Analizzare gli eventi imprevisti in Microsoft Defender XDR

  • Articolo

Nota

Vuoi provare Microsoft Defender XDR? Altre informazioni su come valutare e pilotare Microsoft Defender XDR.

Si applica a:

  • Microsoft Defender XDR

Microsoft Defender XDR aggrega tutti gli avvisi, gli asset, le indagini e le prove correlati da tutti i dispositivi, gli utenti e le cassette postali in un evento imprevisto per dare un'occhiata completa all'intera ampiezza di un attacco.

All'interno di un evento imprevisto, si analizzano gli avvisi che influiscono sulla rete, si comprende il significato e si confrontano le prove in modo da poter elaborare un piano di correzione efficace.

Indagine iniziale

Prima di approfondire i dettagli, esaminare le proprietà e l'intera storia di attacco dell'evento imprevisto.

È possibile iniziare selezionando l'evento imprevisto dalla colonna segno di spunta. Di seguito viene riportato un esempio.

Selezione di un evento imprevisto nel portale di Microsoft Defender

Quando si esegue questa operazione, viene aperto un riquadro di riepilogo con informazioni chiave sull'evento imprevisto, ad esempio la gravità, a cui è assegnato e le categorie MITRE ATT&CK™ per l'evento imprevisto. Di seguito viene riportato un esempio.

Riquadro che visualizza i dettagli di riepilogo per un evento imprevisto nel portale di Microsoft Defender.

Da qui è possibile selezionare Apri pagina evento imprevisto. Verrà aperta la pagina principale dell'evento imprevisto in cui sono disponibili le informazioni complete sulla storia dell'attacco e le schede per avvisi, dispositivi, utenti, indagini e prove.

È anche possibile aprire la pagina principale di un evento imprevisto selezionando il nome dell'evento imprevisto dalla coda degli eventi imprevisti.

Storia dell'attacco

Le storie di attacco consentono di esaminare, analizzare e correggere rapidamente gli attacchi, visualizzando la storia completa dell'attacco nella stessa scheda. Consente inoltre di esaminare i dettagli dell'entità ed eseguire azioni correttive, ad esempio l'eliminazione di un file o l'isolamento di un dispositivo senza perdere contesto.

La storia dell'attacco è brevemente descritta nel video seguente.

All'interno della storia dell'attacco è possibile trovare la pagina degli avvisi e il grafico degli eventi imprevisti.

La pagina degli avvisi degli eventi imprevisti include le sezioni seguenti:

  • Storia dell'avviso, che include:

    • Cos'è successo
    • Azioni intraprese
    • Eventi correlati

  • Proprietà degli avvisi nel riquadro destro (stato, dettagli, descrizione e altri)

Si noti che non tutti gli avvisi avranno tutte le sottosezioni elencate nella sezione Della storia avviso .

Il grafico mostra l'intero ambito dell'attacco, il modo in cui l'attacco si è diffuso attraverso la rete nel tempo, dove è iniziato e fino a che punto l'utente malintenzionato è andato. Connette le diverse entità sospette che fanno parte dell'attacco con gli asset correlati, ad esempio utenti, dispositivi e cassette postali.

Dal grafico è possibile:

  • Riprodurre gli avvisi e i nodi nel grafico man mano che si sono verificati nel tempo per comprendere la cronologia dell'attacco.

    Screenshot che mostra la riproduzione degli avvisi e dei nodi nella pagina del grafico del brano di attacco.

  • Aprire un riquadro dell'entità, consentendo di esaminare i dettagli dell'entità e intervenire sulle azioni di correzione, ad esempio l'eliminazione di un file o l'isolamento di un dispositivo.

    Screenshot che mostra la revisione dei dettagli dell'entità nella pagina del grafico del brano di attacco.

  • Evidenziare gli avvisi in base all'entità a cui sono correlati.

  • Cercare le informazioni sull'entità di un dispositivo, un file, un indirizzo IP o un URL.

L'opzione go hunt sfrutta la funzionalità di ricerca avanzata per trovare informazioni rilevanti su un'entità. La query go hunt controlla le tabelle dello schema pertinenti per eventuali eventi o avvisi che interessano l'entità specifica che si sta analizzando. È possibile selezionare una delle opzioni per trovare informazioni rilevanti sull'entità:

  • Vedere tutte le query disponibili: l'opzione restituisce tutte le query disponibili per il tipo di entità in corso di analisi.
  • Tutte le attività: la query restituisce tutte le attività associate a un'entità, fornendo una visualizzazione completa del contesto dell'evento imprevisto.
  • Avvisi correlati: la query cerca e restituisce tutti gli avvisi di sicurezza che interessano un'entità specifica, assicurandosi di non perdere alcuna informazione.

Selezione dell'opzione vai a caccia su un dispositivo in una storia di attacco

I log o gli avvisi risultanti possono essere collegati a un evento imprevisto selezionando un risultato e quindi selezionando Collega all'evento imprevisto.

Evidenziazione dell'opzione di collegamento all'evento imprevisto nei risultati della query go hunt

Riepilogo

Usare la pagina Riepilogo per valutare l'importanza relativa dell'evento imprevisto e accedere rapidamente agli avvisi associati e alle entità interessate. La pagina Riepilogo offre una panoramica degli elementi principali da notare sull'evento imprevisto.

Screenshot che mostra le informazioni di riepilogo per un evento imprevisto nel portale di Microsoft Defender.

Le informazioni sono organizzate in queste sezioni.

Sezione Descrizione
Avvisi e categorie Visualizzazione visiva e numerica dell'avanzamento dell'attacco rispetto alla kill chain. Come per altri prodotti di sicurezza Microsoft, Microsoft Defender XDR è allineato al framework MITRE ATT&CK™. La sequenza temporale degli avvisi mostra l'ordine cronologico in cui si sono verificati gli avvisi e per ognuno, il relativo stato e nome.
Ambito Visualizza il numero di dispositivi, utenti e cassette postali interessati ed elenca le entità in ordine di livello di rischio e priorità di indagine.
Prove Visualizza il numero di entità interessate dall'evento imprevisto.
Informazioni sugli eventi imprevisti Visualizza le proprietà dell'evento imprevisto, ad esempio tag, stato e gravità.

Avvisi

Nella scheda Avvisi è possibile visualizzare la coda di avvisi per gli avvisi correlati all'evento imprevisto e altre informazioni su di essi, ad esempio:

  • Gravità.
  • Entità coinvolte nell'avviso.
  • Origine degli avvisi (Microsoft Defender per identità, Microsoft Defender per endpoint, Microsoft Defender per Office 365, Defender per app cloud e componente aggiuntivo per la governance delle app).
  • Il motivo per cui erano collegati tra loro.

Di seguito viene riportato un esempio.

Riquadro Avvisi per un evento imprevisto nel portale di Microsoft Defender

Per impostazione predefinita, gli avvisi vengono ordinati in ordine cronologico per consentire di vedere come si è svolto l'attacco nel tempo. Quando si seleziona un avviso all'interno di un evento imprevisto, Microsoft Defender XDR visualizza le informazioni di avviso specifiche per il contesto dell'evento imprevisto complessivo.

È possibile visualizzare gli eventi dell'avviso, che altri avvisi attivati hanno causato l'avviso corrente, e tutte le entità e le attività interessate coinvolte nell'attacco, inclusi dispositivi, file, utenti e cassette postali.

Di seguito viene riportato un esempio.

Dettagli di un avviso all'interno di un evento imprevisto nel portale di Microsoft Defender.

Informazioni su come usare la coda degli avvisi e le pagine degli avvisi in analizzare gli avvisi.

Risorse

Visualizza e gestisci facilmente tutti gli asset in un'unica posizione con la nuova scheda Asset . Questa visualizzazione unificata include dispositivi, utenti, cassette postali e app.

Nella scheda Asset viene visualizzato il numero totale di asset accanto al relativo nome. Quando si seleziona la scheda Asset viene visualizzato un elenco di diverse categorie con il numero di asset all'interno di tale categoria.

Pagina Asset per un evento imprevisto nel portale di Microsoft Defender

Dispositivi

La visualizzazione Dispositivi elenca tutti i dispositivi correlati all'evento imprevisto. Di seguito viene riportato un esempio.

Pagina Dispositivi per un evento imprevisto nel portale di Microsoft Defender

Selezionando un dispositivo dall'elenco viene aperta una barra che consente di gestire il dispositivo selezionato. È possibile esportare, gestire rapidamente i tag, avviare un'indagine automatizzata e altro ancora.

È possibile selezionare il segno di spunta per un dispositivo per visualizzare i dettagli del dispositivo, i dati della directory, gli avvisi attivi e gli utenti connessi. Selezionare il nome del dispositivo per visualizzare i dettagli del dispositivo nell'inventario dei dispositivi defender per endpoint. Di seguito viene riportato un esempio.

Opzioni Dispositivi nella pagina Asset del portale di Microsoft Defender.

Dalla pagina del dispositivo è possibile raccogliere informazioni aggiuntive sul dispositivo, ad esempio tutti i relativi avvisi, una sequenza temporale e consigli di sicurezza. Ad esempio, dalla scheda Sequenza temporale è possibile scorrere la sequenza temporale del dispositivo e visualizzare tutti gli eventi e i comportamenti osservati nel computer in ordine cronologico, intervallati dagli avvisi generati. Ecco un esempio

Dettagli di un dispositivo nella pagina Dispositivo del portale di Microsoft Defender.

Consiglio

È possibile eseguire analisi su richiesta in una pagina del dispositivo. Nel portale Microsoft Defender scegliere Endpoint Inventario dispositivi>. Selezionare un dispositivo con avvisi e quindi eseguire un'analisi antivirus. Le azioni, ad esempio le analisi antivirus, vengono rilevate e sono visibili nella pagina Inventario dispositivi . Per altre informazioni, vedere Eseguire l'analisi antivirus Microsoft Defender nei dispositivi.

Utenti

La visualizzazione Utenti elenca tutti gli utenti che sono stati identificati come parte o correlati all'evento imprevisto. Di seguito viene riportato un esempio.

Pagina Utenti nel portale di Microsoft Defender.

È possibile selezionare il segno di spunta per un utente per visualizzare i dettagli della minaccia, dell'esposizione e delle informazioni di contatto dell'account utente. Selezionare il nome utente per visualizzare altri dettagli dell'account utente.

Informazioni su come visualizzare informazioni aggiuntive sull'utente e gestire gli utenti di un evento imprevisto per analizzare gli utenti.

Cassette postali

La visualizzazione Cassette postali elenca tutte le cassette postali identificate come parte o correlate all'evento imprevisto. Di seguito viene riportato un esempio.

Pagina Cassette postali per un evento imprevisto nel portale di Microsoft Defender.

È possibile selezionare il segno di spunta per una cassetta postale per visualizzare un elenco di avvisi attivi. Selezionare il nome della cassetta postale per visualizzare altri dettagli della cassetta postale nella pagina Esplora risorse per Defender per Office 365.

App

La visualizzazione App elenca tutte le app identificate come parte o correlate all'evento imprevisto. Di seguito viene riportato un esempio.

Pagina App per un evento imprevisto nel portale di Microsoft Defender.

È possibile selezionare il segno di spunta per un'app per visualizzare un elenco di avvisi attivi. Selezionare il nome dell'app per visualizzare altri dettagli nella pagina Esplora risorse per Defender per app cloud.

Indagini

La scheda Indagini elenca tutte le indagini automatizzate attivate dagli avvisi in questo evento imprevisto. Le indagini automatizzate eseguiranno azioni correttive o attenderanno l'approvazione delle azioni da parte degli analisti, a seconda di come sono state configurate le indagini automatizzate per l'esecuzione in Defender per endpoint e Defender per Office 365.

Pagina Indagini per un evento imprevisto nel portale di Microsoft Defender

Selezionare un'indagine per passare alla relativa pagina dei dettagli per informazioni complete sullo stato di indagine e correzione. Se sono presenti azioni in sospeso per l'approvazione nell'ambito dell'indagine, verranno visualizzate nella scheda Cronologia azioni in sospeso . Intervenire come parte della correzione degli eventi imprevisti.

È anche disponibile una scheda Grafico di indagine che mostra:

  • Connessione degli avvisi agli asset interessati nell'organizzazione.
  • Quali entità sono correlate a quali avvisi e come fanno parte della storia dell'attacco.
  • Avvisi per l'evento imprevisto.

Il grafico di analisi consente di comprendere rapidamente l'intero ambito dell'attacco connettendo le diverse entità sospette che fanno parte dell'attacco con gli asset correlati, ad esempio utenti, dispositivi e cassette postali.

Per altre informazioni, vedere Analisi automatizzata e risposta in Microsoft Defender XDR.

Evidenza e risposta

La scheda Evidenza e risposta mostra tutti gli eventi supportati e le entità sospette negli avvisi dell'evento imprevisto. Di seguito viene riportato un esempio.

Pagina Evidenza e risposta per un evento imprevisto nel portale di Microsoft Defender

Microsoft Defender XDR analizza automaticamente tutti gli eventi supportati dagli eventi imprevisti e le entità sospette negli avvisi, fornendo informazioni su messaggi di posta elettronica, file, processi, servizi, indirizzi IP e altro ancora importanti. Ciò consente di rilevare e bloccare rapidamente le potenziali minacce nell'evento imprevisto.

Ognuna delle entità analizzate è contrassegnata con un verdetto (dannoso, sospetto, pulito) e uno stato di correzione. In questo modo è possibile comprendere lo stato di correzione dell'intero evento imprevisto e quali passaggi successivi è possibile eseguire.

Approvare o rifiutare le azioni correttive

Per gli eventi imprevisti con stato di correzione In sospeso, è possibile approvare o rifiutare un'azione correttiva dall'interno dell'evento imprevisto.

  1. Nel riquadro di spostamento passare a Eventi imprevisti & avvisiEventi imprevisti>.
  2. Filtrare in base all'azione In sospeso per lo stato di indagine automatizzato (facoltativo).
  3. Selezionare un nome di evento imprevisto per aprire la pagina di riepilogo.
  4. Selezionare la scheda Evidenza e risposta .
  5. Selezionare un elemento nell'elenco per aprire il riquadro a comparsa.
  6. Esaminare le informazioni e quindi eseguire una delle operazioni seguenti:
    • Selezionare l'opzione Approva azione in sospeso per avviare un'azione in sospeso.
    • Selezionare l'opzione Rifiuta azione in sospeso per impedire l'esecuzione di un'azione in sospeso.

L'opzione Approva/Rifiuta nel riquadro di gestione dell'evidenza e della risposta per un evento imprevisto nel portale di Microsoft Defender.

Passaggi successivi

In base alle esigenze:

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.