Condividi tramite


Esaminare le azioni di correzione a seguito di un'indagine automatizzata

Si applica a:

Azioni correttive

Quando viene eseguita un'indagine automatizzata , viene generato un verdetto per ogni elemento di prova indagato. I verdetti possono essere dannosi, sospetti o nessuna minaccia trovata.

A seconda di

  • il tipo di minaccia,
  • il verdetto risultante, e
  • come vengono configurati i gruppi di dispositivi dell'organizzazione,

le azioni correttive possono essere eseguite automaticamente o solo dopo l'approvazione da parte del team delle operazioni di sicurezza dell'organizzazione.

Nota

La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

Ecco alcuni esempi:

  • Esempio 1: i gruppi di dispositivi di Fabrikam sono impostati su Completo: corregge automaticamente le minacce (impostazione consigliata). In questo caso, le azioni correttive vengono eseguite automaticamente per gli artefatti considerati dannosi a seguito di un'indagine automatizzata (vedere Esaminare le azioni completate).

  • Esempio 2: i dispositivi di Contoso sono inclusi in un gruppo di dispositivi impostato su Semi: richiedono l'approvazione per qualsiasi correzione. In questo caso, il team delle operazioni di sicurezza di Contoso deve esaminare e approvare tutte le azioni correttive a seguito di un'indagine automatizzata (vedere Esaminare le azioni in sospeso).

  • Esempio 3: Tailspin Toys ha i gruppi di dispositivi impostati su Nessuna risposta automatizzata (scelta non consigliata). In questo caso, le indagini automatizzate non si verificano. Non vengono eseguite azioni correttive o in sospeso e non vengono registrate azioni nel Centro notifiche per i dispositivi (vedere Gestire i gruppi di dispositivi).

Indipendentemente dal fatto che venga eseguita automaticamente o dopo l'approvazione, un'indagine e una correzione automatizzate possono comportare una o più azioni correttive:

  • Mettere in quarantena un file
  • Rimuovere una chiave del Registro di sistema
  • Terminare un processo
  • Arrestare un servizio
  • Disabilitare un driver
  • Rimuovere un'attività pianificata

Esaminare le azioni in sospeso

  1. Passare al portale di Microsoft Defender ed eseguire l'accesso.

  2. Nel riquadro di spostamento, scegliere Centro notifiche.

  3. Esaminare gli elementi nella scheda In sospeso .

  4. Selezionare un'azione per aprire il riquadro a comparsa.

  5. Nel riquadro a comparsa esaminare le informazioni e quindi seguire questa procedura:

    • Selezionare pagina Apri indagine per visualizzare altri dettagli sull'indagine.
    • Selezionare Approva per avviare un'azione in sospeso.
    • Selezionare Rifiuta per impedire l'esecuzione di un'azione in sospeso.
    • Selezionare Vai a caccia per passare a Ricerca avanzata.

Approvare o rifiutare le azioni correttive

Per gli eventi imprevisti con stato di correzione In attesa di approvazione, è anche possibile approvare o rifiutare un'azione di correzione dall'interno dell'evento imprevisto.

  1. Nel riquadro di spostamento passare a Eventi imprevisti & avvisiEventi imprevisti>.
  2. Filtrare in base all'azione In sospeso per lo stato di indagine automatizzato (facoltativo).
  3. Selezionare un nome di evento imprevisto per aprire la pagina di riepilogo.
  4. Selezionare la scheda Evidenza e risposta .
  5. Selezionare un elemento nell'elenco per aprire il riquadro a comparsa.
  6. Esaminare le informazioni e quindi eseguire una delle operazioni seguenti:
    • Selezionare l'opzione Approva azione in sospeso per avviare un'azione in sospeso.
    • Selezionare l'opzione Rifiuta azione in sospeso per impedire l'esecuzione di un'azione in sospeso.

Opzione Approva/Rifiuta nel riquadro di gestione dell'evidenza e della risposta per un evento imprevisto nel portale di Microsoft Defender

Esaminare le azioni completate

  1. Passare al portale di Microsoft Defender ed eseguire l'accesso.

  2. Nel riquadro di spostamento, scegliere Centro notifiche.

  3. Esaminare gli elementi nella scheda Cronologia .

  4. Selezionare un elemento per visualizzare altri dettagli sull'azione di correzione.

Annullare le azioni completate

Se si è stabilito che un dispositivo o un file non è una minaccia, è possibile annullare le azioni di correzione eseguite, indipendentemente dal fatto che tali azioni siano state eseguite automaticamente o manualmente. Nel Centro notifiche, nella scheda Cronologia , è possibile annullare una delle azioni seguenti:

Origine azione Azioni supportate
  • Indagine automatizzata
  • Azioni di risposta manuale (vedere la nota seguente)
  • Antivirus Microsoft Defender
  • Disabilitare un driver
  • Isolamento i dispositivi
  • Mettere in quarantena un file
  • Rimuovere una chiave del Registro di sistema
  • Rimuovere un'attività pianificata
  • Limitazione dell’esecuzione del codice
  • Arrestare un servizio

Nota

Defender per Endpoint Piano 1 e Microsoft Defender for Business includono solo le azioni di risposta manuale seguenti:

  • Analisi dei virus
  • Isolamento i dispositivi
  • Arrestare e mettere in quarantena un file
  • Aggiungere un indicatore per bloccare o consentire un file

Per annullare più azioni contemporaneamente

  1. Passare al Centro notifiche (https://security.microsoft.com/action-center) e accedere.

  2. Nella scheda Cronologia selezionare le azioni da annullare. Assicurarsi di selezionare gli elementi con lo stesso tipo di azione. Verrà aperto un riquadro a comparsa.

  3. Nel riquadro a comparsa selezionare Annulla.

Per rimuovere un file dalla quarantena tra più dispositivi

  1. Passare al Centro notifiche (https://security.microsoft.com/action-center) e accedere.

  2. Nella scheda Cronologia selezionare un elemento con il file Di quarantena tipo azione.

  3. Nel riquadro a comparsa selezionare Applica a X altre istanze di questo file e quindi selezionare Annulla.

Livelli di automazione, risultati delle indagini automatizzate e azioni risultanti

I livelli di automazione influiscono sul fatto che determinate azioni correttive vengano eseguite automaticamente o solo dopo l'approvazione. A volte il team delle operazioni di sicurezza ha più passaggi da eseguire, a seconda dei risultati di un'indagine automatizzata. La tabella seguente riepiloga i livelli di automazione, i risultati delle indagini automatizzate e le operazioni da eseguire in ogni caso.

Impostazione del gruppo di dispositivi Risultati dell'indagine automatizzata Soluzione
Completa: correggi automaticamente le minacce
(scelta consigliata)
Viene raggiunto un verdetto di Dannoso per una prova.

Le azioni correttive appropriate vengono eseguite automaticamente.

Esaminare le azioni completate
Semi - richiedere l'approvazione per qualsiasi correzione Viene raggiunto un verdetto di Dannoso o Sospetto per una prova.

Le azioni di correzione sono in attesa dell'approvazione per continuare.

Approvare (o rifiutare) le azioni in sospeso
Semi : richiedere l'approvazione per la correzione delle cartelle di base Viene raggiunto un verdetto di Dannoso per una prova.

Se l'artefatto è un file o un eseguibile e si trova in una directory del sistema operativo, ad esempio la cartella Windows o la cartella Programmi, le azioni di correzione sono in attesa di approvazione.

Se l'artefatto non si trova in una directory del sistema operativo, le azioni di correzione vengono eseguite automaticamente.

  1. Approvare (o rifiutare) le azioni in sospeso
  2. Esaminare le azioni completate
Semi : richiedere l'approvazione per la correzione delle cartelle di base Viene raggiunto un verdetto di Sospetto per una prova.

Le azioni di correzione sono in attesa di approvazione.

Approvare (o rifiutare) le azioni in sospeso.
Semi - richiedere l'approvazione per la correzione di cartelle non temporanee Viene raggiunto un verdetto di Dannoso per una prova.

Se l'artefatto è un file o un eseguibile che non si trova in una cartella temporanea, ad esempio la cartella download dell'utente o la cartella temporanea, le azioni di correzione sono in attesa di approvazione.

Se l'artefatto è un file o un eseguibile che si trova in una cartella temporanea, le azioni di correzione vengono eseguite automaticamente.

  1. Approvare (o rifiutare) le azioni in sospeso
  2. Esaminare le azioni completate
Semi - richiedere l'approvazione per la correzione di cartelle non temporanee Viene raggiunto un verdetto di Sospetto per una prova.

Le azioni di correzione sono in attesa di approvazione.

Approvare (o rifiutare) le azioni in sospeso
Uno dei livelli di automazione Completo o Semi Un verdetto di Nessuna minaccia trovata viene raggiunto per un pezzo di prova.

Non vengono eseguite azioni correttive e nessuna azione è in attesa di approvazione.

Visualizzare dettagli e risultati delle indagini automatizzate
Nessuna risposta automatizzata (scelta non consigliata) Non vengono eseguite indagini automatizzate, quindi non vengono raggiunti verdetti e non vengono eseguite azioni correttive o in attesa di approvazione. Prendere in considerazione la configurazione o la modifica dei gruppi di dispositivi per l'uso dell'automazione completa o semi

Tutti i verdetti vengono rilevati nel Centro notifiche.

Nota

In Defender per le aziende, le funzionalità di analisi e correzione automatizzate sono predefinite per l'uso di Full- remediate threats automatically. Queste funzionalità vengono applicate a tutti i dispositivi per impostazione predefinita.

Passaggi successivi

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.