Pagina dell'entità dispositivo in Microsoft Defender
La pagina dell'entità dispositivo nel portale di Microsoft Defender consente di esaminare le entità del dispositivo. La pagina contiene tutte le informazioni importanti su una determinata entità del dispositivo. Se un avviso o un evento imprevisto indica che un dispositivo si comporta in modo sospetto o potrebbe essere compromesso, esaminare i dettagli del dispositivo per identificare altri comportamenti o eventi che potrebbero essere correlati all'avviso o all'evento imprevisto e individuare il potenziale ambito della violazione. È anche possibile usare la pagina dell'entità dispositivo per eseguire alcune attività di sicurezza comuni, nonché alcune azioni di risposta per mitigare o correggere le minacce alla sicurezza.
Importante
Il set di contenuto visualizzato nella pagina dell'entità dispositivo può variare leggermente, a seconda della registrazione del dispositivo in Microsoft Defender per endpoint e Microsoft Defender per identità.
Se l'organizzazione ha caricato Microsoft Sentinel nel portale di Defender, verranno visualizzate informazioni aggiuntive.
In Microsoft Sentinel le entità del dispositivo sono note anche come entità host . Altre informazioni.
Microsoft Sentinel è disponibile come parte della piattaforma di operazioni di sicurezza unificata nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Le entità del dispositivo sono disponibili nelle aree seguenti:
- Elenco dispositivi, in Asset
- Coda di avvisi
- Qualsiasi singolo avviso/evento imprevisto
- Qualsiasi pagina di entità utente singola
- Qualsiasi visualizzazione dei dettagli dei singoli file
- Qualsiasi indirizzo IP o visualizzazione dei dettagli del dominio
- Log attività
- Query di ricerca avanzate
- Centro notifiche
È possibile selezionare i dispositivi ogni volta che vengono visualizzati nel portale per aprire la pagina dell'entità del dispositivo, che visualizza altri dettagli sul dispositivo. Ad esempio, è possibile visualizzare i dettagli dei dispositivi elencati negli avvisi di un evento imprevisto nel portale di Microsoft Defender in Eventi imprevisti & avvisi > Eventi imprevisti>> Dispositivi.>
La pagina dell'entità dispositivo presenta le informazioni in un formato a schede. Questo articolo illustra i tipi di informazioni disponibili in ogni scheda e le azioni che è possibile eseguire su un determinato dispositivo.
Nella pagina dell'entità dispositivo vengono visualizzate le schede seguenti:
- Panoramica
- Eventi imprevisti e avvisi
- Sequenza temporale
- Consigli sulla sicurezza
- Inventari
- Vulnerabilità individuate
- KB mancanti
- Baseline di sicurezza
- Criteri di sicurezza
- Eventi sentinel
Intestazione di pagina entità
La sezione più in alto della pagina dell'entità include i dettagli seguenti:
- Nome entità
- Indicatori di gravità, criticità e valore del dispositivo
- Tag in base ai quali il dispositivo può essere classificato. Può essere aggiunto da Defender per endpoint, Defender per identità o dagli utenti. I tag di Microsoft Defender per identità non sono modificabili.
- Le azioni di risposta si trovano anche qui. Per altre informazioni, vedere di seguito.
Scheda Panoramica
La scheda predefinita è Panoramica. Fornisce una rapida analisi dei fatti di sicurezza più importanti sul dispositivo. La scheda Panoramica contiene la barra laterale dei dettagli del dispositivo e un dashboard con alcune schede che visualizzano informazioni di alto livello.
Dettagli del dispositivo
La barra laterale elenca il nome completo e il livello di esposizione del dispositivo. Fornisce anche alcune importanti informazioni di base in piccole sottosezioni, che possono essere espanse o compresse, ad esempio:
| Sezione | Informazioni incluse |
|---|---|
| Dettagli della macchina virtuale | Nomi di computer e dominio e ID, stato di integrità e onboarding, timestamp per la prima e l'ultima visualizzazione, indirizzi IP e altro ancora |
| Dettagli di sincronizzazione dei criteri DLP | Se pertinente |
| Stato della configurazione | Dettagli relativi alla configurazione di Microsoft Defender per endpoint |
| Dettagli delle risorse cloud | Piattaforma cloud, ID risorsa, informazioni sulla sottoscrizione e altro ancora |
| Hardware e firmware | Informazioni su VM, processore e BIOS e altro ancora |
| Gestione dispositivi | Informazioni sullo stato e sulla gestione della registrazione di Microsoft Defender per endpoint |
| Dati della directory | Flag dell'account utente, nomi SPN e appartenenze a gruppi. |
Dashboard
La parte principale della scheda Panoramica mostra diverse schede di visualizzazione di tipo dashboard:
- Avvisi attivi e livello di rischio che coinvolgono il dispositivo negli ultimi sei mesi, raggruppati per gravità
- Valutazioni della sicurezza e livello di esposizione del dispositivo
- Utenti connessi nel dispositivo negli ultimi 30 giorni
- Stato di integrità del dispositivo e altre informazioni sulle analisi più recenti del dispositivo.
Consiglio
Il livello di esposizione è correlato alla conformità del dispositivo alle raccomandazioni sulla sicurezza, mentre il livello di rischio viene calcolato in base a diversi fattori, inclusi i tipi e la gravità degli avvisi attivi.
Scheda Eventi imprevisti e avvisi
La scheda Eventi imprevisti e avvisi contiene un elenco di eventi imprevisti che contengono avvisi generati nel dispositivo da una qualsiasi delle origini di rilevamento di Microsoft Defender, tra cui Microsoft Sentinel, se è stato eseguito l'onboarding. Questo elenco è una versione filtrata della coda degli eventi imprevisti e mostra una breve descrizione dell'evento imprevisto o dell'avviso, la relativa gravità (alta, media, bassa, informativa), lo stato nella coda (nuovo, in corso, risolto), la classificazione (non impostata, avviso falso, avviso vero), lo stato di indagine, la categoria, l'utente assegnato per risolverlo e l'ultima attività osservata.
È possibile personalizzare le colonne visualizzate per ogni elemento. È anche possibile filtrare gli avvisi in base a gravità, stato o qualsiasi altra colonna nella visualizzazione.
La colonna delle entità interessate si riferisce a tutte le entità utente e dispositivo a cui si fa riferimento nell'evento imprevisto o nell'avviso.
Quando si seleziona un evento imprevisto o un avviso, viene visualizzato un riquadro a comparsa. Da questo pannello è possibile gestire l'evento imprevisto o l'avviso e visualizzare altri dettagli, ad esempio il numero di evento imprevisto/avviso e i dispositivi correlati. È possibile selezionare più avvisi alla volta.
Per visualizzare una visualizzazione a pagina intera di un evento imprevisto o di un avviso, selezionarne il titolo.
Scheda Sequenza temporale
La scheda Sequenza temporale visualizza una visualizzazione cronologica di tutti gli eventi osservati nel dispositivo. Ciò consente di correlare eventi, file e indirizzi IP in relazione al dispositivo.
La scelta delle colonne visualizzate nell'elenco può essere personalizzata. Le colonne predefinite elencano l'ora dell'evento, l'utente attivo, il tipo di azione, le entità associate (processi, file, indirizzi IP) e informazioni aggiuntive sull'evento.
È possibile regolare il periodo di tempo per il quale vengono visualizzati gli eventi facendo scorrere i bordi del periodo di tempo lungo il grafico della sequenza temporale complessivo nella parte superiore della pagina. È anche possibile selezionare un periodo di tempo dall'elenco a discesa nella parte superiore dell'elenco (il valore predefinito è 30 giorni). Per controllare ulteriormente la visualizzazione, è possibile filtrare in base ai gruppi di eventi o personalizzare le colonne.
È possibile esportare fino a sette giorni di eventi in un file CSV per il download.
Eseguire il drill-down dei dettagli dei singoli eventi selezionando e visualizzandone i dettagli nel pannello a comparsa risultante. Vedere Dettagli evento di seguito.
Nota
Per visualizzare gli eventi del firewall, è necessario abilitare i criteri di controllo, vedere Connessione alla piattaforma di filtro di controllo.
Il firewall illustra gli eventi seguenti:
Dettagli evento
Selezionare un evento per visualizzare i dettagli pertinenti su tale evento. Viene visualizzato un pannello a comparsa per visualizzare molte altre informazioni sull'evento. I tipi di informazioni visualizzate dipendono dal tipo di evento. Se applicabile e i dati sono disponibili, è possibile che venga visualizzato un grafico che mostra le entità correlate e le relative relazioni, ad esempio una catena di file o processi. È anche possibile visualizzare una descrizione riepilogativa delle tattiche e delle tecniche mitre ATT&CK applicabili all'evento.
Per esaminare ulteriormente l'evento e gli eventi correlati, è possibile eseguire rapidamente una query di ricerca avanzata selezionando Cerca eventi correlati. La query restituisce l'evento selezionato e l'elenco di altri eventi che si sono verificati nello stesso endpoint nello stesso endpoint.
Scheda Raccomandazioni per la sicurezza
La scheda Consigli di sicurezza elenca le azioni che è possibile eseguire per proteggere il dispositivo. Selezionando un elemento in questo elenco viene aperto un riquadro a comparsa in cui è possibile ottenere istruzioni su come applicare la raccomandazione.
Come per le schede precedenti, è possibile personalizzare la scelta delle colonne visualizzate.
La visualizzazione predefinita include colonne che illustrano in dettaglio i punti deboli della sicurezza risolti, la minaccia associata, il componente correlato o il software interessato dalla minaccia e altro ancora. Gli elementi possono essere filtrati in base allo stato della raccomandazione.
Altre informazioni sulle raccomandazioni per la sicurezza.
Scheda Inventari
Questa scheda visualizza gli inventari di quattro tipi di componenti: software, componenti vulnerabili, estensioni del browser e certificati.
Inventario software
Questa scheda elenca il software installato nel dispositivo.
La visualizzazione predefinita visualizza il fornitore del software, il numero di versione installato, il numero di punti deboli del software noti, le informazioni dettagliate sulle minacce, il codice del prodotto e i tag. È possibile personalizzare il numero di elementi visualizzati e le colonne visualizzate.
Selezionando un elemento da questo elenco viene aperto un riquadro a comparsa contenente altri dettagli sul software selezionato e il percorso e il timestamp per l'ultima volta che il software è stato trovato.
Questo elenco può essere filtrato in base al codice del prodotto, ai punti deboli e alla presenza di minacce.
Componenti vulnerabili
Questa scheda elenca i componenti software che contengono vulnerabilità.
Le opzioni di visualizzazione e filtro predefinite sono le stesse del software.
Selezionare un elemento per visualizzare altre informazioni in un riquadro a comparsa.
Estensioni del browser
Questa scheda mostra le estensioni del browser installate nel dispositivo. I campi predefiniti visualizzati sono il nome dell'estensione, il browser per cui è installato, la versione, il rischio di autorizzazione (in base al tipo di accesso ai dispositivi o ai siti richiesti dall'estensione) e lo stato. Facoltativamente, è anche possibile visualizzare il fornitore.
Selezionare un elemento per visualizzare altre informazioni in un riquadro a comparsa.
Certificati
Questa scheda visualizza tutti i certificati installati nel dispositivo.
I campi visualizzati per impostazione predefinita sono il nome del certificato, la data di emissione, la data di scadenza, le dimensioni della chiave, l'autorità di certificazione, l'algoritmo di firma, l'utilizzo della chiave e il numero di istanze.
L'elenco può essere filtrato in base allo stato, autofirmato o meno, alle dimensioni della chiave, all'hash della firma e all'utilizzo della chiave.
Selezionare un certificato per visualizzare altre informazioni in un riquadro a comparsa.
Scheda Vulnerabilità individuate
Questa scheda elenca eventuali vulnerabilità ed exploit comuni (CVE) che possono influire sul dispositivo.
La visualizzazione predefinita elenca la gravità della CVE, il punteggio di vulnerabilità comune (CVSS), il software correlato alla CVE, quando è stato pubblicato il CVE, quando la CVE è stata rilevata e aggiornata per la prima volta e le minacce associate alla CVE.
Come per le schede precedenti, è possibile personalizzare la scelta delle colonne da visualizzare. L'elenco può essere filtrato in base a gravità, stato delle minacce, esposizione del dispositivo e tag.
Se si seleziona un elemento da questo elenco, viene aperto un riquadro a comparsa che descrive la CVE.
Scheda KBS mancante
La scheda KBs mancante elenca tutti gli aggiornamenti Microsoft che devono ancora essere applicati al dispositivo. I "KB" in questione sono articoli della Knowledge Base, che descrivono questi aggiornamenti; ad esempio , KB4551762.
La visualizzazione predefinita elenca il bollettino contenente gli aggiornamenti, la versione del sistema operativo, il numero di ID KB, i prodotti interessati, gli indirizzi CVE e i tag.
La scelta delle colonne da visualizzare può essere personalizzata.
Selezionando un elemento viene aperto un riquadro a comparsa collegato all'aggiornamento.
Scheda Eventi sentinel
Se l'organizzazione ha eseguito l'onboarding di Microsoft Sentinel nel portale di Defender, questa scheda aggiuntiva si trova nella pagina dell'entità del dispositivo. Questa scheda importa la pagina Entità host da Microsoft Sentinel.
Sequenza temporale di Sentinel
Questa sequenza temporale mostra gli avvisi associati all'entità del dispositivo, nota in Microsoft Sentinel come entità host . Questi avvisi includono quelli visualizzati nella scheda Eventi imprevisti e avvisi e quelli creati da Microsoft Sentinel da origini dati non Microsoft di terze parti.
Questa sequenza temporale mostra anche le ricerche con segnalibri provenienti da altre indagini che fanno riferimento a questa entità utente, gli eventi di attività utente da origini dati esterne e comportamenti insoliti rilevati dalle regole di anomalie di Microsoft Sentinel.
Insights
Le informazioni dettagliate sulle entità sono query definite dai ricercatori di sicurezza Microsoft che consentono di analizzare in modo più efficiente ed efficace. Queste informazioni dettagliate pongono automaticamente le domande principali sull'entità del dispositivo, fornendo preziose informazioni di sicurezza sotto forma di dati tabulari e grafici. Le informazioni dettagliate includono dati relativi agli accessi, alle aggiunte di gruppo, alle esecuzioni dei processi, agli eventi anomali e altro ancora e includono algoritmi di Machine Learning avanzati per rilevare comportamenti anomali.
Di seguito sono riportate alcune delle informazioni dettagliate visualizzate:
- Screenshot acquisito sull'host.
- Processi non firmati rilevati da Microsoft.
- Informazioni sull'esecuzione del processo di Windows.
- Attività di accesso a Windows.
- Azioni sugli account.
- Log eventi cancellati nell'host.
- Addizioni di gruppo.
- Enumerazione di host, utenti, gruppi nell'host.
- Controllo delle applicazioni di Microsoft Defender.
- Rarità del processo tramite calcolo dell'entropia.
- Numero anomalo elevato di un evento di sicurezza.
- Informazioni dettagliate watchlist (anteprima).
- Eventi di Windows Defender Antivirus.
Le informazioni dettagliate si basano sulle origini dati seguenti:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (ID Microsoft Entra)
- SigninLogs (ID Microsoft Entra)
- OfficeActivity (Office 365)
- BehaviorAnalytics (UEBA di Microsoft Sentinel)
- Heartbeat (agente di Monitoraggio di Azure)
- CommonSecurityLog (Microsoft Sentinel)
Per esplorare ulteriormente una delle informazioni dettagliate in questo pannello, selezionare il collegamento che accompagna le informazioni dettagliate. Il collegamento consente di passare alla pagina Ricerca avanzata , in cui viene visualizzata la query sottostante le informazioni dettagliate, insieme ai relativi risultati non elaborati. È possibile modificare la query o eseguire il drill-down dei risultati per espandere l'indagine o semplicemente soddisfare la curiosità.
Azioni di risposta
Le azioni di risposta offrono collegamenti per analizzare, analizzare e difendere dalle minacce.
Importante
- Le azioni di risposta sono disponibili solo se il dispositivo è registrato in Microsoft Defender per endpoint.
- I dispositivi registrati in Microsoft Defender per endpoint possono visualizzare numeri diversi di azioni di risposta, in base al sistema operativo e al numero di versione del dispositivo.
Le azioni di risposta vengono eseguite nella parte superiore di una pagina specifica del dispositivo e includono:
| Azione | Descrizione |
|---|---|
| Valore del dispositivo | |
| Impostare la criticità | |
| Gestire i tag | Aggiorna i tag personalizzati applicati al dispositivo. |
| Segnalare l'imprecisione del dispositivo | |
| Eseguire l'analisi antivirus | Aggiorna le definizioni di Microsoft Defender Antivirus ed esegue immediatamente un'analisi antivirus. Scegliere tra Analisi rapida o Analisi completa. |
| Raccogliere il pacchetto di indagine | Raccoglie informazioni sul dispositivo. Al termine dell'indagine, è possibile scaricarla. |
| Limitare l'esecuzione dell'app | Impedisce l'esecuzione di applicazioni non firmate da Microsoft. |
| Avviare un'indagine automatizzata | Analizza e corregge automaticamente le minacce. Anche se è possibile attivare manualmente le indagini automatizzate per l'esecuzione da questa pagina, alcuni criteri di avviso attivano automaticamente le indagini automatiche. |
| Avviare una sessione di risposta dinamica | Carica una shell remota nel dispositivo per indagini approfondite sulla sicurezza. |
| Isolamento i dispositivi | Isola il dispositivo dalla rete dell'organizzazione mantenendolo connesso a Microsoft Defender. È possibile scegliere di consentire l'esecuzione di Outlook, Teams e Skype for Business mentre il dispositivo è isolato, a scopo di comunicazione. |
| Chiedi a Defender Experts | |
| Centro operativo | Visualizza informazioni sulle azioni di risposta attualmente in esecuzione. Disponibile solo se è già stata selezionata un'altra azione. |
| Download del rilascio forzato dallo script di isolamento | |
| Exclude | |
| Iniziare la ricerca | |
| Attivare la modalità di risoluzione dei problemi | |
| Sincronizzazione dei criteri |
Argomenti correlati
- Panoramica di Microsoft Defender XDR
- Attivare Microsoft Defender XDR
- Pagina dell'entità utente in Microsoft Defender
- Pagina dell'entità indirizzo IP in Microsoft Defender
- Integrazione di Microsoft Defender XDR con Microsoft Sentinel
- Connettere Microsoft Sentinel a Microsoft Defender XDR
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per