Assegnare la priorità ai problemi che richiedono un intervento immediato

In qualsiasi momento, è possibile accedere all'elenco dei problemi della console di Cyber Protect dal menu Protezione della console di Cyber Protect. Tale elenco offre una rapida panoramica degli attacchi o delle minacce, consentendo di dare priorità ai problemi più urgenti.

Per garantire che i workload siano costantemente protetti, è bene analizzare e dare priorità sempre ai problemi in corso o non ancora corretti.

Come capire quali problemi di sicurezza richiedono un intervento immediato

L'elenco consente di analizzare e dare priorità ai problemi elencati che richiedono attenzione. È possibile:

  • Visualizzare i problemi attualmente non risolti. Per capire rapidamente dall'elenco dei problemi se sono presenti attacchi in corso. Qualunque problema non risolto, come indicato nella colonna Stato minaccia, richiede attenzione immediata (per impostazione predefinita, all'elenco dei problemi è applicato un filtro che visualizza i problemi di questa categoria).
  • Comprendere ambito e impatto dei problemi. Il filtro applicato agli attacchi appena sferrati o in corso deve facilitare la comprensione della gravità dei problemi filtrati e dell'impatto che possono avere sulla continuità operativa.

Una volta ottenuto un elenco perfezionato dei problemi più importanti, è possibile analizzare i relativi dettagli per comprendere meglio il problema specifico e le tecniche utilizzate dagli attaccanti per ottenere i propri obiettivi. Per ulteriori informazioni, consultare Analisi dei dettagli del problema.

Per impostazione predefinita, l'elenco dei problemi è ordinato in base alla colonna Aggiornato, che mostra la data e l'ora dell'ultimo aggiornamento del problema con i nuovi rilevamenti registrati. Tenere presente che un problema esistente può essere aggiornato in qualsiasi momento, anche se è stato precedentemente chiuso. È anche possibile filtrare l'elenco in modo da visualizzare solo i nuovi attacchi aperti o solo quelli in corso, secondo necessità, come descritto nella procedura seguente.

Per filtrare l'elenco dei problemi

  1. Nella parte superiore dell'elenco dei problemi, fare clic su Filtro per applicare un filtro all'elenco dei problemi visualizzato. Se, ad esempio, si selezionano le data di inizio e fine nel campo Creazione, l'elenco dei problemi e i widget mostrano i problemi pertinenti insorti durante l'intervallo di tempo specificato.

  2. Al termine, fare clic su Applica.

Visualizzazione dei problemi attualmente non risolti

È possibile visualizzare lo stato della minaccia corrente per i problemi nella colonna Stato minaccia, che mostra se il problema è Mitigato o Non mitigato. Lo stato della minaccia viene definito automaticamente da EDR; è necessario indagare al più presto su qualsiasi problema non mitigato.

È quindi possibile ridefinire ulteriormente l'elenco dei problemi visualizzati applicando altri filtri. Ad esempio, per filtrare l'elenco in base allo stato della minaccia e a un livello di gravità specifico, impostare le opzioni di filtro pertinenti. Dopo aver filtrato i problemi ritenuti più interessanti, è possibile passare alla fase di indagine, come descritto in Eseguire l'indagine sul problema.

È inoltre possibile utilizzare il widget Stato minaccia, come indicato di seguito, per una rapida panoramica sullo stato corrente delle minacce. Tenere presente che i dati visualizzati in questo widget rispecchiano i filtri applicati; vedere .

Comprensione dell'ambito e dell'impatto dei problemi

Per comprendere rapidamente ambito e impatto dei problemi, è possibile consultare le colonne Gravità, Informazioni sull'attacco e Livello di positività. Come indicato sopra, dopo aver determinato quali problemi sono attualmente in corso, è possibile filtrare queste colonne aggiuntive per:

  • Rivedere i problemi più critici nella colonna Gravità. Un problema può riportare un livello di gravità Critico, Alto o Medio.
    • Critico: sussiste un rischio grave che un'attività digitale dannosa possa compromettere gli host critici dell'ambiente.
    • Alto: sussiste un rischio elevato che un'attività digitale dannosa possa danneggiare gravemente l'ambiente.
    • Medio: sussiste un aumentato rischio di attività digitale dannosa.

      • Nel determinare la gravità, l'algoritmo EDR tiene conto del tipo di workload e dell'ambito di ogni fase dell'attacco. Ad esempio, un problema che include fasi correlate al furto delle credenziali viene classificato come Critico.

  • Comprendere le ragioni della creazione del problema nella colonna Tipo di problema. Può trattarsi di uno o più tra i tipi di problema seguenti:
    • Ransomware rilevato
    • Malware rilevato
    • Processo sospetto rilevato
    • Processo dannoso rilevato
    • URL sospetto bloccato
    • URL dannoso bloccato
  • Determinare quali tecniche di attacco sono state utilizzate nella colonna Informazioni sull'attacco, e comprendere se gli attacchi presentano un tema o uno schema comune.
  • Confermare la probabilità che un problema sia un autentico attacco dannoso; la colonna Livello di positività prevede un punteggio compreso tra 1 e 10 (più alto è il punteggio, maggiore la probabilità che l'attacco sia un autentico attacco dannoso).

Dopo aver individuato i problemi che richiedono un intervento immediato, è possibile passare alla fase di indagine, come descritto in Eseguire l'indagine sul problema.

È inoltre possibile utilizzare i widget Cronologia gravità e Rilevamento per tattica per una rapida panoramica sulla gravità e sulle tecniche dell'attacco.

Il widget Rilevamento per tattica visualizza le diverse tecniche di attacco utilizzate, con valori verdi o rossi che indicano l'aumento o la diminuzione rispetto al precedente intervallo di tempo specificato. Questo widget offre una visualizzazione aggregata di tutti gli obiettivi nei problemi filtrati, fornendo una rapida panoramica dell'impatto degli stessi sui clienti.