Condividi tramite

Visualizzare e gestire gli avvisi di sicurezza

La coda degli avvisi mostra un elenco di avvisi contrassegnati dalle identità nella rete. Per impostazione predefinita, la coda visualizza gli avvisi visualizzati negli ultimi sette giorni in una visualizzazione raggruppata. Gli avvisi più recenti vengono visualizzati nella parte superiore dell'elenco per visualizzare prima gli avvisi più recenti.

Visualizzare la coda degli avvisi

Nel portale di Microsoft Defender passare a Eventi imprevisti & avvisi e quindi ad Avvisi.

Gli avvisi degli ultimi sette giorni vengono visualizzati con le informazioni seguenti:

  • Nome avviso
  • Tag
  • Gravità
  • Stato dell'indagine
  • Stato
  • Categoria
  • Origine di rilevamento
  • Risorse interessate
  • Prima attività
  • Ultima attività

Screenshot che mostra la pagina Avvisi nel portale di Defender. Due avvisi denominati Sospetto forza bruta sono elencati con i dettagli completi dell'avviso.

Personalizzare la visualizzazione della coda degli avvisi

È possibile personalizzare la visualizzazione della coda degli avvisi in alcuni modi. Usando gli strumenti nella parte superiore della pagina, è possibile:

  • Personalizzare la visualizzazione per aggiungere o rimuovere colonne.
  • Applicare filtri.
  • Personalizzare la durata. Visualizzare gli avvisi per una durata specifica, ad esempio 1 giorno, 3 giorni, 1 settimana, 30 giorni e 6 mesi.
  • Esportare un report dettagliato di Excel per l'analisi.

Filtrare la visualizzazione avvisi

È possibile applicare i filtri seguenti per ottenere una visualizzazione più mirata degli avvisi.

Avviso Descrizione
Gravità La gravità degli avvisi si basa su diversi fattori, tra cui l'accesso che l'utente malintenzionato potrebbe avere, il potenziale impatto se l'attacco ha esito positivo e la probabilità che l'avviso sia un vero positivo. Per un elenco completo dei tipi di avviso e dei relativi livelli di gravità assegnati, vedere Mapping dei nomi degli avvisi di sicurezza e ID esterni univoci
Stato È possibile scegliere di filtrare l'elenco degli avvisi in base al relativo stato. Ad esempio, è possibile filtrare per visualizzare solo gli avvisi nuovi, in corso o risolti.
Origini di rilevamento È possibile filtrare gli avvisi in base alle origini di rilevamento seguenti: Microsoft Defender per identità o Microsoft Defender XDR
Tag È possibile filtrare gli avvisi in base ai tag assegnati agli avvisi.

Visualizzare un avviso

È possibile accedere a singoli avvisi da più posizioni selezionando il nome dell'avviso da una delle opzioni seguenti:

  • Pagina Avvisi
  • Pagina Eventi imprevisti
  • Pagina Identità
  • Le pagine dei singoli dispositivi
  • Pagina Ricerca avanzata

Pagina degli avvisi

La pagina degli avvisi fornisce contesto nell'avviso, combinando i segnali di attacco e gli avvisi correlati all'avviso selezionato per creare un brano di avviso dettagliato. La pagina degli avvisi consente di valutare, analizzare ed eseguire rapidamente azioni efficaci sugli avvisi.

Nota

Microsoft Defender per identità avvisi vengono attualmente visualizzati in due layout diversi nel portale di Microsoft Defender XDR. Mentre le visualizzazioni degli avvisi mostrano informazioni diverse, tutti gli avvisi si basano sui rilevamenti dei sensori defender per identità. Le differenze nel layout e nelle informazioni visualizzate fanno parte di una transizione in corso a un'esperienza di avviso unificata tra i prodotti Microsoft Defender.

Per visualizzare gli avvisi da Defender per identità e Defender XDR, selezionare Filtro, quindi in Origini del servizio scegliere Microsoft Defender per identità e Defender XDR e selezionare Applica:

Screenshot che mostra il menu di filtro degli avvisi per servizio.

avvisi Microsoft Defender per identità

Nella parte superiore della pagina sono presenti sezioni per account, host di destinazione e host di origine dell'avviso. A seconda dell'avviso, potrebbero essere visualizzati dettagli su host, account, indirizzi IP, domini e gruppi di sicurezza aggiuntivi. Selezionare una di esse per ottenere altri dettagli sulle entità coinvolte.

  • La sezione Alert story fornisce informazioni per fornire una storia completa con i dettagli dell'avviso. La storia dell'avviso è suddivisa in due sezioni:
    • Ciò che è successo include la sequenza temporale dell'avviso e le entità coinvolte nell'avviso.
    • Il grafico degli avvisi fornisce una rappresentazione visiva dell'avviso, incluse le entità coinvolte nell'avviso e le relative relazioni. Il grafico consente di comprendere in che modo le entità sono connesse e come sono correlate all'avviso.
  • Informazioni importanti forniscono un contesto tecnico che supporta l'analisi degli avvisi. È possibile usare queste informazioni per verificare se l'attività era prevista o sospetta e decidere quali azioni intraprendere per contenere o inoltrare l'evento imprevisto.
  • I dettagli dell'attività forniscono informazioni dettagliate, tra cui il timestamp, l'oggetto di base, l'ambito di ricerca e altri dettagli sull'avviso.
  • Il riquadro dei dettagli sul lato destro della pagina fornisce informazioni aggiuntive sull'avviso, inclusi i dettagli dell'avviso, i commenti & la cronologia. Il riquadro dei dettagli offre anche opzioni aggiuntive, ad esempio:
    • Gestire l'avviso
    • Avviso di esportazione
    • Spostare un avviso in un altro evento imprevisto
    • Classificare un avviso

Screenshot che mostra la struttura degli avvisi di Defender per identità.

avvisi Microsoft Defender XDR

Nella parte superiore della pagina sono presenti sezioni per account, host di destinazione e host di origine dell'avviso. A seconda dell'avviso, potrebbero essere visualizzati pulsanti per informazioni dettagliate su host, account, indirizzi IP, domini e gruppi di sicurezza aggiuntivi. Selezionare una di esse per ottenere altri dettagli sulle entità coinvolte.

  • La sezione Alert story fornisce informazioni per fornire una storia completa con i dettagli dell'avviso. La storia dell'avviso è suddivisa in due sezioni:
    • Ciò che è successo include la sequenza temporale dell'avviso e le entità coinvolte nell'avviso.
  • Il riquadro dei dettagli sul lato destro della pagina fornisce informazioni aggiuntive sull'avviso, inclusi i dettagli dell'avviso, i commenti & la cronologia. Il riquadro dei dettagli offre anche opzioni aggiuntive, ad esempio:
    • Gestire l'avviso
    • Spostare un avviso in un altro evento imprevisto
    • Classificare un avviso

Screenshot che mostra la struttura degli avvisi di Defender per XDR

Gestire gli avvisi di sicurezza

La selezione di un avviso apre il riquadro Gestione avvisi, in cui è possibile eseguire le azioni seguenti:

Modificare lo stato di un avviso

È possibile classificare gli avvisi come nuovi, in corso o risolti modificandone lo stato man mano che l'indagine procede. In questo modo è possibile organizzare e gestire il modo in cui il team può rispondere agli avvisi. Ad esempio, un responsabile del team può esaminare tutti i nuovi avvisi e decidere di assegnarli alla coda In corso per un'ulteriore analisi. Il responsabile del team potrebbe assegnare l'avviso alla coda risolta se sa che l'avviso è non dannoso o proviene da un dispositivo irrilevante (ad esempio uno appartenente a un amministratore della sicurezza) o viene gestito tramite un avviso precedente.

Spostare un avviso in un altro evento imprevisto

È possibile creare un nuovo evento imprevisto dall'avviso o dal collegamento a un evento imprevisto esistente.

Screenshot che mostra l'opzione per spostare un avviso in un altro evento imprevisto.

Assegnare avvisi

Se non è stato ancora assegnato un avviso, è possibile selezionare Assegna a me per assegnare l'avviso a se stessi.

Screenshot che mostra come assegnare un avviso a se stessi.

Aggiungere commenti a un avviso

È possibile aggiungere commenti a un avviso per fornire informazioni o contesto aggiuntivi. Ciò è utile per condividere informazioni dettagliate con il team o documentare il processo di indagine. Ogni volta che viene apportata una modifica o un commento a un avviso, viene registrato nella sezione Commenti e cronologia.

Screenshot che mostra la sezione Commenti & cronologia nel portale di Microsoft Defender. È disponibile una casella di testo per l'immissione di commenti.

Classificare gli avvisi di sicurezza

Per ogni avviso, porre le domande seguenti per determinare la classificazione degli avvisi e decidere come procedere:

  1. L'avviso di sicurezza è un TP, B-TP o FP?
  2. Quanto è comune questo avviso di sicurezza specifico nell'ambiente?
  3. L'avviso è stato attivato dagli stessi tipi di computer o utenti? Ad esempio, i server con lo stesso ruolo o gli utenti dello stesso gruppo/reparto? Se i computer o gli utenti erano simili, è possibile decidere di escluderlo per evitare avvisi FP futuri aggiuntivi.

Dopo un'indagine appropriata, tutti gli avvisi di sicurezza di Defender per identità possono essere classificati come uno dei tipi di attività seguenti:

  • Vero positivo (TP):azione dannosa rilevata da Defender per identità.

  • Vero positivo (B-TP) benigno: azione rilevata da Defender per identità reale, ma non dannosa, ad esempio un test di penetrazione o un'attività nota generata da un'applicazione approvata.

  • Falso positivo (FP): falso allarme, ovvero l'attività non è stata eseguita.

Screenshot che mostra come classificare un avviso come avviso true o false.

Nota

Un aumento degli avvisi esattamente dello stesso tipo riduce in genere il livello sospetto/importanza dell'avviso. Per gli avvisi ripetuti, verificare le configurazioni e usare i dettagli e le definizioni degli avvisi di sicurezza per comprendere esattamente cosa accade che attivano le ripetizioni.

Ottimizzazione degli avvisi

Ottimizzare gli avvisi per modificarli e ottimizzarli, riducendo i falsi positivi. L'ottimizzazione degli avvisi consente ai team soc di concentrarsi sugli avvisi ad alta priorità e migliorare la copertura del rilevamento delle minacce nel sistema. In Microsoft Defender XDR creare condizioni delle regole in base ai tipi di evidenza e quindi applicare la regola a qualsiasi tipo di regola corrispondente alle condizioni.

Per altre informazioni, vedere Ottimizzare un avviso.

Contenuto correlato