Eseguire un'azione sui risultati delle query di ricerca avanzate

  • Si applica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

È possibile contenere rapidamente minacce o risolvere gli asset compromessi presenti nella ricerca avanzata. È possibile eseguire azioni su dispositivi, messaggi di posta elettronica e file di quarantena.

Autorizzazioni necessarie

Per intervenire sui dispositivi tramite la ricerca avanzata, è necessario un ruolo in Microsoft Defender per endpoint con le autorizzazioni per inviare azioni di correzione nei dispositivi.

Se non è possibile intervenire, contattare un amministratore globale per ottenere l'autorizzazione seguente:

Azioni di correzione > attive Operazioni di sicurezza.

Per intervenire sui messaggi di posta elettronica tramite la ricerca avanzata, è necessario un ruolo in Microsoft Defender per Office 365 per cercare ed eliminare i messaggi di posta elettronica.

  • Microsoft Defender XDR controllo degli accessi in base al ruolo unificato: l'appartenenza assegnata con le autorizzazioni URBAC seguenti abilita l'opzione Esegui azione nella ricerca avanzata e concede agli utenti le autorizzazioni necessarie per eseguire azioni correttive:
    • Operazioni> di sicurezzaDati> di sicurezzaRisposta (gestione): necessario per approvare o ignorare le azioni correttive.
    • Operazioni> di sicurezzaDati> di sicurezzaEmail & azioni avanzate di collaborazione (gestione): necessario per eseguire azioni sui messaggi di posta elettronica (spostamento, eliminazione temporanea, eliminazione rigida).

Eseguire azioni sui dispositivi

È possibile eseguire le azioni seguenti nei dispositivi identificati dalla colonna nei risultati della DeviceId query:

  • Isolare i dispositivi interessati per contenere un'infezione o impedire che gli attacchi si spostino lateralmente.
  • Raccogliere un pacchetto di indagine per ottenere altre informazioni forensi.
  • Eseguire un'analisi antivirus per individuare e rimuovere le minacce usando gli aggiornamenti più recenti di Security Intelligence.
  • Avviare un'indagine automatizzata per controllare e correggere le minacce nel dispositivo e possibilmente in altri dispositivi interessati.
  • Limitare l'esecuzione dell'app solo ai file eseguibili firmati da Microsoft, impedendo la successiva attività di minaccia tramite malware o altri eseguibili non attendibili.

Per altre informazioni su come Microsoft Defender per endpoint esegue queste azioni di risposta, vedere Azioni di risposta nei dispositivi.

File di quarantena

È possibile distribuire l'azione di quarantena nei file in modo che i file vengano automaticamente messi in quarantena quando vengono rilevati. Quando si seleziona questa azione, è possibile scegliere tra le colonne seguenti per identificare i file nei risultati della query da mettere in quarantena:

  • SHA1: nelle tabelle di ricerca più avanzate, questa colonna fa riferimento all'SHA-1 del file interessato dall'azione registrata. Ad esempio, se un file è stato copiato, questo file interessato è il file copiato.
  • InitiatingProcessSHA1: nelle tabelle di ricerca più avanzate, questa colonna fa riferimento al file responsabile dell'avvio dell'azione registrata. Ad esempio, se è stato avviato un processo figlio, questo file dell'iniziatore fa parte del processo padre.
  • SHA256: questa colonna è l'equivalente SHA-256 del file identificato dalla SHA1 colonna.
  • InitiatingProcessSHA256: questa colonna è l'equivalente SHA-256 del file identificato dalla InitiatingProcessSHA1 colonna.

Per altre informazioni su come mettere in quarantena i file e ripristinarli, vedere Azioni di risposta sui file.

Nota

Per individuare i file e metterli in quarantena, i risultati della query devono includere DeviceId anche valori come identificatori di dispositivo.

Per eseguire una di queste azioni, selezionare uno o più record nei risultati della query e quindi selezionare Esegui azioni. Una procedura guidata illustra il processo di selezione e invio delle azioni preferite.

Screenshot dell'opzione Esegui azioni nel portale di Microsoft Defender.

Eseguire azioni sui messaggi di posta elettronica

Oltre ai passaggi di correzione incentrati sul dispositivo, è anche possibile eseguire azioni sui messaggi di posta elettronica dai risultati della query. Selezionare i record su cui si vuole eseguire l'azione, selezionare Esegui azioni e quindi in Scegli azioni selezionare la scelta tra le opzioni seguenti:

  • Passare alla cartella della cassetta postale : selezionare questa azione per spostare i messaggi di posta elettronica nella cartella Posta indesiderata, Posta in arrivo o Posta eliminata.

    È possibile spostare di nuovo i risultati della posta in quarantena (ad esempio falsi positivi) nella posta in arrivo selezionando l'opzione Posta in arrivo .

    Screenshot dell'opzione Posta in arrivo nel riquadro Esegui azioni nel portale di Microsoft Defender.

  • Elimina messaggio di posta elettronica : selezionare questa azione per spostare i messaggi di posta elettronica nella cartella Posta eliminata (eliminazione temporanea) o eliminarli definitivamente (eliminazione definitiva).

    Se si seleziona Elimina temporaneamente, anche i messaggi vengono eliminati automaticamente dalla cartella Posta inviata del mittente se il mittente si trova nell'organizzazione.

    Screenshot del riquadro Azioni eseguite con l'opzione Eliminazione temporanea e l'impostazione di eliminazione automatica della copia del mittente.

    L'eliminazione temporanea automatica della copia del mittente è disponibile per i risultati che usano le EmailEvents tabelle e EmailPostDeliveryEvents ma non la UrlClickEvents tabella . Inoltre, il risultato deve contenere le EmailDirection colonne e SenderFromAddress per questa opzione di azione da visualizzare nella procedura guidata Esegui azioni . La pulizia della copia del mittente si applica ai messaggi di posta elettronica all'interno dell'organizzazione e ai messaggi di posta elettronica in uscita, assicurando che solo la copia del mittente venga eliminata temporaneamente per questi messaggi di posta elettronica. I messaggi in ingresso non rientrano nell'ambito.

    Vedere la query seguente come riferimento:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

  • Invia a Microsoft : selezionare questa azione per inviare messaggi di posta elettronica falsi positivi o falsi negativi a Microsoft.

    Come parte dell'invio, è anche possibile aggiungere URL e domini URL, domini mittente e file allegati all'elenco tenant consentiti/bloccati per risolvere immediatamente il problema mentre Microsoft valuta l'invio.

    Importante

    Per bloccare un dominio URL o URL, aggiungere la EmailUrlInfo tabella con NetworkMessageId per ottenere i dettagli necessari. Per bloccare un allegato (file), unire la EmailAttachmentInfo tabella con NetworkMessageId per ottenere l'hash del file.

    L'invio a Microsoft potrebbe essere disabilitato se mancano colonne obbligatorie. Per risolvere questo problema, selezionare Mostra colonne vuote prima di selezionare Esegui azioni.

    Screenshot della pagina Scegli azioni della procedura guidata Esegui azioni con l'opzione Invia a Microsoft selezionata e il riquadro a comparsa Entità selezionate per bloccare i dettagli.

  • Avviare un'indagine automatizzata : selezionare questa azione per attivare l'indagine automatizzata su posta elettronica, mittente, destinatario o destinatari di contatto.

    L'avvio di un'indagine automatizzata potrebbe essere disabilitato se mancano colonne obbligatorie. Per risolvere questo problema, selezionare Mostra colonne vuote prima di selezionare Esegui azioni.

    Screenshot della pagina Scegli azioni della procedura guidata Esegui azioni con l'opzione Avvia indagine automatizzata selezionata.

È possibile specificare un nome di correzione e una breve descrizione dell'azione per tenerne traccia nella cronologia del centro notifiche. Usare l'ID approvazione fornito alla fine della procedura guidata per filtrare queste azioni nel centro notifiche:

Screenshot della procedura guidata Esegui azioni che mostra il passaggio Scegli azioni per le entità selezionate.

Queste azioni di posta elettronica si applicano anche ai rilevamenti personalizzati.

Esaminare le azioni eseguite

Centro notifiche in Centro notifiche \

La cronologia (security.microsoft.com/action-center/history) registra ogni azione singolarmente. Per controllare lo stato di ogni azione, passare al centro notifiche.

Nota

Alcune tabelle di questo articolo potrebbero non essere disponibili in Microsoft Defender per endpoint. Attivare Microsoft Defender XDR per cercare le minacce usando più origini dati. Per spostare i flussi di lavoro di ricerca avanzati da Microsoft Defender per endpoint a Microsoft Defender XDR, vedere Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint.

Contenuto correlato

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.

  • Last updated on