Analizzare gli avvisi di sicurezza di Defender per identità in Microsoft Defender XDR
Nota
Defender per identità non è progettato per fungere da soluzione di controllo o registrazione che acquisisce ogni singola operazione o attività nei server in cui è installato il sensore. Acquisisce solo i dati necessari per i meccanismi di rilevamento e raccomandazione.
Questo articolo illustra le nozioni di base su come usare gli avvisi di sicurezza Microsoft Defender per identità in Microsoft Defender XDR.
Gli avvisi di Defender per identità sono integrati in modo nativo in Microsoft Defender XDR con un formato di pagina di avviso identità dedicato.
La pagina Avviso di identità offre Microsoft Defender per identità ai clienti un miglioramento del segnale tra domini e nuove funzionalità di risposta automatica delle identità. Garantisce la sicurezza e consente di migliorare l'efficienza delle operazioni di sicurezza.
Uno dei vantaggi dell'analisi degli avvisi tramite Microsoft Defender XDR è che Microsoft Defender per identità avvisi sono ulteriormente correlati alle informazioni ottenute da ognuno degli altri prodotti della suite. Questi avvisi avanzati sono coerenti con gli altri formati di avviso XDR di Microsoft Defender provenienti da Microsoft Defender per Office 365 e Microsoft Defender per endpoint. La nuova pagina elimina in modo efficace la necessità di passare a un altro portale di prodotti per analizzare gli avvisi associati all'identità.
Gli avvisi provenienti da Defender per identità possono ora attivare le funzionalità di analisi e risposta automatizzate di Microsoft Defender XDR, inclusa la correzione automatica degli avvisi e la mitigazione di strumenti e processi che possono contribuire all'attività sospetta.
Importante
Nell'ambito della convergenza con Microsoft Defender XDR, alcune opzioni e dettagli sono cambiate dalla loro posizione nel portale di Defender per identità. Leggere i dettagli seguenti per scoprire dove trovare le funzionalità familiari e nuove.
Esaminare gli avvisi di sicurezza
È possibile accedere agli avvisi da più posizioni, tra cui la pagina Avvisi, la pagina Eventi imprevisti, le pagine dei singoli dispositivi e dalla pagina Ricerca avanzata. In questo esempio verrà esaminata la pagina Avvisi.
In Microsoft Defender XDR passare a Eventi imprevisti e avvisi e quindi ad Avvisi.
Per visualizzare gli avvisi da Defender per identità, in alto a destra selezionare Filtro e quindi in Origini del servizio selezionare Microsoft Defender per identità e selezionare Applica:
Gli avvisi vengono visualizzati con informazioni nelle colonne seguenti: Nome avviso, Tag, Gravità, Stato indagine, Stato, Categoria, Origine rilevamento, Asset interessati, Prima attività e Ultima attività.
Categorie di avvisi di sicurezza
Gli avvisi di sicurezza di Defender per identità sono suddivisi in categorie o fasi seguenti, come le fasi viste in una tipica kill chain di attacchi informatici.
- Avvisi di ricognizione
- Avvisi relativi alle credenziali compromesse
- Avvisi di spostamento laterale
- Avvisi di dominanza del dominio
- Avvisi di esfiltrazione
Gestire gli avvisi
Se si seleziona il nome dell'avviso per uno degli avvisi, si passerà alla pagina con i dettagli sull'avviso. Nel riquadro sinistro verrà visualizzato un riepilogo di Cosa è successo:
Sopra la casella Cosa è successo sono i pulsanti per account, host di destinazione e host di origine dell'avviso. Per altri avvisi, è possibile visualizzare pulsanti per informazioni dettagliate su host, account, indirizzi IP, domini e gruppi di sicurezza aggiuntivi. Selezionare uno di essi per ottenere altri dettagli sulle entità coinvolte.
Nel riquadro destro verranno visualizzati i dettagli dell'avviso. Qui è possibile visualizzare altri dettagli ed eseguire diverse attività:
Classificare questo avviso : qui è possibile designare questo avviso come avviso True o False
Stato avviso: in Imposta classificazione è possibile classificare l'avviso come True o False. In Assegnato a è possibile assegnare l'avviso a se stessi o annullare l'assegnazione.
Dettagli avviso: in Dettagli avviso è possibile trovare altre informazioni sull'avviso specifico, seguire un collegamento alla documentazione sul tipo di avviso, vedere a quale evento imprevisto è associato l'avviso, esaminare eventuali indagini automatizzate collegate a questo tipo di avviso e visualizzare i dispositivi e gli utenti interessati.
Commenti e cronologia : qui è possibile aggiungere i commenti all'avviso e visualizzare la cronologia di tutte le azioni associate all'avviso.
Gestisci avviso : se si seleziona Gestisci avviso, si passerà a un riquadro che consentirà di modificare:
Stato : è possibile scegliere Nuovo, Risolto o In corso.
Classificazione : è possibile scegliere Avviso vero o Falso avviso.
Commento : è possibile aggiungere un commento sull'avviso.
Se si selezionano i tre puntini accanto a Gestisci avviso, è possibile collegare un avviso a un altro evento imprevisto, Creare una regola di eliminazione (disponibile solo per i clienti di anteprima) o Ask Defender Experts.
È anche possibile esportare l'avviso in un file di Excel. A tale scopo, selezionare Esporta.
Nota
Nel file di Excel sono ora disponibili due collegamenti: Visualizza in Microsoft Defender per identità e Visualizza in Microsoft Defender XDR. Ogni collegamento consente di passare al portale pertinente e di fornire informazioni sull'avviso.
Ottimizzazione degli avvisi
Ottimizzare gli avvisi per regolarli e ottimizzarli, riducendo i falsi positivi. L'ottimizzazione degli avvisi consente ai team SOC di concentrarsi sugli avvisi ad alta priorità e migliorare la copertura del rilevamento delle minacce nel sistema. In Microsoft Defender XDR creare condizioni delle regole in base ai tipi di evidenza e quindi applicare la regola a qualsiasi tipo di regola che soddisfi le condizioni.
Per altre informazioni, vedere Ottimizzare un avviso.
Vedi anche
Altre informazioni
- Provare la guida interattiva: Rilevare attività sospette e potenziali attacchi con Microsoft Defender per identità