Lavorare con il grafico dei problemi (EDR)
Il grafico dei problemi è una rappresentazione visiva di un problema EDR. Mostra le relazioni tra il workload, i processi coinvolti nell'attacco e le rilevazioni che sono state attivate. Il grafico dei problemi è disponibile per tutti gli utenti EDR.
Utilizzare il grafico dei problemi per:
- Comprendere la struttura della catena di attacco a colpo d'occhio.
- Identificare quali processi, file, connessioni di rete e voci del registro di sistema sono stati coinvolti.
- Visualizzare le rilevazioni delle minacce e le loro tattiche e tecniche MITRE associate.
- Passare ai singoli nodi per esaminare i dettagli nella barra laterale.
Alcune azioni di risposta EDR sono attualmente disponibili solo dalla sequenza dell'attacco informatico e non dal grafico dei problemi. Per applicare azioni di risposta EDR come la quarantena di un processo o l'isolamento di un workload, utilizzare la sequenza dell'attacco informatico. Per ulteriori informazioni, consultare Come indagare sui problemi rilevati nella sequenza di attacco.
Accesso al grafico dei problemi
Per accedere al grafico dei problemi
- Nella console di Cyber Protect, passare a Protezione > Problemi.
- Fare clic su
nella colonna più a destra del problema che si desidera esaminare. - Passare alla scheda Grafico dei problemi.
Per aggiornare il grafico, fare clic sull'icona aggiorna.
Tipi di nodi
Il grafico dei problemi include i seguenti tipi di nodi per i problemi EDR:
- Workload: il nodo di livello superiore che rappresenta il dispositivo interessato. Tutti gli alberi dei processi originano da questo nodo.
- Processo: rappresenta un processo in esecuzione coinvolto nell'attacco. I processi sono mostrati in una struttura ad albero che riflette la catena di esecuzione, dal primo processo con una rilevazione all'ultimo.
- File: rappresenta un nodo file associato a un processo, tipicamente l'immagine del processo per i processi non di sistema.
- Rete: rappresenta una connessione di rete effettuata da un processo.
- Registro di sistema: rappresenta una chiave del registro di sistema o un valore accesso o modificato da un processo.
- Minaccia: rappresenta un risultato di rilevazione associato a un nodo di processo, file, rete o registro. I nodi di minaccia usano il colore per indicare la fiducia: rosso per rilevazioni malevole, arancione per rilevazioni sospette.
- Identità: rappresenta un account utente osservato durante il problema, basato sui dati raccolti localmente dall'agente EDR.
Per informazioni sulle icone dei nodi, consultare Icone del grafico dei problemi (EDR).
Raggruppamento dei nodi di minaccia
Quando più rilevamenti sono associati alla stessa entità, i nodi di minaccia sono raggruppati come segue:
- Se una singola regola di rilevamento si applica sotto una tecnica MITRE, il nodo di minaccia è etichettato con il nome descrittivo della regola.
- Se più regole si applicano sotto la stessa tecnica MITRE, viene mostrato un nodo di minaccia, etichettato con la tecnica MITRE. Fare clic sul nodo per visualizzare una tabella che elenca tutte le regole associate.
- Se i rilevamenti coprono più tecniche MITRE, viene mostrato un nodo di minaccia compresso con un'icona '+'. Fare clic per espandere e visualizzare i singoli nodi a livello di tecnica o regola.
- I rilevamenti dannosi e sospetti sono visualizzati in raggruppamenti separati.
Grafico dei problemi per problemi multi-workload
Quando un problema coinvolge più di un workload, il grafico dei problemi visualizza un sotto-grafico per ciascun workload. Per ulteriori informazioni, consultare Lavorare con problemi multi-workload nel grafico dei problemi.
Grafico dei problemi quando XDR è abilitato
Quando le integrazioni XDR sono attive, il grafico dei problemi si estende per includere nodi esterni da quelle integrazioni, come dati di e-mail, gestione delle identità e firewall. I nodi esterni sono identificati da una bolla di origine dell'integrazione visualizzata sull'icona del nodo. Per ulteriori informazioni, consultare Lavorare con il grafico dei problemi (XDR).