Condividi tramite

Gestire e rispondere agli avvisi di sicurezza

Defender for Cloud raccoglie, analizza e integra i dati di log dalle risorse di Azure, ibride e multicloud, dalla rete e dalle soluzioni partner connesse, ad esempio firewall e agenti endpoint. Defender for Cloud usa i dati di log per rilevare minacce reali e ridurre i falsi positivi. Un elenco di avvisi di sicurezza con priorità viene visualizzato in Defender for Cloud insieme alle informazioni necessarie per analizzare rapidamente il problema e i passaggi da eseguire per correggere un attacco.

Questo articolo illustra come visualizzare ed elaborare gli avvisi di Defender for Cloud e proteggere le risorse.

Quando si valutano gli avvisi di sicurezza, è necessario classificare in ordine di priorità gli avvisi in base alla gravità dell'avviso, risolvendo prima gli avvisi di gravità più elevati. Altre informazioni sulla classificazione degli avvisi.

Suggerimento

È possibile connettere Microsoft Defender for Cloud alle soluzioni SIEM, tra cui Microsoft Sentinel e usare gli avvisi dello strumento preferito. Altre informazioni su come trasmettere gli avvisi a una soluzione SIEM, SOAR o gestione dei servizi IT.

Prerequisiti

Per i prerequisiti e i requisiti, vedere Matrici di supporto per Defender for Cloud.

Gestire gli avvisi di sicurezza

Segui questi passaggi:

  1. Accedi al portale di Azure.

  2. Passare a Microsoft Defender for Cloud>Avvisi di sicurezza.

    Screenshot che mostra la pagina degli avvisi di sicurezza dalla pagina di panoramica di Microsoft Defender for Cloud.

  3. (Facoltativo) Filtrare l'elenco degli avvisi con uno dei filtri pertinenti. È possibile aggiungere filtri aggiuntivi con l'opzione Aggiungi filtro .

    Screenshot che mostra come aggiungere filtri alla visualizzazione avvisi.

    L'elenco viene aggiornato in base ai filtri selezionati. Ad esempio, è possibile risolvere gli avvisi di sicurezza che si sono verificati nelle ultime 24 ore perché si sta esaminando una potenziale violazione nel sistema.

Analizzare un avviso di sicurezza

Ogni avviso contiene informazioni relative all'avviso che consente di eseguire l'indagine.

Per analizzare un avviso di sicurezza:

  1. Selezionare un avviso. Viene aperto un riquadro laterale e viene visualizzata una descrizione dell'avviso e di tutte le risorse interessate.

    Screenshot della visualizzazione dei dettagli di alto livello di un avviso di sicurezza.

  2. Esaminare le informazioni generali sull'avviso di sicurezza.

    • Gravità dell'avviso, stato e tempo attività
    • Descrizione che spiega l'attività precisa rilevata
    • Risorse interessate
    • Finalità kill chain della matrice MITRE ATT&CK, se applicabile

  3. Selezionare Visualizza dettagli completi.

    Il riquadro destro include la scheda Dettagli avviso contenente altri dettagli dell'avviso per analizzare il problema: indirizzi IP, file, processi e altro ancora.

    Screenshot che mostra la pagina con tutti i dettagli per una notifica.

    Anche nel riquadro destro è la scheda Azione di esecuzione . Usare questa scheda per eseguire altre azioni relative all'avviso di sicurezza. Azioni come:

    • Esaminare il contesto delle risorse : invia i log attività della risorsa che supportano l'avviso di sicurezza
    • Attenuare la minaccia : fornisce passaggi di correzione manuali per questo avviso di sicurezza
    • Prevenire attacchi futuri : fornisce raccomandazioni sulla sicurezza per ridurre la superficie di attacco, aumentare il comportamento di sicurezza e quindi prevenire attacchi futuri
    • Attivare una risposta automatica : offre l'opzione per attivare un'app per la logica come risposta a questo avviso di sicurezza
    • Elimina avvisi simili : consente di eliminare gli avvisi futuri con caratteristiche simili se l'avviso non è pertinente per l'organizzazione

    Screenshot che mostra le opzioni disponibili nella scheda Prendere un'azione.

    Per altri dettagli, contattare il proprietario della risorsa per verificare se l'attività rilevata è un falso positivo. È anche possibile analizzare i log non elaborati generati dalla risorsa attaccata.

Modificare lo stato di più avvisi di sicurezza contemporaneamente

L'elenco degli avvisi include caselle di controllo che consentono di gestire più avvisi contemporaneamente. Ad esempio, a scopo di valutazione, è possibile decidere di ignorare tutti gli avvisi informativi per una risorsa specifica.

  1. Filtrare in base agli avvisi da gestire in blocco.

    In questo esempio vengono selezionati gli avvisi di gravità Informational per la risorsa ASC-AKS-CLOUD-TALK.

    Screenshot che mostra come filtrare gli avvisi per visualizzare gli avvisi correlati.

  2. Usare le caselle di controllo per selezionare gli avvisi da elaborare.

    In questo esempio vengono selezionati tutti gli avvisi. Il pulsante Cambia stato è ora disponibile.

    Screenshot della selezione di tutti gli avvisi da gestire in blocco.

  3. Usare le opzioni Cambia stato per impostare lo stato desiderato.

    Screenshot della scheda relativa allo stato degli avvisi di sicurezza.

    Gli avvisi visualizzati nella pagina corrente hanno lo stato modificato nel valore selezionato.

Rispondere a un avviso di sicurezza

Dopo aver esaminato un avviso di sicurezza, è possibile rispondere all'avviso da Microsoft Defender for Cloud.

Per rispondere a un avviso di sicurezza:

  1. Aprire la scheda Azione per visualizzare le risposte consigliate.

    Screenshot della scheda Azioni di esecuzione degli avvisi di sicurezza.

  2. Esaminare la sezione Attenuare la minaccia per i passaggi di indagine manuali necessari per attenuare il problema.

  3. Per rafforzare le risorse e prevenire attacchi futuri di questo tipo, correggere le raccomandazioni sulla sicurezza nella sezione Impedire attacchi futuri .

  4. Per attivare un'app per la logica con passaggi di risposta automatizzati, usare la sezione Trigger automated response (Attiva risposta automatizzata ) e selezionare Trigger logic app (Attiva app per la logica).

  5. Se l'attività rilevata non è dannosa, è possibile eliminare gli avvisi futuri di questo tipo usando la sezione Elimina avvisi simili e selezionare Crea regola di eliminazione.

  6. Selezionare Configura impostazioni di notifica tramite posta elettronica per visualizzare gli utenti che ricevono messaggi di posta elettronica relativi agli avvisi di sicurezza in questa sottoscrizione. Contattare il proprietario della sottoscrizione per configurare le impostazioni di posta elettronica.

  7. Dopo aver completato l'indagine dell'avviso e aver risposto nel modo appropriato, cambiare lo stato in Ignorato.

    Screenshot del menu a discesa dello stato dell'avviso.

    L'avviso viene rimosso dall'elenco di avvisi principale. È possibile usare il filtro dalla pagina elenco avvisi per visualizzare tutti gli avvisi con stato Ignorato .

  8. Ti invitiamo a fornire commenti e suggerimenti sull'avviso a Microsoft:

    1. Contrassegnare l'avviso come utile o non utile.
    2. Selezionare un motivo e aggiungere un commento.

    Screenshot della finestra per fornire feedback a Microsoft che consente di valutare l'utilità di una notifica.

Suggerimento

Vengono esaminati i commenti e suggerimenti per migliorare gli algoritmi e fornire avvisi di sicurezza migliori.

Per informazioni sui diversi tipi di avvisi, vedere Avvisi di sicurezza - guida di riferimento.

Per una panoramica del modo in cui Defender for Cloud genera avvisi, vedere Come Microsoft Defender for Cloud rileva e risponde alle minacce.

Esaminare i risultati dell'analisi senza agente

I risultati per lo scanner basato su agente e senza agente vengono visualizzati nella pagina Avvisi di sicurezza.

Screenshot della pagina degli avvisi di sicurezza che mostra i risultati dell'analisi basata su agente e senza agente.

Annotazioni

La correzione di uno di questi avvisi non correggerà l'altro avviso fino al completamento dell'analisi successiva.

Contenuti correlati

  • Last updated on