Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come esplorare ed eseguire la valutazione di base degli eventi imprevisti nel portale di Azure.
Prerequisiti
L'assegnazione del ruolo Risponditore Microsoft Sentinel è necessaria per analizzare gli eventi imprevisti.
Altre informazioni sui ruoli in Microsoft Sentinel.
Se si dispone di un utente guest che deve assegnare eventi imprevisti, all'utente deve essere assegnato il ruolo Lettore di directory nel tenant Microsoft Entra. Per impostazione predefinita, questo ruolo è assegnato agli utenti normali (non regolari).
Eventi imprevisti di esplorazione e valutazione
Nel menu di spostamento Microsoft Sentinel selezionare Eventi imprevisti in Gestione delle minacce.
La pagina Eventi imprevisti fornisce informazioni di base su tutti gli eventi imprevisti aperti. Ad esempio:
Nella parte superiore dello schermo è disponibile una barra degli strumenti con azioni che è possibile eseguire all'esterno di un evento imprevisto specifico, nella griglia nel suo complesso o in più eventi imprevisti selezionati. Sono inoltre disponibili i conteggi degli eventi imprevisti aperti, nuovi o attivi, e i conteggi degli eventi imprevisti aperti in base alla gravità.
Nel riquadro centrale è disponibile una griglia degli eventi imprevisti, ovvero un elenco di eventi imprevisti filtrati in base ai controlli di filtro nella parte superiore dell'elenco e una barra di ricerca per individuare eventi imprevisti specifici.
Sul lato è disponibile un riquadro dei dettagli che mostra informazioni importanti sull'evento imprevisto evidenziato nell'elenco centrale, insieme ai pulsanti per l'esecuzione di determinate azioni specifiche relative a tale evento imprevisto.
Il team delle operazioni di sicurezza potrebbe disporre di regole di automazione per eseguire la valutazione di base sui nuovi eventi imprevisti e assegnarli al personale appropriato.
In tal caso, filtrare l'elenco degli eventi imprevisti in base al proprietario per limitare l'elenco agli eventi imprevisti assegnati all'utente o al team. Questo set filtrato rappresenta il carico di lavoro personale.
In caso contrario, è possibile eseguire autonomamente la valutazione di base. Per iniziare, filtrare l'elenco degli eventi imprevisti in base ai criteri di filtro disponibili, indipendentemente dallo stato, dalla gravità o dal nome del prodotto. Per altre informazioni, vedere Cercare gli eventi imprevisti.
Valutare un evento imprevisto specifico e intraprendere immediatamente un'azione iniziale, direttamente dal riquadro dei dettagli nella pagina Eventi imprevisti , senza dover immettere la pagina completa dei dettagli dell'evento imprevisto. Ad esempio:
Analizzare Microsoft Defender XDR eventi imprevisti in Microsoft Defender XDR: seguire il collegamento Investigate in Microsoft Defender XDR per passare all'evento imprevisto parallelo nel portale di Defender. Tutte le modifiche apportate all'evento imprevisto in Microsoft Defender XDR vengono sincronizzate con lo stesso evento imprevisto in Microsoft Sentinel.
Aprire l'elenco delle attività assegnate: Gli eventi imprevisti a cui sono assegnate attività visualizzano un conteggio delle attività completate e totali e un collegamento Visualizza dettagli completi . Seguire il collegamento per aprire la pagina Attività impreviste per visualizzare l'elenco delle attività per questo evento imprevisto.
Assegnare la proprietà dell'evento imprevisto a un utente o a un gruppo selezionando dall'elenco a discesa Proprietario .
Gli utenti e i gruppi selezionati di recente vengono visualizzati nella parte superiore dell'elenco a discesa illustrato.
Aggiornare lo stato dell'evento imprevisto , ad esempio da Nuovo a Attivo o Chiuso, selezionando dall'elenco a discesa Stato . Quando si chiude un evento imprevisto, è necessario specificare un motivo. Per altre informazioni, vedere Chiudere un evento imprevisto.
Modificare la gravità dell'evento imprevisto selezionando dall'elenco a discesa Gravità .
Aggiungere tag per classificare gli eventi imprevisti. Potrebbe essere necessario scorrere verso il basso fino alla fine del riquadro dei dettagli per vedere dove aggiungere i tag.
Aggiungere commenti per registrare azioni, idee, domande e altro ancora. Potrebbe essere necessario scorrere verso il basso fino alla fine del riquadro dei dettagli per vedere dove aggiungere commenti.
Se le informazioni nel riquadro dei dettagli sono sufficienti per richiedere ulteriori azioni di correzione o mitigazione, selezionare il pulsante Azioni nella parte inferiore per eseguire una delle operazioni seguenti:
Azione Descrizione Indagine Usare lo strumento di analisi grafica per individuare le relazioni tra avvisi, entità e attività, sia all'interno di questo evento imprevisto che tra altri eventi imprevisti. Eseguire playbook Eseguire un playbook su questo evento imprevisto per eseguire particolari azioni di arricchimento, collaborazione o risposta, ad esempio i tecnici soc che potrebbero aver reso disponibili. Creare una regola di automazione Creare una regola di automazione che verrà eseguita solo su eventi imprevisti come questo (generati dalla stessa regola di analisi) in futuro, per ridurre il carico di lavoro futuro o per tenere conto di una modifica temporanea dei requisiti (ad esempio per un test di penetrazione). Creare un team (anteprima) Creare un team in Microsoft Teams per collaborare con altri utenti o team in tutti i reparti per gestire l'evento imprevisto. Ad esempio:
Se sono necessarie altre informazioni sull'evento imprevisto, selezionare Visualizza dettagli completi nel riquadro dei dettagli per aprire e visualizzare i dettagli dell'evento imprevisto nella loro interezza, inclusi gli avvisi e le entità nell'evento imprevisto, un elenco di eventi imprevisti simili e informazioni dettagliate principali selezionate.
Cercare gli eventi imprevisti
Per trovare rapidamente un evento imprevisto specifico, immettere una stringa di ricerca nella casella di ricerca sopra la griglia degli eventi imprevisti e premere INVIO per modificare l'elenco degli eventi imprevisti visualizzato di conseguenza. Se l'evento imprevisto non è incluso nei risultati, è possibile limitare la ricerca usando le opzioni di ricerca avanzate .
Per modificare i parametri di ricerca, selezionare il pulsante Cerca e quindi selezionare i parametri in cui si vuole eseguire la ricerca.
Ad esempio:
Per impostazione predefinita, le ricerche degli eventi imprevisti vengono eseguite solo nei valori ID evento imprevisto, Titolo, Tag, Proprietario e Nome prodotto . Nel riquadro di ricerca scorrere verso il basso l'elenco per selezionare uno o più altri parametri da cercare e selezionare Applica per aggiornare i parametri di ricerca. Selezionare Imposta per reimpostare per impostazione predefinita i parametri selezionati sull'opzione predefinita.
Nota
Le ricerche nel campo Proprietario supportano sia i nomi che gli indirizzi di posta elettronica.
L'uso delle opzioni di ricerca avanzate modifica il comportamento di ricerca come indicato di seguito:
| Comportamento di ricerca | Descrizione |
|---|---|
| Colore pulsante di ricerca | Il colore del pulsante di ricerca cambia, a seconda dei tipi di parametri attualmente in uso nella ricerca.
|
| Aggiornamento automatico | L'uso di parametri di ricerca avanzati impedisce di selezionare per aggiornare automaticamente i risultati. |
| Parametri dell'entità | Tutti i parametri di entità sono supportati per le ricerche avanzate. Durante la ricerca in qualsiasi parametro di entità, la ricerca viene eseguita in tutti i parametri di entità. |
| Stringhe di ricerca | La ricerca di una stringa di parole include tutte le parole nella query di ricerca. Le stringhe di ricerca fanno distinzione tra maiuscole e minuscole. |
| Supporto tra aree di lavoro | Le ricerche avanzate non sono supportate per le visualizzazioni tra aree di lavoro. |
| Numero di risultati della ricerca visualizzati | Quando si usano parametri di ricerca avanzati, vengono visualizzati solo 50 risultati alla volta. |
Consiglio
Se non è possibile trovare l'evento imprevisto che si sta cercando, rimuovere i parametri di ricerca per espandere la ricerca. Se la ricerca restituisce troppi elementi, aggiungere altri filtri per limitare i risultati.
Chiudere un evento imprevisto
Dopo aver risolto un particolare evento imprevisto (ad esempio, quando l'indagine raggiunge la conclusione), impostare lo stato dell'evento imprevisto su Chiuso. In questo caso, viene richiesto di classificare l'evento imprevisto specificando il motivo per cui lo si sta chiudendo. Questo passaggio è obbligatorio.
Selezionare Seleziona classificazione e scegliere una delle opzioni seguenti nell'elenco a discesa:
- True Positive : attività sospetta
- Positivo benigno : sospetto ma previsto
- Falso positivo : logica di avviso non corretta
- Falso positivo : dati non corretti
- Indeterminato
Per altre informazioni sui falsi positivi e sui positivi benigni, vedere Gestire i falsi positivi in Microsoft Sentinel.
Dopo aver scelto la classificazione appropriata, aggiungere del testo descrittivo nel campo Commento . Questa operazione è utile nel caso in cui sia necessario fare riferimento a questo evento imprevisto. Al termine, selezionare Applica e l'evento imprevisto è chiuso.
Passaggio successivo
Per altre informazioni, vedere Analizzare in modo approfondito gli eventi imprevisti Microsoft Sentinel nel portale di Azure