Gestire gli avvisi di Microsoft Defender per endpoint

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Defender per endpoint notifica eventuali eventi dannosi, attributi e informazioni contestuali tramite avvisi. Viene visualizzato un riepilogo dei nuovi avvisi ed è possibile accedere a tutti gli avvisi nella coda Avvisi.

È possibile gestire gli avvisi selezionando un avviso nella coda Avvisi o nella scheda Avvisi della pagina Dispositivo per un singolo dispositivo.

Se si seleziona un avviso in una di queste posizioni, viene visualizzato il riquadro Gestione avvisi.

Il riquadro Gestione avvisi e la coda Avvisi

Guardare questo video per informazioni su come usare la nuova pagina di avviso Microsoft Defender per endpoint.

È possibile creare un nuovo evento imprevisto dall'avviso o dal collegamento a un evento imprevisto esistente.

Assegnare avvisi

Se un avviso non è ancora stato assegnato, è possibile selezionare Assegna a me per assegnare l'avviso a se stessi.

Elimina avvisi

Potrebbero esserci scenari in cui è necessario eliminare la visualizzazione degli avvisi in Microsoft Defender XDR. Defender per endpoint consente di creare regole di eliminazione per avvisi specifici noti per essere innocui, ad esempio strumenti o processi noti nell'organizzazione.

Le regole di eliminazione possono essere create da un avviso esistente. Possono essere disabilitati e riabilitati, se necessario.

Quando viene creata una regola di eliminazione, questa avrà effetto dal momento in cui viene creata la regola. La regola non influirà sugli avvisi esistenti già nella coda, prima della creazione della regola. La regola verrà applicata solo agli avvisi che soddisfano le condizioni impostate dopo la creazione della regola.

Per una regola di eliminazione è possibile scegliere tra due contesti:

  • Eliminare l'avviso in questo dispositivo
  • Eliminare l'avviso nell'organizzazione

Il contesto della regola consente di personalizzare ciò che viene visualizzato nel portale e di assicurarsi che nel portale vengano visualizzati solo avvisi di sicurezza reali.

È possibile usare gli esempi nella tabella seguente per scegliere il contesto per una regola di eliminazione:

Contesto Definizione Scenari di esempio
Eliminare l'avviso in questo dispositivo Gli avvisi con lo stesso titolo di avviso e solo in quel dispositivo specifico verranno eliminati.

Tutti gli altri avvisi in tale dispositivo non verranno eliminati.

  • Un ricercatore di sicurezza sta analizzando uno script dannoso che è stato usato per attaccare altri dispositivi nell'organizzazione.
  • Uno sviluppatore crea regolarmente script di PowerShell per il proprio team.
Eliminare l'avviso nell'organizzazione Gli avvisi con lo stesso titolo di avviso in qualsiasi dispositivo verranno eliminati.
  • Uno strumento amministrativo non dannoso viene usato da tutti gli utenti dell'organizzazione.

Eliminare un avviso e creare una nuova regola di eliminazione

Create regole personalizzate per controllare quando gli avvisi vengono eliminati o risolti. È possibile controllare il contesto per quando un avviso viene eliminato specificando il titolo dell'avviso, l'indicatore di compromissione e le condizioni. Dopo aver specificato il contesto, sarà possibile configurare l'azione e l'ambito nell'avviso.

  1. Selezionare l'avviso da eliminare. Verrà visualizzato il riquadro Gestione avvisi .

  2. Selezionare Create una regola di eliminazione.

    È possibile creare una condizione di eliminazione usando questi attributi. Un operatore AND viene applicato tra ogni condizione, quindi l'eliminazione viene eseguita solo se vengono soddisfatte tutte le condizioni.

    • File SHA1
    • Nome file - Caratteri jolly supportati
    • Percorso cartella - Caratteri jolly supportati
    • Indirizzo IP
    • URL - Caratteri jolly supportati
    • Riga di comando - Caratteri jolly supportati
  3. Selezionare il CIO di attivazione.

  4. Specificare l'azione e l'ambito nell'avviso.

    È possibile risolvere automaticamente un avviso o nasconderlo dal portale. Gli avvisi risolti automaticamente verranno visualizzati nella sezione risolta della coda degli avvisi, della pagina degli avvisi e della sequenza temporale del dispositivo e verranno visualizzati come risolti nelle API di Defender per endpoint.

    Gli avvisi contrassegnati come nascosti verranno eliminati dall'intero sistema, sia negli avvisi associati del dispositivo che dal dashboard e non verranno trasmessi nelle API di Defender per endpoint.

  5. Immettere un nome di regola e un commento.

  6. Fare clic su Salva.

Visualizzare l'elenco delle regole di eliminazione

  1. Nel riquadro di spostamento selezionare Impostazioni> Regoleendpoint>Eliminazione>degli avvisi.

  2. L'elenco delle regole di eliminazione mostra tutte le regole create dagli utenti dell'organizzazione.

Per altre informazioni sulla gestione delle regole di eliminazione, vedere Gestire le regole di eliminazione

Modificare lo stato di un avviso

È possibile classificare gli avvisi (nuovi,in corso o risolti) modificandone lo stato man mano che l'indagine procede. In questo modo è possibile organizzare e gestire il modo in cui il team può rispondere agli avvisi.

Ad esempio, un responsabile del team può esaminare tutti i nuovi avvisi e decidere di assegnarli alla coda In corso per un'ulteriore analisi.

In alternativa, il responsabile del team potrebbe assegnare l'avviso alla coda risolta se sa che l'avviso è non dannoso, proveniente da un dispositivo irrilevante (ad esempio uno appartenente a un amministratore della sicurezza) o viene gestito tramite un avviso precedente.

Classificazione dell’avviso

È possibile scegliere di non impostare una classificazione o specificare se un avviso è un avviso vero o falso. È importante fornire la classificazione del vero positivo/falso positivo. Questa classificazione viene usata per monitorare la qualità degli avvisi e rendere gli avvisi più accurati. Il campo "determinazione" definisce la fedeltà aggiuntiva per una classificazione "vero positivo".

I passaggi per classificare gli avvisi sono inclusi in questo video:

Aggiungere commenti e visualizzare la cronologia di un avviso

È possibile aggiungere commenti e visualizzare gli eventi cronologici relativi a un avviso per visualizzare le modifiche precedenti apportate all'avviso.

Ogni volta che viene apportata una modifica o un commento a un avviso, viene registrato nella sezione Commenti e cronologia .

I commenti aggiunti vengono visualizzati istantaneamente nel pannello.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.