Visualizzare e gestire gli eventi imprevisti in Microsoft Defender for Business

Quando vengono rilevate minacce e vengono generati avvisi, vengono creati incidenti. Il team di sicurezza dell'azienda può visualizzare e gestire gli eventi imprevisti nel portale di Microsoft Defender. Per eseguire le attività descritte in questo articolo, è necessario disporre delle autorizzazioni appropriate. Vedere Ruoli di sicurezza e autorizzazioni in Microsoft Defender for Business.

Questo articolo include:

Monitorare gli eventi imprevisti & gli avvisi

  1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, passare a Eventi imprevisti & avvisi e quindi selezionare Eventi imprevisti. Tutti gli eventi imprevisti creati sono elencati nella pagina.

    Importante

    Se viene visualizzato un evento imprevisto contrassegnato con Attack disruption, significa che è stato rilevato un attacco avanzato. Vedere Interruzione automatica degli attacchi.

  2. Selezionare un avviso per aprire il riquadro a comparsa, in cui è possibile ottenere altre informazioni sull'avviso.

    Screenshot dell'evento imprevisto selezionato con il riquadro a comparsa aperto

  3. Nel riquadro a comparsa è possibile visualizzare il titolo dell'avviso, visualizzare un elenco di asset (ad esempio dispositivi o account utente) interessati, eseguire azioni disponibili e usare i collegamenti per visualizzare altre informazioni e persino aprire la pagina dei dettagli per l'avviso selezionato.

Consiglio

Defender for Business è progettato per aiutarti ad affrontare le minacce rilevate consigliando le azioni che puoi intraprendere. Quando si visualizza un avviso, cercare questi suggerimenti. Si noti anche la gravità dell'avviso, determinata non solo in base alla gravità della minaccia rilevata, ma anche al livello di rischio per l'azienda.

Gravità dell'avviso

Quando viene rilevata una minaccia, a ogni avviso generato viene assegnato un livello di gravità.

  • Microsoft Defender Antivirus assegna una gravità dell'avviso in base alla gravità assoluta di una minaccia rilevata (ad esempio il malware) e al rischio potenziale per un singolo dispositivo (se infettato).
  • Defender for Business assegna una gravità dell'avviso in base alla gravità del comportamento rilevato, al rischio effettivo per un dispositivo e, soprattutto, al potenziale rischio per l'azienda.

La tabella seguente elenca alcuni esempi di avvisi e i relativi livelli di gravità:

Scenario Gravità e motivo dell'avviso
L'interruzione automatica degli attacchi rileva un attacco avanzato e contiene dispositivi o account utente per impedire che l'attacco proceda. Elevato. Le funzionalità di interruzione degli attacchi consentono di contenere un attacco in modo che il team IT/sicurezza possa risolverlo.
Microsoft Defender Antivirus rileva e arresta una minaccia prima che venga danneggiata. Informazioni. La minaccia è stata arrestata prima di qualsiasi danno è stato fatto.
Microsoft Defender Antivirus rileva il malware in esecuzione all'interno dell'azienda. Il malware viene arrestato e corretto. Basso. Anche se alcuni danni potrebbero essere stati fatti a un singolo dispositivo, il malware ora non rappresenta alcuna minaccia per la vostra azienda.
Il malware in esecuzione viene rilevato da Defender per le aziende. Il malware è bloccato quasi immediatamente. Medio o Alto. Il malware rappresenta una minaccia per i singoli dispositivi e per l'azienda.
Viene rilevato un comportamento sospetto, ma non vengono ancora eseguite azioni correttive. Bassa, Media o Alta. La gravità dipende dal grado in cui il comportamento rappresenta una minaccia per l'azienda.

Passaggi successivi