Condividi tramite


Passaggio 4. Rispondere a un evento imprevisto usando Microsoft Sentinel e Microsoft Defender XDR

Questo articolo fornisce un set generale di passaggi e procedure per risolvere un evento imprevisto usando Microsoft Sentinel e Microsoft Defender XDR, che include valutazione, indagine e risoluzione. Microsoft Sentinel e Microsoft Defender XDR condividono:

  • Gli aggiornamenti relativi al ciclo di vita (stato, proprietario, classificazione) vengono condivisi tra i prodotti.
  • Le prove raccolte durante un'indagine vengono visualizzate nell'evento imprevisto di Microsoft Sentinel.

Le illustrazioni seguenti illustrano in che modo la soluzione XDR (Extended Detection and Response) di Microsoft si integra facilmente con Microsoft Sentinel, a seconda che l'area di lavoro di Microsoft Sentinel sia stata onboarding nella piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender.

La figura seguente illustra come la soluzione XDR di Microsoft si integra perfettamente con Microsoft Sentinel con la piattaforma unificata per le operazioni di sicurezza.

Diagramma della soluzione Microsoft per XDR con Microsoft Sentinel e la piattaforma unificata per le operazioni di sicurezza.

In questo diagramma:

  • Informazioni dettagliate dai segnali dell'intera organizzazione in Microsoft Defender XDR e Microsoft Defender per il cloud.
  • Microsoft Sentinel offre supporto per ambienti multicloud e si integra con app e partner di terze parti.
  • I dati di Microsoft Sentinel vengono inseriti insieme ai dati dell'organizzazione nel portale di Microsoft Defender.
  • I team SecOps possono quindi analizzare e rispondere alle minacce identificate da Microsoft Sentinel e Microsoft Defender XDR nel portale di Microsoft Defender.

Processo di risposta agli eventi imprevisti

Il processo di risposta agli eventi imprevisti per risolvere un evento imprevisto tramite Microsoft Sentinel e Microsoft Defender XDR varia a seconda che l'area di lavoro sia stata usata per la piattaforma unificata per le operazioni di sicurezza e possa accedere a Microsoft Sentinel nel portale di Defender.

  1. Usare il portale di Defender per valutare il potenziale evento imprevisto, che include la comprensione dei dettagli dell'evento imprevisto e l'esecuzione di azioni immediate.

  2. Continuare l'indagine nel portale di Defender, tra cui:

    • Comprendere l'evento imprevisto e il relativo ambito ed esaminare le sequenze temporali degli asset.
    • Revisione delle azioni in sospeso di riparazione automatica, correzione manuale delle entità, esecuzione di risposta in tempo reale.
    • Aggiunta di misure di prevenzione.

    Usare l'area di Microsoft Sentinel del portale di Defender per approfondire l'indagine, tra cui:

    • Comprendere l'ambito dell'evento imprevisto correlandolo con i processi di sicurezza, i criteri e le procedure (3P).
    • Esecuzione di azioni automatizzate di analisi e correzione 3P e creazione di playbook di orchestrazione, automazione e risposta (SOAR) di sicurezza personalizzati.
    • Registrazione di prove per la gestione degli eventi imprevisti.
    • Aggiunta di misure personalizzate.
  3. Risolvere l'evento imprevisto ed eseguire il follow-up appropriato all'interno del team di sicurezza.

Per altre informazioni, vedi:

Indipendentemente dal portale usato, assicurarsi di sfruttare le funzionalità del playbook e della regola di automazione di Microsoft Sentinel:

  • Un playbook è una raccolta di azioni di indagine e correzione che possono essere eseguite dal portale di Microsoft Sentinel come routine. I playbook consentono di automatizzare e orchestrare la risposta alle minacce. Possono essere eseguiti manualmente su richiesta su eventi imprevisti, entità e avvisi oppure impostati per l'esecuzione automatica in risposta a avvisi o eventi imprevisti specifici, quando viene attivata da una regola di automazione. Per altre informazioni, vedere Automatizzare la risposta alle minacce con i playbook.

  • Le regole di automazione sono un modo per gestire centralmente l'automazione in Microsoft Sentinel, consentendo di definire e coordinare un piccolo set di regole che possono essere applicate in diversi scenari. Per altre informazioni, vedere Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione.

Dopo l'onboarding dell'area di lavoro di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, tenere presente che esistono differenze nel funzionamento dell'automazione nell'area di lavoro. Per altre informazioni, vedere Automazione con la piattaforma unificata per le operazioni di sicurezza.

Passaggio 1: Valutare l'evento imprevisto

Usare questi passaggi come metodo generale per valutare l'evento imprevisto con Microsoft Sentinel e Microsoft Defender XDR. Se è stata eseguita l'onboarding dell'area di lavoro nella piattaforma unificata per le operazioni di sicurezza, usare il portale di Defender. In caso contrario, usare il portale di Azure.

Per analizzare gli eventi imprevisti di Microsoft Sentinel nel portale di Defender:

  1. Nel portale di Defender selezionare Indagine e risposta > Eventi imprevisti e avvisi > Imprevisti e individuare l'evento imprevisto sospetto. Filtrare le origini di servizio/rilevamento in Microsoft Sentinel per limitare l'elenco degli eventi imprevisti a quelli provenienti da Microsoft Sentinel.

  2. Selezionare la riga dell'evento imprevisto per visualizzare le informazioni di base nel riquadro di riepilogo degli eventi imprevisti.

  3. Selezionare Gestisci evento imprevisto per aggiornare i dettagli, ad esempio nome, gravità, stato, classificazione o aggiungere commenti. Seleziona Salva per salvare le modifiche.

  4. Selezionare Apri pagina evento imprevisto per continuare l'indagine.

Passaggio 2: Analizzare l'evento imprevisto

Se l'area di lavoro viene eseguita l'onboarding nella piattaforma unificata per le operazioni di sicurezza, rimanere nel portale di Defender per questo passaggio. In caso contrario, iniziare nella portale di Azure. Si passa al portale di Defender per un'indagine e quindi si torna al portale di Azure.

Nel portale di Defender, nella scheda della storia degli attacchi della pagina dei dettagli dell'evento imprevisto, prendere in considerazione i passaggi seguenti per il flusso di lavoro di risposta agli eventi imprevisti:

  1. Visualizzare la storia dell'attacco dell'evento imprevisto per comprendere l'ambito, la gravità, l'origine di rilevamento e le entità interessate.

  2. Analizzare gli avvisi dell'evento imprevisto per comprendere l'origine, l'ambito e la gravità con la storia dell'avviso all'interno dell'evento imprevisto.

  3. In base alle esigenze, raccogliere informazioni su dispositivi, utenti e cassette postali interessati con il grafico. Selezionare un'entità per aprire un riquadro a comparsa con tutti i dettagli.

  4. Scopri in che modo Microsoft Defender XDR ha risolto automaticamente alcuni avvisi con la scheda Indagini .

  5. In base alle esigenze, usare le informazioni nel set di dati per l'evento imprevisto dalla scheda Evidenza e risposta .

  6. Nella scheda Asset visualizzare le entità coinvolte nell'evento imprevisto. Selezionare un account utente, un nome host, un indirizzo IP o una risorsa di Azure per continuare l'analisi nella pagina dei dettagli dell'entità. Ad esempio, se è stato selezionato un utente, nel riquadro dei dettagli utente selezionare Vai alla pagina utente per aprire la pagina dei dettagli dell'entità dell'utente.

  7. Nella pagina dei dettagli dell'entità selezionare Eventi sentinel per visualizzare informazioni dettagliate sulla sequenza temporale sull'entità selezionata e informazioni dettagliate sulle entità.

Passaggio 3: Risolvere l'evento imprevisto

Quando l'indagine ha raggiunto la conclusione e l'evento imprevisto è stato corretto all'interno dei portali, risolvere l'evento imprevisto impostando lo stato dell'evento imprevisto su Chiuso.

Quando si contrassegna lo stato di un evento imprevisto come Chiuso, assicurarsi di selezionare una classificazione, incluse le opzioni true, benigne o false positive.

Ad esempio:

Se necessario, segnalare l'evento imprevisto al responsabile della risposta agli eventi imprevisti per determinare altre azioni. Ad esempio:

  • Informare gli analisti della sicurezza di livello 1 per rilevare meglio l'attacco in anticipo.
  • Ricercare l'attacco in Microsoft Defender XDR Threat Analytics e la community di sicurezza per una tendenza di attacco alla sicurezza.
  • In base alle esigenze, registrare il flusso di lavoro usato per risolvere l'evento imprevisto e aggiornare i flussi di lavoro, i processi, i criteri e i playbook standard.
  • Determinare se sono necessarie modifiche alla configurazione di sicurezza e implementarle.
  • Creare un playbook di orchestrazione per automatizzare e orchestrare la risposta alle minacce per un rischio simile in futuro. Per altre informazioni, vedere Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel.

Di seguito sono riportati i moduli di training consigliati per questo passaggio. Il contenuto di training è incentrato sulle funzionalità di disponibilità generale e pertanto non include contenuto per la piattaforma unificata per le operazioni di sicurezza, disponibile in anteprima.

Gestione degli eventi imprevisti di sicurezza in Microsoft Sentinel

Formazione Gestione degli eventi imprevisti di sicurezza in Microsoft Sentinel
In questo modulo viene esaminata la gestione degli eventi imprevisti di Microsoft Sentinel, vengono fornite informazioni su eventi ed entità di Microsoft Sentinel e vengono illustrati i modi per risolvere gli eventi imprevisti.

Migliorare l'affidabilità con procedure operative moderne: Risposta agli eventi imprevisti

Formazione Training Migliorare l'affidabilità con le procedure operative moderne: Risposta agli eventi imprevisti
Informazioni sugli elementi fondamentali della risposta efficiente agli eventi imprevisti e sugli strumenti di Azure che li rendono possibili.

Informazioni sulla gestione degli eventi imprevisti per la sicurezza di Microsoft 365

Formazione Informazioni sulla gestione degli eventi imprevisti di sicurezza di Microsoft 365
Informazioni sul modo in cui Microsoft 365 esamina, gestisce e risponde ai problemi di sicurezza per proteggere i clienti e l'ambiente cloud di Microsoft 365.

Passaggi successivi

Riferimenti

Usare queste risorse per informazioni sui vari servizi e tecnologie menzionati in questo articolo:

Usare queste risorse per altre informazioni sulla risposta agli eventi imprevisti: