Segnalare e risolvere i problemi relativi alle regole di riduzione della superficie di attacco di Defender per endpoint

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Il portale Microsoft Defender è la nuova interfaccia per il monitoraggio e la gestione della sicurezza in identità, dati, dispositivi, app e infrastruttura Microsoft. Qui è possibile visualizzare facilmente l'integrità della sicurezza dell'organizzazione, configurare dispositivi, utenti e app e ricevere avvisi per attività sospette. Il portale Microsoft Defender è destinato agli amministratori della sicurezza e ai team delle operazioni di sicurezza per gestire e proteggere meglio l'organizzazione. Visitare il portale di Microsoft Defender all'indirizzohttps://security.microsoft.com .

Nel portale di Microsoft Defender è disponibile un'analisi completa della configurazione delle regole di riduzione della superficie di attacco e degli eventi correnti nella propria azienda. È necessario eseguire l'onboarding dei dispositivi nel servizio Microsoft Defender per endpoint affinché questi report vengano popolati. Ecco uno screenshot del portale di Microsoft Defender (in Segnala> lariduzione della superficie di attaccodei dispositivi>). A livello di dispositivo selezionare Configurazione nel riquadro Regole di riduzione della superficie di attacco . Viene visualizzata la schermata seguente, in cui è possibile selezionare un dispositivo specifico e controllare la configurazione della regola di riduzione della superficie di attacco individuale.

Microsoft Defender per endpoint - Ricerca avanzata

Una delle caratteristiche più potenti di Microsoft Defender per endpoint è la ricerca avanzata. Se non si ha familiarità con la ricerca avanzata, fare riferimento alla ricerca proattiva delle minacce con la ricerca avanzata.

La ricerca avanzata è uno strumento di ricerca delle minacce basato su query (Linguaggio di query Kusto) che consente di esplorare fino a 30 giorni dei dati acquisiti (non elaborati), raccolti da Defender per endpoint dai dispositivi. Tramite la ricerca avanzata, è possibile controllare in modo proattivo gli eventi per individuare indicatori ed entità interessanti. L'accesso flessibile ai dati consente la ricerca non vincolata di minacce note e potenziali.

Tramite la ricerca avanzata, è possibile estrarre informazioni sulle regole di riduzione della superficie di attacco, creare report e ottenere informazioni approfondite sul contesto di un determinato evento di controllo o blocco delle regole di riduzione della superficie di attacco.

Gli eventi delle regole di riduzione della superficie di attacco possono essere sottoposti a query dalla tabella DeviceEvents nella sezione ricerca avanzata del Microsoft Defender XDR. Ad esempio, una query semplice come quella seguente può segnalare tutti gli eventi con regole di riduzione della superficie di attacco come origine dati negli ultimi 30 giorni e riepilogarli in base al conteggio ActionType, che in questo caso è il nome in codice effettivo della regola di riduzione della superficie di attacco.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

Con la ricerca avanzata è possibile modellare le query a proprio piacimento, in modo da poter vedere cosa accade, indipendentemente dal fatto che si desideri individuare qualcosa in un singolo computer o si vogliono estrarre informazioni dettagliate dall'intero ambiente.

Microsoft Defender per endpoint sequenza temporale del computer

Un'alternativa alla ricerca avanzata, ma con un ambito più ristretto, è la sequenza temporale del computer Microsoft Defender per endpoint. È possibile visualizzare tutti gli eventi raccolti di un dispositivo, negli ultimi sei mesi, nel Microsoft Defender XDR, passando all'elenco Computer, selezionando un determinato computer e quindi selezionando la scheda Sequenza temporale.

Lo screenshot seguente mostra la visualizzazione Sequenza temporale di questi eventi in un determinato endpoint. Da questa visualizzazione è possibile filtrare l'elenco degli eventi in base a uno dei gruppi di eventi nel riquadro a destra. È anche possibile abilitare o disabilitare gli eventi contrassegnati e dettagliati durante la visualizzazione degli avvisi e lo scorrimento della sequenza temporale cronologica.

Come risolvere i problemi relativi alle regole di riduzione della superficie di attacco?

Esaminare Risolvere i problemi relativi alle regole di riduzione della superficie di attacco

Articoli correlati

• Regole per la riduzione della superficie di attacco

• Abilitare regole per la riduzione della superficie di attacco

• Valutare le regole per la riduzione della superficie di attacco

• Risolvere i problemi relativi alle regole di riduzione della superficie di attacco

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.