Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile visualizzare l'elenco delle regole di rilevamento personalizzate esistenti, controllarne le esecuzioni precedenti ed esaminare gli avvisi attivati. È anche possibile eseguire una regola su richiesta e modificarla.
Consiglio
Gli avvisi generati dai rilevamenti personalizzati sono disponibili su avvisi e API degli eventi imprevisti. Per altre informazioni, vedere API Microsoft Defender XDR supportate.
Per gli utenti che hanno caricato un'area di lavoro Microsoft Sentinel nel portale di Microsoft Defender unificato, l'elenco delle regole di rilevamento personalizzate include regole di analisi. Le sezioni seguenti si applicano anche alle regole di analisi, se non diversamente indicato.
Visualizzare le regole esistenti
Per visualizzare le regole di rilevamento personalizzate e le regole di analisi esistenti, passare a Ricerca>regole di rilevamento personalizzate.
È possibile filtrare per qualsiasi colonna passando a Aggiungi filtro, selezionando le colonne per cui si vuole filtrare e selezionando Aggiungi. Per ognuna delle colonne selezionate, selezionare la pillola corrispondente accanto a Filtri:, selezionare le colonne e quindi Applica.
Per cercare regole specifiche, passare alla casella di ricerca in alto a destra della pagina e immettere il nome o l'ID regola della regola che si sta cercando.
Per le organizzazioni multilavoro che hanno caricato più aree di lavoro in Microsoft Defender, è possibile filtrare le aree di lavoro usando le colonne ID area di lavoro o Nome area di lavoro.
Nella pagina sono elencate tutte le regole con le seguenti informazioni di esecuzione:
- Ultima esecuzione : quando è stata eseguita l'ultima regola per verificare la presenza di corrispondenze di query e generare avvisi
- Stato dell'ultima esecuzione : indica se una regola è stata eseguita correttamente (solo per le regole di rilevamento personalizzate)
- Esecuzione successiva - L'esecuzione pianificata successiva
- Stato - Indica se una regola è stata attivata o disattivata
Visualizzare i dettagli della regola, modificare la regola ed eseguire la regola
Per visualizzare informazioni complete su una regola di rilevamento personalizzata o una regola di analisi, passare a Ricerca>regole di rilevamento personalizzate e quindi selezionare il nome della regola. È quindi possibile visualizzare informazioni generali sulla regola, incluse le informazioni, lo stato di esecuzione e l'ambito. Nella pagina è inoltre disponibile l'elenco degli avvisi e delle azioni attivati.
È inoltre possibile eseguire le azioni seguenti nella regola da questa pagina:
- Pagina Apri regola di rilevamento : apre la pagina delle regole di rilevamento per visualizzare gli avvisi attivati e rivedere le azioni (solo per regole di rilevamento personalizzate)
- Esegui : esegue immediatamente la regola; In questo modo viene reimpostato anche l'intervallo per l'esecuzione successiva (solo per le regole di rilevamento personalizzate)
- Modifica : consente di modificare la regola senza modificare la query
- Modifica query : consente di modificare la query nella ricerca avanzata
- Accendere / Disattiva : consente di abilitare la regola o impedirne l'esecuzione
- Elimina : consente di disattivare la regola e rimuoverla
Visualizzare e gestire gli avvisi attivati
Nella schermata dei dettagli della regola (Rilevamenti> personalizzati di ricerca>[nome regola]), passare a Avvisi attivati, che elenca gli avvisi generati da corrispondenze alla regola. Selezionare un avviso per visualizzare informazioni dettagliate ed eseguire le azioni seguenti:
- Gestire l'avviso impostandone lo stato e la classificazione (avviso vero o falso)
- Collegare l'avviso a un evento imprevisto
- Eseguire la query che ha attivato l'avviso per la ricerca avanzata
Esaminare le azioni
Nella schermata dei dettagli della regola (Rilevamenti> personalizzati di ricerca>[Nome regola]), passare a Azioni attivate, che elenca le azioni eseguite in base alle corrispondenze alla regola.
Consiglio
Per visualizzare rapidamente le informazioni ed eseguire azioni su un elemento di una tabella, usare la colonna di selezione [✓] a sinistra della tabella.
Vedere anche
- Panoramica dei rilevamenti personalizzati
- Panoramica della rilevazione avanzata
- Scoprire il linguaggio delle query in Ricerca avanzata
- Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint
- API di sicurezza di Microsoft Graph per rilevamenti personalizzati
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.