Condividi tramite

Rispondere a un evento imprevisto usando il portale di Defender

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come rispondere a un evento imprevisto usando Microsoft Sentinel nel portale di Defender, che illustra la valutazione, l'indagine e la risoluzione.

Prerequisiti

Analizzare gli eventi imprevisti nel portale di Defender:

Processo di risposta agli eventi imprevisti

Quando si lavora nel portale di Defender, eseguire il triage iniziale, la risoluzione e i passaggi di follow-up come faresti normalmente. Durante l'analisi, assicurarsi di:

  • Comprendere l'evento imprevisto e il relativo ambito esaminando le sequenze temporali degli asset.
  • Esaminare le azioni in sospeso di riparazione automatica, correggere manualmente le entità ed eseguire un intervento in tempo reale.
  • Aggiungere misure di prevenzione.

L'area aggiunta microsoft Sentinel del portale di Defender consente di approfondire l'indagine, tra cui:

  • Comprendere l'ambito dell'evento imprevisto correlandolo con i processi di sicurezza, i criteri e le procedure (3P).
  • Esecuzione di azioni automatizzate di analisi e correzione 3P e creazione di playbook di orchestrazione, automazione e risposta (SOAR) di sicurezza personalizzati.
  • Registrazione di prove per la gestione degli eventi imprevisti.
  • Aggiunta di misure personalizzate.

Per altre informazioni, vedere:

Automazione con Microsoft Sentinel

Assicurarsi di sfruttare il playbook e la funzionalità delle regole di automazione di Microsoft Sentinel:

  • Un playbook è una raccolta di azioni di indagine e correzione che possono essere eseguite dal portale di Microsoft Sentinel come routine. I playbook consentono di automatizzare e orchestrare la risposta alle minacce. Possono essere eseguiti manualmente su richiesta su eventi imprevisti, entità e avvisi oppure impostati per l'esecuzione automatica in risposta a avvisi o eventi imprevisti specifici, quando viene attivata da una regola di automazione. Per ulteriori informazioni, consulta Automazione della risposta alle minacce con manuali operativi.

  • regole di automazione sono un modo per gestire centralmente l'automazione in Microsoft Sentinel, consentendo di definire e coordinare un piccolo set di regole che possono essere applicate in diversi scenari. Per altre informazioni, vedere Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione.

Dopo l'onboarding dell'area di lavoro di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, tenere presente che esistono differenze nel funzionamento dell'automazione nell'area di lavoro. Per altre informazioni, vedere Automazione con la piattaforma unificata per le operazioni di sicurezza.

Risposta post-evento imprevisto

Dopo aver risolto l'evento imprevisto, segnalare l'evento imprevisto al responsabile della risposta agli eventi imprevisti per determinare altre azioni. Per esempio:

  • Informare gli analisti della sicurezza di livello 1 per rilevare meglio l'attacco in anticipo.
  • Ricerca l'attacco in Microsoft Defender XDR Threat Analytics e nella community di sicurezza per le tendenze degli attacchi alla sicurezza. Per altre informazioni, vedere Analisi delle minacce in Microsoft Defender XDR.
  • In base alle esigenze, registrare il flusso di lavoro usato per risolvere l'evento imprevisto e aggiornare i flussi di lavoro, i processi, i criteri e i playbook standard.
  • Determinare se sono necessarie modifiche alla configurazione di sicurezza e implementarle.
  • Creare un playbook di orchestrazione per automatizzare e orchestrare la risposta alle minacce per un rischio simile in futuro. Per ulteriori informazioni, vedere Automatizza la risposta alle minacce con i playbook in Microsoft Sentinel.

Contenuto correlato

Per altre informazioni, vedere: