Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per endpoint in Windows offre protezione preventiva, rilevamento post-violazione, analisi automatizzata e risposta per gli endpoint di Windows. La tabella seguente descrive le funzionalità in Defender per endpoint in Windows:
| Categoria | Descrizione |
|---|---|
| Protezione autonoma |
L'interruzione automatica degli attacchi identifica e contiene attacchi attivi in tempo reale isolando automaticamente i dispositivi compromessi e disabilitando gli account utente compromessi, interrompendo lo spostamento laterale prima che sia necessario l'intervento umano. La schermatura predittiva usa l'intelligenza artificiale per prevedere le minacce e proteggere in modo proattivo asset di alto valore prima che un attacco raggiunga tali minacce. |
| Protezione di nuova generazione | Defender per endpoint in Windows include la protezione antivirus di nuova generazione che usa tecniche basate sul comportamento, distribuite nel cloud e machine learning. Il blocco comportamentale e il contenimento rilevano e bloccano comportamenti dannosi e consentono di contenere i dispositivi compromessi. La protezione Web protegge da siti Web dannosi, tentativi di phishing e minacce basate sul Web. La protezione di rete blocca le connessioni a destinazioni di rete dannose. Le funzionalità di riduzione della superficie di attacco, incluse le regole di riduzione della superficie di attacco e il controllo del dispositivo, riducono l'esposizione a tecniche di attacco comuni, ad esempio furto di credenziali, esecuzione di malware e uso non autorizzato di archiviazione rimovibile. La protezione dalle manomissioni protegge le impostazioni di sicurezza critiche da modifiche non autorizzate. La configurazione del firewall abilita la connettività del servizio Defender per endpoint. |
| Rilevamento e risposta degli endpoint (EDR) | Defender per endpoint in Windows usa l'intelligenza artificiale e l'analisi avanzata per rilevare e rispondere alle minacce quasi in tempo reale. Il portale Microsoft Defender in https://security.microsoft.com offre una posizione centrale per visualizzare i rilevamenti e gestire i dispositivi dell'organizzazione. È possibile usare la ricerca avanzata per eseguire query sui dati degli eventi non elaborati e ottenere informazioni più approfondite sugli eventi di rete. Analisi delle minacce fornisce report di intelligence curati sulle minacce attive ed emergenti. EDR in modalità blocco consente a Defender per endpoint di bloccare e correggere le minacce anche quando Microsoft Defender Antivirus viene eseguito in modalità passiva. Le azioni di risposta includono l'esecuzione di analisi antivirus, l'isolamento dei dispositivi, la raccolta di pacchetti di analisi e la raccolta di file per un'analisi approfondita. È anche possibile usare la risposta dinamica per le connessioni della shell remota per eseguire indagini approfondite. Le notifiche degli attacchi agli endpoint offrono la ricerca proattiva e la definizione delle priorità per identificare e rispondere alle minacce più critiche. |
| Gestione delle vulnerabilità | Defender per endpoint in Windows offre la gestione delle vulnerabilità basata sui rischi con priorità, correzione e rilevamento intelligenti. Queste funzionalità consentono di gestire e proteggere i dispositivi Windows. Il team di sicurezza ottiene una visualizzazione completa del punteggio di esposizione dell'organizzazione, delle raccomandazioni sulla sicurezza, delle attività di correzione, dell'inventario software e del punteggio di sicurezza Microsoft per i dispositivi. |
| Analisi e risposta automatizzate | L'indagine e la risposta automatizzate (AIR) analizzano automaticamente gli avvisi e correggeno le minacce, riducendo il carico di lavoro per i team di sicurezza. |
| Gestione e operazioni semplificate | Defender per endpoint in Windows si integra con gli strumenti di gestione esistenti, inclusi Microsoft Intune e Criteri di gruppo. La gestione delle impostazioni di sicurezza consente di gestire i criteri di sicurezza direttamente dal portale di Microsoft Defender. Defender per endpoint offre un set completo di API di gestione per l'accesso a livello di codice alla gestione dei dispositivi, alla gestione delle vulnerabilità e all'intelligence sulle minacce. Le integrazioni dei partner consentono l'integrazione con soluzioni di sicurezza Microsoft e non Microsoft. |
| Integrazione ed estendibilità senza problemi | Microsoft Defender per endpoint in Windows garantisce prestazioni stabili e durevoli con un sensore comportamentale leggero integrato nel sistema operativo. Defender per endpoint si integra perfettamente con la più ampia suite di Microsoft Defender, offrendo estendibilità tramite l'integrazione api, i connettori SIEM, il supporto di Power BI e il controllo degli accessi in base al ruolo. |
| Individuazione di dispositivi e rete | L'individuazione di endpoint e dispositivi di rete individua endpoint non gestiti, dispositivi di rete e dispositivi IoT nella rete aziendale, consentendo di mantenere la visibilità e la protezione. |
Consiglio
Per un confronto dettagliato delle funzionalità supportate per tutte le piattaforme Defender per endpoint (Windows, macOS e Linux), vedere Funzionalità di Defender per endpoint.
Funzionalità di sicurezza di base
La tabella seguente riepiloga le funzionalità di sicurezza principali disponibili in Windows:
| Funzionalità | Descrizione |
|---|---|
| Protezione di nuova generazione | Protezione antivirus e antimalware che usa tecniche basate sul comportamento, distribuite nel cloud e machine learning. |
| Blocco e contenimento comportamentale | Rileva e blocca comportamenti dannosi e consente di contenere dispositivi compromessi. |
| Protezione sul Web | Protegge i dispositivi da siti Web dannosi, tentativi di phishing e minacce basate sul Web. |
| Firewall | Configurare le impostazioni del firewall e del proxy per abilitare la connettività del servizio Defender per endpoint. |
| Protezione da manomissioni | Impedisce modifiche non autorizzate alle impostazioni di sicurezza critiche sugli endpoint. |
| Modalità passiva | Esegue Microsoft Defender Antivirus in modalità di monitoraggio insieme a un antivirus non Microsoft. |
Riduzione della superficie d'attacco
Le funzionalità di riduzione della superficie di attacco consentono di ridurre l'esposizione alle tecniche di attacco comuni:
| Funzionalità | Descrizione |
|---|---|
| Regole per la riduzione della superficie di attacco | Bloccare le tecniche di attacco comuni, ad esempio il furto delle credenziali e l'esecuzione di malware. |
| Controllo dispositivo | Gestire e controllare l'uso di dispositivi periferici e di archiviazione rimovibili. |
| Protezione di rete | Bloccare le connessioni a destinazioni di rete dannose. |
Gestione di minacce e vulnerabilità
Queste funzionalità consentono di identificare, valutare e correggere vulnerabilità e configurazioni errate per ridurre i rischi:
| Funzionalità | Descrizione |
|---|---|
| Valutazione delle vulnerabilità | Identifica le vulnerabilità software e le configurazioni non corrette nei dispositivi. |
| Consigli sulla sicurezza | Linee guida interattive per ridurre il rischio di endpoint. |
| Rilevamento delle correzioni | Tiene traccia delle attività di correzione e della riduzione dell'esposizione. |
| Punteggio di sicurezza Microsoft per dispositivi | Valuta lo stato di sicurezza della rete, identifica i sistemi non protetti e fornisce azioni per migliorare la sicurezza complessiva dell'organizzazione. |
Individuazione di dispositivi e rete
| Funzionalità | Descrizione |
|---|---|
| Individuazione di endpoint e dispositivi di rete | Individua endpoint non gestiti, dispositivi di rete e dispositivi IoT nella rete aziendale. |
Rilevamento e risposta degli endpoint (EDR)
Queste funzionalità consentono di rilevare, analizzare e rispondere alle minacce avanzate che potrebbero ignorare le difese preventive:
| Funzionalità | Descrizione |
|---|---|
| Rilevamento e risposta di endpoint | Rileva le minacce avanzate e le attività sospette sugli endpoint e fornisce funzionalità di indagine. |
| Rilevazione avanzata | Ricerca di minacce basate su query per la telemetria degli endpoint. |
| Analisi delle minacce | Report di intelligence curati sulle minacce attive ed emergenti. |
| EdR in modalità blocco | Consente a Defender per endpoint di bloccare e correggere le minacce anche quando Microsoft Defender Antivirus viene eseguito in modalità passiva. |
| Live Response | Fornisce una shell remota sicura per analizzare e correggere i dispositivi compromessi in tempo reale. |
| Notifiche di attacco endpoint | Ricerca proattiva e definizione delle priorità che consente di identificare e rispondere alle minacce più critiche. |
Protezione autonoma
Queste funzionalità basate sull'intelligenza artificiale identificano, contengono e prevengono in modo proattivo gli attacchi a velocità del computer senza richiedere l'intervento umano:
| Funzionalità | Descrizione |
|---|---|
| Interruzione automatica degli attacchi | Identifica e contiene attacchi attivi in tempo reale isolando automaticamente i dispositivi compromessi e disabilitando gli account utente compromessi, interrompendo lo spostamento laterale senza richiedere l'intervento umano. |
| Schermatura predittiva | Usa l'intelligenza artificiale per anticipare le minacce e proteggere in modo proattivo asset di alto valore prima che un attacco raggiunga le minacce. |
Indagine e reazione automatizzate
| Funzionalità | Descrizione |
|---|---|
| Indagine e reazione automatizzati (AIR) | Analizza automaticamente gli avvisi e corregge le minacce. |
Azioni di indagine e risposta
| Funzionalità | Descrizione |
|---|---|
| Isolamento del dispositivo | Isola i dispositivi compromessi per impedire lo spostamento laterale. L'isolamento del dispositivo viene attivato automaticamente anche dall'interruzione dell'attacco quando viene rilevato un attacco attivo. |
| Raccogliere un pacchetto di indagini | Raccoglie dati forensi da un dispositivo per l'analisi offline. |
| Eseguire ricerca del virus | Avvia analisi antivirus su richiesta in un dispositivo. |
| Raccogliere file e analisi approfondita | Raccoglie i file dai dispositivi e li invia a una sandbox cloud sicura per un'analisi approfondita. |
| Bloccare, arrestare e mettere in quarantena i file | Arresta i processi dannosi e mette in quarantena i file nell'ambiente. |
Indicatori e rilevamenti personalizzati
| Funzionalità | Descrizione |
|---|---|
| Indicatori di file personalizzati | Creare regole consentite o bloccate in base agli hash dei file. |
| Indicatori di rete personalizzati | Consentire o bloccare indirizzi IP, URL o domini in base all'intelligence sulle minacce personalizzata. |
API e integrazioni
| Funzionalità | Descrizione |
|---|---|
| API di gestione e automazione | Automatizzare i flussi di lavoro e integrare Defender per endpoint nei processi esistenti. |
| Integrazioni con i partner | Integrazione con soluzioni di sicurezza Microsoft e non Microsoft. |
Compatibilità della soluzione antivirus
L'agente Microsoft Defender per endpoint dipende da Microsoft Defender Antivirus per alcune funzionalità, ad esempio l'analisi dei file.
| Funzionalità | Descrizione |
|---|---|
| Microsoft Defender dipendenza antivirus | Defender per endpoint si basa su Microsoft Defender Antivirus per le funzionalità selezionate, inclusa l'analisi dei file. |
| Aggiornamenti di Security intelligence | Mantenere l'intelligence di sicurezza e il motore di analisi aggiornati sui dispositivi caricati. |
| Aggiornamenti della piattaforma | Mantenere aggiornata la piattaforma antivirus Microsoft Defender nei dispositivi di cui è stato eseguito l'onboarding. |
| Modalità passiva con antimalware non Microsoft | Quando un client antimalware non Microsoft è attivo, Microsoft Defender Antivirus viene eseguito in modalità passiva, continua a ricevere gli aggiornamenti e msmpeng.exe rimane in esecuzione. |
Importante
Il rilevamento degli endpoint e la risposta (EDR) in Microsoft Defender per endpoint non rispettano le impostazioni di esclusione antivirus Microsoft Defender.
Per una protezione ottimale, configurare gli aggiornamenti dell'intelligence di sicurezza e gli aggiornamenti della piattaforma per i dispositivi caricati, indipendentemente dal fatto che Microsoft Defender Antivirus sia o meno la soluzione antimalware attiva.
Quando un dispositivo caricato usa un client antimalware non Microsoft e Microsoft Defender Antivirus è in modalità passiva, Microsoft Defender Antivirus non esegue analisi di protezione in tempo reale, analisi pianificate o analisi su richiesta e non sostituisce il client antimalware non Microsoft. Inoltre, l'interfaccia utente Microsoft Defender Antivirus è disabilitata e gli utenti non possono eseguire analisi su richiesta o configurare la maggior parte delle opzioni(ad esempio, regole di riduzione della superficie di attacco, protezione della rete, indicatori - file/indirizzo IP/URL/certificati consentiti/bloccati, filtro contenuto Web e accesso controllato alle cartelle).
Per altre informazioni, vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus e applicare linee di base e Microsoft Defender'argomento relativo alla compatibilità con Antivirus e Microsoft Defender per endpoint.