Condividi tramite


Gestire gli eventi imprevisti in Microsoft Defender

La gestione degli eventi imprevisti è fondamentale per garantire che gli eventi imprevisti siano denominati, assegnati e contrassegnati per ottimizzare il tempo nel flusso di lavoro degli eventi imprevisti e contenere e risolvere più rapidamente le minacce.

È possibile gestire eventi imprevisti da eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender (security.microsoft.com). Di seguito viene riportato un esempio.

Screenshot che evidenzia l'opzione gestisci evento imprevisto all'interno della coda degli eventi imprevisti e del riquadro avvio rapido nel portale di Microsoft Defender.

Ecco i modi in cui è possibile gestire gli eventi imprevisti:

È possibile gestire gli incidenti dal riquadroGestisci incidenti relativo a un incidente. Di seguito viene riportato un esempio.

Screenshot che mostra il riquadro Gestisci eventi imprevisti nel portale di Microsoft Defender.

È possibile visualizzare questo riquadro dal collegamento Gestisci evento imprevisto in:

  • Pagina della storia dell'avviso .
  • Riquadro Proprietà di un evento imprevisto nella coda degli eventi imprevisti.
  • Pagina di riepilogo di un evento imprevisto.
  • Opzione Gestisci evento imprevisto che si trova in alto a destra nella pagina Evento imprevisto.

Nei casi in cui si desidera spostare gli avvisi da un evento imprevisto a un altro, è anche possibile farlo dalla scheda Avvisi , creando così un evento imprevisto più grande o più piccolo che include tutti gli avvisi pertinenti.

Modificare il nome dell'evento imprevisto

Microsoft Defender assegna automaticamente un nome in base agli attributi di avviso, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini o le categorie di rilevamento. Il nome dell'evento imprevisto consente di comprendere rapidamente l'ambito dell'evento imprevisto. Ad esempio: evento imprevisto a più fasi su più endpoint segnalato da più origini.

È possibile modificare il nome dell'evento imprevisto dal campo Nome evento imprevisto nel riquadro Gestisci evento imprevisto .

Nota

Gli eventi imprevisti che si sono verificati prima dell'implementazione della funzionalità di denominazione automatica degli eventi imprevisti mantengono il nome.

Assegnare o modificare la gravità dell'evento imprevisto

È possibile assegnare o modificare la gravità di un evento imprevisto dal campo Gravità nel riquadro Gestisci evento imprevisto . La gravità di un evento imprevisto è determinata dalla gravità più elevata degli avvisi ad esso associati. La gravità di un evento imprevisto può essere impostata su alto, medio, basso o informativo.

Aggiungere tag agli eventi

È possibile aggiungere tag personalizzati a un incidente, ad esempio per contrassegnare un insieme di incidenti con caratteristiche comuni. In seguito sarà possibile filtrare la coda di tutti gli incidenti che contengono un tag specifico.

L'opzione da selezionare da un elenco di tag usati e selezionati in precedenza viene visualizzata dopo aver iniziato a digitare.

Un evento imprevisto può avere tag di sistema e/o tag personalizzati con determinati sfondi di colore. I tag personalizzati usano lo sfondo bianco, mentre i tag di sistema usano in genere i colori di sfondo rosso o nero. I tag di sistema identificano quanto segue in un evento imprevisto:

  • Un tipo di attacco, ad esempio il phishing delle credenziali o la frode bec
  • Azioni automatiche, ad esempio analisi e risposta automatica e interruzione automatica degli attacchi
  • Esperti defender che gestiscono un evento imprevisto
  • Asset critici coinvolti nell'evento imprevisto

Consiglio

Microsoft's Gestione dell'esposizione in Security, in base a classificazioni predefinite, contrassegna automaticamente i dispositivi, le identità e le risorse cloud come asset critico. Questa funzionalità predefinita garantisce la protezione degli asset preziosi e più importanti di un'organizzazione. Consente inoltre ai team delle operazioni di sicurezza di assegnare priorità all'analisi e alla correzione. Altre informazioni sulla gestione degli asset critici.

Assegnare un evento imprevisto

È possibile selezionare la casella Assegna a e specificare l'account utente per assegnare un evento imprevisto. Per riassegnare un evento imprevisto, rimuovere l'account di assegnazione corrente selezionando la "x" accanto al nome dell'account e quindi selezionare la casella Assegna a . L'assegnazione della proprietà di un evento imprevisto assegna la stessa proprietà a tutti gli avvisi ad esso associati.

È possibile ottenere un elenco di eventi imprevisti assegnati filtrando la coda degli eventi imprevisti.

  1. Nella coda degli eventi imprevisti selezionare Filtri.
  2. Nella sezione Assegnazione eventi imprevisti deselezionare Seleziona tutto. Selezionare Assegnato a me, Assegnato a un altro utente o Assegnato a un gruppo di utenti.
  3. Selezionare Applica e quindi chiudere il riquadro Filtri .

È quindi possibile salvare l'URL risultante nel browser come segnalibro per visualizzare rapidamente l'elenco degli eventi imprevisti assegnati all'utente.

Risolvere un evento imprevisto

Quando un evento imprevisto viene risolto e risolto, selezionare Risolto dall'elenco a discesa Stato . La risoluzione di un evento imprevisto risolve anche tutti gli avvisi collegati e attivi correlati all'evento imprevisto.

Quando si modifica lo stato di un evento imprevisto in Risolto, viene visualizzato un nuovo campo immediatamente dopo il campo Stato . Immettere una nota in questo campo che spiega il motivo per cui si considera risolto l'evento imprevisto. Questa nota è visibile nel log attività dell'evento imprevisto, vicino alla voce che registra la risoluzione dell'evento imprevisto.

Screenshot del pannello di gestione degli eventi imprevisti con nota sulla risoluzione degli eventi imprevisti.

Sia nella pagina della coda degli eventi imprevisti che nella pagina degli eventi imprevisti di un evento imprevisto risolto, è possibile visualizzare la nota sulla risoluzione degli eventi imprevisti nel pannello laterale, nella sezione Dettagli evento imprevisto .

Screenshot dell'aspetto della nota di risoluzione nel pannello dei dettagli dell'evento imprevisto.

La risoluzione di un evento imprevisto risolve anche tutti gli avvisi collegati e attivi correlati all'evento imprevisto. Un evento imprevisto non risolto viene visualizzato come Attivo.

Specificare la classificazione

Nel campo Classificazione specificare se l'evento imprevisto è:

  • Non impostato (impostazione predefinita).
  • Vero positivo con un tipo di minaccia. Usare questa classificazione per gli eventi imprevisti che indicano con precisione una minaccia reale. Se si specifica il tipo di minaccia, il team di sicurezza può visualizzare i modelli di minaccia e agire per difendere l'organizzazione.
  • Attività informativa prevista con un tipo di attività. Usare le opzioni di questa categoria per classificare gli eventi imprevisti per i test di sicurezza, l'attività del team rosso e il comportamento insolito previsto da app e utenti attendibili.
  • I falsi positivi per i tipi di eventi imprevisti che si determinano possono essere ignorati perché sono tecnicamente imprecisi o fuorvianti.

Classificare gli eventi imprevisti e specificarne lo stato e il tipo consente di ottimizzare Microsoft Defender XDR per fornire una migliore determinazione del rilevamento nel tempo.

Aggiungere commenti

È possibile aggiungere più commenti a un evento imprevisto con il campo Commento . Il campo commento supporta testo e formattazione, collegamenti e immagini. Ogni commento è limitato a 30.000 caratteri.

Tutti i commenti vengono aggiunti agli eventi cronologici dell'evento imprevisto. È possibile visualizzare i commenti e la cronologia di un evento imprevisto dal collegamento Commenti e cronologia nella pagina Riepilogo .

Log attività

Il log attività visualizza un elenco di tutti i commenti e le azioni eseguite sull'evento imprevisto, noti come controlli e commenti. Tutte le modifiche apportate all'evento imprevisto, sia da un utente che dal sistema, vengono registrate nel log attività. Il log attività è disponibile dall'opzione Log attività nella pagina degli eventi imprevisti o nel riquadro sul lato evento imprevisto.

Screenshot che evidenzia l'opzione del log attività dalla pagina degli eventi imprevisti nel portale di Microsoft Defender.

È possibile filtrare le attività all'interno del log in base a commenti e azioni. Fare clic su Contenuto: Controlli, Commenti e quindi selezionare il tipo di contenuto per filtrare le attività. Di seguito viene riportato un esempio.

Screenshot che evidenzia le opzioni di filtro nel riquadro del log attività dalla pagina degli eventi imprevisti nel portale di Microsoft Defender.

È anche possibile aggiungere commenti personalizzati usando la casella di commento disponibile nel log attività. La casella di commento accetta testo e formattazione, collegamenti e immagini.

Screenshot che evidenzia la casella dei commenti dalla pagina degli eventi imprevisti nel portale di Microsoft Defender.

Esportare i dati degli eventi imprevisti in FORMATO PDF

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche del prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

La funzionalità di esportazione dei dati degli eventi imprevisti è attualmente disponibile per Microsoft Defender XDR e i clienti della piattaforma SOC (Microsoft Unified Security Operations Center) con la licenza Microsoft Copilot per la sicurezza.

È possibile esportare i dati di un evento imprevisto in formato PDF tramite la funzione Esporta evento imprevisto come PDF e salvarli in formato PDF. Questa funzione consente ai team di sicurezza di esaminare i dettagli di un evento imprevisto offline in qualsiasi momento.

I dati degli eventi imprevisti esportati includono le informazioni seguenti:

  • Panoramica contenente i dettagli dell'evento imprevisto
  • Il grafico della storia dell'attacco e le categorie di minacce
  • Gli asset interessati, che coprono fino a 10 asset per ogni tipo di asset
  • Elenco di prove che copre fino a 100 elementi
  • Supporto dei dati, inclusi tutti gli avvisi e le attività correlati registrati nel log attività

Ecco un esempio del PDF esportato:

Screenshot della prima pagina del PDF esportato.

Se si dispone della licenza copilot per la sicurezza , il PDF esportato contiene i seguenti dati aggiuntivi sugli eventi imprevisti:

La funzione export to PDF è disponibile anche nel pannello laterale copilot. Quando si selezionano i puntini di sospensione Altre azioni (...) nell'angolo superiore destro della scheda risultati del report eventi imprevisti, è possibile scegliere Esporta evento imprevisto come PDF.

Screenshot delle azioni aggiuntive nella scheda dei risultati del report degli incidenti.

Per generare il PDF, seguire questa procedura:

  1. Aprire la pagina di un incidente. Selezionare i puntini di sospensione Altre azioni (...) nell'angolo in alto a destra e scegliere Esporta evento imprevisto come PDF.

    Screenshot che evidenzia i puntini di sospensione Altre azioni nella pagina dell'evento imprevisto.

  2. Nella finestra di dialogo visualizzata di seguito confermare le informazioni sull'evento imprevisto che si desidera includere o escludere nel PDF. Tutte le informazioni sugli eventi imprevisti sono selezionate per impostazione predefinita. Selezionare Esporta PDF per continuare.

    Screenshot che evidenzia l'opzione esporta evento imprevisto in FORMATO PDF.

  3. Sotto il titolo dell'evento imprevisto viene visualizzato un messaggio di stato che indica lo stato corrente del download. Il processo di esportazione può richiedere alcuni minuti a seconda della complessità dell'evento imprevisto e della quantità di dati da esportare.

    Screenshot che evidenzia lo stato e il messaggio di esportazione prima del download.

  4. Viene visualizzata un'altra finestra di dialogo che indica che il PDF è pronto. Selezionare Scarica nella finestra di dialogo per salvare il PDF nel dispositivo. Il messaggio di stato sotto il titolo dell'evento imprevisto viene aggiornato anche per indicare che il download è disponibile.

    Screenshot che evidenzia lo stato e il messaggio di esportazione quando è disponibile il download.

Il report viene memorizzato nella cache per un paio di minuti. Il sistema fornisce il PDF generato in precedenza se si tenta di esportare di nuovo lo stesso evento imprevisto entro un breve intervallo di tempo. Per generare una versione più recente del PDF, attendere alcuni minuti per la scadenza della cache.

Passaggi successivi

Per i nuovi eventi imprevisti, avviare l'indagine.

Per gli eventi imprevisti in-process, continuare l'indagine.

Per gli eventi imprevisti risolti, eseguire una revisione post-evento imprevisto.

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.