Dettagli e risultati di un'indagine automatizzata
Si applica a:
- Microsoft Defender XDR
Con Microsoft Defender XDR, quando viene eseguita un'indagine automatizzata, i dettagli su tale indagine sono disponibili sia durante che dopo il processo di indagine automatizzato. Se si dispone delle autorizzazioni necessarie, è possibile visualizzare tali dettagli in una visualizzazione dei dettagli dell'indagine che fornisce lo stato aggiornato e la possibilità di approvare eventuali azioni in sospeso.
(NUOVO) Pagina di indagine unificata
La pagina di indagine è stata aggiornata di recente per includere informazioni su dispositivi, posta elettronica e contenuto di collaborazione. La nuova pagina di indagine unificata definisce un linguaggio comune e offre un'esperienza unificata per le indagini automatiche tra Microsoft Defender per endpoint e Microsoft Defender per Office 365. Per accedere alla pagina di indagine unificata, selezionare il collegamento nel banner giallo visualizzato in:
- Qualsiasi pagina di indagine nel Portale di conformità di Microsoft Purview
- Qualsiasi pagina di indagine nel portale di Microsoft Defender (https://security.microsoft.com)
- Qualsiasi evento imprevisto o esperienza del Centro notifiche nel portale di Microsoft Defender
Aprire la visualizzazione dei dettagli dell'indagine
È possibile aprire la visualizzazione dei dettagli dell'indagine utilizzando uno dei metodi seguenti:
- Selezionare un elemento nel centro notifiche
- Selezionare un'indagine dalla pagina dei dettagli dell'incidente
Selezionare un elemento nel centro notifiche
Il centro notifiche migliorato (https://security.microsoft.com/action-center) riunisce le azioni di correzione nei dispositivi, la posta elettronica & il contenuto di collaborazione e le identità. Le azioni elencate includono azioni correttive eseguite automaticamente o manualmente. Nel centro notifiche è possibile visualizzare le azioni in attesa di approvazione e le azioni già approvate o completate. È anche possibile passare ad altri dettagli, ad esempio una pagina di indagine.
Consiglio
È necessario disporre di determinate autorizzazioni per approvare, rifiutare o annullare le azioni.
Passare a Microsoft Defender portale e accedere.
Nel riquadro di spostamento, scegliere Centro notifiche.
Nella scheda In sospeso o Cronologia, selezionare un elemento. Verrà aperto il riquadro a comparsa.
Esaminare le informazioni nel riquadro a comparsa e quindi seguire questa procedura:
- Selezionare pagina Apri indagine per visualizzare altri dettagli sull'indagine.
- Selezionare Approva per avviare un'azione in sospeso.
- Selezionare Rifiuta per impedire l'esecuzione di un'azione in sospeso.
- Selezionare Vai a caccia per passare a Ricerca avanzata.
Aprire un'indagine dalla pagina dei dettagli dell'incidente
Utilizzare una pagina dei dettagli di un incidente per visualizzare informazioni dettagliate relative a un incidente, inclusi gli avvisi che sono stati attivati, le informazioni su eventuali dispositivi, gli account utente o le cassette postali interessati.
Passare a Microsoft Defender portale e accedere.
Nel riquadro di spostamento scegliere Eventi imprevisti & avvisiEventi imprevisti>.
Selezionare un elemento nell'elenco e quindi scegliere Apri pagina evento imprevisto.
Selezionare la scheda Indagini e quindi selezionare un'indagine nell'elenco. Verrà aperto il riquadro a comparsa.
Selezionare Apri pagina di indagine.
Di seguito viene riportato un esempio.
Dettagli indagine
Utilizzare la vista dei dettagli dell'indagine per visualizzare le attività passate, attuali e in sospeso relative a un'indagine. Di seguito viene riportato un esempio.
Nella visualizzazione dei dettagli dell'indagine, è possibile vedere le informazioni nelle schede Grafico dell'indagine, Avvisi, Dispositivi, Identità, Risultati principali, Entità, Log, e Azioni in sospeso, descritte nella tabella seguente.
Nota
Le schede specifiche visualizzate nella pagina dei dettagli di un'indagine dipendono dall'abbonamento sottoscritto. Ad esempio, se la sottoscrizione non include Microsoft Defender per Office 365 piano 2, non verrà visualizzata una scheda Cassette postali.
| Scheda | Descrizione |
|---|---|
| Grafico dell'indagine | Fornisce una rappresentazione visiva dell'indagine. Descrive le entità ed elenca le minacce rilevate, insieme agli avvisi e alle eventuali azioni ancora in fase di approvazione. È possibile selezionare un elemento nel grafico per visualizzare altri dettagli. Ad esempio, selezionando l'icona Evidenza si accede alla scheda Evidenza , in cui è possibile visualizzare le entità rilevate e i relativi verdetti. |
| Avvisi | Elenca gli avvisi associati all'indagine. Gli avvisi possono provenire da funzionalità di protezione dalle minacce nel dispositivo di un utente, nelle app di Office, Microsoft Defender for Cloud Apps e in altre funzionalità di Microsoft Defender XDR. Se viene visualizzato un tipo di avviso non supportato, significa che le funzionalità di indagine automatizzata non possono rilevare tale avviso per eseguire un'indagine automatizzata. Tuttavia, è possibile analizzare questi avvisi manualmente. |
| Dispositivi | Elenchi dispositivi inclusi nell'indagine insieme al livello di correzione. I livelli di correzione corrispondono al livello di automazione per i gruppi di dispositivi. |
| Cassette postali | Elenchi cassette postali interessate dalle minacce rilevate. |
| Utenti | Elenchi account utente interessati dalle minacce rilevate. |
| Prove | Elenchi elementi di prova generati da avvisi o indagini. Include i verdetti (Dannoso, Sospetto, Sconosciuto o Nessuna minaccia trovata) e lo stato di correzione. |
| Entità | Fornisce informazioni dettagliate su ogni entità analizzata, incluso un verdetto per ogni tipo di entità (Dannoso, Sospetto o Nessuna minaccia trovata). |
| Log | Fornisce una visualizzazione cronologica e dettagliata di tutte le azioni di indagine eseguite dopo l'attivazione di un avviso. |
| Cronologia azioni in sospeso | Elenca gli elementi che richiedono l'approvazione per continuare. Passare al Centro notifiche (https://security.microsoft.com/action-center) per approvare le azioni in sospeso. |
Stati di indagine
Nella tabella seguente sono elencati gli stati di indagine e gli elementi che indicano.
| Stato dell'indagine | Definizione |
|---|---|
| Benigna | Gli artefatti sono stati indagati e si è determinato che non sono state trovate minacce. |
| PendingResource | Un'indagine automatizzata viene sospesa perché un'azione di correzione è in attesa di approvazione o il dispositivo in cui è stato trovato un artefatto non è temporaneamente disponibile. |
| UnsupportedAlertType | Un'indagine automatizzata non è disponibile per questo tipo di avviso. Ulteriori indagini possono essere eseguite manualmente, usando la ricerca avanzata. |
| Esito negativo | Almeno un analizzatore di analisi ha riscontrato un problema in cui non è stato possibile completare l'indagine. Se un'indagine ha esito negativo dopo l'approvazione delle azioni di correzione, le azioni di correzione potrebbero avere ancora avuto esito positivo. |
| Correzione completata | Un'indagine automatizzata completata e tutte le azioni di correzione sono state completate o approvate. |
Per fornire un contesto più contestuale sulla visualizzazione degli stati di indagine, nella tabella seguente sono elencati gli avvisi e il relativo stato di indagine automatizzato corrispondente. Questa tabella è inclusa come esempio di ciò che un team delle operazioni di sicurezza potrebbe visualizzare nel portale di Microsoft Defender.
| Nome avviso | Gravità | Stato dell'indagine | Stato | Categoria |
|---|---|---|---|---|
| È stato rilevato malware in un file di immagine del disco wim | Informativa | Benigna | Risolti | Malware |
| Malware rilevato in un file di archivio rar | Informativa | PendingResource | Nuovo | Malware |
| Malware rilevato in un file di archivio rar | Informativa | UnsupportedAlertType | New | Malware |
| Malware rilevato in un file di archivio rar | Informativa | UnsupportedAlertType | New | Malware |
| Malware rilevato in un file di archivio rar | Informativa | UnsupportedAlertType | New | Malware |
| Malware rilevato in un file di archivio ZIP | Informativa | PendingResource | New | Malware |
| Malware rilevato in un file di archivio ZIP | Informativa | PendingResource | New | Malware |
| Malware rilevato in un file di archivio ZIP | Informativa | PendingResource | Nuovo | Malware |
| Malware rilevato in un file di archivio ZIP | Informativa | PendingResource | New | Malware |
| Wpakill hacktool è stato impedito | Bassa | Esito negativo | Nuovo | Malware |
| GendowsBatch hacktool è stato impedito | Bassa | Esito negativo | New | Malware |
| Keygen hacktool è stato impedito | Bassa | Esito negativo | Nuovo | Malware |
| Malware rilevato in un file di archivio ZIP | Informativa | PendingResource | New | Malware |
| Malware rilevato in un file di archivio rar | Informativa | PendingResource | New | Malware |
| Malware rilevato in un file di archivio rar | Informativa | PendingResource | New | Malware |
| Malware rilevato in un file di archivio ZIP | Informativa | PendingResource | New | Malware |
| Malware rilevato in un file di archivio rar | Informativa | PendingResource | New | Malware |
| Malware rilevato in un file di archivio rar | Informativa | PendingResource | New | Malware |
| È stato rilevato malware in un file di immagine del disco iso | Informativa | PendingResource | Nuovo | Malware |
| È stato rilevato malware in un file di immagine del disco iso | Informativa | PendingResource | New | Malware |
| Malware rilevato in un file di dati di Outlook pst | Informativa | UnsupportedAlertType | New | Malware |
| Malware rilevato in un file di dati di Outlook pst | Informativa | UnsupportedAlertType | New | Malware |
| MediaGet rilevato | Medio | Parzialmenteinvestita | New | Malware |
| TrojanEmailFile | Medio | Corretto correttamente | Risolti | Malware |
| È stato impedito il malware CustomEnterpriseBlock | Informativa | Corretto correttamente | Risolti | Malware |
| Un malware CustomEnterpriseBlock attivo è stato bloccato | Bassa | Corretto correttamente | Risolti | Malware |
| Un malware CustomEnterpriseBlock attivo è stato bloccato | Bassa | Corretto correttamente | Risolti | Malware |
| Un malware CustomEnterpriseBlock attivo è stato bloccato | Bassa | Corretto correttamente | Risolti | Malware |
| TrojanEmailFile | Medio | Benigna | Risolti | Malware |
| È stato impedito il malware CustomEnterpriseBlock | Informativa | UnsupportedAlertType | New | Malware |
| È stato impedito il malware CustomEnterpriseBlock | Informativa | Corretto correttamente | Risolti | Malware |
| TrojanEmailFile | Medio | Corretto correttamente | Risolti | Malware |
| TrojanEmailFile | Medio | Benigna | Risolti | Malware |
| Un malware CustomEnterpriseBlock attivo è stato bloccato | Bassa | PendingResource | New | Malware |
Passaggi successivi
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.