Assegnare priorità agli eventi imprevisti in Microsoft Defender XDR

Nota

Vuoi provare Microsoft Defender XDR? Altre informazioni su come valutare e pilotare Microsoft Defender XDR.

Si applica a:

  • Microsoft Defender XDR

Microsoft Defender XDR applica l'analisi di correlazione e aggrega gli avvisi correlati e le indagini automatizzate di prodotti diversi in un evento imprevisto. Microsoft Defender XDR attiva anche avvisi univoci sulle attività che possono essere identificate come dannose solo a causa della visibilità end-to-end in Microsoft Defender XDR ha nell'intera suite di prodotti. Questa visualizzazione offre agli analisti della sicurezza la storia più ampia degli attacchi, che li aiuta a comprendere meglio e gestire le minacce complesse nell'intera organizzazione.

La coda Eventi imprevisti mostra una raccolta di eventi imprevisti creati tra dispositivi, utenti e cassette postali. Consente di ordinare gli eventi imprevisti per definire le priorità e creare una decisione di risposta informata alla sicurezza informatica, un processo noto come valutazione degli eventi imprevisti.

Consiglio

Per un periodo di tempo limitato nel mese di gennaio 2024, quando si visita la pagina Eventi imprevisti , viene visualizzato Defender Boxed. Defender Boxed evidenzia i successi, i miglioramenti e le azioni di risposta della sicurezza dell'organizzazione durante il 2023. Per riaprire Defender Boxed, nel portale di Microsoft Defender passare a Eventi imprevisti e quindi selezionare Defender Boxed.

È possibile accedere alla coda degli eventi imprevisti da Eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender. Di seguito viene riportato un esempio.

La sezione Evento imprevisto che mostra la coda degli eventi imprevisti nel portale di Microsoft Defender.

La sezione Eventi imprevisti e avvisi più recenti mostra un grafico del numero di avvisi ricevuti e di eventi imprevisti creati nelle ultime 24 ore.

Per impostazione predefinita, la coda degli eventi imprevisti nel portale di Microsoft Defender visualizza gli eventi imprevisti visualizzati negli ultimi sei mesi. L'evento imprevisto più recente è nella parte superiore dell'elenco, quindi è possibile visualizzarlo per primo.

La coda degli eventi imprevisti include colonne personalizzabili (selezionare Scegli colonne) che offrono visibilità sulle diverse caratteristiche dell'evento imprevisto o sulle entità interessate. Questo filtro consente di prendere una decisione informata in merito alla definizione delle priorità degli eventi imprevisti per l'analisi.

Per una maggiore visibilità a colpo d'occhio, la denominazione automatica degli eventi imprevisti genera nomi di eventi imprevisti in base agli attributi di avviso, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini di rilevamento o le categorie. In questo modo è possibile comprendere rapidamente l'ambito dell'incidente.

Ad esempio: evento imprevisto a più fasi su più endpoint segnalato da più origini.

Nota

Gli eventi imprevisti che si sono verificati prima dell'implementazione della denominazione automatica degli eventi imprevisti non verranno modificati.

La coda degli eventi imprevisti offre anche più opzioni di filtro, che, se applicate, consentono di eseguire un'ampia analisi di tutti gli eventi imprevisti esistenti nell'ambiente o di decidere di concentrarsi su uno scenario o una minaccia specifici. Applicando i filtri a una coda di eventi imprevisti puoi determinare quale evento richiede un’attenzione immediata.

L'elenco Filtri sopra l'elenco degli eventi imprevisti mostra i filtri attualmente applicati.

Filtri disponibili

Nella coda degli eventi imprevisti predefinita è possibile selezionare Filtro per visualizzare un riquadro Filtro da cui si specifica un set filtrato di eventi imprevisti. Di seguito viene riportato un esempio.

Riquadro Filtri per la coda degli eventi imprevisti nel portale di Microsoft Defender.

È anche possibile visualizzare il riquadro Filtro selezionando uno dei filtri nell'elenco Filtri sopra l'elenco degli eventi imprevisti.

Questa tabella elenca i nomi dei filtri disponibili.

Nome filtro Descrizione
Stato Selezionare Nuovo, In corso o Risolto.
Gravità La gravità di un evento imprevisto è indicativa dell'impatto che può avere sugli asset. Maggiore è la gravità, maggiore è l'impatto e in genere richiede l'attenzione più immediata. Selezionare Alto, Medio, Basso o Informativo.
Assegnazione di eventi imprevisti Selezionare l'utente o gli utenti assegnati.
Più servizi di origine Specificare se il filtro è per più di un'origine del servizio.
Servizi di origine Specificare gli eventi imprevisti che contengono avvisi da: Governance delle app, Microsoft Defender XDR, Microsoft Defender per Office 365, Microsoft Defender per endpoint, Microsoft Defender per identità, Microsoft Defender for Cloud Apps.
Tag Selezionare uno o più nomi di tag dall'elenco.
Più categorie Specificare se il filtro è per più di una categoria.
Categories Scegliere le categorie per concentrarsi su tattiche, tecniche o componenti di attacco specifici visualizzati.
Entità Specificare il nome di un asset, ad esempio un utente, un dispositivo, una cassetta postale o un nome di applicazione.
Riservatezza dei dati Alcuni attacchi sono incentrati sull’estrazione di dati riservati o di valore. Applicando un filtro per etichette di riservatezza specifiche, è possibile determinare rapidamente se le informazioni sensibili sono state potenzialmente compromesse e assegnare priorità alla risoluzione di tali eventi imprevisti.

Questo filtro visualizza le informazioni solo quando sono state applicate etichette di riservatezza da Microsoft Purview Information Protection.
Gruppi di dispositivi Specificare il nome di un gruppo di dispositivi .
Piattaforma del sistema operativo Specificare i sistemi operativi del dispositivo.
Classificazione Specificare il set di classificazioni degli avvisi correlati.
Stato dell'indagine automatizzata Specificare lo stato dell'indagine automatizzata.
Minaccia associata Specificare una minaccia denominata.
Criteri di avviso Specificare un titolo per i criteri di avviso.

Il filtro predefinito consiste nel visualizzare tutti gli avvisi e gli eventi imprevisti con stato Nuovo e In corso e con una gravità Bassa, Media o Alta.

È possibile rimuovere rapidamente un filtro selezionando la X nel nome di un filtro nell'elenco Filtri .

È anche possibile creare set di filtri all'interno della pagina eventi imprevisti selezionando i set di filtri di creazione.

Opzione create filter sets (Crea set di filtri) per la coda degli eventi imprevisti nel portale di Microsoft Defender.

Salvare i filtri personalizzati come URL

Dopo aver configurato un filtro utile nella coda degli eventi imprevisti, è possibile aggiungere un segnalibro all'URL della scheda del browser o salvarlo in altro modo come collegamento in una pagina Web, un documento Word o una posizione di propria scelta. Il segnalibro consente di accedere con un solo clic alle visualizzazioni chiave della coda degli eventi imprevisti, ad esempio:

  • Nuovi eventi imprevisti
  • Eventi imprevisti di gravità elevata
  • Eventi imprevisti non assegnati
  • Gravità elevata, eventi imprevisti non assegnati
  • Eventi imprevisti assegnati
  • Eventi imprevisti assegnati a me e per Microsoft Defender per endpoint
  • Eventi imprevisti con tag o tag specifici
  • Eventi imprevisti con una categoria di minacce specifica
  • Eventi imprevisti con una minaccia associata specifica
  • Eventi imprevisti con un attore specifico

Dopo aver compilato e archiviato l'elenco di visualizzazioni filtro utili come URL, usarlo per elaborare rapidamente e assegnare priorità agli eventi imprevisti nella coda e gestirli per l'assegnazione e l'analisi successive.

Cercare gli eventi imprevisti

Nella casella Cerca nome o ID sopra l'elenco degli eventi imprevisti è possibile digitare l'ID evento imprevisto o il nome dell'evento imprevisto. Quando si seleziona un evento imprevisto dall'elenco dei risultati della ricerca, il portale di Microsoft Defender apre una nuova scheda con le proprietà dell'evento imprevisto, da cui è possibile avviare l'indagine.

Cercare gli asset interessati

È possibile assegnare un nome a un asset, ad esempio un utente, un dispositivo, una cassetta postale o un nome dell'applicazione, e trovare tutti gli eventi imprevisti correlati.

Specificare un intervallo di tempo

L'elenco predefinito degli eventi imprevisti è per quelli che si sono verificati negli ultimi sei mesi. È possibile specificare un nuovo intervallo di tempo dalla casella a discesa accanto all'icona del calendario selezionando:

  • Un giorno
  • Tre giorni
  • Una settimana
  • 30 giorni
  • 30 giorni
  • Sei mesi
  • Intervallo personalizzato in cui è possibile specificare sia date che ore

Passaggi successivi

Dopo aver determinato quale evento imprevisto richiede la priorità più alta, selezionarlo e:

  • Gestire le proprietà dell'evento imprevisto per tag, assegnazione, risoluzione immediata per eventi imprevisti falsi positivi e commenti.
  • Inizia le indagini.

Vedere anche

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.