Condividi tramite

Visualizzare e gestire eventi imprevisti e avvisi in Microsoft Defender gestione multi-tenant

  • Si applica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La gestione multi-tenant per Microsoft Defender XDR e Microsoft Sentinel nel portale di Defender consente agli analisti del Centro operativo di sicurezza (SOC) di accedere e analizzare i dati da più tenant e aree di lavoro in un'unica posizione, consentendo loro di identificare e rispondere rapidamente alle minacce. Valutare gli eventi imprevisti e gli avvisi relativi a informazioni di sicurezza e gestione degli eventi (SIEM) e dati di rilevamento e risposta estesi (XDR) per i tenant che hanno caricato un'area di lavoro Microsoft Sentinel nella piattaforma Defender.

Gestire gli eventi imprevisti & gli avvisi provenienti da più tenant e aree di lavoro in Eventi imprevisti & avvisi.

Visualizzare e analizzare gli eventi imprevisti

Per visualizzare o analizzare un evento imprevisto:

  1. Passare alla pagina Eventi imprevisti in Microsoft Defender gestione multi-tenant. Le colonne Nome tenant e Aree di lavoro mostrano da quale tenant proviene l'evento imprevisto:

    Screenshot della pagina Microsoft Defender eventi imprevisti multi-tenant.

  2. Selezionare l'evento imprevisto da visualizzare. Verrà aperto un riquadro a comparsa con il riquadro dei dettagli dell'evento imprevisto, in cui è possibile:

    • Selezionare Apri pagina evento imprevisto per visualizzare l'evento imprevisto in una nuova scheda per il tenant specifico nel portale di Microsoft Defender.
    • Selezionare Gestisci evento imprevisto per assegnare l'evento imprevisto, impostare i tag degli eventi imprevisti, impostare lo stato dell'evento imprevisto e classificare l'evento imprevisto.

Per altre informazioni, vedere Analizzare gli eventi imprevisti.

Gestire più eventi imprevisti

Per gestire gli eventi imprevisti in più tenant e aree di lavoro:

  1. Passare alla pagina Eventi imprevisti in Microsoft Defender gestione multi-tenant.

  2. Scegliere gli eventi imprevisti da gestire dall'elenco eventi imprevisti e selezionare Gestisci eventi imprevisti.

    Screenshot che evidenzia l'opzione gestisci eventi imprevisti nella pagina eventi imprevisti in Microsoft Defender gestione multi-tenant.

Nel riquadro a comparsa eventi imprevisti è possibile assegnare eventi imprevisti, assegnare tag eventi imprevisti, impostare lo stato dell'evento imprevisto e classificare più eventi imprevisti per più tenant contemporaneamente.

Nota

Attualmente, è possibile assegnare solo più eventi imprevisti dallo stesso tenant.

Per altre informazioni sugli eventi imprevisti nel portale di Microsoft Defender, vedere Gestire gli eventi imprevisti.

Visualizzare e analizzare gli avvisi

Per visualizzare o analizzare un avviso:

  1. Passare alla pagina Avvisi in Gestione multi-tenant e selezionare l'avviso che si vuole visualizzare. Verrà aperto un riquadro a comparsa con la pagina dei dettagli dell'avviso:

    Screenshot della pagina dei dettagli dell'avviso per un avviso in Microsoft Defender gestione multi-tenant.

  2. Nel riquadro dei dettagli dell'avviso è possibile:

    • Selezionare azioni come Apri avvisi, Sposta avviso in un altro evento imprevisto e Ottimizza avviso per visualizzare l'avviso in una nuova scheda per il tenant specifico nel portale di Microsoft Defender.
    • Selezionare Gestisci avviso per assegnare l'avviso, impostare lo stato dell'avviso e classificarlo.

Per altre informazioni, vedere Analizzare gli avvisi.

Gestire più avvisi

Per gestire gli avvisi tra più tenant e aree di lavoro:

  1. Passare alla pagina Avvisi in Microsoft Defender gestione multi-tenant.

  2. Scegliere gli avvisi da gestire dall'elenco avvisi e selezionare Gestisci avvisi.

    Screenshot che evidenzia l'opzione gestisci avvisi per gli avvisi selezionati in Microsoft Defender gestione multi-tenant.

Usare il riquadro Gestisci avvisi per impostare lo stato degli avvisi, assegnare avvisi, impostare classificazioni e aggiungere commenti per più avvisi contemporaneamente. Mentre lo stato degli avvisi, le classificazioni e i commenti possono essere aggiunti tra i tenant, l'assegnazione degli avvisi può essere eseguita solo per gli avvisi dello stesso tenant.

Per altre informazioni, vedere Gestire gli avvisi.

Spostare gli avvisi

Spostare un avviso in un altro evento imprevisto per organizzare e correlare meglio gli eventi di sicurezza correlati. Ad esempio, si potrebbe notare che più avvisi fanno parte della stessa violazione della sicurezza e vogliono includerli tutti nello stesso evento imprevisto. Ciò garantisce che tutte le informazioni pertinenti siano raggruppate, consentendo un'analisi e una risposta più efficienti.

Per spostare uno o più avvisi:

  • Nella pagina Avvisi selezionare uno o più avvisi e quindi selezionare Sposta avvisi
  • In un riquadro dei dettagli dell'avviso o nella pagina dei dettagli dell'avviso selezionare Sposta avviso in un altro evento imprevisto

Nel riquadro Sposta avviso a un altro evento imprevisto definire se si vuole creare un nuovo evento imprevisto o usare un evento imprevisto esistente. Se si sceglie di usare un evento imprevisto esistente, cercare l'evento imprevisto in base al nome o all'ID e aggiungere un motivo per la modifica. In tutti i casi, aggiungere un commento che descrive la modifica prima di selezionare Salva.

Contenuto correlato

  • Last updated on