Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=threat-lineage

Derivazione di una minaccia

La disponibilità di questa funzionalità è la seguente:

  • I clienti MDR possono utilizzare questa funzionalità immediatamente.
  • I clienti XDR devono iscriversi all’Early Access Program (EAP) Nuove funzionalità di XDR per poter utilizzare questa funzionalità. Cliccare sul proprio profilo e successivamente su Early Access Program per iniziare.

Nota

Se si ha solo MDR Essentials per server o MDR Complete per server, iscriversi all’EAP Nuove funzionalità di Server Protection per utilizzare subito la nuova funzionalità. In caso contrario, non sarà possibile utilizzarla fino ad aprile 2025.

Informazioni sulla derivazione di una minaccia

La derivazione di una minaccia mostra in forma grafica i processi che hanno causato e attivato un rilevamento. Aiuta a capire come si è sviluppata la minaccia, quali parti del proprio ambiente ha interessato e quali sono stati i risultati.

Visualizzazione della derivazione di una minaccia

È possibile visualizzare un grafico di derivazione per una minaccia nella pagina dei dettagli di un rilevamento.

  1. Selezionare Centro di analisi delle minacce > Rilevamenti.

    In alternativa, selezionare Centro di analisi delle minacce > Casi e successivamente la scheda Rilevamenti.

  2. Individuare il rilevamento desiderato e cliccare in un punto qualsiasi della riga corrispondente nella tabella.

    Si aprirà un nuovo riquadro esterno con i dettagli del rilevamento, nella parte destra dello schermo.

  3. Selezionare la scheda Derivazione nel riquadro dei dettagli.

    Se non viene visualizzata la scheda Derivazione, il rilevamento selezionato non supporta la nuova funzionalità.

    Riquadro dei dettagli del rilevamento con la scheda Derivazione.

  4. Cliccare su Apri grafico di derivazione.

    Pagina con la scheda Derivazione selezionata.

  5. Se non è ancora disponibile alcun grafico, cliccare su Genera.

    Nota

    Se un rilevamento ha generato un “caso”, sarà già stato creato automaticamente un grafico, che verrà visualizzato qui. Per informazioni sui casi, vedere Casi.

    Pagina Derivazione con il pulsante “Genera”.

Verrà visualizzato un grafico dei processi che hanno attivato il rilevamento e di quelli che lo hanno causato.

Grafico di derivazione.

Il grafico di derivazione rimarrà disponibile per 7 giorni. È possibile rigenerarlo in qualsiasi momento durante il periodo di conservazione dei dati nel Data Lake di Sophos XDR, che in genere è di 90 giorni.

Legenda per la derivazione di una minaccia

Il grafico di derivazione di una minaccia utilizza le icone riportate di seguito per rappresentare processi e attività.

Icona Processo Descrizione
Esagono trasparente. Processo Un processo che ha portato al rilevamento
Esagono rosso. Processo interessato Processo sospetto o potenzialmente dannoso
Fulmine rosso. Rilevamento attivato Un processo che ha attivato un rilevamento
Simbolo di avviso rosso. Attività importante Azioni fondamentali che influenzano il progresso o l’esito di eventi successivi

Per visualizzare questo elenco di icone e il numero di ogni tipo di processo nel grafico, cliccare sull’icona della Legenda nella parte in alto a destra della pagina.

Icona della Legenda.

Il grafico può anche mostrare i processi e le attività che non si trovano nella derivazione diretta, ma che sono stati avviati da un processo della derivazione. Vengono visualizzati come diramazioni del grafico principale, come mostrato qui. Per maggiori informazioni su queste diramazioni, vedere Visualizzazione di ulteriori processi nella derivazione.

Grafico che mostra i processi aggiuntivi, avviati da un processo nella derivazione.

Visualizzazione di maggiori dettagli per un processo

È possibile visualizzare maggiori dettagli procedendo come segue:

  • Passando il cursore del mouse su un processo. Verranno così visualizzati i dettagli di base e la riga di comando.

    Processo con dettagli visualizzati passando il cursore del mouse.

  • Utilizzando le opzioni pivot. Cliccare sui tre puntini Icona con i tre puntini. accanto al processo. Sarà quindi possibile selezionare query da eseguire in Live Discover.

    Processo con il menu pivot visualizzato.

  • Cliccando su un processo. Si apriranno così le schede Info e Attività sotto il grafico.

    La scheda Info mostra i dettagli del processo e la riga di comando. Cliccare sui tre puntini Icona con i tre puntini. accanto a un dettaglio per utilizzare le stesse opzioni pivot disponibili nel grafico.

    Se si utilizzano le funzionalità Sophos AI, cliccare sull’icona dell’IA Icona dell’IA. per generare un’analisi della riga di comando.

    Per informazioni dettagliate sulla scheda Attività, vedere Visualizzazione delle attività associate a un processo.

    Scheda Info.

Visualizzazione delle attività associate a un processo

È possibile visualizzare tutte le attività associate a un processo. Queste attività includono altri processi correlati, che non sono presenti nel grafico di derivazione.

Per visualizzare le attività, procedere come segue:

  1. Cliccare su un processo nel grafico per aprirne i dettagli.

  2. Selezionare la scheda Attività.

    • Se la derivazione è stata generata automaticamente e si sta visualizzando un processo interessato, la scheda mostra già attività.
    • Se la derivazione è stata generata manualmente, la scheda sarà inizialmente vuota. Occorrerà caricare dati, come indicato nel passaggio successivo.

    La scheda “Attività”.

  3. Cliccare su Arricchisci i dati sulla parte destra della scheda per caricare dati.

    La prima volta che si clicca su Arricchisci i dati, verranno visualizzati i primi tre giorni di dati, a partire dall’inizio del processo. Ogni volta che si clicca su Arricchisci i dati, verranno aggiunti altri tre giorni di dati e saranno elencate altre attività.

    Una finestra popup all’inizio della sequenza temporale di Arricchisci i dati indica la data e l’ora del Rilevamento iniziale.

È possibile modificare le informazioni visualizzate come segue:

  • Espandendo una riga per visualizzare i dati non elaborati.
  • Filtrando le attività per tipo, azione e altro.

È anche possibile aggiungere i processi di questo elenco al grafico di derivazione. Vedere Visualizzazione di ulteriori processi nella derivazione.

Visualizzazione di ulteriori processi nella derivazione

La scheda Attività nei dettagli del processo mostra ulteriori processi correlati che non fanno parte della derivazione diretta di una minaccia.

È possibile aggiungere questi processi al grafico di derivazione per contribuire alle indagini sulle minacce.

  1. Cliccare su un processo e aprire la rispettiva scheda Attività.
  2. Nell’elenco delle attività, cercare un processo correlato che si desidera visualizzare.

  3. Cliccare sull’icona a forma di Occhio accanto al processo per visualizzarlo. Cliccare di nuovo sull’icona per nascondere il processo.

    Icona a forma di Occhio.

Esportazione della derivazione

Per esportare i dati della derivazione in un file CSV, cliccare sull’icona Esporta.

Icona Esporta.

Se si verifica un errore durante l’esportazione, selezionare uno dei processi nel grafico e tentare l’esportazione da quella schermata.

Ricerca della derivazione

Per cercare la derivazione, inserire un termine nella barra di ricerca situata nella parte in alto a sinistra della pagina.

I risultati che trovano corrispondenza verranno visualizzati nelle schede Info, Attività e Risultati con corrispondenza in fondo alla pagina.