Esaminare gli avvisi in Microsoft Defender per endpoint
Si applica a:
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
La pagina di avviso in Microsoft Defender per endpoint fornisce il contesto completo all'avviso, combinando i segnali di attacco e gli avvisi correlati all'avviso selezionato, per creare un brano di avviso dettagliato.
Valutare, analizzare e intraprendere rapidamente azioni efficaci sugli avvisi che interessano l'organizzazione. Comprendere il motivo per cui sono stati attivati e l'impatto da un'unica posizione. Altre informazioni sono disponibili in questa panoramica.
Introduzione a un avviso
Se si seleziona il nome di un avviso in Defender per endpoint, verrà visualizzata la relativa pagina di avviso. Nella pagina dell'avviso tutte le informazioni verranno visualizzate nel contesto dell'avviso selezionato. Ogni pagina di avviso è costituita da 4 sezioni:
- Il titolo dell'avviso mostra il nome dell'avviso ed è disponibile per ricordare quale avviso ha avviato l'indagine corrente indipendentemente da ciò che è stato selezionato nella pagina.
- Gli asset interessati elencano schede di dispositivi e utenti interessati da questo avviso su cui è possibile fare clic per ulteriori informazioni e azioni.
- La storia dell'avviso visualizza tutte le entità correlate all'avviso, interconnesse da una visualizzazione albero. L'avviso nel titolo sarà quello attivo quando si arriva per la prima volta nella pagina dell'avviso selezionato. Le entità nel brano dell'avviso sono espandibili e selezionabili, per fornire informazioni aggiuntive e velocizzare la risposta consentendo di eseguire azioni direttamente nel contesto della pagina dell'avviso. Usare la storia dell'avviso per avviare l'indagine. Informazioni su come in Analizzare gli avvisi in Microsoft Defender per endpoint.
- Il riquadro dei dettagli mostrerà i dettagli dell'avviso selezionato in un primo momento, con i dettagli e le azioni correlate a questo avviso. Se si seleziona una delle entità o degli asset interessati nel brano dell'avviso, il riquadro dei dettagli verrà modificato per fornire informazioni contestuali e azioni per l'oggetto selezionato.
Prendere nota dello stato di rilevamento per l'avviso.
Impedita: l'azione sospetta tentata è stata evitata. Ad esempio, un file non è stato scritto su disco o eseguito.
Bloccato: il comportamento sospetto è stato eseguito e quindi bloccato. Ad esempio, è stato eseguito un processo, ma poiché successivamente presentava comportamenti sospetti, il processo è stato terminato.
Rilevato: è stato rilevato un attacco ed è probabilmente ancora attivo.
È quindi anche possibile esaminare i dettagli dell'indagine automatizzata nel riquadro dei dettagli dell'avviso, per vedere quali azioni sono già state eseguite, nonché leggere la descrizione dell'avviso per le azioni consigliate.
Altre informazioni disponibili nel riquadro dei dettagli all'apertura dell'avviso includono tecniche MITRE, origine e dettagli contestuali aggiuntivi.
Nota
Se viene visualizzato uno stato di avviso di tipo avviso non supportato , significa che le funzionalità di indagine automatizzata non possono prelevare tale avviso per eseguire un'indagine automatizzata. Tuttavia, è possibile analizzare questi avvisi manualmente.
Esaminare gli asset interessati
Se si seleziona un dispositivo o una scheda utente nelle sezioni relative agli asset interessati, si passerà ai dettagli del dispositivo o dell'utente nel riquadro dei dettagli.
Per i dispositivi, nel riquadro dei dettagli verranno visualizzate informazioni sul dispositivo stesso, ad esempio Dominio, Sistema operativo e IP. Sono disponibili anche gli avvisi attivi e gli utenti connessi in tale dispositivo. È possibile intervenire immediatamente isolando il dispositivo, limitando l'esecuzione dell'app o eseguendo un'analisi antivirus. In alternativa, è possibile raccogliere un pacchetto di indagine, avviare un'indagine automatizzata o passare alla pagina del dispositivo per analizzare dal punto di vista del dispositivo.
Per gli utenti, nel riquadro dei dettagli verranno visualizzate informazioni dettagliate sull'utente, ad esempio il nome SAM e il SID dell'utente, nonché i tipi di accesso eseguiti dall'utente e tutti gli avvisi e gli eventi imprevisti correlati. È possibile selezionare Apri pagina utente per continuare l'indagine dal punto di vista dell'utente.
Argomenti correlati
- Visualizzare e organizzare la coda degli eventi imprevisti
- Indagare sugli eventi imprevisti
- Gestire gli eventi imprevisti
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.