Eseguire indagini sugli incidenti in Microsoft Defender per endpoint

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Analizzare gli eventi imprevisti che influiscono sulla rete, comprendere il significato e confrontare le prove per risolverli.

Quando si esamina un evento imprevisto, si noterà:

• Dettagli incidente
• Commenti e azioni degli eventi imprevisti
• Schede (avvisi, dispositivi, indagini, prove, grafico)

Analizzare i dettagli dell'evento imprevisto

Consiglio

Per un periodo di tempo limitato nel mese di gennaio 2024, quando si visita la pagina Eventi imprevisti , viene visualizzato Defender Boxed. Defender Boxed evidenzia i successi, i miglioramenti e le azioni di risposta della sicurezza dell'organizzazione durante il 2023. Per riaprire Defender Boxed, nel portale di Microsoft Defender passare a Eventi imprevisti e quindi selezionare Defender Boxed.

Fare clic su un evento imprevisto per visualizzare il riquadro Eventi imprevisti. Selezionare Apri pagina degli eventi imprevisti per visualizzare i dettagli dell'evento imprevisto e le informazioni correlate (avvisi, dispositivi, indagini, prove, grafico).

Avvisi

È possibile analizzare gli avvisi e vedere come sono stati collegati tra loro in un evento imprevisto. Gli avvisi vengono raggruppati in eventi imprevisti in base ai motivi seguenti:

• Indagine automatizzata: l'indagine automatizzata ha attivato l'avviso collegato durante l'analisi dell'avviso originale
• Caratteristiche dei file: i file associati all'avviso hanno caratteristiche simili
• Associazione manuale: un utente ha collegato manualmente gli avvisi
• Tempo massimo: gli avvisi sono stati attivati nello stesso dispositivo entro un determinato intervallo di tempo
• Stesso file: i file associati all'avviso sono esattamente gli stessi
• Stesso URL: l'URL che ha attivato l'avviso è esattamente lo stesso

È anche possibile gestire un avviso e visualizzare i metadati degli avvisi insieme ad altre informazioni. Per altre informazioni, vedere Analizzare gli avvisi.

Dispositivi

È anche possibile analizzare i dispositivi che fanno parte o sono correlati a un determinato evento imprevisto. Per altre informazioni, vedere Analizzare i dispositivi.

Indagini

Selezionare Indagini per visualizzare tutte le indagini automatiche avviate dal sistema in risposta agli avvisi degli eventi imprevisti.

Esaminare le prove

Microsoft Defender per endpoint analizza automaticamente tutti gli eventi supportati dagli eventi imprevisti e le entità sospette negli avvisi, fornendo risposte automatiche e informazioni su file, processi, servizi e altro ancora importanti.

Ognuna delle entità analizzate verrà contrassegnata come infetta, correzione o sospetta.

Visualizzazione delle minacce associate alla cybersecurity

Microsoft Defender per endpoint aggrega le informazioni sulle minacce in un evento imprevisto in modo da poter visualizzare i modelli e le correlazioni provenienti da vari punti dati. È possibile visualizzare tale correlazione tramite il grafico degli eventi imprevisti.

Grafico degli eventi imprevisti

Il grafico racconta la storia dell'attacco alla cybersecurity. Ad esempio, mostra qual era il punto di ingresso, quale indicatore di compromissione o attività è stato osservato in quale dispositivo. and so on.

È possibile fare clic sui cerchi nel grafico degli eventi imprevisti per visualizzare i dettagli dei file dannosi, i rilevamenti di file associati, il numero di istanze in tutto il mondo, se è stato osservato nell'organizzazione, in caso affermativo, il numero di istanze.

Argomenti correlati

• Coda incidenti
• Eseguire indagini sugli incidenti in Microsoft Defender per endpoint
• Gestire gli eventi imprevisti Microsoft Defender per endpoint

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.