Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli eventi imprevisti vengono creati automaticamente nel portale di Microsoft Defender quando vengono rilevate attività sospette. Quando due eventi imprevisti descrivono parti della stessa storia di attacco, Defender in genere unisce tali eventi in un singolo evento imprevisto automaticamente per consentire di analizzare gli eventi imprevisti in modo più efficiente ed efficace e risolverli in modo più rapido e accurato.
A volte, tuttavia, l'unione automatica non avviene, a causa di determinate condizioni che lo impediscono. Per altre informazioni su quando gli eventi imprevisti sono o non vengono uniti, vedere Correlazione e unione degli eventi imprevisti. In queste circostanze, o se si decide in modo indipendente che due eventi imprevisti (non uniti) sono correlati e devono essere analizzati come una singola unità, è possibile unirli manualmente. Questo articolo illustra come eseguire questa operazione.
Prerequisiti
- Gli utenti devono avere le autorizzazioni per visualizzare la coda degli eventi imprevisti.
- Gli utenti devono disporre delle autorizzazioni di lettura e scrittura per tutti gli eventi imprevisti da unire. Gli eventi imprevisti di origini diverse hanno ruoli di controllo degli accessi in base al ruolo diversi definiti.
- Gli eventi imprevisti candidati per l'unione devono avere gli stessi valori l'uno dell'altro o valori Null per i campi Assegnato a, Classificazione e Determinazione .
Unire gli eventi imprevisti dalla pagina della coda degli eventi imprevisti
Aprire la coda degli eventi imprevisti. Selezionare Indagine & risposta > Eventi imprevisti & avvisi Eventi imprevisti > dal menu di avvio rapido nel portale di Microsoft Defender.
Selezionare i due eventi imprevisti da unire contrassegnando le caselle di controllo all'inizio delle relative righe nella coda. Quando vengono contrassegnati due eventi imprevisti, il pulsante Merge incidents viene visualizzato sulla barra degli strumenti.
Selezionare Merge incidents (Unisci eventi imprevisti ) sulla barra degli strumenti. Verrà aperto il riquadro a comparsa Eventi imprevisti di merge .
Nella casella di testo Motivo dell'unione digitare una descrizione del motivo per cui si desidera unire gli eventi imprevisti.
Selezionare Merge incidents (Unione eventi imprevisti ) nella parte inferiore del riquadro a comparsa per eseguire l'unione.
Nella finestra di dialogo di conferma visualizzata selezionare Unisci. Al termine dell'unione, viene visualizzata una notifica "Operazione riuscita", con un collegamento da seguire per passare all'evento imprevisto unito (destinazione).
Se l'unione non riesce, viene visualizzata una finestra di dialogo con un messaggio che indica che l'unione degli eventi imprevisti non è riuscita. Verificare che entrambi gli eventi imprevisti abbiano gli stessi valori o che almeno uno degli eventi imprevisti abbia un valore Null per Assegnato a, Classificazione e Determinazione.
Unire gli eventi imprevisti dall'interno della pagina degli eventi imprevisti
Selezionare il nome di uno dei due eventi imprevisti da unire dalla coda degli eventi imprevisti. Potrebbe trattarsi dell'evento imprevisto di origine o di destinazione, in quanto Microsoft Defender decide quale sia. Per altre informazioni, vedere Dettagli del processo di unione.
Viene visualizzata la pagina dell'evento imprevisto. Nel menu Azioni (i tre puntini nell'angolo in alto a destra) selezionare Merge incidents (Unione eventi imprevisti).
Viene visualizzato il riquadro a comparsa Eventi imprevisti di merge . Nel campo Altro nome o ID evento imprevisto iniziare a digitare il nome o l'ID dell'evento imprevisto da unire a quello aperto. L'elenco degli eventi imprevisti disponibili viene visualizzato e filtrato in modo dinamico durante la digitazione. Quando viene visualizzato quello desiderato nell'elenco, selezionarlo.
Nella casella di testo Commento digitare una descrizione del motivo per cui si desidera unire gli eventi imprevisti.
Selezionare Merge incidents (Unione eventi imprevisti ) nella parte inferiore del riquadro a comparsa per eseguire l'unione.
Nella finestra di dialogo di conferma visualizzata selezionare Unisci. Al termine dell'unione, viene visualizzata una notifica "Operazione riuscita", l'evento imprevisto aperto viene chiuso e si viene reindirizzati all'evento imprevisto unito (destinazione).
Se l'unione non riesce, viene visualizzata una finestra di dialogo con un messaggio che indica che l'unione degli eventi imprevisti non è riuscita. Affinché l'unione abbia esito positivo, entrambi gli eventi imprevisti devono avere gli stessi valori, o almeno un evento imprevisto deve avere un valore Null, per Assegnato a, Classificazione e Determinazione.
Note
Quando gli eventi imprevisti sono in fase di unione, non è possibile visualizzare o apportare modifiche a entrambi gli eventi imprevisti.
Le unioni di eventi imprevisti vengono registrate nel log attività dell'evento imprevisto di destinazione. I messaggi di log mostrano i nomi e gli ID degli eventi imprevisti di origine uniti all'evento imprevisto aperto (destinazione).
Le voci del log attività dell'evento imprevisto di origine vengono copiate nel log attività dell'evento imprevisto di destinazione. Le voci vengono visualizzate con un'indicazione che sono state unite dall'evento imprevisto di origine. È possibile filtrare il log attività per visualizzare le voci degli eventi imprevisti di origine o di destinazione o di entrambi.