Dettagli e risultati di un'azione di interruzione automatica degli attacchi
Si applica a:
- Microsoft Defender XDR
Con Microsoft Defender XDR, quando si attiva un'interruzione automatica degli attacchi, sono disponibili informazioni dettagliate sul rischio e sullo stato di contenimento degli asset compromessi durante e dopo il processo. È possibile visualizzarli nella pagina Evento imprevisto, che fornisce i dettagli completi dell'attacco e lo stato aggiornato degli asset associati.
Esaminare il grafico degli eventi imprevisti
Microsoft Defender XDR'interruzione automatica degli attacchi è incorporata nella visualizzazione Eventi imprevisti. La revisione del grafico degli eventi imprevisti consente di ottenere l'intera storia dell'attacco e di valutare l'impatto e lo stato dell'interruzione dell'attacco.
Di seguito sono riportati alcuni esempi dell'aspetto:
- Gli eventi imprevisti interrotti includono un tag per "Interruzione degli attacchi" e il tipo di minaccia specifico identificato (ad esempio, ransomware). Se si effettua la sottoscrizione alle notifiche di posta elettronica degli eventi imprevisti, questi tag vengono visualizzati anche nei messaggi di posta elettronica.
- Notifica evidenziata sotto il titolo dell'evento imprevisto che indica che l'evento imprevisto è stato interrotto.
- Gli utenti sospesi e i dispositivi contenuti vengono visualizzati con un'etichetta che indica il loro stato.
Per rilasciare un account utente o un dispositivo dal contenimento, fare clic sull'asset contenuto e fare clic su Rilascia dal contenimento per un dispositivo o abilitare l'utente per un account utente.
Tenere traccia delle azioni nel Centro notifiche
Il Centro notifiche (https://security.microsoft.com/action-center) riunisce azioni di correzione e risposta nei dispositivi, posta elettronica & contenuto di collaborazione e identità. Le azioni elencate includono azioni di correzione eseguite automaticamente o manualmente. È possibile visualizzare le azioni di interruzione automatica degli attacchi nel Centro notifiche.
Dopo aver mitigato il rischio e completato l'analisi di un evento imprevisto, è possibile rilasciare gli asset contenuti dal riquadro dei dettagli dell'azione( ad esempio, abilitare un account utente disabilitato o rilasciare un dispositivo dal contenimento). Per altre informazioni sul centro notifiche, vedere Centro notifiche.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Passaggio successivo
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per