Condividi tramite

Analizzare gli avvisi in Microsoft Defender per endpoint

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Analizzare gli avvisi che interessano la rete, comprendere il significato e come risolverli.

Selezionare un avviso dalla coda degli avvisi per passare alla pagina degli avvisi. Questa visualizzazione contiene il titolo dell'avviso, gli asset interessati, il riquadro laterale dei dettagli e la storia dell'avviso.

Dalla pagina dell'avviso iniziare l'analisi selezionando gli asset interessati o una delle entità nella visualizzazione albero del brano dell'avviso. Il riquadro dei dettagli viene popolato automaticamente con altre informazioni sugli elementi selezionati. Per visualizzare il tipo di informazioni che è possibile visualizzare qui, vedere Esaminare gli avvisi in Microsoft Defender per endpoint.

Analizzare usando la storia dell'avviso

La storia dell'avviso descrive in dettaglio il motivo per cui l'avviso è stato attivato, gli eventi correlati che si sono verificati prima e dopo, nonché altre entità correlate.

Le entità sono selezionabili e ogni entità che non è un avviso è espandibile usando l'icona di espansione sul lato destro della scheda dell'entità. L'entità nello stato attivo verrà indicata da una striscia blu sul lato sinistro della scheda dell'entità, con l'avviso nel titolo inizialmente attivo.

Espandere le entità per visualizzare i dettagli a colpo d'occhio. Se si seleziona un'entità, il contesto del riquadro dei dettagli verrà gestito da questa entità e sarà possibile esaminare altre informazioni e gestire tale entità. Selezionando ... a destra della scheda dell'entità verranno mostrate tutte le azioni disponibili per tale entità. Queste stesse azioni vengono visualizzate nel riquadro dei dettagli quando l'entità è attiva.

Nota

La sezione della storia dell'avviso può contenere più di un avviso, con avvisi aggiuntivi correlati allo stesso albero di esecuzione visualizzato prima o dopo l'avviso selezionato.

una storia di avviso con un avviso nello stato attivo e alcune schede espanse

Analizzare usando la sequenza temporale degli avvisi

La sequenza temporale degli avvisi integra la visualizzazione "albero dei processi" esistente offrendo agli utenti una prospettiva completa su ogni avviso. Mentre l'albero dei processi fornisce una suddivisione dettagliata dei processi e delle attività associati all'avviso, la sequenza temporale dell'avviso presenta una visualizzazione cronologica sintetica che facilita la valutazione rapida e il processo decisionale.

Eseguire un'azione dal riquadro dei dettagli

Dopo aver selezionato un'entità di interesse, il riquadro dei dettagli verrà modificato per visualizzare informazioni sul tipo di entità selezionato, informazioni cronologica quando è disponibile e offrire controlli per intervenire sull'entità direttamente dalla pagina di avviso.

Dopo aver completato l'analisi, tornare all'avviso avviato, contrassegnare lo stato dell'avviso come Risolto e classificarlo come avviso False o True. La classificazione degli avvisi consente di ottimizzare questa funzionalità per fornire più avvisi veri e meno falsi avvisi.

Se lo si classifica come un vero avviso, è anche possibile selezionare una determinazione, come illustrato nell'immagine seguente.

Riquadro dei dettagli con un avviso risolto e l'elenco a discesa determinazione espanso

Se si verifica un avviso falso con un'applicazione line-of-business, creare una regola di eliminazione per evitare questo tipo di avviso in futuro.

Azioni e classificazione nel riquadro dei dettagli con la regola di eliminazione evidenziata

Consiglio

Se si verificano problemi non descritti in precedenza, usare il 🙂 pulsante per fornire commenti e suggerimenti o aprire un ticket di supporto.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.