Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Alcune informazioni in questo articolo si riferiscono a un prodotto pre-rilasciato che può essere modificato in modo sostanziale prima che venga rilasciato in commercio. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Il portale Microsoft Defender presenta avvisi, asset, indagini e prove correlati da tutti gli asset a un evento imprevisto per dare un'occhiata completa all'intera ampiezza di un attacco.
All'interno di un evento imprevisto, si analizzano gli avvisi, si comprende il significato e si raccolgono le prove in modo da poter creare un piano di correzione efficace.
Indagine iniziale
Prima di approfondire i dettagli, esaminare le proprietà e l'intera storia di attacco dell'evento imprevisto.
È possibile iniziare selezionando la riga dell'evento imprevisto, ma non selezionando il nome dell'evento imprevisto. Viene aperto un riquadro di riepilogo con informazioni chiave sull'evento imprevisto, tra cui la valutazione della priorità, i fattori che influiscono sul punteggio di priorità, i dettagli dell'evento imprevisto, le azioni consigliate e le minacce correlate. Usare le frecce su e giù nella parte superiore del riquadro per passare all'evento imprevisto precedente o successivo nella coda degli eventi imprevisti.
Da qui è possibile selezionare Apri pagina evento imprevisto. Verrà aperta la pagina principale dell'evento imprevisto in cui sono disponibili le informazioni complete sulla storia dell'attacco e le schede per avvisi, dispositivi, utenti, indagini e prove. È anche possibile aprire la pagina principale di un evento imprevisto selezionando il nome dell'evento imprevisto dalla coda degli eventi imprevisti.
Nota
Quando gli utenti con accesso con provisioning a Microsoft Security Copilot aprono un evento imprevisto, visualizzano il riquadro Copilot sul lato destro dello schermo. Copilot offre informazioni dettagliate e consigli in tempo reale che consentono di analizzare e rispondere agli eventi imprevisti. Per altre informazioni, vedere Microsoft Copilot in Microsoft Defender.
Storia dell'attacco
Le storie di attacco consentono di esaminare, analizzare e correggere rapidamente gli attacchi, visualizzando la storia completa dell'attacco nella stessa scheda. Usando una storia di attacco, è possibile esaminare i dettagli dell'entità ed eseguire azioni correttive, ad esempio l'eliminazione di un file o l'isolamento di un dispositivo senza perdere contesto.
Il video seguente descrive brevemente la storia dell'attacco.
All'interno della storia dell'attacco è possibile trovare la pagina degli avvisi e il grafico degli eventi imprevisti.
La pagina degli avvisi degli eventi imprevisti include le sezioni seguenti:
Storia dell'avviso, che include:
- Cos'è successo
- Azioni intraprese
- Eventi correlati
Proprietà degli avvisi nel riquadro destro (stato, dettagli, descrizione e altri)
Non tutti gli avvisi hanno tutte le sottosezioni elencate nella sezione Della storia avviso .
Il grafico mostra l'intero ambito dell'attacco, il modo in cui l'attacco si è diffuso attraverso la rete nel tempo, dove è iniziato e fino a che punto l'utente malintenzionato è andato. Connette le diverse entità sospette che fanno parte dell'attacco con gli asset correlati, ad esempio utenti, dispositivi e cassette postali.
Dal grafico è possibile:
Riprodurre gli avvisi e i nodi nel grafico man mano che si sono verificati nel tempo per comprendere la cronologia dell'attacco.
Aprire un riquadro dell'entità, consentendo di esaminare i dettagli dell'entità e intervenire sulle azioni di correzione, ad esempio l'eliminazione di un file o l'isolamento di un dispositivo.
Evidenziare gli avvisi in base all'entità a cui sono correlati.
Cercare le informazioni sulle entità di un dispositivo, un file, un indirizzo IP, un URL, un utente, un messaggio di posta elettronica, una cassetta postale o una risorsa cloud.
Iniziare la ricerca
L'azione go hunt usa la funzionalità di ricerca avanzata per trovare informazioni rilevanti su un'entità. La query go hunt controlla le tabelle dello schema pertinenti per eventuali eventi o avvisi che coinvolgono l'entità specifica che si sta analizzando. Per trovare informazioni rilevanti sull'entità, selezionare una delle opzioni seguenti:
- Vedere tutte le query disponibili: restituisce tutte le query disponibili per il tipo di entità in corso di analisi.
- Tutte le attività: restituisce tutte le attività associate a un'entità, offrendo una visualizzazione completa del contesto dell'evento imprevisto.
- Avvisi correlati: cerca e restituisce tutti gli avvisi di sicurezza che coinvolgono un'entità specifica, in modo da non perdere alcuna informazione.
- Tutte le anomalie utente (anteprima): restituisce tutte le anomalie associate all'utente degli ultimi 30 giorni, consentendo di identificare comportamenti insoliti che potrebbero essere rilevanti per l'evento imprevisto. Questa opzione è disponibile solo per le entità utente se si abilita Microsoft Sentinel User and Entity Behavior Analytics (UEBA).This option is available only for user entities if you enable Microsoft Sentinel User and Entity Behavior Analytics (UEBA).
È possibile collegare i log o gli avvisi risultanti a un evento imprevisto selezionando un risultato e quindi selezionando Collega all'evento imprevisto.
Se una regola di analisi impostata ha creato l'evento imprevisto o gli avvisi correlati, è anche possibile selezionare Esegui query per visualizzare altri risultati correlati.
Analisi del raggio di esplosione
L'analisi del raggio di esplosione è una visualizzazione avanzata del grafico integrata nell'esperienza di indagine sugli eventi imprevisti. Basato sulla Microsoft Sentinel data lake e sull'infrastruttura del grafo, genera un grafo interattivo che mostra i possibili percorsi di propagazione dal nodo selezionato alle destinazioni critiche predefinite, con ambito per le autorizzazioni dell'utente.
Nota
L'analisi del raggio di esplosione estende e sostituisce l'analisi del percorso di attacco.
Il grafico del raggio di esplosione offre una visualizzazione unificata univoca delle informazioni di prebreach e post-violazione nella pagina degli eventi imprevisti. Durante un'indagine sugli eventi imprevisti, gli analisti possono vedere l'impatto corrente di una violazione e il possibile impatto futuro in un grafico consolidato. Poiché è integrato nel grafico degli eventi imprevisti, il grafico del raggio di esplosione consente ai team di sicurezza di comprendere meglio l'ambito dell'incidente di sicurezza più velocemente e migliorare le misure difensive per ridurre la probabilità di danni diffusi. L'analisi del raggio di esplosione consente agli analisti di valutare meglio il rischio per obiettivi altamente considerati e comprendere l'impatto aziendale.
Per usare il grafico del raggio di esplosione sono necessari i prerequisiti seguenti:
- È necessario eseguire l'onboarding in Microsoft Sentinel data lake. Per altre informazioni, vedere Onboarding in Microsoft Sentinel data lake e graph.
- Autorizzazione di gestione dell'esposizione (lettura) o superiore. Per altre informazioni, vedere Gestire le autorizzazioni con Microsoft Defender controllo degli accessi in base al ruolo unificato.
Importante
I percorsi di attacco e le funzionalità del raggio di esplosione vengono calcolati in base ai dati dell'ambiente disponibili dell'organizzazione. Il valore nel grafico aumenta man mano che sono disponibili più dati per il calcolo. Se non si abilitano altri carichi di lavoro o non si definiscono completamente gli asset critici, i grafici con raggio di esplosione non rappresentano completamente i rischi ambientali. Per altre informazioni sulla definizione di asset critici, vedere Esaminare e classificare gli asset critici.
La tabella seguente riepiloga i casi d'uso dell'analisi del raggio di esplosione per ruoli utente diversi:
| Ruolo utente | Caso di utilizzo |
|---|---|
| Analista della sicurezza | Usare l'analisi del raggio di esplosione per analizzare un evento imprevisto. Visualizzare immediatamente il componente compromesso al centro del grafico e i percorsi per le destinazioni potenzialmente compromesse. Il grafico fornisce una comprensione visiva intuitiva dell'evento imprevisto e consente di apprendere rapidamente l'ambito potenziale di una violazione. In base alla destinazione e ai percorsi, è possibile eseguire l'escalation e attivare azioni per interrompere, isolare e contenere l'evento imprevisto nei nodi lungo i percorsi della destinazione. |
| Amministratori IT e tecnici SOC | Usare l'analisi del raggio di esplosione per mobilizzare le risorse in base all'impatto aziendale e alla stima dei potenziali danni. I tecnici possono assegnare priorità alle vulnerabilità più critiche che richiedono un'attenzione immediata. Il tecnico può allocare in modo proattivo le risorse necessarie in base alla copertura del raggio di esplosione agli obiettivi critici dell'organizzazione esaminando più nodi contrassegnati da vulnerabilità sulla mappa. Il tecnico può comunicare chiaramente ciò che è stato protetto e ciò che è stato interessato e pianificare e assegnare priorità a difese aggiuntive e segmentazioni di rete necessarie per ridurre l'ulteriore impatto di potenziali attacchi futuri. |
| Team di risposta agli eventi imprevisti | Determinare rapidamente l'ambito dell'evento imprevisto, con una mappa degli eventi imprevisti visiva dinamica che consente loro di intraprendere azioni mirate sui sistemi indicati nel grafico. |
| CISO o responsabili della sicurezza | Usare la funzionalità raggio di esplosione per indicare lo stato corrente, impostare gli obiettivi e gli indicatori delle metriche e usarla per segnalare e controllare per motivi di conformità. La funzionalità può essere usata per tenere traccia dello stato di avanzamento della difesa delle azioni e degli investimenti delle misure di protezione. |
Visualizzare i grafici del raggio di esplosione
Dopo aver selezionato un evento imprevisto dall'elenco nella pagina Eventi imprevisti , in una visualizzazione grafico vengono visualizzate le entità e gli asset coinvolti nell'evento imprevisto.
Selezionare un nodo per aprire il menu di scelta rapida e quindi selezionare Visualizza raggio di esplosione. Se non viene trovato alcun percorso del raggio di esplosione, la voce di menu mostra Nessun raggio di esplosione trovato.
Per visualizzare il raggio di esplosione di un singolo nodo in un gruppo, usare l'interruttore ungroup sopra la griglia per presentare tutti i nodi.
Viene caricata una nuova visualizzazione grafico che mostra gli otto percorsi di attacco con il punteggio più alto. Un elenco completo dei percorsi è visibile nel pannello a destra quando si seleziona Visualizza l'elenco del raggio di esplosione completo sopra il grafico. Dall'elenco delle destinazioni raggiungibili è possibile esplorare ulteriormente il percorso selezionando una delle destinazioni elencate. Il pannello a destra mostra il percorso potenziale dal punto di ingresso a questa destinazione. Ad alcuni nodi potrebbero non essere associati percorsi.
Per una spiegazione delle icone usate per nodi e archi nel grafico a raggio di esplosione, vedere Informazioni su grafici e visualizzazioni in Microsoft Defender.
Selezionare Visualizza elenco raggio di esplosione per visualizzare un elenco di asset di destinazione. Selezionare un asset di destinazione dall'elenco per visualizzarne i dettagli e i potenziali percorsi di attacco. Se si selezionano le notifiche nelle connessioni, vengono visualizzati altri dettagli sulla connessione.
Quando i percorsi portano a destinazioni raggruppate degli stessi tipi, per visualizzare i percorsi discreti alle destinazioni, selezionare le icone raggruppate. Si apre un pannello a destra che mostra tutte le destinazioni nel gruppo. Se si seleziona la casella di controllo a sinistra e si seleziona il pulsante Espandi in alto, ogni destinazione e i relativi percorsi vengono visualizzati separatamente.
Nascondere il grafico del raggio di esplosione e tornare al grafico dell'evento imprevisto originale selezionando il nodo e scegliendo Nascondi raggio di esplosione.
Limitazioni
Al grafico del raggio di esplosione si applicano le limitazioni seguenti:
Limitazioni della lunghezza del percorso (ambito dell'analisi): I calcoli della lunghezza del grafico a raggio di esplosione sono delimitati fino a sette hop dal nodo di origine. Il raggio di esplosione è un'approssimazione dell'intera portata di attacco. Il numero massimo di hop dipende dall'ambiente:
- Cinque hop per il cloud
- Cinque hop per l'ambiente locale
- Tre hop per l'ambiente ibrido
Aggiornamento dei dati: Possono esistere latenze tra una modifica nell'ambiente dell'organizzazione e il riflesso di tale modifica nel grafico del raggio di esplosione. Durante questo periodo, il modello potrebbe essere incompleto.
Percorsi possibili: Il grafico del raggio di esplosione mostra i percorsi possibili. Non garantisce che un utente malintenzionato accetti ogni percorso visualizzato.
Vettori di attacco noti: Il grafico si basa su vettori di attacco noti. Se gli utenti malintenzionati trovano un nuovo movimento laterale o una nuova tecnica che deve ancora essere modellata, non verrà visualizzato nel grafico del raggio di esplosione.
Ambiti utente: Il grafico visualizzato si basa sugli ambiti consentiti per l'utente di visualizzazione. Il grafico mostra solo i nodi e i bordi con ambito per l'utente in base alle impostazioni definite per il controllo degli accessi in base al ruolo e all'ambito. I percorsi contenenti nodi o archi fuori ambito non sono visibili.
Nodi dell'isola: I nodi non connessi potrebbero essere visualizzati nel grafico a causa di modifiche che si verificano tra il momento in cui i dati vengono raccolti e il calcolo del raggio di esplosione.
Dettagli incidente
È possibile visualizzare i dettagli di un evento imprevisto nel riquadro destro di una pagina degli eventi imprevisti. I dettagli dell'evento imprevisto includono l'assegnazione, l'ID, la classificazione, le categorie e la data e l'ora della prima e dell'ultima attività. Include anche una descrizione dell'evento imprevisto, degli asset interessati, degli avvisi attivi e, se applicabile, delle minacce, delle raccomandazioni e del riepilogo e dell'impatto dell'interruzione correlati. Ecco un esempio dei dettagli dell'evento imprevisto in cui è evidenziata la descrizione dell'evento imprevisto.
La descrizione dell'evento imprevisto offre una breve panoramica dell'evento imprevisto. In alcuni casi, il primo avviso nell'evento imprevisto viene usato come descrizione dell'evento imprevisto. In questo caso, la descrizione viene visualizzata solo nel portale e non viene archiviata nel log attività, nelle tabelle di ricerca avanzate o nella Microsoft Sentinel in portale di Azure.
Consiglio
Microsoft Sentinel clienti possono anche visualizzare e sovrascrivere la stessa descrizione dell'evento imprevisto nel portale di Azure impostando la descrizione dell'evento imprevisto tramite l'API o l'automazione.
Filtrare e mettere a fuoco il grafico degli eventi imprevisti (anteprima)
Usare filtri per eventi imprevisti di grandi dimensioni con molti avvisi ed entità o nascondere entità specifiche per semplificare i grafici degli eventi imprevisti complessi. Semplificando il grafico, è possibile concentrare l'indagine su ciò che conta di più.
Per filtrare un grafico degli eventi imprevisti:
Selezionare Aggiungi filtro sopra il grafico degli eventi imprevisti.
Scegliere uno dei criteri di filtro disponibili seguenti e quindi selezionare Aggiungi:
- Gravità: Visualizzare avvisi di gravità elevata, media o bassa.
- Stato: Visualizzare avvisi nuovi, in corso o risolti.
- Origini del servizio: Visualizza avvisi da servizi specifici, ad esempio Microsoft Defender per endpoint, Microsoft Defender per identità, Microsoft Defender per Office 365 e altri.
Per ogni criterio di filtro aggiunto, scegliere gli elementi da filtrare e quindi selezionare Applica.
Nota
Se tutte le entità vengono filtrate, viene visualizzato un messaggio di stato vuoto. Modificare i filtri per visualizzare le entità rilevanti.
Per nascondere tipi di entità specifici:
Selezionare Tipi di entità sopra il grafico degli eventi imprevisti.
Deselezionare i tipi di entità da nascondere, ad esempio file o utente. Il grafico si ridisegna senza queste entità.
Avvisi
Nella scheda Avvisi è possibile visualizzare la coda di avvisi per gli avvisi correlati all'evento imprevisto e altre informazioni su di essi, ad esempio i dettagli seguenti:
- Gravità degli avvisi.
- Entità coinvolte nell'avviso.
- Origine degli avvisi (Defender per identità, Defender per endpoint, Defender per Office 365, Microsoft Defender for Cloud Apps e il componente aggiuntivo per la governance delle app).
- Motivo per cui gli avvisi si collegano tra loro.
Per impostazione predefinita, gli avvisi vengono visualizzati in ordine cronologico, in modo da poter vedere come si è svolto l'attacco nel tempo. Quando si seleziona un avviso all'interno di un evento imprevisto, Microsoft Defender XDR visualizza le informazioni di avviso specifiche per il contesto dell'evento imprevisto complessivo.
È possibile visualizzare gli eventi dell'avviso, che altri avvisi attivati hanno causato l'avviso corrente, e tutte le entità e le attività interessate coinvolte nell'attacco, inclusi dispositivi, file, utenti, app cloud e cassette postali.
Per altre informazioni, vedere Analizzare gli avvisi.
Nota
Se è stato effettuato il provisioning dell'accesso a Gestione dei rischi Insider Microsoft Purview, è possibile visualizzare e gestire gli avvisi di gestione dei rischi Insider e cercare gli eventi di gestione dei rischi Insider nel portale di Microsoft Defender. Per altre informazioni, vedere Analizzare le minacce di rischio Insider nel portale di Microsoft Defender.
Attività
Nella scheda Attività viene visualizzata una sequenza temporale unificata di tutte le azioni manuali e automatizzate che si verificano all'interno di un evento imprevisto. È possibile filtrare in base a origine, categoria, provider, trigger, stato attività, stato dei criteri, tipo, nome di destinazione, tipo di destinazione o eseguito da. È anche possibile accedere a queste informazioni come pannello laterale nel log attività.
Usando la scheda Attività, gli analisti possono valutare e analizzare gli eventi imprevisti. Questo processo include l'identificazione dei passaggi chiave eseguiti da utenti e sistemi automatizzati, la verifica delle modifiche recenti (ad esempio tag, unioni, aggiornamenti della gravità), la revisione di commenti e passaggi di consegna, l'ispezione di metadati dettagliati nei pannelli laterali e l'esecuzione di flussi di lavoro automatizzati avviati da regole di automazione, playbook o agenti.
Risorse
È possibile visualizzare e gestire facilmente tutti gli asset in un'unica posizione usando la scheda Asset . Questa visualizzazione unificata include dispositivi, utenti, cassette postali e app.
Nella scheda Asset viene visualizzato il numero totale di asset accanto al relativo nome. Quando si seleziona la scheda Asset, viene visualizzato un elenco di categorie diverse con il numero di asset all'interno di ogni categoria.
Dispositivi
La visualizzazione Dispositivi elenca tutti i dispositivi correlati all'evento imprevisto.
Quando si seleziona un dispositivo dall'elenco, si apre una barra che è possibile usare per gestire il dispositivo selezionato. È possibile esportare, gestire rapidamente i tag, avviare un'indagine automatizzata e altro ancora.
È possibile selezionare il segno di spunta per un dispositivo per visualizzare i dettagli del dispositivo, i dati della directory, gli avvisi attivi e gli utenti connessi. Selezionare il nome del dispositivo per visualizzare i dettagli del dispositivo nell'inventario dei dispositivi defender per endpoint.
Dalla pagina del dispositivo è possibile raccogliere informazioni aggiuntive sul dispositivo, ad esempio tutti i relativi avvisi, una sequenza temporale e consigli di sicurezza. Ad esempio, dalla scheda Sequenza temporale è possibile scorrere la sequenza temporale del dispositivo e visualizzare tutti gli eventi e i comportamenti osservati nel computer in ordine cronologico, intervallati dagli avvisi generati.
Utenti
La visualizzazione Utenti elenca tutti gli utenti che sono stati identificati come parte o correlati all'evento imprevisto.
Selezionare il segno di spunta per un utente per visualizzare i dettagli della minaccia, dell'esposizione e delle informazioni di contatto dell'account utente. Selezionare il nome utente per visualizzare altri dettagli dell'account utente.
Per informazioni su come visualizzare informazioni aggiuntive sull'utente e gestire gli utenti di un evento imprevisto, vedere Analizzare gli utenti.
Cassette postali
La visualizzazione Cassette postali elenca tutte le cassette postali identificate come parte o correlate all'evento imprevisto.
Selezionare il segno di spunta per una cassetta postale per visualizzare un elenco di avvisi attivi. Selezionare il nome della cassetta postale per visualizzare altri dettagli della cassetta postale nella pagina Esplora risorse per Defender per Office 365.
App
La visualizzazione App elenca tutte le app identificate come parte o correlate all'evento imprevisto.
Selezionare il segno di spunta per un'app per visualizzare un elenco di avvisi attivi. Selezionare il nome dell'app per visualizzare altri dettagli nella pagina Esplora risorse per Defender for Cloud Apps.
Risorse cloud
La visualizzazione Risorse cloud elenca tutte le risorse cloud che fanno parte o sono correlate all'evento imprevisto.
Selezionare il segno di spunta per una risorsa cloud per visualizzare i dettagli della risorsa e un elenco di avvisi attivi. Selezionare Apri pagina delle risorse cloud per visualizzare altri dettagli e visualizzare i relativi dettagli completi in Microsoft Defender per il cloud.
Indagini
La scheda Indagini elenca tutte le indagini automatizzate attivate dagli avvisi in questo evento imprevisto. A seconda di come si configurano le indagini automatizzate da eseguire in Defender per endpoint e Defender per Office 365, le indagini automatizzate eseguono azioni correttive o attendono l'approvazione delle azioni da parte degli analisti.
Selezionare un'indagine per passare alla relativa pagina dei dettagli per informazioni complete sullo stato di indagine e correzione. Se le azioni richiedono l'approvazione nell'ambito dell'indagine, vengono visualizzate nella scheda Azioni in sospeso . Intervenire come parte della correzione degli eventi imprevisti.
La scheda Grafico di indagine mostra:
- Connessione degli avvisi agli asset interessati nell'organizzazione.
- Quali entità sono correlate a quali avvisi e come fanno parte della storia dell'attacco.
- Avvisi per l'evento imprevisto.
Il grafico di analisi consente di comprendere rapidamente l'intero ambito dell'attacco connettendo le diverse entità sospette che fanno parte dell'attacco con gli asset correlati, ad esempio utenti, dispositivi e cassette postali.
Per altre informazioni, vedere Analisi automatizzata e risposta in Microsoft Defender XDR.
Evidenza e risposta
La scheda Evidenza e risposta mostra tutti gli eventi supportati e le entità sospette negli avvisi dell'evento imprevisto.
Microsoft Defender XDR analizza automaticamente tutti gli eventi supportati dagli eventi imprevisti e le entità sospette negli avvisi, fornendo informazioni su messaggi di posta elettronica, file, processi, servizi, indirizzi IP e altro ancora importanti. Ciò consente di rilevare e bloccare rapidamente le potenziali minacce nell'evento imprevisto.
Ogni entità analizzata è contrassegnata con un verdetto (dannoso, sospetto, pulito) e uno stato di correzione. Queste informazioni consentono di comprendere lo stato di correzione dell'intero evento imprevisto e i passaggi successivi che è possibile eseguire.
Approvare o rifiutare le azioni correttive
Per gli eventi imprevisti con stato di correzione In attesa di approvazione, è possibile approvare o rifiutare un'azione di correzione, aprire in Esplora risorse o Cercare nella scheda Evidenza e risposta.
Riepilogo
Usare la pagina Riepilogo per valutare l'importanza relativa dell'evento imprevisto e accedere rapidamente agli avvisi associati e alle entità interessate. La pagina Riepilogo offre una panoramica degli elementi principali da notare sull'evento imprevisto.
Le informazioni sono organizzate in queste sezioni.
| Sezione | Descrizione |
|---|---|
| Avvisi e categorie | Visualizzazione visiva e numerica dell'avanzamento dell'attacco rispetto alla kill chain. Come per altri prodotti di sicurezza Microsoft, Microsoft Defender XDR è allineato al framework MITRE ATT&CK™. La sequenza temporale degli avvisi mostra l'ordine cronologico in cui si sono verificati gli avvisi e per ognuno, il relativo stato e nome. |
| Ambito | Visualizza il numero di dispositivi, utenti e cassette postali interessati. Elenca le entità in ordine di livello di rischio e priorità di indagine. |
| Avvisi | Visualizza gli avvisi coinvolti nell'evento imprevisto. |
| Prove | Visualizza il numero di entità interessate dall'evento imprevisto. |
| Informazioni sugli eventi imprevisti | Visualizza le proprietà dell'evento imprevisto, ad esempio tag, stato e gravità. |
Eventi imprevisti simili
Alcuni eventi imprevisti potrebbero avere eventi imprevisti simili elencati nella pagina Eventi imprevisti simili . Questa sezione illustra gli eventi imprevisti con avvisi, entità e altre proprietà simili. Questa somiglianza può aiutare a comprendere l'ambito dell'attacco e identificare altri eventi imprevisti che potrebbero essere correlati.
Consiglio
Defender Boxed, una serie di schede che mostrano i successi, i miglioramenti e le azioni di risposta della sicurezza dell'organizzazione negli ultimi sei mesi o anno, viene visualizzata per un periodo di tempo limitato durante gennaio e luglio di ogni anno. Informazioni su come condividere i punti salienti di Defender Boxed .
Passaggi successivi
Se necessario, vedere le risorse seguenti:
Vedere anche
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.