Vai al contenuto

Creazione di casi

Creiamo automaticamente casi per i rilevamenti sui quali è più probabile che occorra svolgere indagini.

È anche possibile creare i casi manualmente e analizzarli in maniera autonoma. Si può includere qualsiasi rilevamento, anche se già incluso in un caso generato automaticamente.

I casi possono essere creati nei seguenti modi:

È anche possibile creare richieste di servizio per Sophos MDR o Sophos Managed Risk, a seconda della licenza che si possiede. Queste richieste non si basano sui rilevamenti, ma permettono di contattarci per suggerire indagini o chiedere aiuto. Vedere Creazione di una richiesta di servizio per MDR o Creazione di una richiesta di servizio per Managed Risk.

Creazione di un caso dalla pagina Casi

È possibile creare un caso in base ai rilevamenti di Sophos XDR. Non è possibile creare un caso per i rilevamenti di Sophos MDR o Managed Risk. Il caso dovrà essere gestito autonomamente.

  1. Selezionare Centro di analisi delle minacce > Casi.
  2. Nella pagina Casi, cliccare su Crea caso.

    Pulsante Crea caso.

  3. Selezionare Caso gestito da te.

    Selettore per il tipo di caso.

  4. In Crea caso, procedere come segue:

    1. Inserire un nome e una descrizione per il caso.
    2. Selezionare il livello di Gravità.
    3. Selezionare lo Stato (Nuovo).
    4. Selezionare un Assegnatario. Questo sarà l’amministratore che svolgerà indagini sul caso.

      Se lo si desidera, è possibile selezionare un assegnatario in un secondo momento.

    5. Cliccare su Crea.

    Finestra di dialogo Crea caso.

    Viene visualizzata la pagina Dettagli del caso.

  5. Selezionare Centro di analisi delle minacce > Rilevamenti.

  6. Nell’elenco Rilevamenti, selezionare i rilevamenti che si desidera aggiungere.

    Pagina Rilevamenti con rilevamenti selezionati.

  7. Cliccare su Azioni e selezionare Aggiungi al caso.

    Menu Azioni.

  8. Selezionare il nuovo caso e cliccare su Aggiungi al caso.

    Finestra di dialogo Aggiungi al caso.

    Viene visualizzata la pagina Dettagli del caso.

Quando si è pronti per avviare le indagini, vedere Indagini sui casi.

È possibile aggiungere ulteriori rilevamenti al proprio caso in un secondo momento, dalla pagina Rilevamenti.

Creazione di un caso dalla pagina Rilevamenti

  1. Selezionare Centro di analisi delle minacce > Rilevamenti.

  2. Nell’elenco Rilevamenti, selezionare i rilevamenti su cui si desidera svolgere indagini.

    Pagina Rilevamenti con rilevamenti selezionati.

  3. Cliccare su Azioni e selezionare Crea caso.

    Menu Azioni.

  4. In Crea caso, procedere come segue:

    1. Inserire un nome e una descrizione per il caso.
    2. Selezionare il livello di Gravità.
    3. Selezionare lo Stato (Nuovo).
    4. Selezionare un Assegnatario. Questo sarà l’amministratore che svolgerà indagini sul caso.

      Se lo si desidera, è possibile selezionare l’assegnatario in un secondo momento.

    5. Cliccare su Crea.

    Finestra di dialogo Crea caso.

Quando si è pronti per avviare le indagini, vedere Indagini sui casi.

È possibile aggiungere ulteriori rilevamenti al caso in un secondo momento. Nell’elenco Rilevamenti, selezionare rilevamenti, cliccare su Azioni, selezionare Aggiungi al caso e selezionare il proprio caso.

Indagini sui casi

Nei Dettagli del caso, utilizzare la scheda Appunti per registrare le proprie indagini sul caso. Consigliamo di seguire questi passaggi:

  • Decidere se è necessario indagare o chiudere l'indagine.
  • Verificare le connessioni esterne e interne utilizzate nell'evento.
  • Verificare quali dispositivi e utenti sono stati coinvolti.
  • Individuare le tattiche e tecniche di attacco utilizzate. È possibile visualizzarle nei dettagli del rilevamento.
  • Utilizzare le opzioni pivot nei rilevamenti per eseguire query sui dati o per consultare siti web di analisi delle minacce di terze parti. Vedere Uso di azioni rapide, arricchimenti dei dati e query.

Risposta ai casi

La funzionalità Azione di risposta non è attualmente disponibile per la maggior parte delle integrazioni di prodotti di terze parti.

È possibile risolvere i problemi rilevati con prodotti di terze parti.

Per utilizzare questa funzionalità, occorre configurare un’integrazione Azione di risposta con il prodotto di terze parti che si desidera utilizzare. Selezionare Prodotti e cliccare sul prodotto che si utilizza.

Il nostro esempio indica come utilizzare un’azione di risposta per sospendere un utente compromesso. Per avviare un’azione, procedere come indicato di seguito.

  1. Cliccare sull’ID caso accanto a un caso per visualizzarne i dettagli.
  2. Selezionare la scheda Risposta.
  3. Individuare l’azione desiderata. Cliccare sull’Identità del tipo di prodotto per visualizzare le azioni disponibili per quel tipo.

    Scheda Risposta, che mostra le azioni relative all’Identità.

  4. Cliccare sull’azione Sospendi utente.

  5. Nella pagina dei dettagli dell’azione, inserire le informazioni richieste e il motivo dell’azione.

    Finestra di dialogo Sospendi utente.

  6. Cliccare su Esegui.

Chiusura o rimozione dei casi

Questa opzione si applica solo ai casi gestiti autonomamente.

Per chiudere un caso, impostarne lo stato su Risolto. Il caso rimarrà nell’elenco per 30 giorni, dopodiché verrà eliminato.

I Super Amministratori Partner e i Super Amministratori di Enterprise non possono chiudere o rimuovere i casi.

Per rimuovere un caso dall’elenco, selezionarlo e cliccare su Rimuovi casi.

Elenco dei casi, con casi selezionati per la rimozione.

Creazione di una richiesta di servizio per MDR

Per utilizzare questa funzionalità occorre una licenza MDR.

Una richiesta di servizio per MDR consente di segnalare problemi al nostro team MDR. Per creare una richiesta, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Casi.
  2. Nella pagina Casi, cliccare su Crea caso.
  3. Selezionare una Richiesta di servizio per MDR.
  4. In Crea una richiesta di servizio per il team MDR, procedere come segue:

    1. Inserire un nome e una descrizione per il caso.
    2. Cliccare su Crea.
  5. Nella pagina Dettagli del caso, nella scheda Messaggi, è possibile scambiare messaggi con il team MDR.

Non è possibile aggiungere o modificare altre schede.

Creazione di una richiesta di servizio per Managed Risk

Per utilizzare questa funzionalità, occorre una licenza Managed Risk.

Il servizio Sophos Managed Risk compila report su tutte le risorse connesse a Internet, sottopone le risorse specificate a scansione per rilevare eventuali vulnerabilità, segnala eventuali rischi e suggerisce azioni di correzione.

Una richiesta di servizio per Managed Risk consente di richiedere modifiche alle impostazioni di Managed Risk o di organizzare riunioni con il team Managed Risk.

Per una richiesta di servizio per Managed Risk, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Casi.
  2. Nella pagina Casi, cliccare su Crea caso.
  3. Selezionare Richiesta di servizio per Managed Risk.
  4. In Crea una richiesta di servizio per il team Managed Risk, procedere come segue:

    1. Inserire un nome e una descrizione per il caso.
    2. Cliccare su Crea.