Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=threat-analysis-cases

Casi

La pagina Casi raggruppa gli eventi sospetti segnalati dalla nostra funzionalità Rilevamenti e aiuta le aziende o il team MDR a condurre indagini e avviare un’azione di risposta.

Come funzionano i casi

I casi vengono creati e gestiti automaticamente da noi, ma c’è anche la possibilità di creare e gestire i propri casi.

Casi con gestione Sophos

I casi vengono creati automaticamente da noi. Questi casi si concentrano sui rilevamenti che riteniamo abbiano bisogno di ulteriori indagini.

  • Creiamo un caso quando è presente un rilevamento ad alto rischio, a meno che non sia già stato incluso in un caso lo stesso giorno.
  • Aggiungiamo al caso rilevamenti successivi, se presentano lo stesso tipo di rilevamento.
  • Se il caso si basa su rilevamenti MDR, svolgeremo indagini e indagheremo noi. Questo è un caso “Con gestione Sophos”.

Nota

Se il caso si basa su rilevamenti Sophos XDR, non svolgeremo indagini. Vedere Casi con gestione autonoma.

Casi con gestione autonoma

Se creiamo un caso in base a rilevamenti XDR, sarà un caso “Con gestione autonoma”. Quando si controllano i casi, cercare “Auto” nei dettagli di “Gestito da”. Occorre assegnare un amministratore per svolgere indagini e avviare un’azione di risposta. Vedere Assegnazione dei casi.

È anche possibile creare e gestire manualmente i propri casi. Vedere Creazione di casi.

Visualizzazione dei casi

Per visualizzare i propri casi, selezionare Centro di analisi delle minacce > Casi.

Pagina Casi.

Nota

La prima volta che si visualizza questa pagina, l'elenco potrebbe essere vuoto. Tornare in un secondo momento per visualizzare i casi creati automaticamente o per creare casi personalizzati. Se vengono ancora visualizzati casi, vedere Risoluzione dei problemi relativi ai casi.

L’elenco dei Casi include i dettagli indicati di seguito per ciascun caso.

Gravità

Livello Colore Descrizione
Critica Rosso Compromissione confermata o accesso non autorizzato ai sistemi.
Alta Arancione Rilevamenti che indicano un attacco mirato che potrebbe causare una compromissione o un accesso non autorizzato.
Media Giallo Rilevamenti che, di per sé, potrebbero non essere dannosi e che non sono noti per essere attacchi mirati.
Bassa Grigio scuro Rilevamenti che non indicano né uno stato di integrità basso, né la presenza di attività dannose, e neppure una compromissione confermata o un accesso non autorizzato.
Info Grigio chiaro Un livello di gravità speciale, generalmente utilizzato per i controlli di integrità iniziali.

Stato

I casi con gestione da Sophos possono mostrare i seguenti stati:

  • In corso: stiamo ancora analizzando i dati.
  • Azione richiesta: Non è richiesta alcuna azione. Abbiamo inviato notifiche ai contatti forniti.
  • Risolto/i: abbiamo risolto il caso di minaccia.

Gestito da

È possibile vedere chi gestisce il caso:

  • Sophos: il nostro team MDR indaga sul caso e avvia azioni di risposta. Non è possibile apportare alcuna modifica, ma si può rispondere al team MDR per questioni inerenti al caso.
  • Auto: è necessario indagare autonomamente sul caso e avviare una risposta.

Assegnazione dei casi

Questa sezione riguarda solo i casi generati automaticamente che mostrano “Auto” nella colonna “Gestito da”.

È possibile assegnare casi ai propri amministratori in modo che svolgano analisi, procedendo come:

  1. Aprire Centro analisi minacce > Casi per visualizzare un elenco di casi.
  2. Cliccare sull’ID caso accanto a un caso per visualizzarne i dettagli.

  3. Nella pagina Dettagli del caso, la scheda Panoramica è aperta per impostazione predefinita. Procedere come segue:

    1. In Assegnatario, selezionare l’amministratore a cui si desidera assegnare il caso. Se l’amministratore desiderato non è presente nell’elenco, cliccare su Aggiungi utente e aggiungerlo.

      Se lo si desidera, è possibile selezionare l’assegnatario in un secondo momento.

    2. Impostare il livello di Gravità su Critico, Alto, Medio, Basso o Info.

    3. Se si è pronti per iniziare, modificare lo stato da Nuovo a Indagine in corso.
    4. In Riepilogo, inserire la descrizione del caso.

    Pagina Dettagli del caso.

    Per consigli su come svolgere indagini su un caso, leggere la pagina Creazione di casi, sotto “Svolgimento di indagini sui casi”.

Nota

Gli amministratori di Sophos Central ricevono notifiche sui nuovi casi se vengono configurate notifiche e-mail per loro. Vedere Notifiche tramite e-mail.

Visualizzazione dei dettagli del caso

Per visualizzare i dettagli di un caso e seguirne l’avanzamento, procedere come segue:

  1. Nella pagina Casi, cliccare sull’ID caso accanto al caso.

    Link ID caso nell’elenco dei Casi.

  2. Nella pagina Dettagli del caso, l’intestazione della pagina mostra la gravità, lo stato e l’assegnatario. Inoltre, indica quando è stato creato e assegnato il caso, oltre alla data dell’ultimo aggiornamento.

    Dettagli del caso.

La pagina ha anche schede che forniscono ulteriori dettagli.

Scheda Panoramica

La scheda Panoramica viene aperta per impostazione predefinita e mostra un riepilogo del caso, i dettagli della tattica MITRE e l’attività recente.

Scheda Panoramica dei Dettagli del caso.

Se si è cliente MDR, il team MDR inserirà un riepilogo del caso. Se si è cliente XDR, occorrerà inserire la propria descrizione del caso.

Tattiche MITRE

Tattiche MITRE elenca tutte le tattiche e le tecniche MITRE ATT&CK che sono state rilevate.

Cliccare sulla freccia di apertura accanto alla tattica, per visualizzare la tecnica.

Cliccare sul link accanto a qualsiasi tattica o tecnica, ad esempio Accesso con credenziali, per visualizzare dettagli più specifici sul sito web di MITRE.

Dettagli delle tattiche MITRE.

Attività recente

L’opzione Attività recente mostra le modifiche recenti apportate al caso. Cliccare su Visualizza tutto per passare alla scheda Cronologia.

Scheda Rilevamenti

La scheda Rilevamenti elenca tutti i rilevamenti inclusi nel caso. Mostra gli stessi dettagli dell’elenco nella pagina Rilevamenti. Vedere Rilevamenti.

Scheda Rilevamenti.

Scheda Appunti

Se si sta lavorando su un caso con gestione autonoma, utilizzare la scheda Appunti per annotare le azioni svolte nell’ambito delle proprie indagini.

Scheda Messaggi

Nella scheda Messaggi è anche possibile visualizzare e rispondere ai messaggi relativi al caso ricevuti dal team Sophos MDR.

  • I messaggi inviati vengono recapitati in una casella di posta MDR. Risponderemo più tardi.
  • Una copia dei messaggi inviati o ricevuti viene recapitata anche nelle caselle di posta dei contatti autorizzati, in modo che non si perda alcun messaggio.
  • Oltre a messaggi, è possibile inviare e ricevere anche allegati.

Scheda Cronologia

La scheda Cronologia mostra la cronologia di tutte le attività del caso in questione. Ad esempio, i rilevamenti aggiunti o le modifiche dello stato, del proprietario e così via.

Risoluzione dei problemi relativi ai casi

I Casi si basano sui rilevamenti individuati nei dati che sono stati caricati dai dispositivi sul Sophos Data Lake. Di solito, questi caricamenti sono abilitati per impostazione predefinita. Se non si ricevono rilevamenti, controllare che siano attivati.

Per verificare che i dati vengano caricati dai prodotti Sophos, vedere Caricamenti sul Data Lake. Per i dati provenienti da prodotti di terze parti, vedere Informazioni sulle integrazioni MDR e XDR.