Leggere in inglese

Condividi tramite


Pagina dell'entità dispositivo in Microsoft Defender

La pagina dell'entità dispositivo nel portale di Microsoft Defender consente di esaminare le entità del dispositivo. La pagina contiene tutte le informazioni importanti su una determinata entità del dispositivo. Se un avviso o un evento imprevisto indica che un dispositivo si comporta in modo sospetto o potrebbe essere compromesso, esaminare i dettagli del dispositivo per identificare altri comportamenti o eventi che potrebbero essere correlati all'avviso o all'evento imprevisto e individuare il potenziale ambito della violazione. È anche possibile usare la pagina dell'entità dispositivo per eseguire alcune attività di sicurezza comuni, nonché alcune azioni di risposta per mitigare o correggere le minacce alla sicurezza.

Importante

Il set di contenuto visualizzato nella pagina dell'entità dispositivo può variare leggermente, a seconda della registrazione del dispositivo in Microsoft Defender per endpoint e Microsoft Defender per identità.

Se l'organizzazione ha caricato Microsoft Sentinel nel portale di Defender, verranno visualizzate informazioni aggiuntive.

In Microsoft Sentinel, le entità del dispositivo sono note anche come entità host. Altre informazioni.

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma di operazioni di sicurezza unificata di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Le entità del dispositivo sono disponibili nelle aree seguenti:

  • Elenco dispositivi, in Asset
  • Coda di avvisi
  • Qualsiasi singolo avviso/evento imprevisto
  • Qualsiasi pagina di entità utente singola
  • Qualsiasi visualizzazione dei dettagli dei singoli file
  • Qualsiasi indirizzo IP o visualizzazione dei dettagli del dominio
  • Log attività
  • Query di ricerca avanzate
  • Centro notifiche

È possibile selezionare i dispositivi ogni volta che vengono visualizzati nel portale per aprire la pagina dell'entità del dispositivo, che visualizza altri dettagli sul dispositivo. Ad esempio, è possibile visualizzare i dettagli dei dispositivi elencati negli avvisi di un evento imprevisto nel portale di Microsoft Defender in Eventi imprevisti & avvisi > Eventi imprevisti > Dispositivi degli eventi >imprevisti>.

Screenshot della pagina Utenti per un evento imprevisto nel portale di Microsoft Defender.

La pagina dell'entità dispositivo presenta le informazioni in un formato a schede. Questo articolo illustra i tipi di informazioni disponibili in ogni scheda e le azioni che è possibile eseguire su un determinato dispositivo.

Nella pagina dell'entità dispositivo vengono visualizzate le schede seguenti:

Intestazione di pagina entità

La sezione più in alto della pagina dell'entità include i dettagli seguenti:

  • Nome entità
  • Indicatori di gravità, criticità e valore del dispositivo
  • Tag in base ai quali il dispositivo può essere classificato. Può essere aggiunto da Defender per endpoint, Defender per identità o dagli utenti. I tag di Microsoft Defender per identità non sono modificabili.
  • Le azioni di risposta si trovano anche qui. Per altre informazioni, vedere di seguito.

Scheda Panoramica

La scheda predefinita è Panoramica. Fornisce una rapida analisi dei fatti di sicurezza più importanti sul dispositivo. La scheda Panoramica contiene la barra laterale dei dettagli del dispositivo e un dashboard con alcune schede che visualizzano informazioni di alto livello.

Dettagli del dispositivo

La barra laterale elenca il nome completo e il livello di esposizione del dispositivo. Fornisce anche alcune importanti informazioni di base in piccole sottosezioni, che possono essere espanse o compresse, ad esempio:

Sezione Informazioni incluse
Dettagli della macchina virtuale Nomi di computer e dominio e ID, stato di integrità e onboarding, timestamp per la prima e l'ultima visualizzazione, indirizzi IP e altro ancora
Dettagli di sincronizzazione dei criteri DLP Se pertinente
Stato della configurazione Dettagli relativi alla configurazione Microsoft Defender per endpoint
Dettagli delle risorse cloud Piattaforma cloud, ID risorsa, informazioni sulla sottoscrizione e altro ancora
Hardware e firmware Informazioni su VM, processore e BIOS e altro ancora
Gestione dispositivi Microsoft Defender per endpoint informazioni sullo stato e sulla gestione della registrazione
Dati della directory Flag dell'account utente, nomi SPN e appartenenze a gruppi.

Dashboard

La parte principale della scheda Panoramica mostra diverse schede di visualizzazione di tipo dashboard:

  • Avvisi attivi e livello di rischio che coinvolgono il dispositivo negli ultimi sei mesi, raggruppati per gravità
  • Valutazioni della sicurezza e livello di esposizione del dispositivo
  • Utenti connessi nel dispositivo negli ultimi 30 giorni
  • Stato di integrità del dispositivo e altre informazioni sulle analisi più recenti del dispositivo.

Suggerimento

Il livello di esposizione è correlato alla conformità del dispositivo alle raccomandazioni sulla sicurezza, mentre il livello di rischio viene calcolato in base a diversi fattori, inclusi i tipi e la gravità degli avvisi attivi.

Screenshot della scheda Panoramica per la pagina dell'entità dispositivo nel portale di Microsoft Defender.

Scheda Eventi imprevisti e avvisi

La scheda Eventi imprevisti e avvisi contiene un elenco di eventi imprevisti che contengono avvisi generati nel dispositivo, da una qualsiasi delle origini di rilevamento Microsoft Defender, tra cui, se è stato eseguito l'onboarding, Microsoft Sentinel. Questo elenco è una versione filtrata della coda degli eventi imprevisti e mostra una breve descrizione dell'evento imprevisto o dell'avviso, la relativa gravità (alta, media, bassa, informativa), lo stato nella coda (nuovo, in corso, risolto), la classificazione (non impostata, avviso falso, avviso vero), lo stato di indagine, la categoria, l'utente assegnato per risolverlo e l'ultima attività osservata.

È possibile personalizzare le colonne visualizzate per ogni elemento. È anche possibile filtrare gli avvisi in base a gravità, stato o qualsiasi altra colonna nella visualizzazione.

La colonna delle entità interessate si riferisce a tutte le entità utente e dispositivo a cui si fa riferimento nell'evento imprevisto o nell'avviso.

Quando si seleziona un evento imprevisto o un avviso, viene visualizzato un riquadro a comparsa. Da questo pannello è possibile gestire l'evento imprevisto o l'avviso e visualizzare altri dettagli, ad esempio il numero di evento imprevisto/avviso e i dispositivi correlati. È possibile selezionare più avvisi alla volta.

Per visualizzare una visualizzazione a pagina intera di un evento imprevisto o di un avviso, selezionarne il titolo.

Screenshot della scheda Eventi imprevisti e avvisi per la pagina dell'entità dispositivo nel portale di Microsoft Defender.

Scheda Sequenza temporale

La scheda Sequenza temporale visualizza una visualizzazione cronologica di tutti gli eventi osservati nel dispositivo. Ciò consente di correlare eventi, file e indirizzi IP in relazione al dispositivo.

La scelta delle colonne visualizzate nell'elenco può essere personalizzata. Le colonne predefinite elencano l'ora dell'evento, l'utente attivo, il tipo di azione, le entità associate (processi, file, indirizzi IP) e informazioni aggiuntive sull'evento.

È possibile regolare il periodo di tempo per il quale vengono visualizzati gli eventi facendo scorrere i bordi del periodo di tempo lungo il grafico della sequenza temporale complessivo nella parte superiore della pagina. È anche possibile selezionare un periodo di tempo dall'elenco a discesa nella parte superiore dell'elenco (il valore predefinito è 30 giorni). Per controllare ulteriormente la visualizzazione, è possibile filtrare in base ai gruppi di eventi o personalizzare le colonne.

È possibile esportare fino a sette giorni di eventi in un file CSV per il download.

Eseguire il drill-down dei dettagli dei singoli eventi selezionando e visualizzandone i dettagli nel pannello a comparsa risultante. Vedere Dettagli evento di seguito.

Nota

Per visualizzare gli eventi del firewall, è necessario abilitare i criteri di controllo, vedere Connessione alla piattaforma di filtro di controllo.

Il firewall illustra gli eventi seguenti:

  • 5025 - Servizio firewall arrestato
  • 5031 - L'applicazione ha bloccato l'accettazione delle connessioni in ingresso nella rete
  • 5157 - Connessione bloccata

Screenshot della scheda Sequenza temporale per la pagina dell'entità dispositivo nel portale di Microsoft Defender.

Dettagli evento

Selezionare un evento per visualizzare i dettagli pertinenti su tale evento. Viene visualizzato un pannello a comparsa per visualizzare molte altre informazioni sull'evento. I tipi di informazioni visualizzate dipendono dal tipo di evento. Se applicabile e i dati sono disponibili, è possibile che venga visualizzato un grafico che mostra le entità correlate e le relative relazioni, ad esempio una catena di file o processi. È anche possibile visualizzare una descrizione riepilogativa delle tattiche e delle tecniche mitre ATT&CK applicabili all'evento.

Per esaminare ulteriormente l'evento e gli eventi correlati, è possibile eseguire rapidamente una query di ricerca avanzata selezionando Cerca eventi correlati. La query restituisce l'evento selezionato e l'elenco di altri eventi che si sono verificati nello stesso endpoint nello stesso endpoint.

Screenshot del pannello dei dettagli dell'evento.

Scheda Raccomandazioni per la sicurezza

La scheda Consigli di sicurezza elenca le azioni che è possibile eseguire per proteggere il dispositivo. Selezionando un elemento in questo elenco viene aperto un riquadro a comparsa in cui è possibile ottenere istruzioni su come applicare la raccomandazione.

Come per le schede precedenti, è possibile personalizzare la scelta delle colonne visualizzate.

La visualizzazione predefinita include colonne che illustrano in dettaglio i punti deboli della sicurezza risolti, la minaccia associata, il componente correlato o il software interessato dalla minaccia e altro ancora. Gli elementi possono essere filtrati in base allo stato della raccomandazione.

Altre informazioni sulle raccomandazioni per la sicurezza.

Screenshot della scheda Consigli di sicurezza per la pagina dell'entità dispositivo.

Scheda Inventari

Questa scheda visualizza gli inventari di quattro tipi di componenti: software, componenti vulnerabili, estensioni del browser e certificati.

Inventario software

Questa scheda elenca il software installato nel dispositivo.

La visualizzazione predefinita visualizza il fornitore del software, il numero di versione installato, il numero di punti deboli del software noti, le informazioni dettagliate sulle minacce, il codice del prodotto e i tag. È possibile personalizzare il numero di elementi visualizzati e le colonne visualizzate.

Selezionando un elemento da questo elenco viene aperto un riquadro a comparsa contenente altri dettagli sul software selezionato e il percorso e il timestamp per l'ultima volta che il software è stato trovato.

Questo elenco può essere filtrato in base al codice del prodotto, ai punti deboli e alla presenza di minacce.

Screenshot della scheda Inventario software per il profilo del dispositivo nel portale di Microsoft Defender

Componenti vulnerabili

Questa scheda elenca i componenti software che contengono vulnerabilità.

Le opzioni di visualizzazione e filtro predefinite sono le stesse del software.

Selezionare un elemento per visualizzare altre informazioni in un riquadro a comparsa.

Estensioni del browser

Questa scheda mostra le estensioni del browser installate nel dispositivo. I campi predefiniti visualizzati sono il nome dell'estensione, il browser per cui è installato, la versione, il rischio di autorizzazione (in base al tipo di accesso ai dispositivi o ai siti richiesti dall'estensione) e lo stato. Facoltativamente, è anche possibile visualizzare il fornitore.

Selezionare un elemento per visualizzare altre informazioni in un riquadro a comparsa.

Certificati

Questa scheda visualizza tutti i certificati installati nel dispositivo.

I campi visualizzati per impostazione predefinita sono il nome del certificato, la data di emissione, la data di scadenza, le dimensioni della chiave, l'autorità di certificazione, l'algoritmo di firma, l'utilizzo della chiave e il numero di istanze.

L'elenco può essere filtrato in base allo stato, autofirmato o meno, alle dimensioni della chiave, all'hash della firma e all'utilizzo della chiave.

Selezionare un certificato per visualizzare altre informazioni in un riquadro a comparsa.

Scheda Vulnerabilità individuate

Questa scheda elenca eventuali vulnerabilità ed exploit comuni (CVE) che possono influire sul dispositivo.

La visualizzazione predefinita elenca la gravità della CVE, il punteggio di vulnerabilità comune (CVSS), il software correlato alla CVE, quando è stato pubblicato il CVE, quando la CVE è stata rilevata e aggiornata per la prima volta e le minacce associate alla CVE.

Come per le schede precedenti, è possibile personalizzare la scelta delle colonne da visualizzare. L'elenco può essere filtrato in base a gravità, stato delle minacce, esposizione del dispositivo e tag.

Se si seleziona un elemento da questo elenco, viene aperto un riquadro a comparsa che descrive la CVE.

Screenshot della scheda Vulnerabilità individuate per il profilo del dispositivo nel portale di Microsoft Defender

Scheda KBS mancante

La scheda KBs mancante elenca tutti i Aggiornamenti Microsoft che devono ancora essere applicati al dispositivo. I "KB" in questione sono articoli della Knowledge Base, che descrivono questi aggiornamenti; ad esempio , KB4551762.

La visualizzazione predefinita elenca il bollettino contenente gli aggiornamenti, la versione del sistema operativo, il numero di ID KB, i prodotti interessati, gli indirizzi CVE e i tag.

La scelta delle colonne da visualizzare può essere personalizzata.

Selezionando un elemento viene aperto un riquadro a comparsa collegato all'aggiornamento.

scheda eventi Sentinel

Se l'organizzazione ha eseguito l'onboarding Microsoft Sentinel nel portale di Defender, questa scheda aggiuntiva si trova nella pagina dell'entità dispositivo. Questa scheda importa la pagina Entità host da Microsoft Sentinel.

sequenza temporale Sentinel

Questa sequenza temporale mostra gli avvisi associati all'entità del dispositivo, nota in Microsoft Sentinel come entità host. Questi avvisi includono quelli visualizzati nella scheda Eventi imprevisti e avvisi e quelli creati da Microsoft Sentinel da origini dati non Microsoft di terze parti.

Questa sequenza temporale mostra anche le ricerche con segnalibro provenienti da altre indagini che fanno riferimento a questa entità utente, gli eventi di attività utente da origini dati esterne e comportamenti insoliti rilevati dalle regole di anomalia di Microsoft Sentinel.

Insights

Le informazioni dettagliate sulle entità sono query definite dai ricercatori di sicurezza Microsoft che consentono di analizzare in modo più efficiente ed efficace. Queste informazioni dettagliate pongono automaticamente le domande principali sull'entità del dispositivo, fornendo preziose informazioni di sicurezza sotto forma di dati tabulari e grafici. Le informazioni dettagliate includono dati relativi agli accessi, alle aggiunte di gruppo, alle esecuzioni dei processi, agli eventi anomali e altro ancora e includono algoritmi di Machine Learning avanzati per rilevare comportamenti anomali.

Di seguito sono riportate alcune delle informazioni dettagliate visualizzate:

  • Screenshot acquisito sull'host.
  • Processi non firmati rilevati da Microsoft.
  • Informazioni sull'esecuzione del processo di Windows.
  • Attività di accesso a Windows.
  • Azioni sugli account.
  • Log eventi cancellati nell'host.
  • Addizioni di gruppo.
  • Enumerazione di host, utenti, gruppi nell'host.
  • Microsoft Defender controllo applicazione.
  • Rarità del processo tramite calcolo dell'entropia.
  • Numero anomalo elevato di un evento di sicurezza.
  • Informazioni dettagliate watchlist (anteprima).
  • Eventi di Windows Antivirus Defender.

Le informazioni dettagliate si basano sulle origini dati seguenti:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (agente di Monitoraggio di Azure)
  • CommonSecurityLog (Microsoft Sentinel)

Screenshot della scheda Sentinel eventi nella pagina dell'entità utente.

Per esplorare ulteriormente una delle informazioni dettagliate in questo pannello, selezionare il collegamento che accompagna le informazioni dettagliate. Il collegamento consente di passare alla pagina Ricerca avanzata , in cui viene visualizzata la query sottostante le informazioni dettagliate, insieme ai relativi risultati non elaborati. È possibile modificare la query o eseguire il drill-down dei risultati per espandere l'indagine o semplicemente soddisfare la curiosità.

Screenshot della schermata Ricerca avanzata con query di informazioni dettagliate.

Azioni di risposta

Le azioni di risposta offrono collegamenti per analizzare, analizzare e difendere dalle minacce.

Screenshot della barra delle azioni per la pagina dell'entità dispositivo nel portale di Microsoft Defender.

Importante

  • Le azioni di risposta sono disponibili solo se il dispositivo è registrato in Microsoft Defender per endpoint.
  • I dispositivi registrati in Microsoft Defender per endpoint possono visualizzare numeri diversi di azioni di risposta, in base al sistema operativo e al numero di versione del dispositivo.

Le azioni di risposta vengono eseguite nella parte superiore di una pagina specifica del dispositivo e includono:

Azione Descrizione
Valore del dispositivo
Impostare la criticità
Gestire i tag Aggiornamenti tag personalizzati applicati al dispositivo.
Segnalare l'imprecisione del dispositivo
Eseguire l'analisi antivirus Aggiornamenti Microsoft Defender definizioni antivirus ed esegue immediatamente un'analisi antivirus. Scegliere tra Analisi rapida o Analisi completa.
Raccogliere il pacchetto di indagine Raccoglie informazioni sul dispositivo. Al termine dell'indagine, è possibile scaricarla.
Limitare l'esecuzione dell'app Impedisce l'esecuzione di applicazioni non firmate da Microsoft.
Avviare un'indagine automatizzata Analizza e corregge automaticamente le minacce. Anche se è possibile attivare manualmente le indagini automatizzate per l'esecuzione da questa pagina, alcuni criteri di avviso attivano automaticamente le indagini automatiche.
Avviare una sessione di risposta dinamica Carica una shell remota nel dispositivo per indagini approfondite sulla sicurezza.
Isolamento i dispositivi Isola il dispositivo dalla rete dell'organizzazione mantenendolo connesso a Microsoft Defender. È possibile scegliere di consentire l'esecuzione di Outlook, Teams e Skype for Business mentre il dispositivo è isolato, a scopo di comunicazione.
Chiedi a Defender Experts
Centro operativo Visualizza informazioni sulle azioni di risposta attualmente in esecuzione. Disponibile solo se è già stata selezionata un'altra azione.
Download del rilascio forzato dallo script di isolamento
Exclude
Iniziare la ricerca
Attivare la modalità di risoluzione dei problemi
Sincronizzazione dei criteri

Suggerimento

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.