Gestire gli eventi imprevisti di sicurezza in Microsoft Defender for Cloud

  • Articolo

La valutazione e l'analisi degli avvisi di sicurezza possono richiedere tempo anche per gli analisti della sicurezza più esperti. Per molti, è difficile capire da dove iniziare.

Defender per Cloud usa l'analisi per connettere le informazioni tra avvisi di sicurezza distinti. Usando queste connessioni, Defender for Cloud può fornire un'unica vista di una campagna di attacco e degli avvisi correlati, per aiutare comprendere le azioni dell'utente malintenzionato e le risorse interessate.

Questa pagina fornisce una panoramica degli eventi imprevisti in Defender for Cloud.

Che cos'è un evento imprevisto della sicurezza?

In Defender for Cloud un evento imprevisto di sicurezza è un'aggregazione di tutti gli avvisi per una risorsa allineata ai modelli di catena di morte . Gli eventi imprevisti vengono visualizzati nella pagina Avvisi di sicurezza . Selezionare un evento imprevisto per visualizzare gli avvisi correlati e ottenere altre informazioni.

Gestione degli eventi imprevisti della sicurezza

  1. Nella pagina Avvisi di sicurezza di Defender for Cloud usare il pulsante Aggiungi filtro per filtrare in base al nome di avviso Rilevato in più risorse.

    Individuazione degli eventi imprevisti nella pagina degli avvisi di sicurezza in Microsoft Defender for Cloud.

    L'elenco è ora filtrato per visualizzare solo gli eventi imprevisti. Si noti che gli eventi imprevisti per la sicurezza hanno un'icona diversa rispetto agli avvisi di sicurezza.

    Elenco degli eventi imprevisti nella pagina degli avvisi di sicurezza in Microsoft Defender for Cloud.

  2. Per visualizzare i dettagli di un evento imprevisto, selezionare uno dall'elenco. Viene visualizzato un riquadro laterale con altri dettagli sull'evento imprevisto.

    Riquadro laterale che mostra i dettagli dell'evento imprevisto.

  3. Per visualizzare altri dettagli, selezionare Visualizza dettagli completi.

    Rispondere agli eventi imprevisti di sicurezza in Microsoft Defender per Cloud.

    Il riquadro a sinistra della pagina Evento imprevisto per la sicurezza mostra le informazioni generali relative all'evento imprevisto per la sicurezza, come titolo, gravità, stato, orario dell'attività, descrizione e risorsa interessata. Accanto alla risorsa interessata è possibile visualizzare i tag di Azure pertinenti. Usare questi tag per dedurre il contesto organizzativo della risorsa quando si esamina l'avviso.

    Il riquadro destro include la scheda Avvisi con gli avvisi di sicurezza correlati come parte di questo evento imprevisto.

    Suggerimento

    Per altre informazioni su un avviso specifico, selezionarlo.

    Scheda Azioni dell'evento imprevisto.

    Per passare alla scheda Esegui azione , selezionare la scheda o il pulsante nella parte inferiore del riquadro destro. Usare questa scheda per eseguire altre azioni, ad esempio:

    • Attenuare la minaccia : fornisce passaggi di correzione manuali per questo evento imprevisto di sicurezza
    • Prevenire attacchi futuri : fornisce raccomandazioni per la sicurezza per ridurre la superficie di attacco, aumentare il comportamento di sicurezza e prevenire attacchi futuri
    • Attivare una risposta automatica : offre l'opzione per attivare un'app per la logica come risposta a questo evento imprevisto di sicurezza
    • Eliminare avvisi simili : consente di eliminare gli avvisi futuri con caratteristiche simili se l'avviso non è pertinente per l'organizzazione

    Nota

    Lo stesso avviso può esistere come parte di un evento imprevisto, nonché essere visibile come avviso autonomo.

  4. Per correggere le minacce nell'evento imprevisto, seguire la procedura di correzione fornita con ogni avviso.

Passaggi successivi

Questa pagina illustra le funzionalità degli eventi imprevisti di sicurezza di Defender for Cloud. Per informazioni correlate, vedere le pagine seguenti: