Passaggio 4. Rispondere a un evento imprevisto usando Microsoft Sentinel e Microsoft Defender XDR

• Si applica a:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Questo articolo fornisce un set generale di passaggi e procedure per risolvere un evento imprevisto usando Microsoft Sentinel e Microsoft Defender XDR, che include valutazione, indagine e risoluzione. Microsoft Sentinel e Microsoft Defender XDR condividono:

• Gli aggiornamenti relativi al ciclo di vita (stato, proprietario, classificazione) vengono condivisi tra i prodotti.
• Le prove raccolte durante un'indagine vengono visualizzate nell'evento imprevisto di Microsoft Sentinel.

Le illustrazioni seguenti illustrano in che modo la soluzione XDR (Extended Detection and Response) di Microsoft si integra facilmente con Microsoft Sentinel, a seconda che l'area di lavoro di Microsoft Sentinel sia stata onboarding nella piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender.

Portale di Defender

La figura seguente illustra come la soluzione XDR di Microsoft si integra perfettamente con Microsoft Sentinel con la piattaforma unificata per le operazioni di sicurezza.

In questo diagramma:

• Informazioni dettagliate dai segnali dell'intera organizzazione in Microsoft Defender XDR e Microsoft Defender per il cloud.
• Microsoft Sentinel offre supporto per ambienti multicloud e si integra con app e partner di terze parti.
• I dati di Microsoft Sentinel vengono inseriti insieme ai dati dell'organizzazione nel portale di Microsoft Defender.
• I team SecOps possono quindi analizzare e rispondere alle minacce identificate da Microsoft Sentinel e Microsoft Defender XDR nel portale di Microsoft Defender.

Azure portal

La figura seguente illustra come la soluzione XDR di Microsoft si integra perfettamente con Microsoft Sentinel.

In questo diagramma:

• Informazioni dettagliate dai segnali dell'intera organizzazione in Microsoft Defender XDR e Microsoft Defender per il cloud.
• Microsoft Defender XDR e Microsoft Defender per il cloud inviare dati di log SIEM tramite i connettori di Microsoft Sentinel.
• I team SecOps possono quindi analizzare e rispondere alle minacce identificate nei portali di Microsoft Sentinel e Microsoft Defender.
• Microsoft Sentinel offre supporto per ambienti multicloud e si integra con app e partner di terze parti.

Per altre informazioni sull'integrazione di Microsoft Defender con Microsoft Sentinel, vedere Integrazione di Microsoft Defender XDR con Microsoft Sentinel. Questa guida interattiva illustra come rilevare e rispondere agli attacchi moderni con le funzionalità di gestione unificata delle informazioni di sicurezza e degli eventi (SIEM) di Microsoft e rilevamento e risposta estesa (XDR).

Processo di risposta agli eventi imprevisti

Il processo di risposta agli eventi imprevisti per risolvere un evento imprevisto tramite Microsoft Sentinel e Microsoft Defender XDR varia a seconda che l'area di lavoro sia stata usata per la piattaforma unificata per le operazioni di sicurezza e possa accedere a Microsoft Sentinel nel portale di Defender.

Portale di Defender

1. Usare il portale di Defender per valutare il potenziale evento imprevisto, che include la comprensione dei dettagli dell'evento imprevisto e l'esecuzione di azioni immediate.

2. Continuare l'indagine nel portale di Defender, tra cui:

   • Comprendere l'evento imprevisto e il relativo ambito ed esaminare le sequenze temporali degli asset.
   • Revisione delle azioni in sospeso di riparazione automatica, correzione manuale delle entità, esecuzione di risposta in tempo reale.
   • Aggiunta di misure di prevenzione.

   Usare l'area di Microsoft Sentinel del portale di Defender per approfondire l'indagine, tra cui:

   • Comprendere l'ambito dell'evento imprevisto correlandolo con i processi di sicurezza, i criteri e le procedure (3P).
   • Esecuzione di azioni automatizzate di analisi e correzione 3P e creazione di playbook di orchestrazione, automazione e risposta (SOAR) di sicurezza personalizzati.
   • Registrazione di prove per la gestione degli eventi imprevisti.
   • Aggiunta di misure personalizzate.

3. Risolvere l'evento imprevisto ed eseguire il follow-up appropriato all'interno del team di sicurezza.

Per altre informazioni, vedi:

• Analizzare gli eventi imprevisti in Microsoft Defender XDR
• Risposta agli eventi imprevisti con Microsoft Defender XDR
• Pagine di entità in Microsoft Sentinel

Azure portal

1. Usare Microsoft Sentinel nel portale di Azure per valutare il potenziale evento imprevisto, che include la comprensione dei dettagli dell'evento imprevisto e l'esecuzione di azioni immediate.

2. Passare al portale di Microsoft Defender per avviare l'indagine. Valuta gli ambiti seguenti:

   • Comprendere l'evento imprevisto e il relativo ambito ed esaminare le sequenze temporali degli asset.
   • Revisione delle azioni in sospeso di riparazione automatica, correzione manuale delle entità, esecuzione di risposta in tempo reale.
   • Aggiunta di misure di prevenzione.

3. Se necessario, continuare l'indagine nel portale di Microsoft Sentinel. Valuta gli ambiti seguenti:

   • Comprendere l'ambito dell'evento imprevisto correlandolo con i processi di sicurezza, i criteri e le procedure (3P).
   • Esecuzione di azioni automatizzate di analisi e correzione 3P e creazione di playbook di orchestrazione, automazione e risposta (SOAR) di sicurezza personalizzati.
   • Registrazione di prove per la gestione degli eventi imprevisti.
   • Aggiunta di misure personalizzate.

4. Risolvere l'evento imprevisto nel portale di Microsoft Sentinel ed eseguire il follow-up appropriato all'interno del team di sicurezza.

Per altre informazioni, vedere Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel.

Indipendentemente dal portale usato, assicurarsi di sfruttare le funzionalità del playbook e della regola di automazione di Microsoft Sentinel:

• Un playbook è una raccolta di azioni di indagine e correzione che possono essere eseguite dal portale di Microsoft Sentinel come routine. I playbook consentono di automatizzare e orchestrare la risposta alle minacce. Possono essere eseguiti manualmente su richiesta su eventi imprevisti, entità e avvisi oppure impostati per l'esecuzione automatica in risposta a avvisi o eventi imprevisti specifici, quando viene attivata da una regola di automazione. Per altre informazioni, vedere Automatizzare la risposta alle minacce con i playbook.

• Le regole di automazione sono un modo per gestire centralmente l'automazione in Microsoft Sentinel, consentendo di definire e coordinare un piccolo set di regole che possono essere applicate in diversi scenari. Per altre informazioni, vedere Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione.

Dopo l'onboarding dell'area di lavoro di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, tenere presente che esistono differenze nel funzionamento dell'automazione nell'area di lavoro. Per altre informazioni, vedere Automazione con la piattaforma unificata per le operazioni di sicurezza.

Passaggio 1: Valutare l'evento imprevisto

Usare questi passaggi come metodo generale per valutare l'evento imprevisto con Microsoft Sentinel e Microsoft Defender XDR. Se è stata eseguita l'onboarding dell'area di lavoro nella piattaforma unificata per le operazioni di sicurezza, usare il portale di Defender. In caso contrario, usare il portale di Azure.

Portale di Defender

Per analizzare gli eventi imprevisti di Microsoft Sentinel nel portale di Defender:

1. Nel portale di Defender selezionare Indagine e risposta > Eventi imprevisti e avvisi > Imprevisti e individuare l'evento imprevisto sospetto. Filtrare le origini di servizio/rilevamento in Microsoft Sentinel per limitare l'elenco degli eventi imprevisti a quelli provenienti da Microsoft Sentinel.

2. Selezionare la riga dell'evento imprevisto per visualizzare le informazioni di base nel riquadro di riepilogo degli eventi imprevisti.

3. Selezionare Gestisci evento imprevisto per aggiornare i dettagli, ad esempio nome, gravità, stato, classificazione o aggiungere commenti. Seleziona Salva per salvare le modifiche.

4. Selezionare Apri pagina evento imprevisto per continuare l'indagine.

Azure portal

Per analizzare gli eventi imprevisti nel portale di Azure:

1. In Microsoft Sentinel, in Gestione delle minacce selezionare Eventi imprevisti e individuare l'evento imprevisto sospetto.

2. Nel riquadro di riepilogo degli eventi imprevisti aggiornare i dettagli, ad esempio nome del proprietario, stato, gravità o per aggiungere commenti.

3. Selezionare Visualizza dettagli completi per continuare l'indagine.

Passaggio 2: Analizzare l'evento imprevisto

Se l'area di lavoro viene eseguita l'onboarding nella piattaforma unificata per le operazioni di sicurezza, rimanere nel portale di Defender per questo passaggio. In caso contrario, iniziare nella portale di Azure. Si passa al portale di Defender per un'indagine e quindi si torna al portale di Azure.

Portale di Defender

Nel portale di Defender, nella scheda della storia degli attacchi della pagina dei dettagli dell'evento imprevisto, prendere in considerazione i passaggi seguenti per il flusso di lavoro di risposta agli eventi imprevisti:

1. Visualizzare la storia dell'attacco dell'evento imprevisto per comprendere l'ambito, la gravità, l'origine di rilevamento e le entità interessate.

2. Analizzare gli avvisi dell'evento imprevisto per comprendere l'origine, l'ambito e la gravità con la storia dell'avviso all'interno dell'evento imprevisto.

3. In base alle esigenze, raccogliere informazioni su dispositivi, utenti e cassette postali interessati con il grafico. Selezionare un'entità per aprire un riquadro a comparsa con tutti i dettagli.

4. Scopri in che modo Microsoft Defender XDR ha risolto automaticamente alcuni avvisi con la scheda Indagini .

5. In base alle esigenze, usare le informazioni nel set di dati per l'evento imprevisto dalla scheda Evidenza e risposta .

6. Nella scheda Asset visualizzare le entità coinvolte nell'evento imprevisto. Selezionare un account utente, un nome host, un indirizzo IP o una risorsa di Azure per continuare l'analisi nella pagina dei dettagli dell'entità. Ad esempio, se è stato selezionato un utente, nel riquadro dei dettagli utente selezionare Vai alla pagina utente per aprire la pagina dei dettagli dell'entità dell'utente.

7. Nella pagina dei dettagli dell'entità selezionare Eventi sentinel per visualizzare informazioni dettagliate sulla sequenza temporale sull'entità selezionata e informazioni dettagliate sulle entità.

Azure portal

1. Nella pagina dei dettagli dell'evento imprevisto nella portale di Azure:

   • Visualizzare informazioni generali sull'evento imprevisto nella scheda Panoramica , tra cui la sequenza temporale degli eventi imprevisti, l'elenco di entità e gli eventi imprevisti correlati.

   • Selezionare Ricerca per visualizzare un grafico dell'evento imprevisto.

   • Selezionare la scheda Entità e quindi selezionare un'entità da analizzare ulteriormente. Selezionare la sezione Insights del riquadro delle entità ed esaminare le informazioni dettagliate raccolte sull'evento imprevisto.

   • Selezionare Ricerca in Microsoft Defender XDR per aprire lo stesso evento imprevisto nel portale di Defender.

2. Nel portale di Defender, nella scheda della storia degli attacchi della pagina dei dettagli dell'evento imprevisto, prendere in considerazione i passaggi seguenti per il flusso di lavoro di risposta agli eventi imprevisti:

   1. Visualizzare la storia dell'attacco dell'evento imprevisto per comprendere l'ambito, la gravità, l'origine di rilevamento e le entità interessate.

   2. Analizzare gli avvisi dell'evento imprevisto per comprendere l'origine, l'ambito e la gravità con la storia dell'avviso all'interno dell'evento imprevisto.

   3. In base alle esigenze, raccogliere informazioni su dispositivi, utenti e cassette postali interessati con il grafico. Selezionare un'entità per aprire un riquadro a comparsa con tutti i dettagli.

   4. Scopri in che modo Microsoft Defender XDR ha risolto automaticamente alcuni avvisi con la scheda Indagini .

   5. In base alle esigenze, usare le informazioni nel set di dati per l'evento imprevisto dalla scheda Evidenza e risposta .

3. Tornare al portale di Azure per eseguire azioni aggiuntive sugli eventi imprevisti, ad esempio l'esecuzione di un playbook o la creazione di una regola di automazione.

   Aggiungere commenti all'evento imprevisto per registrare le azioni e i risultati dell'analisi.

Passaggio 3: Risolvere l'evento imprevisto

Quando l'indagine ha raggiunto la conclusione e l'evento imprevisto è stato corretto all'interno dei portali, risolvere l'evento imprevisto impostando lo stato dell'evento imprevisto su Chiuso.

Quando si contrassegna lo stato di un evento imprevisto come Chiuso, assicurarsi di selezionare una classificazione, incluse le opzioni true, benigne o false positive.

Ad esempio:

Portale di Defender

Per altre informazioni, vedere Risolvere un evento imprevisto nel portale di Defender.

Azure portal

Per altre informazioni, vedere Chiusura di un evento imprevisto nel portale di Azure.

Se necessario, segnalare l'evento imprevisto al responsabile della risposta agli eventi imprevisti per determinare altre azioni. Ad esempio:

• Informare gli analisti della sicurezza di livello 1 per rilevare meglio l'attacco in anticipo.
• Ricercare l'attacco in Microsoft Defender XDR Threat Analytics e la community di sicurezza per una tendenza di attacco alla sicurezza.
• In base alle esigenze, registrare il flusso di lavoro usato per risolvere l'evento imprevisto e aggiornare i flussi di lavoro, i processi, i criteri e i playbook standard.
• Determinare se sono necessarie modifiche alla configurazione di sicurezza e implementarle.
• Creare un playbook di orchestrazione per automatizzare e orchestrare la risposta alle minacce per un rischio simile in futuro. Per altre informazioni, vedere Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel.

Formazione consigliata

Di seguito sono riportati i moduli di training consigliati per questo passaggio. Il contenuto di training è incentrato sulle funzionalità di disponibilità generale e pertanto non include contenuto per la piattaforma unificata per le operazioni di sicurezza, disponibile in anteprima.

Gestione degli eventi imprevisti di sicurezza in Microsoft Sentinel

Formazione	Gestione degli eventi imprevisti di sicurezza in Microsoft Sentinel
	In questo modulo viene esaminata la gestione degli eventi imprevisti di Microsoft Sentinel, vengono fornite informazioni su eventi ed entità di Microsoft Sentinel e vengono illustrati i modi per risolvere gli eventi imprevisti.

Inizio >

Migliorare l'affidabilità con procedure operative moderne: Risposta agli eventi imprevisti

Formazione	Training Migliorare l'affidabilità con le procedure operative moderne: Risposta agli eventi imprevisti
	Informazioni sugli elementi fondamentali della risposta efficiente agli eventi imprevisti e sugli strumenti di Azure che li rendono possibili.

Inizio >

Informazioni sulla gestione degli eventi imprevisti per la sicurezza di Microsoft 365

Formazione	Informazioni sulla gestione degli eventi imprevisti di sicurezza di Microsoft 365
	Informazioni sul modo in cui Microsoft 365 esamina, gestisce e risponde ai problemi di sicurezza per proteggere i clienti e l'ambiente cloud di Microsoft 365.

Inizio >

Passaggi successivi

• Vedere Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel e risposta agli eventi imprevisti con Microsoft Defender XDR per altri dettagli sui processi di risposta agli eventi imprevisti all'interno dei portali di Microsoft Sentinel e Microsoft Defender.
• Vedere Panoramica della risposta agli eventi imprevisti per le procedure consigliate per la sicurezza Microsoft.
• Per i flussi di lavoro e gli elenchi di controllo per rispondere ai comuni attacchi informatici, vedere Playbook di risposta agli eventi imprevisti.

Riferimenti

Usare queste risorse per informazioni sui vari servizi e tecnologie menzionati in questo articolo:

• Integrazione di Microsoft Defender XDR con Microsoft Sentinel
• Guida interattiva alle funzionalità SIEM e XDR unificate
• Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
• Automatizzare la risposta alle minacce con playbook
• Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione
• Microsoft Defender XDR Threat Analytics

Usare queste risorse per altre informazioni sulla risposta agli eventi imprevisti:

• Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel
• Risposta agli eventi imprevisti con Microsoft Defender XDR
• Panoramica della risposta agli eventi imprevisti
• Playbook di risposta agli eventi imprevisti