Comprendere il report Defender Experts for Hunting in Microsoft Defender XDR

  • Articolo

Si applica a:

Microsoft Defender Experts for Hunting livelli di intelligenza umana e tecnologia con formazione avanzata per aiutare Microsoft Defender XDR clienti a comprendere le minacce significative che devono affrontare. Evidenzia in che modo le capacità di ricerca delle minacce di Defender Expert, l'approfondita comprensione del panorama delle minacce e la conoscenza delle minacce emergenti possono aiutare a identificare, assegnare priorità e affrontare tali minacce nell'ambiente.

Il servizio Defender Experts for Hunting genera report che consentono di comprendere tutte le minacce che il servizio di ricerca ha generato nell'ambiente, insieme agli avvisi generati dai prodotti Microsoft Defender XDR. È possibile visualizzare il report nel mese corrente (in esecuzione) o in periodi di uno, tre o sei mesi.

Per visualizzare il report nel portale di Microsoft Defender, passare a Report, selezionare Defender Experts>Defender Experts for Hunting report. Ogni sezione del report è progettata per fornire maggiori informazioni sulle minacce e sulle attività sospette degli esperti defender presenti nell'ambiente in uso.

Fare riferimento allo screenshot seguente di un report di esempio:

Screenshot di un report Defender Experts for Hunting.

Identificare le minacce prevalenti e altri potenziali punti di ingresso degli attacchi

I segnali provenienti da Microsoft Defender XDR e indagini da parte di Defender Experts for Hunting consentono di identificare le attività sospette nell'ambiente. Le attività di minaccia significative avranno le notifiche degli esperti Defender corrispondenti, che forniscono anche raccomandazioni per correggere e difendere l'organizzazione.

Il report fornisce il numero totale di notifiche degli esperti defender inviate dai nostri esperti per il periodo scelto:

Screenshot della sezione superiore del report che mostra il numero di minacce identificate

Per visualizzare queste notifiche, selezionare Visualizza notifiche degli esperti di Defender. Questo pulsante reindirizza l'utente alla pagina Microsoft Defender XDR eventi imprevisti. Gli avvisi Defender Expert for Hunting o Defender Experts Notifications sono etichettati con Defender Experts.

Nota

Il pulsante Visualizza notifiche degli esperti di Defender viene visualizzato solo se il numero di minacce identificate è almeno 1.

Tutte le altre attività identificate sono riepilogate in una tabella nella sezione Categorie di minacce del report. Le colonne rappresentano le diverse tattiche e categorie di attacchi alle minacce che consentono di visualizzare l'obiettivo di un'attività in ogni fase di attacco, in modo da pianificare le azioni di contenimento e correzione corrispondenti.

È possibile filtrare le attività visualizzate nella tabella scegliendo una delle opzioni seguenti nel menu a discesa:

  • Attività sospette (impostazione predefinita): visualizza le attività true positive e true positive nell'ambiente in uso. Si noti che non tutte le attività sospette avranno notifiche di Defender Expert corrispondenti.
  • Notifica DEX : visualizza le attività solo con le notifiche degli esperti Defender corrispondenti.
  • Tutte le attività : visualizza tutte le attività positive, positive e false positive.

Screenshot della sezione superiore della sezione Categorie di minacce che mostra il menu a discesa.

Se un'attività ha una notifica di Defender Expert correlata, viene visualizzata anche l'icona corrispondente sotto il nome dell'attività. Selezionando un'attività sospetta identificata viene aperto un pannello a comparsa che illustra in dettaglio i dispositivi e gli utenti interessati:

Screenshot di un pannello a comparsa che mostra un elenco di dispositivi interessati da un'attività sospetta rilevata.

Se applicabile, la pagina fornisce anche collegamenti per visualizzare le notifiche di Defender Expert correlate.

Conoscere e comprendere i punti deboli della sicurezza nell'ambiente

La sezione Attività sospette di tendenza principali del report identifica fino a 20 attività sospette che sono state costantemente osservate nell'ambiente negli ultimi tre mesi, ordinate in base alla classificazione di gravità e alla frequenza di occorrenza:

Screenshot della sezione Attività sospette di tendenza principali del report.

Mostrando le attività più critiche e osservate di frequente, è possibile valutarne e valutarne l'impatto e sviluppare strategie per prevenire o attenuare potenziali minacce per l'ambiente

Selezionare Visualizza dettagli in ogni scheda per aprire un pannello a comparsa che illustra in dettaglio i dispositivi e gli utenti interessati. Se applicabile, la pagina fornisce anche collegamenti per visualizzare le notifiche di Defender Expert correlate.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.