Vai al contenuto

Indagini

Le indagini consentono di analizzare le potenziali minacce.

La funzionalità Indagini raggruppa gli eventi sospetti segnalati dalla nostra funzionalità Rilevamenti e aiuta a condurre indagini approfondite su questi eventi.

Questa pagina spiega come funzionano le indagini e descrive come eseguire le seguenti operazioni:

  • Impostazione delle indagini.
  • Visualizzazione e avvio delle indagini.
  • Indagini sugli eventi rilevati.
  • Chiusura delle indagini.

Informazioni sulle indagini

Le indagini vengono create automaticamente da noi. Si concentrano sui rilevamenti sui quali consigliamo di indagare.

  • Creiamo un'indagine quando è presente un rilevamento ad alto rischio (se non è già stato incluso in un'indagine lo stesso giorno).
  • Aggiungiamo all'indagine rilevamenti successivi, se sono correlati (ovvero se presentano lo stesso tipo di rilevamento o se riguardano gli stessi dispositivi).

Un rilevamento può essere incluso in più di un'indagine.

Per informazioni complete, vedere Come Sophos crea le indagini.

È possibile modificare e lavorare su queste indagini. In alternativa, si possono creare indagini personalizzate. Vedere Creazione di un'indagine.

Impostazione delle indagini

I Rilevamenti e le Indagini si basano sui dati contenuti nel Sophos Data Lake. Prima di iniziare a utilizzare queste funzionalità, bisogna assicurarsi che i caricamenti dei dati di sicurezza sul Data Lake siano attivati.

I dati possono provenire da vari prodotti Sophos.

Vedere Caricamenti sul Data Lake.

Visualizzazione e avvio delle indagini

Per visualizzare le indagini create, avviarle e assegnarle a persone specifiche, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Indagini.
  2. Verrà visualizzato un elenco delle indagini. Cliccare su un'indagine per visualizzarne i dettagli.

    Nota

    La prima volta che si visualizza questa pagina, l'elenco potrebbe essere vuoto. Tornare in un secondo momento per visualizzare le indagini create automaticamente o per creare indagini personalizzate.

    Pagina Indagini

  3. Il Record indagine mostra i dettagli dell'indagine e l'Elenco dei rilevamenti mostra quali eventi sospetti sono inclusi. Avviare l'indagine come segue:

    1. Impostare la priorità, scegliendo tra Alta, Media o Bassa.
    2. Modificare lo stato da Non avviato a In corso.
    3. Cliccare su Tipo da assegnare e selezionare gli amministratori di Sophos Central che svolgeranno le indagini.

    Pagina Dettagli dell'indagine

Aggiungeremo all'indagine rilevamenti correlati man mano che si verificano. I rilevamenti possono anche essere aggiunti o rimossi manualmente. Nell'Elenco dei rilevamenti, cliccare su Azioni e scegliere l'operazione che si desidera eseguire.

Nota

Per impostazione predefinita, inviamo un'e-mail ai Super amministratori ogni volta che viene aperta una nuova indagine. Vedere Notifiche tramite e-mail.

Indagini sugli eventi rilevati

Abbiamo fornito un modello da seguire per le indagini. Per svolgere le indagini, procedere come segue:

  1. Selezionare Centro di analisi delle minacce > Indagini.
  2. Cliccare su un'indagine.

    Pagina Indagini

  3. Espandere le Note sull'indagine. Verrà visualizzata una serie di domande basate sul modello Osservare-Orientare-Decidere-Agire.

    • Decidere se è necessario indagare o chiudere l'indagine.
    • Verificare le connessioni esterne e interne utilizzate nell'evento.
    • Verificare quali dispositivi e utenti sono stati coinvolti.
    • Individuare le tattiche e tecniche di attacco utilizzate. Questi sono indicate nei dettagli del rilevamento.
    • Utilizzare le opzioni pivot nei rilevamenti per eseguire query sui dati o per consultare siti web di analisi delle minacce di terze parti. Vedere Rilevamenti.

    Note sull’indagine

Chiusura delle indagini

Per chiudere un'indagine, impostare lo stato su Chiuso.

Elimineremo l'indagine dopo 30 giorni.

Torna su