Analisi riepilogativa dei problemi

Endpoint Detection and Response (EDR) fornisce un elenco di problemi che segnala sia i rilevamenti preventivi (o il malware) sia quelli sospetti individuati in un workload. Tale elenco offre una rapida panoramica degli attacchi o delle minacce che interessano i workload, incluse quelle che devono essere mitigate.

Dall'elenco dei problemi è possibile determinare rapidamente:

Il profilo di sicurezza di un'organizzazione, in base al numero di problemi sui quali indagare.
Quali sono i problemi critici, per dare priorità alle indagini su questi in base al livello di gravità riscontrato.
Quali sono i problemi nuovi o quelli che esistono da tempo.

Quando si effettua l'accesso come amministratore del Partner, è possibile visualizzare tutti i problemi EDR rilevati in un'unica schermata, che unisce quanto accaduto a tutti i clienti, senza dove visualizzare singolarmente i problemi di ciascun cliente. Viene visualizzata colonna aggiuntiva Clienti, che include il nome del cliente a cui appartiene ciascun problema. Inoltre, i widget mostrati nella dashboard Panoramica mostrano i dati delle metriche aggregati di tutti i clienti.

Come indicato di seguito, è possibile accedere all'elenco dei problemi dal menu Protezione nella console di Cyber Protect. Per altre informazioni su come rivedere i problemi presenti nell'elenco, vedere Assegnare la priorità ai problemi che richiedono un intervento immediato. Per saperne di più su come viene creato un problema, vedere In cosa consiste esattamente un problema?.

Se la funzionalità Managed Detection and Response (MDR) è abilitata per i workload, viene visualizzata la colonna aggiuntiva Ticket MDR, nella quale è visualizzato il numero di ticket fornito dal vendor di servizi MDR.

Elenco dei problemi

La console di Cyber Protect deve essere aperta per poter ricevere le notifiche dei problemi.

In cosa consiste esattamente un problema?

Possiamo immaginare i problemi, o incidenti di sicurezza, come dei container per almeno un punto di prevenzione o rilevamento sospetto (o una loro combinazione), e includono tutti gli eventi e i rilevamenti correlati di un singolo attacco. Questi problemi di sicurezza possono includere anche eventi benigni aggiuntivi che offrono un ulteriore contesto su quanto accaduto.

In questo modo l'utente può visualizzare gli elementi dell'attacco unificati in un singolo problema, e comprendere i passaggi logici eseguiti dall'attaccante. L'elenco inoltre riduce il tempo dedicato alle indagini sull'attacco.

Quando EDR è abilitato nel piano di protezione, i problemi di sicurezza vengono creati se:

Un livello di protezione arresta qualcosa. Questi problemi vengono chiusi automaticamente dal sistema in base alle impostazioni del piano di protezione. È tuttavia possibile indagare su quanto esattamente compiuto dal malware prima del suo arresto. Ad esempio, il ransomware viene arrestato quando inizia a crittografare i file, ma prima di ciò avrebbe potuto rubare delle credenziali o installare un servizio.
EDR rileva un'attività sospetta. Si tratta di rilevamenti che devono essere indagati e corretti. Esaminando la sequenza dell'attacco informatico, che è stata migliorata dal punto di vista grafico, è più facile applicare le azioni di correzione pertinenti (per altre informazioni, consultare Come indagare sui problemi rilevati nella sequenza di attacco).