Assegnare priorità agli eventi imprevisti nel portale di Microsoft Defender

La piattaforma di operazioni di sicurezza unificata nel portale di Microsoft Defender applica l'analisi di correlazione e aggrega gli avvisi correlati e le indagini automatizzate da diversi prodotti in un evento imprevisto. Microsoft Sentinel e Defender XDR attivano anche avvisi univoci sulle attività che possono essere identificate solo come dannose, data la visibilità end-to-end nella piattaforma unificata nell'intera suite di prodotti. Questa visualizzazione offre agli analisti della sicurezza la storia più ampia degli attacchi, che li aiuta a comprendere meglio e gestire le minacce complesse nell'intera organizzazione.

Importante

Microsoft Sentinel è ora disponibile a livello generale all'interno della piattaforma di operazioni di sicurezza unificata Microsoft nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Coda degli eventi imprevisti

La coda eventi imprevisti mostra una raccolta di eventi imprevisti creati tra dispositivi, utenti, cassette postali e altre risorse. Consente di ordinare gli eventi imprevisti per definire le priorità e creare una decisione di risposta informata alla sicurezza informatica, un processo noto come valutazione degli eventi imprevisti.

È possibile accedere alla coda degli eventi imprevisti da Eventi imprevisti & avvisi Eventi imprevisti > all'avvio rapido del portale di Microsoft Defender. Di seguito viene riportato un esempio.

Screenshot della coda Eventi imprevisti nel portale di Microsoft Defender.

Selezionare Eventi imprevisti e avvisi più recenti per attivare o disattivare l'espansione della sezione superiore, che mostra un grafico della sequenza temporale del numero di avvisi ricevuti e di eventi imprevisti creati nelle ultime 24 ore.

Screenshot del grafico degli eventi imprevisti di 24 ore.

Di seguito, la coda degli eventi imprevisti nel portale di Microsoft Defender visualizza gli eventi imprevisti rilevati negli ultimi sei mesi. È possibile scegliere un intervallo di tempo diverso selezionandolo dall'elenco a discesa nella parte superiore. Gli eventi imprevisti vengono organizzati in base agli aggiornamenti automatici o manuali più recenti apportati a un evento imprevisto. È possibile organizzare gli eventi imprevisti in base alla colonna ora dell'ultimo aggiornamento per visualizzare gli eventi imprevisti in base agli aggiornamenti automatici o manuali più recenti eseguiti.

La coda degli eventi imprevisti include colonne personalizzabili che offrono visibilità sulle diverse caratteristiche dell'evento imprevisto o sulle entità interessate. Questo filtro consente di prendere una decisione informata in merito alla definizione delle priorità degli eventi imprevisti per l'analisi. Selezionare Personalizza colonne per eseguire le personalizzazioni seguenti in base alla visualizzazione preferita:

  • Selezionare/deselezionare le colonne che si desidera visualizzare nella coda degli eventi imprevisti.
  • Disporre l'ordine delle colonne trascinandole.

Screenshot dei controlli di colonna e filtro pagina eventi imprevisti.

Nomi degli eventi imprevisti

Per una maggiore visibilità a colpo d'occhio, Microsoft Defender XDR genera automaticamente i nomi degli eventi imprevisti, in base agli attributi di avviso, ad esempio il numero di endpoint interessati, gli utenti interessati, le origini di rilevamento o le categorie. Questa denominazione specifica consente di comprendere rapidamente l'ambito dell'evento imprevisto.

Ad esempio: evento imprevisto a più fasi su più endpoint segnalato da più origini.

Se microsoft Sentinel è stato caricato nella piattaforma delle operazioni di sicurezza unificata, è probabile che eventuali avvisi e eventi imprevisti provenienti da Microsoft Sentinel vengano modificati ,indipendentemente dal fatto che siano stati creati prima o dopo l'onboarding.

È consigliabile evitare di usare il nome dell'evento imprevisto come condizione per attivare le regole di automazione. Se il nome dell'evento imprevisto è una condizione e il nome dell'evento imprevisto cambia, la regola non verrà attivata.

Filtri

La coda degli eventi imprevisti offre anche più opzioni di filtro, che, se applicate, consentono di eseguire un'ampia analisi di tutti gli eventi imprevisti esistenti nell'ambiente o di decidere di concentrarsi su uno scenario o una minaccia specifici. Applicando i filtri a una coda di eventi imprevisti puoi determinare quale evento richiede un’attenzione immediata.

L'elenco Filtri sopra l'elenco degli eventi imprevisti mostra i filtri attualmente applicati.

Nella coda degli eventi imprevisti predefinita è possibile selezionare Aggiungi filtro per visualizzare l'elenco a discesa Aggiungi filtro da cui specificare i filtri da applicare alla coda eventi imprevisti per limitare il set di eventi imprevisti visualizzati. Di seguito viene riportato un esempio.

Riquadro Filtri per la coda degli eventi imprevisti nel portale di Microsoft Defender.

Selezionare i filtri da usare, quindi selezionare Aggiungi nella parte inferiore dell'elenco per renderli disponibili.

Ora i filtri selezionati vengono visualizzati insieme ai filtri applicati esistenti. Selezionare il nuovo filtro per specificarne le condizioni. Ad esempio, se si sceglie il filtro "Origini servizio/rilevamento", selezionarlo per scegliere le origini in base alle quali filtrare l'elenco.

È anche possibile visualizzare il riquadro Filtro selezionando uno dei filtri nell'elenco Filtri sopra l'elenco degli eventi imprevisti.

Questa tabella elenca i nomi dei filtri disponibili.

Nome filtro Descrizione/Condizioni
Stato Selezionare Nuovo, In corso o Risolto.
Gravità dell'avviso
Gravità dell'evento imprevisto
La gravità di un avviso o di un evento imprevisto è indicativa dell'impatto che può avere sugli asset. Maggiore è la gravità, maggiore è l'impatto e in genere richiede l'attenzione più immediata. Selezionare Alto, Medio, Basso o Informativo.
Assegnazione di eventi imprevisti Selezionare l'utente o gli utenti assegnati.
Più servizi di origine Specificare se il filtro è per più di un'origine del servizio.
Origini di servizio/rilevamento Specificare gli eventi imprevisti che contengono avvisi da uno o più degli eventi seguenti:
  • Microsoft Defender per identità
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender per endpoint
  • Microsoft Defender XDR
  • Microsoft Defender per Office 365
  • App Governance
  • Microsoft Entra ID Protection
  • Prevenzione della perdita di dati Microsoft
  • Microsoft Defender for Cloud
  • Microsoft Sentinel

    Molti di questi servizi possono essere espansi nel menu per rivelare altre scelte di origini di rilevamento all'interno di un determinato servizio.
  • Tag Selezionare uno o più nomi di tag dall'elenco.
    Più categorie Specificare se il filtro è per più di una categoria.
    Categorie Scegliere le categorie per concentrarsi su tattiche, tecniche o componenti di attacco specifici visualizzati.
    Entità Specificare il nome di un asset, ad esempio un utente, un dispositivo, una cassetta postale o un nome di applicazione.
    Riservatezza dei dati Alcuni attacchi sono incentrati sull’estrazione di dati riservati o di valore. Applicando un filtro per etichette di riservatezza specifiche, è possibile determinare rapidamente se le informazioni sensibili sono state potenzialmente compromesse e assegnare priorità alla risoluzione di tali eventi imprevisti.

    Questo filtro visualizza le informazioni solo quando sono state applicate etichette di riservatezza da Microsoft Purview Information Protection.
    Gruppi di dispositivi Specificare il nome di un gruppo di dispositivi .
    Piattaforma del sistema operativo Specificare i sistemi operativi del dispositivo.
    Classificazione Specificare il set di classificazioni degli avvisi correlati.
    Stato dell'indagine automatizzata Specificare lo stato dell'indagine automatizzata.
    Minaccia associata Specificare una minaccia denominata.
    Criteri di avviso Specificare un titolo per i criteri di avviso.
    ID sottoscrizione avviso Specificare un avviso in base a un ID sottoscrizione.

    Il filtro predefinito consiste nel visualizzare tutti gli avvisi e gli eventi imprevisti con stato Nuovo e In corso e con una gravità alta, media o bassa.

    È possibile rimuovere rapidamente un filtro selezionando la X nel nome di un filtro nell'elenco Filtri .

    È anche possibile creare set di filtri all'interno della pagina eventi imprevisti selezionando Query > filtro salvate Crea set di filtri. Se non sono stati creati set di filtri, selezionare Salva per crearne uno.

    Opzione crea set di filtri per la coda degli eventi imprevisti nel portale di Microsoft Defender.

    Nota

    I clienti di Microsoft Defender XDR possono ora filtrare gli eventi imprevisti con avvisi in cui un dispositivo compromesso comunica con dispositivi ot (Operational Technology) connessi alla rete aziendale tramite l'integrazione dell'individuazione dei dispositivi di Microsoft Defender per IoT e Microsoft Defender per endpoint. Per filtrare questi eventi imprevisti, selezionare Qualsiasi nel servizio/origini di rilevamento, quindi selezionare Microsoft Defender per IoT nel nome del prodotto o vedere Analizzare gli eventi imprevisti e gli avvisi in Microsoft Defender per IoT nel portale di Defender. È anche possibile usare i gruppi di dispositivi per filtrare gli avvisi specifici del sito. Per altre informazioni sui prerequisiti di Defender per IoT, vedere Introduzione al monitoraggio IoT aziendale in Microsoft Defender XDR.

    Salvare i filtri personalizzati come URL

    Dopo aver configurato un filtro utile nella coda degli eventi imprevisti, è possibile aggiungere un segnalibro all'URL della scheda del browser o salvarlo come collegamento in una pagina Web, in un documento di Word o in un luogo di propria scelta. Il segnalibro consente di accedere con un solo clic alle visualizzazioni chiave della coda degli eventi imprevisti, ad esempio:

    • Nuovi eventi imprevisti
    • Eventi imprevisti di gravità elevata
    • Eventi imprevisti non assegnati
    • Gravità elevata, eventi imprevisti non assegnati
    • Eventi imprevisti assegnati
    • Eventi imprevisti assegnati a me e per Microsoft Defender per endpoint
    • Eventi imprevisti con tag o tag specifici
    • Eventi imprevisti con una categoria di minacce specifica
    • Eventi imprevisti con una minaccia associata specifica
    • Eventi imprevisti con un attore specifico

    Dopo aver compilato e archiviato l'elenco di visualizzazioni filtro utili come URL, usarlo per elaborare rapidamente e assegnare priorità agli eventi imprevisti nella coda e gestirli per l'assegnazione e l'analisi successive.

    Nella casella Cerca nome o ID sopra l'elenco degli eventi imprevisti è possibile cercare gli eventi imprevisti in diversi modi per trovare rapidamente ciò che si sta cercando.

    Ricerca in base al nome o all'ID dell'evento imprevisto

    Cercare direttamente un evento imprevisto digitando l'ID evento imprevisto o il nome dell'evento imprevisto. Quando si seleziona un evento imprevisto dall'elenco dei risultati della ricerca, il portale di Microsoft Defender apre una nuova scheda con le proprietà dell'evento imprevisto, da cui è possibile avviare l'indagine.

    Ricerca in base agli asset interessati

    È possibile assegnare un nome a un asset, ad esempio un utente, un dispositivo, una cassetta postale, il nome dell'applicazione o una risorsa cloud, e trovare tutti gli eventi imprevisti correlati a tale asset.

    Specificare un intervallo di tempo

    L'elenco predefinito degli eventi imprevisti è per quelli che si sono verificati negli ultimi sei mesi. È possibile specificare un nuovo intervallo di tempo dalla casella a discesa accanto all'icona del calendario selezionando:

    • Un giorno
    • Tre giorni
    • Una settimana
    • 30 giorni
    • 30 giorni
    • Sei mesi
    • Intervallo personalizzato in cui è possibile specificare sia date che ore

    Passaggi successivi

    Dopo aver determinato quale evento imprevisto richiede la priorità più alta, selezionarlo e:

    • Gestire le proprietà dell'evento imprevisto per tag, assegnazione, risoluzione immediata per eventi imprevisti falsi positivi e commenti.
    • Inizia le indagini.

    Vedere anche

    Consiglio

    Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.