Indagine su singoli nodi

È possibile visualizzare i dettagli di qualsiasi nodo nel grafico dei problemi. Questo consente di approfondire nodi specifici e investigare cosa rappresenta ciascun nodo nel contesto del problema.

I nodi visualizzati variano a seconda delle integrazioni XDR attive. I dettagli del nodo vengono visualizzati nella scheda Panoramica nella barra laterale. Le azioni di risposta disponibili per i nodi di integrazione vengono mostrate nella scheda Azioni di risposta.

Le azioni di risposta sono disponibili solo per i nodi originati da integrazioni XDR che supportano le capacità di risposta. Non ci sono azioni di risposta disponibili per i nodi EDR (come nodi di processo, file, network o registro di sistema) direttamente dal grafico dei problemi. Per applicare azioni di risposta ai nodi EDR, utilizzare la sequenza dell'attacco informatico.

Per indagare sui singoli nodi

  1. Nella console di Cyber Protect, passare a Protezione > Problemi.
  2. Nell'elenco dei problemi visualizzato, fare clic su nella colonna più a destra del problema per il quale si desidera avviare l'indagine.
  3. Passare alla scheda Grafico dei problemi.

  4. Passare al nodo pertinente e fare clic per visualizzare la barra laterale del nodo.

    Ad esempio, cliccando su un nodo di e-mail o identità si apre la barra laterale per quel nodo.

  5. Indagare sulle informazioni incluse nelle schede della barra laterale:
    • Panoramica: questa scheda include i dettagli sul nodo selezionato, in basa al tipo di nodo.

      • Nodi di tipo Indicatore di attacco (IoA): includono timestamp di rilevamento, gravità del rilevamento, descrizione del rilevamento, tattica e tecnica MITRE e nome della minaccia.

      • Nodi Indicatore di compromissione: ogni tipo di nodo IoC (processo, file o URL) ha un proprio insieme di campi, che vengono utilizzati anche in Endpoint Detection and Response (EDR). Per ulteriori informazioni, consultare Indagare su singoli nodi nella sequenza di attacco.

      • Nodi di integrazione: include i dettagli sul nodo selezionato, a seconda dell'integrazione.

        Ad esempio, i nodi Teams, OneDrive e SharePoint includono il nome del file, la data di creazione, l'utente che ha creato il file, l'ultimo utente che ha modificato il file e le dimensioni del file.

        Allo stesso modo, il nodo e-mail include i dettagli sull'indirizzo IP, il nome e il client utilizzato dai mittenti, e il nome, il formato e la dimensione di ogni allegato.

    • Azioni di risposta: questa scheda elenca le azioni di risposta disponibili per i nodi di integrazione, a seconda dell'integrazione. Per ulteriori informazioni, consultare Applicare azioni di risposta ai nodi di integrazione.