Gestire gli eventi imprevisti in Microsoft Defender
La gestione degli eventi imprevisti è fondamentale per garantire che gli eventi imprevisti siano denominati, assegnati e contrassegnati per ottimizzare il tempo nel flusso di lavoro degli eventi imprevisti e contenere e risolvere più rapidamente le minacce.
Gestire gli eventi imprevisti da Eventi imprevisti di & risposta > & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender (security.microsoft.com). Di seguito viene riportato un esempio.
Questo articolo illustra come eseguire varie attività di gestione degli eventi imprevisti associate a diverse fasi del ciclo di vita di un evento imprevisto.
Valutazione degli eventi imprevisti:
- Assegnare l'evento imprevisto a un proprietario.
- Assegnare o modificare la gravità.
- Aggiungere tag degli eventi imprevisti.
- Modificare lo stato dell'evento imprevisto.
Indagine e risoluzione degli eventi imprevisti:
- Risolvere un evento imprevisto.
- Specificare la classificazione di un evento imprevisto.
- Aggiungere commenti a un evento imprevisto.
Registrazione e creazione di report degli eventi imprevisti:
- Modificare il nome dell'evento imprevisto.
- Valutare il controllo attività e aggiungere commenti nel log attività.
- Esportare i dati degli eventi imprevisti in formato PDF.
La maggior parte di queste attività è accessibile dal riquadro Gestisci eventi imprevisti per un evento imprevisto. È possibile raggiungere questo riquadro da una qualsiasi delle diverse posizioni.
Selezionare Indagine & risposta > Eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender.
Dalla coda degli eventi imprevisti accedere al riquadro Gestisci eventi imprevisti in uno dei due modi seguenti:
Selezionare la casella di controllo di un evento imprevisto e selezionare Gestisci eventi imprevisti dalla barra degli strumenti sopra i filtri. Gestire molti eventi imprevisti contemporaneamente selezionando più caselle di controllo.
Selezionare la riga di un evento imprevisto (senza selezionare il nome dell'evento imprevisto), in modo che il riquadro dei dettagli dell'evento imprevisto sia visualizzato e selezionare Gestisci evento imprevisto nel riquadro dei dettagli dell'evento imprevisto.
Selezionare Indagine & risposta > Eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender.
Selezionare il nome di un evento imprevisto dalla coda. In alternativa, selezionare la riga di un evento imprevisto nella coda e quindi selezionare Apri pagina evento imprevisto nel riquadro dei dettagli dell'evento imprevisto.
Nella pagina dell'evento imprevisto selezionare Gestisci evento imprevisto nel pannello superiore.
Se Gestisci evento imprevisto non è visibile, selezionare i tre puntini nell'angolo superiore destro (visibile nello screenshot seguente accanto a "Gestisci evento imprevisto") e selezionarlo dal menu visualizzato.
Le attività di gestione seguenti sono strettamente associate alla valutazione degli eventi imprevisti, anche se possono essere eseguite in qualsiasi momento.
- Assegnare l'evento imprevisto a un proprietario.
- Assegnare o modificare la gravità.
- Aggiungere tag degli eventi imprevisti.
- Modificare lo stato dell'evento imprevisto.
Per impostazione predefinita, vengono creati nuovi eventi imprevisti senza proprietario. Idealmente, il team SecOps deve disporre di meccanismi e procedure per assegnare automaticamente gli eventi imprevisti ai proprietari. Potrebbe essere necessario riassegnare un evento imprevisto in caso di escalation o assegnazione originale errata.
Per assegnare manualmente un nuovo proprietario a un evento imprevisto, seguire questa procedura:
Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.
Selezionare la casella Assegna a . Viene visualizzato un elenco a discesa degli assegnatari suggeriti.
Se viene visualizzato l'account utente o di gruppo a cui si vuole assegnare l'evento imprevisto, selezionarlo.
In caso contrario, iniziare a digitare il nome o l'ID account dell'utente o del gruppo desiderato nella casella di testo nella parte superiore dell'elenco. L'elenco viene aggiornato in modo dinamico, filtrato in base al tipo digitato. Quando viene visualizzato l'utente o il gruppo desiderato, selezionarlo.
Per rimuovere un'assegnazione esistente, inclusa quella appena aggiunta, selezionare la X accanto al nome dell'account. Selezionare quindi la casella Assegna a se si vuole aggiungere un'altra assegnazione.
A un evento imprevisto può essere assegnato un solo account utente o di gruppo.
Seleziona Salva.
L'assegnazione della proprietà di un evento imprevisto assegna la stessa proprietà a tutti gli avvisi ad esso associati.
Per visualizzare l'elenco degli eventi imprevisti assegnati a un determinato utente o gruppo, filtrare la coda degli eventi imprevisti:
Nella coda degli eventi imprevisti selezionare il filtro assegnazione eventi imprevisti . Viene visualizzato un elenco a discesa degli assegnatari suggeriti.
Se l'assegnazione degli eventi imprevisti tra i filtri non è visualizzata, selezionare Aggiungi filtro, selezionare Assegnazione evento imprevisto nell'elenco a discesa e quindi selezionare Aggiungi.
Se viene visualizzato l'account utente di cui si desidera visualizzare gli eventi imprevisti assegnati, selezionarlo.
In caso contrario, iniziare a digitare il nome o l'ID account dell'utente o del gruppo desiderato nella casella di testo nella parte superiore dell'elenco. L'elenco viene aggiornato in modo dinamico, filtrato in base al tipo digitato. Quando viene visualizzato l'utente o il gruppo desiderato, selezionarlo.
A differenza dell'assegnazione di eventi imprevisti, qui è possibile selezionare più assegnatario per filtrare l'elenco in base a . Per aggiungere un altro account utente o di gruppo al filtro, selezionare la casella di testo (accanto all'account esistente nel filtro) e viene visualizzato di nuovo l'elenco degli assegnatari suggeriti.
Selezionare Applica.
Per salvare un collegamento alla coda degli eventi imprevisti con i filtri correnti applicati, selezionare Copia collegamento elenco dalla barra degli strumenti nella pagina della coda degli eventi imprevisti. Creare un collegamento nei preferiti o sul desktop e incollarvi il collegamento.
La gravità di un evento imprevisto è determinata dalla gravità più elevata degli avvisi ad esso associati. La gravità di un evento imprevisto può essere impostata su alto, medio, basso o informativo.
Per assegnare o modificare manualmente la gravità di un evento imprevisto, seguire questa procedura:
Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.
Selezionare il valore di gravità da applicare dall'elenco a discesa Gravità nel riquadro Gestisci evento imprevisto .
Seleziona Salva.
I tag personalizzati aggiungono informazioni per prestare contesto a un evento imprevisto. Ad esempio, un tag può etichettare un gruppo di eventi imprevisti con una caratteristica comune. I tag sono criteri per il filtro, quindi è possibile filtrare in un secondo momento la coda degli eventi imprevisti per tutti gli eventi imprevisti che contengono un tag specifico. Per applicare un tag a un evento imprevisto:
Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.
Nel campo Tag evento imprevisto iniziare a digitare il nome del tag da applicare. Durante la digitazione viene visualizzato un elenco di tag usati e selezionati in precedenza. Se viene visualizzato il tag da applicare nell'elenco, selezionarlo.
Se è stato digitato un nome di tag che non è stato usato in precedenza, selezionare l'ultima voce nell'elenco, ovvero il testo digitato seguito da "(Crea nuovo)."
Il tag viene quindi visualizzato come etichetta all'interno del campo Tag evento imprevisto. Ripetere questo passaggio per aggiungere altri tag come si desidera.
Seleziona Salva.
Un evento imprevisto può avere tag di sistema e/o tag personalizzati con determinati sfondi di colore. I tag personalizzati usano lo sfondo bianco, mentre i tag di sistema usano in genere i colori di sfondo rosso o nero. I tag di sistema identificano quanto segue in un evento imprevisto:
- Un tipo di attacco, ad esempio il phishing delle credenziali o la frode bec
- Azioni automatiche, ad esempio analisi e risposta automatica e interruzione automatica degli attacchi
- Esperti defender che gestiscono un evento imprevisto
- Asset critici coinvolti nell'evento imprevisto
Suggerimento
Microsoft's Gestione dell'esposizione in Security, in base a classificazioni predefinite, contrassegna automaticamente i dispositivi, le identità e le risorse cloud come asset critico. Questa funzionalità predefinita garantisce la protezione degli asset preziosi e più importanti di un'organizzazione. Consente inoltre ai team delle operazioni di sicurezza di assegnare priorità all'analisi e alla correzione. Altre informazioni sulla gestione degli asset critici.
Gli eventi imprevisti iniziano con lo stato Attivo. Quando si lavora a un evento imprevisto, modificare lo stato in In corso.
Le attività di gestione seguenti sono strettamente associate all'indagine e alla risoluzione degli eventi imprevisti, anche se possono essere eseguite in qualsiasi momento.
- Risolvere un evento imprevisto.
- Specificare la classificazione di un evento imprevisto.
- Aggiungere commenti a un evento imprevisto.
Quando un evento imprevisto viene risolto e risolto, eseguire le azioni seguenti per registrare la risoluzione:
Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.
Modificare lo stato. Selezionare Risolto dall'elenco a discesa Stato . Quando si modifica lo stato di un evento imprevisto in Risolto, viene visualizzato un nuovo campo immediatamente dopo il campo Stato .
Immettere una nota in questo campo che spiega il motivo per cui si considera risolto l'evento imprevisto. Questa nota è visibile nel log attività dell'evento imprevisto, vicino alla voce che registra la risoluzione dell'evento imprevisto.
La nota di risoluzione è visibile anche nel pannello Dettagli evento imprevisto sia nella pagina della coda degli eventi imprevisti che nella pagina degli eventi imprevisti di un evento imprevisto risolto.
Seleziona Salva.
La risoluzione di un evento imprevisto risolve anche tutti gli avvisi collegati e attivi correlati all'evento imprevisto. Un evento imprevisto non risolto viene visualizzato come Attivo.
Quando si risolve un evento imprevisto o in qualsiasi momento dell'indagine di un evento imprevisto, non appena si viene a conoscenza della classificazione dell'evento imprevisto, impostare il campo Classificazione di conseguenza.
Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.
Scegliere il valore appropriato dall'elenco a discesa Classificazione :
- Non impostato (impostazione predefinita).
- Vero positivo con un tipo di minaccia. Usare questa classificazione per gli eventi imprevisti che indicano con precisione una minaccia reale. Se si specifica il tipo di minaccia, il team di sicurezza può visualizzare i modelli di minaccia e agire per difendere l'organizzazione.
- Attività informativa prevista con un tipo di attività. Usare le opzioni di questa categoria per classificare gli eventi imprevisti per i test di sicurezza, l'attività del team rosso e il comportamento insolito previsto da app e utenti attendibili.
- I falsi positivi per i tipi di eventi imprevisti che si determinano possono essere ignorati perché sono tecnicamente imprecisi o fuorvianti.
Vedere i tipi disponibili di attività e minacce per ognuna di queste classificazioni nello screenshot seguente.
Seleziona Salva.
Classificare gli eventi imprevisti e specificarne lo stato e il tipo consente di ottimizzare Microsoft Defender per fornire una migliore determinazione del rilevamento nel tempo.
Nel corso delle indagini e degli eventi imprevisti, aggiungere commenti per registrare attività, informazioni dettagliate e conclusioni.
Aprire il log attività dell'evento imprevisto. Nella pagina dell'evento imprevisto o nel pannello dei dettagli dell'evento imprevisto nella pagina della coda degli eventi imprevisti selezionare i tre puntini nell'angolo in alto a destra e nel menu risultante selezionare Log attività.
Digitare il commento nel campo di testo. Il campo commento supporta testo e formattazione, collegamenti e immagini. Ogni commento è limitato a 30.000 caratteri.
Seleziona Salva.
Tutti i commenti vengono aggiunti agli eventi cronologici dell'evento imprevisto. È possibile visualizzare i commenti e la cronologia di un evento imprevisto dal collegamento Commenti e cronologia nella pagina Riepilogo .
Le attività di gestione seguenti possono essere associate al controllo e alla creazione di report sulle indagini sugli eventi imprevisti, anche se possono essere eseguite in qualsiasi momento.
- Modificare il nome dell'evento imprevisto.
- Valutare il controllo attività e aggiungere commenti nel log attività.
- Esportare i dati degli eventi imprevisti in formato PDF.
Microsoft Defender assegna automaticamente un nome in base agli attributi di avviso, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini o le categorie di rilevamento. Il nome dell'evento imprevisto consente di comprendere rapidamente l'ambito dell'evento imprevisto. Ad esempio: evento imprevisto a più fasi su più endpoint segnalato da più origini.
Per modificare il nome dell'evento imprevisto, seguire questa procedura:
Seguire le istruzioni nella sezione di apertura per accedere al riquadro Gestisci eventi imprevisti.
Digitare un nuovo nome nel campo Nome evento imprevisto nel riquadro Gestisci evento imprevisto .
Seleziona Salva.
Nota
Gli eventi imprevisti che si sono verificati prima dell'implementazione della funzionalità di denominazione automatica degli eventi imprevisti conservano i nomi.
Se un altro evento imprevisto viene unito a un evento imprevisto rinominato, Defender assegna all'evento un nuovo nome, sovrascrivendo qualsiasi nome personalizzato assegnato in precedenza.
Quando si esegue un postmortem di un evento imprevisto, visualizzare il log attività dell'evento imprevisto per visualizzare la cronologia delle azioni eseguite sull'evento imprevisto (denominato "Audit") e tutti i commenti registrati. Tutte le modifiche apportate all'evento imprevisto, sia da un utente che dal sistema, vengono registrate nel log attività.
Aprire il log attività dell'evento imprevisto. Nella pagina dell'evento imprevisto o nel pannello dei dettagli dell'evento imprevisto nella pagina della coda degli eventi imprevisti selezionare i tre puntini nell'angolo in alto a destra e nel menu risultante selezionare Log attività.
Filtrare le attività all'interno del log in base a commenti e azioni. Selezionare Contenuto: Controlli, Commenti e quindi selezionare il tipo di contenuto per filtrare le attività. Di seguito viene riportato un esempio.
Selezionare Applica.
È anche possibile aggiungere commenti personalizzati usando la casella di commento disponibile nel log attività. La casella di commento accetta testo e formattazione, collegamenti e immagini.
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche del prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
È possibile esportare i dati di un evento imprevisto in formato PDF tramite la funzione Esporta evento imprevisto come PDF e salvarli in formato PDF. Questa funzione consente ai team di sicurezza di esaminare i dettagli di un evento imprevisto offline in qualsiasi momento.
I dati degli eventi imprevisti esportati includono le informazioni seguenti:
- Panoramica contenente i dettagli dell'evento imprevisto
- Il grafico della storia dell'attacco e le categorie di minacce
- Gli asset interessati, che coprono fino a 10 asset per ogni tipo di asset
- Elenco di prove che copre fino a 100 elementi
- Supporto dei dati, inclusi tutti gli avvisi e le attività correlati registrati nel log attività
Ecco un esempio del PDF esportato:
Se si dispone della licenza copilot per la sicurezza , il PDF esportato contiene i seguenti dati aggiuntivi sugli eventi imprevisti:
La funzione export to PDF è disponibile anche nel pannello laterale copilot. Quando si selezionano i puntini di sospensione Altre azioni (...) nell'angolo superiore destro della scheda risultati del report eventi imprevisti, è possibile scegliere Esporta evento imprevisto come PDF.
Per generare il PDF, seguire questa procedura:
Aprire la pagina di un incidente. Selezionare i puntini di sospensione Altre azioni (...) nell'angolo in alto a destra e scegliere Esporta evento imprevisto come PDF.
Nella finestra di dialogo visualizzata di seguito confermare le informazioni sull'evento imprevisto che si desidera includere o escludere nel PDF. Tutte le informazioni sugli eventi imprevisti sono selezionate per impostazione predefinita. Selezionare Esporta PDF per continuare.
Sotto il titolo dell'evento imprevisto viene visualizzato un messaggio di stato che indica lo stato corrente del download. Il processo di esportazione può richiedere alcuni minuti a seconda della complessità dell'evento imprevisto e della quantità di dati da esportare.
Viene visualizzata un'altra finestra di dialogo che indica che il PDF è pronto. Selezionare Scarica nella finestra di dialogo per salvare il PDF nel dispositivo. Il messaggio di stato sotto il titolo dell'evento imprevisto viene aggiornato anche per indicare che il download è disponibile.
Il report viene memorizzato nella cache per un paio di minuti. Il sistema fornisce il PDF generato in precedenza se si tenta di esportare di nuovo lo stesso evento imprevisto entro un breve intervallo di tempo. Per generare una versione più recente del PDF, attendere alcuni minuti per la scadenza della cache.
Per gli eventi imprevisti nuovi e in-process, continuare l'indagine sugli eventi imprevisti.
Per gli eventi imprevisti risolti, eseguire una revisione post-evento imprevisto.
Suggerimento
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.