Vai al contenuto

Centro di analisi delle minacce

La dashboard del Centro di analisi delle minacce consente di visualizzare e analizzare le statistiche e le tendenze dei rilevamenti.

Aprire Centro di analisi delle minacce per visualizzare la dashboard.

Abbiamo aggiornato la dashboard con nuove funzionalità. Per tornare alla dashboard precedente, selezionare Dashboard originale nella parte in alto a destra della dashboard.

Interruttore Nuova dashboard/Dashboard originale.

Per informazioni sull’utilizzo della dashboard, selezionare la scheda applicabile tra le opzioni riportate sotto.

La nuova Dashboard offre più dati di rilevamento e modi migliori per visualizzarli.

Ora è possibile svolgere le seguenti operazioni:

  • Selezionare l’intervallo di tempo per cui visualizzare i dati di rilevamento.
  • Visualizzare le statistiche su un rilevamento, suddivise in base ai diversi aspetti del rilevamento.
  • Utilizzare i filtri per concentrarsi sui rilevamenti di un particolare tipo, gravità o altro. Vedere Impostazione dei filtri.
  • Visualizzare i rilevamenti, mappati in base alla posizione geografica.
  • Cliccare sulle statistiche dei rilevamenti in ciascuna sezione per passare direttamente ai dati pre-filtrati.

Rilevamenti totali

Qui viene mostrato il numero totale di rilevamenti, insieme a una ripartizione delle percentuali per ciascun livello di gravità.

Cliccare su una cifra qualsiasi per aprire la pagina Rilevamenti, pre-filtrata, in modo da visualizzare il livello di gravità desiderato. La pagina si apre in una nuova scheda.

È anche possibile utilizzare i filtri, come descritto in Impostazione dei filtri.

Rilevamenti totali.

Conteggio totale dei rilevamenti

Qui viene indicato il numero di rilevamenti effettuati durante l’intervallo di tempo selezionato, insieme alla tendenza, secondo le cifre medie a ogni ora o giorno.

La linea di tendenza viene visualizzata solo per gli intervalli di tempo fino a 7 giorni.

Questo grafico può essere modificato per visualizzare le statistiche suddivise in base a diversi aspetti del rilevamento. Vedere Selezione di una vista delle ripartizioni.

È anche possibile utilizzare i filtri, come descritto in Impostazione dei filtri.

Conteggio totale dei rilevamenti e grafico di tendenza.

Selezione di una vista delle ripartizioni

Il grafico Conteggio totale dei rilevamenti può essere personalizzato in modo da mostrare una ripartizione delle statistiche dei rilevamenti. È ad esempio possibile visualizzare le statistiche dei rilevamenti, suddivise in base al rispettivo livello di gravità: Rischio critico, alto, medio o basso.

Per farlo, aprire il menu a discesa sopra il grafico e selezionare la funzionalità in base alla quale si desidera visualizzare la ripartizione.

Menu a discesa.

Quando si esegue questa operazione, i grafici a barre cambieranno e ogni barra verrà sostituita da un gruppo di barre. Se si seleziona il livello di gravità, verranno visualizzate barre separate che mostrano le statistiche dei rilevamenti per i livelli di rischio critico, alto, medio o basso. Passare il cursore del mouse sopra una barra per visualizzarne le statistiche.

Nota

La vista Tattiche MITRE utilizza un grafico a linee. Le singole linee indicano i rilevamenti di tattiche diverse.

Grafico a barre che mostra una ripartizione.

Selezione della vista grafico o della mappa termica

È possibile visualizzare le statistiche dei rilevamenti sotto forma di grafico o calendario con mappa termica. L’impostazione predefinita è la vista grafico. Per modificarla, cliccare sulle icone nella parte in alto a destra dello schermo. Per selezionare la mappa termica, cliccare sull’icona sulla destra.

Icona della mappa termica.

Prime 10 entità

Con questa opzione vengono visualizzate le dieci entità (ad esempio, i server) con il maggior numero di rilevamenti. Cliccare sul numero di rilevamenti per visualizzarne una suddivisione in base al livello di rischio.

È possibile utilizzare il menu a discesa sopra l’elenco, per mostrare le statistiche sui rilevamenti come segue:

  • Per entità: vengono visualizzati i dispositivi con il maggior numero di rilevamenti.
  • Per sensore: vengono indicati i sensori con il maggior numero di rilevamenti. I sensori sono prodotti che segnalano i rilevamenti al Sophos Data Lake.

È anche possibile utilizzare i filtri, come descritto in Impostazione dei filtri.

Primi 10 utenti

I dieci utenti con il maggior numero di rilevamenti. Cliccare sul numero di rilevamenti per visualizzarne una suddivisione in base al livello di rischio.

È anche possibile utilizzare i filtri, come descritto in Impostazione dei filtri.

Posizione di rilevamento del sensore

Una mappa del mondo mostra il numero e la ripartizione dei rilevamenti in diverse aree geografiche. È possibile eseguire lo zoom per visualizzare le statistiche dei rilevamenti per aree più piccole come un singolo paese, stato o città.

Cliccare sul numero di rilevamenti di un’area geografica per visualizzarne una suddivisione in base al livello di rischio.

Questa sezione può essere personalizzata, come indicato in Impostazione dei filtri.

Mappa della posizione del sensore.

TTP (tattiche, tecniche, procedure) MITRE

Questa mappa termica mostra il numero di rilevamenti in ciascuna categoria MITRE. Passare il cursore del mouse su una tattica per visualizzarne una suddivisione in base al livello di rischio.

Cliccare su una tattica per eseguire lo zoom e visualizzare le tecniche MITRE rilevate durante il periodo di tempo specificato. Cliccare di nuovo per tornare alla vista delle tattiche.

Questa sezione può essere personalizzata, come indicato in Impostazione dei filtri.

Mappa termica dei rilevamenti per ciascun tipo MITRE.

Rilevamenti recenti

Questa opzione mostra i rilevamenti più recenti nella propria rete.

È anche possibile utilizzare i filtri, come descritto in Impostazione dei filtri.

Rilevamenti recenti.

Impostazione dell’intervallo di tempo

L’intervallo di tempo predefinito è Ultime 24 ore. Può essere modificato con le opzioni Ultima ora, Ultimi 7 giorni o Ultimi 30 giorni.

È anche possibile selezionare Personalizzato e impostare un intervallo di tempo personalizzato.

Impostazione dei filtri

I filtri permettono di selezionare quali dati verranno visualizzati. Cliccare su Filtro per vedere le opzioni disponibili.

Menu del filtro.

È possibile utilizzare i set di filtri indicati di seguito.

  • Entità. Immettere il nome di un dispositivo specifico per vedere i rilevamenti che si sono verificati in quel dispositivo.
  • Gravità. Scegliendo questa opzione, vengono visualizzati i rilevamenti con uno o più livelli di rischio specifici.
  • Tipo. Con questa opzione vengono visualizzati i rilevamenti di un tipo di minaccia specifico.
  • Sistema operativo. Questa opzione consente di mostrare i rilevamenti che si sono verificati su dispositivi che eseguono uno o più sistemi operativi specifici.
  • Tattiche MITRE. Con questa opzione è possibile visualizzare i rilevamenti che corrispondono a tattiche MITRE specifiche.
  • Rilevamento. Immettere il nome di un rilevamento per visualizzarne le istanze.
  • Categoria. Questa opzione consente di visualizzare i rilevamenti segnalati da un tipo specifico di sensore. Ad esempio, il firewall.

È possibile selezionare più opzioni in ogni set, oppure cliccare su Seleziona tutto accanto a un set. Si possono anche selezionare opzioni in più set.

È possibile unire i filtri a una vista selezionata dal menu a discesa (nelle sezioni che ne hanno uno).

Come mettere in evidenza dettagli specifici in un grafico

È possibile mettere in evidenza barre o linee specifiche in un grafico. Passare il cursore del mouse sopra i campioni di colore visualizzati nella legenda accanto al grafico. Ad esempio, in un grafico che mostra i rilevamenti in base al livello di gravità, cliccare sul colore corrispondente a un livello di rischio specifico per metterne in evidenza la barra.

Cursore del mouse passato sulla legenda per mettere in evidenza le barre.

La dashboard originale è composta da tabelle che mostrano le più recenti attività di rilevamento delle minacce e di indagine.

Casi recenti

I casi consentono di analizzare le potenziali minacce. Raggruppano gli eventi sospetti che abbiamo rilevato e aiutano a svolgere indagini approfondite su questi eventi.

Quando viene identificato un rilevamento, creiamo automaticamente un caso, per poi aggiungere rilevamenti correlati in un secondo momento. In alternativa, è possibile creare un’indagine personalizzata e aggiungervi rilevamenti. Vedere Casi.

La dashboard elenca i casi recenti e ne mostra lo stato attuale.

Per visualizzare tutti i casi, cliccare su Vedi tutti.

Rilevamenti recenti

I rilevamenti identificano le attività sui dispositivi che sono insolite o sospette ma che non sono state bloccate. Sono diversi dagli eventi, i quali prevedono invece l'individuazione e il blocco delle attività già identificate come dannose.

I rilevamenti vengono generati in base ai dati caricati dai dispositivi sul Sophos Data Lake.

La dashboard elenca i rilevamenti più recenti, con i dettagli sul rispettivo livello di rischio, su dove si sono verificati e su quale prodotto o integrazione li ha identificati.

Per visualizzare tutti i rilevamenti, cliccare su Vedi tutti.

Grafici delle minacce recenti

L'opzione Grafici delle minacce permette di indagare sugli attacchi di malware. Cliccare su un grafico per scoprire dove ha avuto inizio un attacco, come si è diffuso e quali processi o file ha colpito.

I grafici delle minacce sono disponibili solamente per i dispositivi Windows.

La dashboard mostra i grafici delle minacce su schede diverse come segue, a seconda di chi li ha generati:

  • Grafici generati automaticamente da Sophos.
  • Grafici generati da un amministratore di Sophos Central.

In quest'area vengono visualizzati solo i grafici delle minacce con stato "Nuovo". Se un grafico delle minacce è chiuso o in corso, anche se ha una data più recente rispetto a un altro grafico con stato "Nuovo", non verrà visualizzato.

Per visualizzare tutti i grafici, cliccare su Visualizza tutti i grafici delle minacce.

Recenti query di Live Discover

Live Discover consente di eseguire query sui dispositivi nel modo seguente:

  • Ricerca di tracce della presenza di minacce non rilevate da altre funzionalità Sophos.
  • Ricerca di tracce della presenza di una minaccia sospetta o nota, se Sophos Central ha rilevato la minaccia altrove.
  • Verifica della conformità agli standard di sicurezza.

La dashboard mostra le query che sono state eseguite più recentemente.

Per visualizzare i dettagli completi di una query e i relativi risultati, cliccare sul rispettivo nome nell'elenco.

Per visualizzare tutte le query recenti, cliccare su Vedi tutte.

Per eseguire una nuova query, cliccare su Nuova sessione.

Query pianificate di recente

È possibile pianificare le query di Live Discover.

La dashboard mostra le query pianificate più recenti e la relativa frequenza.

Per visualizzare i dettagli completi di una query pianificata e accedere ai risultati, cliccare sul rispettivo nome nell'elenco.

Per visualizzare tutte le query pianificate, cliccare su Vedi tutte.