.

Ognuna delle entità analizzate viene contrassegnata con un verdetto (dannosa, sospetta, pulita) e uno stato di correzione. Questo consente di comprendere lo stato di correzione dell'intero evento imprevisto e i passaggi successivi da eseguire per correggere ulteriormente il problema.

Grafico

Il grafo visualizza le informazioni sulle minacce associate alla cybersecurity in un evento imprevisto, in modo che sia possibile visualizzare i modelli e le correlazioni provenienti da diversi punti dati. È possibile visualizzare tali correlazioni tramite il grafico dell'evento imprevisto.

Il grafico illustra la storia dell'attacco alla cybersecurity. Mostra ad esempio il punto di ingresso, l'attività o l'indicatore di compromissione osservato, il dispositivo in cui è stato osservato e così via.

È possibile selezionare i cerchi nel grafico dell'evento imprevisto per visualizzare i dettagli dei file dannosi, i rilevamenti di file associati, il numero di istanze in tutto il mondo, la presenza nell'organizzazione e, in caso affermativo, il numero di istanze presenti.