Vai al contenuto

Casi

I casi sostituiscono le indagini. Le indagini rimarranno disponibili per un certo periodo di tempo, per consentire il completamento delle indagini ancora in corso.

La pagina Casi raggruppa gli eventi sospetti segnalati dalla nostra funzionalità Rilevamenti e aiuta le aziende o il team MDR a condurre indagini approfondite su questi eventi e ad avviare un’azione di risposta.

Informazioni sui casi

I casi vengono creati automaticamente da noi. Si concentrano sui rilevamenti sui quali consigliamo di indagare.

  • Creiamo un caso quando è presente un rilevamento ad alto rischio, a meno che non sia già stato incluso in un caso lo stesso giorno.
  • Aggiungiamo al caso rilevamenti successivi, se presentano lo stesso tipo di rilevamento.

I casi possono basarsi sui rilevamenti di Sophos XDR o di Sophos MDR. È possibile modificare i casi XDR, ma i casi MDR sono visualizzabili in sola lettura.

È anche possibile creare i propri casi. Vedere Creazione di casi.

Attivazione dei casi

I Rilevamenti e i Casi si basano sui dati contenuti nel Sophos Data Lake.

Se non si ricevono già i rilevamenti, bisogna assicurarsi che i caricamenti dei dati di sicurezza sul Data Lake siano attivati.

I dati possono provenire da vari prodotti Sophos o da soluzioni di terze parti.

Per i dati provenienti dai prodotti Sophos, vedere Caricamenti sul Data Lake. Per i dati provenienti da prodotti di terze parti, vedere Integrazioni.

Visualizzazione dei casi

Per visualizzare i propri casi, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Casi.

    Pagina Casi.

    Nota

    La prima volta che si visualizza questa pagina, l'elenco potrebbe essere vuoto. Tornare in un secondo momento per visualizzare i casi creati automaticamente o per creare casi personalizzati.

  2. Cliccare sull’ID caso accanto a un caso per visualizzarne i dettagli.

    Link ID caso nell’elenco dei Casi.

Verrà visualizzata la pagina dei Dettagli del caso. Per ulteriori informazioni, vedere Visualizzazione dei dettagli del caso.

Dettagli del caso.

Modifica e assegnazione dei casi

È possibile modificare e assegnare solo casi XDR. I casi MDR vengono elaborati dal nostro team MDR.

È possibile modificare i casi e assegnarli ad amministratori a scopo di analisi.

I Super Amministratori Partner e i Super Amministratori di Enterprise non possono modificare e assegnare casi.

Per modificare e assegnare casi, procedere come segue:

  1. Aprire Centro analisi minacce > Casi per visualizzare un elenco di casi.
  2. Cliccare sull’ID caso accanto a un caso per visualizzarne i dettagli.
  3. Nella pagina Dettagli del caso, la scheda Panoramica è aperta per impostazione predefinita. Procedere come segue:

    1. Impostare la Priorità su Critica, Alto, Media, Bassa o Info.
    2. Se si è pronti per iniziare, modificare lo stato da Nuovo a Indagine in corso.
    3. In Proprietario, selezionare l’amministratore a cui si desidera assegnare il caso.
    4. In Riepilogo, inserire la descrizione del caso.

    Pagina Dettagli del caso.

Aggiungeremo al caso rilevamenti correlati, man mano che si verificano.

Nota

Gli amministratori di Sophos Central ricevono notifiche sui nuovi casi se vengono configurate notifiche e-mail per loro. Vedere Notifiche tramite e-mail.

Visualizzazione dei dettagli del caso

Per visualizzare i dettagli completi di un caso, cliccare sull’ID caso accanto al caso in questione.

L’intestazione della pagina Dettagli del caso mostra la gravità, lo stato e il proprietario del caso. Inoltre, indica quando è stato creato e assegnato il caso, oltre alla data dell’ultimo aggiornamento.

La pagina ha anche schede che forniscono ulteriori dettagli.

Intestazione dei Dettagli del caso.

Scheda Panoramica

La scheda Panoramica viene aperta per impostazione predefinita e mostra un riepilogo del caso, i dettagli della tattica MITRE e l’attività recente.

Scheda Panoramica dei Dettagli del caso.

Se si è cliente XDR, occorre inserire la descrizione del caso. Se si è cliente MDR, la descrizione verrà inserita dal team MDR.

Tattiche MITRE

Tattiche MITRE elenca tutte le tattiche e le tecniche MITRE ATT&CK che sono state rilevate.

Cliccare sulla freccia di apertura accanto alla tattica, per visualizzare la tecnica.

Cliccare sul link accanto a qualsiasi tattica o tecnica, ad esempio Accesso con credenziali, per visualizzare dettagli più specifici sul sito web di MITRE.

Dettagli delle tattiche MITRE.

Attività recente

L’opzione Attività recente mostra le modifiche recenti apportate al caso. Cliccare su Visualizza tutto per passare alla scheda Cronologia.

Scheda Rilevamenti

La scheda Rilevamenti elenca tutti i rilevamenti inclusi nel caso. Mostra gli stessi dettagli dell’elenco nella pagina Rilevamenti. Vedere Rilevamenti.

Scheda Rilevamenti.

Scheda Appunti

Utilizzare la scheda Appunti per registrare le indagini effettuate.

Scheda Cronologia

La scheda Cronologia mostra la cronologia di tutte le attività del caso in questione. Ad esempio, i rilevamenti aggiunti o le modifiche dello stato, del proprietario e così via.

Svolgimento di indagini sui casi

Nei Dettagli del caso, utilizzare la scheda Appunti per registrare le proprie indagini sul caso. Consigliamo di seguire questi passaggi:

  • Decidere se è necessario indagare o chiudere l'indagine.
  • Verificare le connessioni esterne e interne utilizzate nell'evento.
  • Verificare quali dispositivi e utenti sono stati coinvolti.
  • Individuare le tattiche e tecniche di attacco utilizzate. È possibile visualizzarle nei dettagli del rilevamento.
  • Utilizzare le opzioni pivot nei rilevamenti per eseguire query sui dati o per consultare siti web di analisi delle minacce di terze parti. Vedere Utilizzo di query pivot, arricchimenti dei dati e azioni.

Risposta ai casi

È possibile risolvere i problemi rilevati con prodotti di terze parti.

Per utilizzare questa funzionalità, occorre configurare un’integrazione Azione di risposta con il prodotto di terze parti che si desidera utilizzare. Selezionare Integrazioni e cliccare sul prodotto che si utilizza.

Il nostro esempio indica come utilizzare un’azione di risposta per sospendere un utente compromesso. Per avviare un’azione, procedere come indicato di seguito.

  1. Cliccare sull’ID caso accanto a un caso per visualizzarne i dettagli.
  2. Selezionare la scheda Risposta.
  3. Individuare l’azione desiderata. Cliccare sull’Identità del tipo di prodotto per visualizzare le azioni disponibili per quel tipo.

    Scheda Risposta, che mostra le azioni relative all’Identità.

  4. Cliccare sull’azione Sospendi utente.

  5. Nella pagina dei dettagli dell’azione, inserire le informazioni richieste e il motivo dell’azione.

    Finestra di dialogo Sospendi utente.

  6. Cliccare su Esegui.

Chiusura o rimozione dei casi

Per chiudere un caso, impostarne lo stato su Chiuso. Il caso rimarrà nell’elenco per 30 giorni, dopodiché verrà eliminato.

I Super Amministratori Partner e i Super Amministratori di Enterprise non possono chiudere o rimuovere i casi.

Per rimuovere un caso dall’elenco, selezionarlo e cliccare su Rimuovi casi.

Elenco dei casi, con casi selezionati per la rimozione.