Leggere in inglese

Condividi tramite


Gestire gli eventi imprevisti in Microsoft Defender

La gestione degli eventi imprevisti è fondamentale per garantire che gli eventi imprevisti siano denominati, assegnati e contrassegnati per ottimizzare il tempo nel flusso di lavoro degli eventi imprevisti e contenere e risolvere più rapidamente le minacce.

Gestire gli eventi imprevisti da Eventi imprevisti di & risposta > & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender (security.microsoft.com). Di seguito viene riportato un esempio.

Screenshot che mostra la coda degli eventi imprevisti e il riquadro avvio rapido nel portale di Microsoft Defender.

Questo articolo illustra come eseguire varie attività di gestione degli eventi imprevisti associate a diverse fasi del ciclo di vita di un evento imprevisto.

Valutazione degli eventi imprevisti:

Indagine e risoluzione degli eventi imprevisti:

Registrazione e creazione di report degli eventi imprevisti:

Accedere al riquadro Gestisci eventi imprevisti

La maggior parte di queste attività è accessibile dal riquadro Gestisci eventi imprevisti per un evento imprevisto. È possibile raggiungere questo riquadro da una qualsiasi delle diverse posizioni.

Dalla coda degli eventi imprevisti

  1. Selezionare Indagine & risposta > Eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender.

  2. Dalla coda degli eventi imprevisti accedere al riquadro Gestisci eventi imprevisti in uno dei due modi seguenti:

    • Selezionare la casella di controllo di un evento imprevisto e selezionare Gestisci eventi imprevisti dalla barra degli strumenti sopra i filtri. Gestire molti eventi imprevisti contemporaneamente selezionando più caselle di controllo.

    • Selezionare la riga di un evento imprevisto (senza selezionare il nome dell'evento imprevisto), in modo che il riquadro dei dettagli dell'evento imprevisto sia visualizzato e selezionare Gestisci evento imprevisto nel riquadro dei dettagli dell'evento imprevisto.

      Screenshot che mostra come gestire gli eventi imprevisti dalla coda degli eventi imprevisti nel portale di Microsoft Defender.

Dalla pagina dell'evento imprevisto

  1. Selezionare Indagine & risposta > Eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender.

  2. Selezionare il nome di un evento imprevisto dalla coda. In alternativa, selezionare la riga di un evento imprevisto nella coda e quindi selezionare Apri pagina evento imprevisto nel riquadro dei dettagli dell'evento imprevisto.

  3. Nella pagina dell'evento imprevisto selezionare Gestisci evento imprevisto nel pannello superiore.

    Se Gestisci evento imprevisto non è visibile, selezionare i tre puntini nell'angolo superiore destro (visibile nello screenshot seguente accanto a "Gestisci evento imprevisto") e selezionarlo dal menu visualizzato.

    Screenshot che mostra come gestire un evento imprevisto dalla pagina dell'evento imprevisto nel portale di Microsoft Defender.

Valutazione degli eventi imprevisti

Le attività di gestione seguenti sono strettamente associate alla valutazione degli eventi imprevisti, anche se possono essere eseguite in qualsiasi momento.

Assegnare un evento imprevisto a un proprietario

Per impostazione predefinita, vengono creati nuovi eventi imprevisti senza proprietario. Idealmente, il team SecOps deve disporre di meccanismi e procedure per assegnare automaticamente gli eventi imprevisti ai proprietari. Potrebbe essere necessario riassegnare un evento imprevisto in caso di escalation o assegnazione originale errata.

Assegnare un proprietario

Per assegnare manualmente un nuovo proprietario a un evento imprevisto, seguire questa procedura:

  1. Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.

  2. Selezionare la casella Assegna a . Viene visualizzato un elenco a discesa degli assegnatari suggeriti.

  3. Se viene visualizzato l'account utente o di gruppo a cui si vuole assegnare l'evento imprevisto, selezionarlo.

    In caso contrario, iniziare a digitare il nome o l'ID account dell'utente o del gruppo desiderato nella casella di testo nella parte superiore dell'elenco. L'elenco viene aggiornato in modo dinamico, filtrato in base al tipo digitato. Quando viene visualizzato l'utente o il gruppo desiderato, selezionarlo.

  4. Per rimuovere un'assegnazione esistente, inclusa quella appena aggiunta, selezionare la X accanto al nome dell'account. Selezionare quindi la casella Assegna a se si vuole aggiungere un'altra assegnazione.

    A un evento imprevisto può essere assegnato un solo account utente o di gruppo.

  5. Seleziona Salva.

L'assegnazione della proprietà di un evento imprevisto assegna la stessa proprietà a tutti gli avvisi ad esso associati.

Screenshot che mostra come assegnare un proprietario nel riquadro Gestisci eventi imprevisti nel portale di Microsoft Defender.

Visualizzare gli eventi imprevisti assegnati a un proprietario specifico

Per visualizzare l'elenco degli eventi imprevisti assegnati a un determinato utente o gruppo, filtrare la coda degli eventi imprevisti:

  1. Nella coda degli eventi imprevisti selezionare il filtro assegnazione eventi imprevisti . Viene visualizzato un elenco a discesa degli assegnatari suggeriti.

    Se l'assegnazione degli eventi imprevisti tra i filtri non è visualizzata, selezionare Aggiungi filtro, selezionare Assegnazione evento imprevisto nell'elenco a discesa e quindi selezionare Aggiungi.

  2. Se viene visualizzato l'account utente di cui si desidera visualizzare gli eventi imprevisti assegnati, selezionarlo.

    In caso contrario, iniziare a digitare il nome o l'ID account dell'utente o del gruppo desiderato nella casella di testo nella parte superiore dell'elenco. L'elenco viene aggiornato in modo dinamico, filtrato in base al tipo digitato. Quando viene visualizzato l'utente o il gruppo desiderato, selezionarlo.

    A differenza dell'assegnazione di eventi imprevisti, qui è possibile selezionare più assegnatario per filtrare l'elenco in base a . Per aggiungere un altro account utente o di gruppo al filtro, selezionare la casella di testo (accanto all'account esistente nel filtro) e viene visualizzato di nuovo l'elenco degli assegnatari suggeriti.

  3. Selezionare Applica.

    Screenshot che mostra come visualizzare gli eventi imprevisti assegnati a un proprietario nella pagina della coda degli eventi imprevisti nel portale di Microsoft Defender.

Per salvare un collegamento alla coda degli eventi imprevisti con i filtri correnti applicati, selezionare Copia collegamento elenco dalla barra degli strumenti nella pagina della coda degli eventi imprevisti. Creare un collegamento nei preferiti o sul desktop e incollarvi il collegamento.

Assegnare o modificare la gravità dell'evento imprevisto

La gravità di un evento imprevisto è determinata dalla gravità più elevata degli avvisi ad esso associati. La gravità di un evento imprevisto può essere impostata su alto, medio, basso o informativo.

Per assegnare o modificare manualmente la gravità di un evento imprevisto, seguire questa procedura:

  1. Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.

  2. Selezionare il valore di gravità da applicare dall'elenco a discesa Gravità nel riquadro Gestisci evento imprevisto .

  3. Seleziona Salva.

Aggiungere tag agli eventi

I tag personalizzati aggiungono informazioni per prestare contesto a un evento imprevisto. Ad esempio, un tag può etichettare un gruppo di eventi imprevisti con una caratteristica comune. I tag sono criteri per il filtro, quindi è possibile filtrare in un secondo momento la coda degli eventi imprevisti per tutti gli eventi imprevisti che contengono un tag specifico. Per applicare un tag a un evento imprevisto:

  1. Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.

  2. Nel campo Tag evento imprevisto iniziare a digitare il nome del tag da applicare. Durante la digitazione viene visualizzato un elenco di tag usati e selezionati in precedenza. Se viene visualizzato il tag da applicare nell'elenco, selezionarlo.

    Screenshot che mostra come creare un tag di evento imprevisto nel riquadro Gestisci eventi imprevisti.

    Se è stato digitato un nome di tag che non è stato usato in precedenza, selezionare l'ultima voce nell'elenco, ovvero il testo digitato seguito da "(Crea nuovo)."

    Screenshot che mostra come selezionare un tag da applicare a un evento imprevisto nel riquadro Gestisci eventi imprevisti.

    Il tag viene quindi visualizzato come etichetta all'interno del campo Tag evento imprevisto. Ripetere questo passaggio per aggiungere altri tag come si desidera.

    Screenshot che mostra come viene visualizzato un tag selezionato nel campo Tag evento imprevisto.

  3. Seleziona Salva.

Un evento imprevisto può avere tag di sistema e/o tag personalizzati con determinati sfondi di colore. I tag personalizzati usano lo sfondo bianco, mentre i tag di sistema usano in genere i colori di sfondo rosso o nero. I tag di sistema identificano quanto segue in un evento imprevisto:

  • Un tipo di attacco, ad esempio il phishing delle credenziali o la frode bec
  • Azioni automatiche, ad esempio analisi e risposta automatica e interruzione automatica degli attacchi
  • Esperti defender che gestiscono un evento imprevisto
  • Asset critici coinvolti nell'evento imprevisto

Suggerimento

Microsoft's Gestione dell'esposizione in Security, in base a classificazioni predefinite, contrassegna automaticamente i dispositivi, le identità e le risorse cloud come asset critico. Questa funzionalità predefinita garantisce la protezione degli asset preziosi e più importanti di un'organizzazione. Consente inoltre ai team delle operazioni di sicurezza di assegnare priorità all'analisi e alla correzione. Altre informazioni sulla gestione degli asset critici.

Modificare lo stato dell'evento imprevisto

Gli eventi imprevisti iniziano con lo stato Attivo. Quando si lavora a un evento imprevisto, modificare lo stato in In corso.

Indagine e risoluzione degli eventi imprevisti

Le attività di gestione seguenti sono strettamente associate all'indagine e alla risoluzione degli eventi imprevisti, anche se possono essere eseguite in qualsiasi momento.

Risolvere un evento imprevisto

Quando un evento imprevisto viene risolto e risolto, eseguire le azioni seguenti per registrare la risoluzione:

  1. Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.

  2. Modificare lo stato. Selezionare Risolto dall'elenco a discesa Stato . Quando si modifica lo stato di un evento imprevisto in Risolto, viene visualizzato un nuovo campo immediatamente dopo il campo Stato .

  3. Immettere una nota in questo campo che spiega il motivo per cui si considera risolto l'evento imprevisto. Questa nota è visibile nel log attività dell'evento imprevisto, vicino alla voce che registra la risoluzione dell'evento imprevisto.

    Screenshot del pannello di gestione degli eventi imprevisti con nota sulla risoluzione degli eventi imprevisti.

    La nota di risoluzione è visibile anche nel pannello Dettagli evento imprevisto sia nella pagina della coda degli eventi imprevisti che nella pagina degli eventi imprevisti di un evento imprevisto risolto.

    Screenshot dell'aspetto della nota di risoluzione nel pannello dei dettagli dell'evento imprevisto.

  4. Seleziona Salva.

La risoluzione di un evento imprevisto risolve anche tutti gli avvisi collegati e attivi correlati all'evento imprevisto. Un evento imprevisto non risolto viene visualizzato come Attivo.

Specificare la classificazione dell'evento imprevisto

Quando si risolve un evento imprevisto o in qualsiasi momento dell'indagine di un evento imprevisto, non appena si viene a conoscenza della classificazione dell'evento imprevisto, impostare il campo Classificazione di conseguenza.

  1. Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.

  2. Scegliere il valore appropriato dall'elenco a discesa Classificazione :

    • Non impostato (impostazione predefinita).
    • Vero positivo con un tipo di minaccia. Usare questa classificazione per gli eventi imprevisti che indicano con precisione una minaccia reale. Se si specifica il tipo di minaccia, il team di sicurezza può visualizzare i modelli di minaccia e agire per difendere l'organizzazione.
    • Attività informativa prevista con un tipo di attività. Usare le opzioni di questa categoria per classificare gli eventi imprevisti per i test di sicurezza, l'attività del team rosso e il comportamento insolito previsto da app e utenti attendibili.
    • I falsi positivi per i tipi di eventi imprevisti che si determinano possono essere ignorati perché sono tecnicamente imprecisi o fuorvianti.

    Vedere i tipi disponibili di attività e minacce per ognuna di queste classificazioni nello screenshot seguente.

  3. Seleziona Salva.

    Screenshot che mostra le opzioni di classificazione per gli eventi imprevisti.

Classificare gli eventi imprevisti e specificarne lo stato e il tipo consente di ottimizzare Microsoft Defender per fornire una migliore determinazione del rilevamento nel tempo.

Aggiungere commenti a un evento imprevisto

Nel corso delle indagini e degli eventi imprevisti, aggiungere commenti per registrare attività, informazioni dettagliate e conclusioni.

  1. Aprire il log attività dell'evento imprevisto. Nella pagina dell'evento imprevisto o nel pannello dei dettagli dell'evento imprevisto nella pagina della coda degli eventi imprevisti selezionare i tre puntini nell'angolo in alto a destra e nel menu risultante selezionare Log attività.

    Screenshot che mostra come accedere al log attività di un evento imprevisto.

  2. Digitare il commento nel campo di testo. Il campo commento supporta testo e formattazione, collegamenti e immagini. Ogni commento è limitato a 30.000 caratteri.

    Screenshot che mostra come aggiungere un commento a un evento imprevisto.

  3. Seleziona Salva.

Tutti i commenti vengono aggiunti agli eventi cronologici dell'evento imprevisto. È possibile visualizzare i commenti e la cronologia di un evento imprevisto dal collegamento Commenti e cronologia nella pagina Riepilogo .

Registrazione e creazione di report degli eventi imprevisti

Le attività di gestione seguenti possono essere associate al controllo e alla creazione di report sulle indagini sugli eventi imprevisti, anche se possono essere eseguite in qualsiasi momento.

Modificare il nome dell'evento imprevisto

Microsoft Defender assegna automaticamente un nome in base agli attributi di avviso, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini o le categorie di rilevamento. Il nome dell'evento imprevisto consente di comprendere rapidamente l'ambito dell'evento imprevisto. Ad esempio: evento imprevisto a più fasi su più endpoint segnalato da più origini.

Per modificare il nome dell'evento imprevisto, seguire questa procedura:

  1. Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.

  2. Digitare un nuovo nome nel campo Nome evento imprevisto nel riquadro Gestisci evento imprevisto .

  3. Seleziona Salva.

Nota

  • Gli eventi imprevisti che si sono verificati prima dell'implementazione della funzionalità di denominazione automatica degli eventi imprevisti conservano i nomi.

  • Se un altro evento imprevisto viene unito a un evento imprevisto rinominato, Defender assegna all'evento un nuovo nome, sovrascrivendo qualsiasi nome personalizzato assegnato in precedenza.

Visualizzare il log attività di un evento imprevisto

Quando si esegue un postmortem di un evento imprevisto, visualizzare il log attività dell'evento imprevisto per visualizzare la cronologia delle azioni eseguite sull'evento imprevisto (denominato "Audit") e tutti i commenti registrati. Tutte le modifiche apportate all'evento imprevisto, sia da un utente che dal sistema, vengono registrate nel log attività.

  1. Aprire il log attività dell'evento imprevisto. Nella pagina dell'evento imprevisto o nel pannello dei dettagli dell'evento imprevisto nella pagina della coda degli eventi imprevisti selezionare i tre puntini nell'angolo in alto a destra e nel menu risultante selezionare Log attività.

    Screenshot che evidenzia l'opzione del log attività dalla pagina degli eventi imprevisti nel portale di Microsoft Defender.

  2. Filtrare le attività all'interno del log in base a commenti e azioni. Selezionare Contenuto: Controlli, Commenti e quindi selezionare il tipo di contenuto per filtrare le attività. Di seguito viene riportato un esempio.

    Screenshot che evidenzia le opzioni di filtro nel riquadro del log attività dalla pagina degli eventi imprevisti nel portale di Microsoft Defender.

  3. Selezionare Applica.

È anche possibile aggiungere commenti personalizzati usando la casella di commento disponibile nel log attività. La casella di commento accetta testo e formattazione, collegamenti e immagini.

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche del prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Esportare i dati degli eventi imprevisti in FORMATO PDF

È possibile esportare i dati di un evento imprevisto in formato PDF tramite la funzione Esporta evento imprevisto come PDF e salvarli in formato PDF. Questa funzione consente ai team di sicurezza di esaminare i dettagli di un evento imprevisto offline in qualsiasi momento.

I dati degli eventi imprevisti esportati includono le informazioni seguenti:

  • Panoramica contenente i dettagli dell'evento imprevisto
  • Il grafico della storia dell'attacco e le categorie di minacce
  • Gli asset interessati, che coprono fino a 10 asset per ogni tipo di asset
  • Elenco di prove che copre fino a 100 elementi
  • Supporto dei dati, inclusi tutti gli avvisi e le attività correlati registrati nel log attività

Ecco un esempio del PDF esportato:

Screenshot della prima pagina del PDF esportato.

Se si dispone della licenza copilot per la sicurezza , il PDF esportato contiene i seguenti dati aggiuntivi sugli eventi imprevisti:

La funzione export to PDF è disponibile anche nel pannello laterale copilot. Quando si selezionano i puntini di sospensione Altre azioni (...) nell'angolo superiore destro della scheda risultati del report eventi imprevisti, è possibile scegliere Esporta evento imprevisto come PDF.

Screenshot delle azioni aggiuntive nella scheda dei risultati del report degli incidenti.

Per generare il PDF, seguire questa procedura:

  1. Aprire la pagina di un incidente. Selezionare i puntini di sospensione Altre azioni (...) nell'angolo in alto a destra e scegliere Esporta evento imprevisto come PDF.

    Screenshot che evidenzia i puntini di sospensione Altre azioni nella pagina dell'evento imprevisto.

  2. Nella finestra di dialogo visualizzata di seguito confermare le informazioni sull'evento imprevisto che si desidera includere o escludere nel PDF. Tutte le informazioni sugli eventi imprevisti sono selezionate per impostazione predefinita. Selezionare Esporta PDF per continuare.

    Screenshot che evidenzia l'opzione esporta evento imprevisto in FORMATO PDF.

  3. Sotto il titolo dell'evento imprevisto viene visualizzato un messaggio di stato che indica lo stato corrente del download. Il processo di esportazione può richiedere alcuni minuti a seconda della complessità dell'evento imprevisto e della quantità di dati da esportare.

    Screenshot che evidenzia lo stato e il messaggio di esportazione prima del download.

  4. Viene visualizzata un'altra finestra di dialogo che indica che il PDF è pronto. Selezionare Scarica nella finestra di dialogo per salvare il PDF nel dispositivo. Il messaggio di stato sotto il titolo dell'evento imprevisto viene aggiornato anche per indicare che il download è disponibile.

    Screenshot che evidenzia lo stato e il messaggio di esportazione quando è disponibile il download.

Il report viene memorizzato nella cache per un paio di minuti. Il sistema fornisce il PDF generato in precedenza se si tenta di esportare di nuovo lo stesso evento imprevisto entro un breve intervallo di tempo. Per generare una versione più recente del PDF, attendere alcuni minuti per la scadenza della cache.

Passaggi successivi

Per gli eventi imprevisti nuovi e in-process, continuare l'indagine sugli eventi imprevisti.

Per gli eventi imprevisti risolti, eseguire una revisione post-evento imprevisto.

Vedere anche

Suggerimento

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.