Condividi tramite

Visualizzare e gestire le azioni nel Centro notifiche

  • Articolo

Si applica a:

  • Microsoft Defender XDR

Le funzionalità di protezione dalle minacce in Microsoft Defender XDR possono comportare determinate azioni correttive. Ecco alcuni esempi:

  • Le indagini automatizzate possono comportare azioni correttive eseguite automaticamente o attendere l'approvazione.
  • Antivirus, antimalware e altre funzionalità di protezione dalle minacce possono comportare azioni correttive, ad esempio il blocco di un file, un URL o un processo o l'invio di un artefatto in quarantena.
  • Il team delle operazioni di sicurezza può eseguire manualmente azioni di correzione, ad esempio durante la ricerca avanzata o durante l'analisi di avvisi o eventi imprevisti.

Nota

È necessario avere autorizzazioni appropriate per approvare o rifiutare azioni correttive. Per altre informazioni, vedere i prerequisiti.

Per passare al Centro notifiche, seguire questa procedura:

Esaminare le azioni in sospeso nel centro notifiche

È importante approvare (o rifiutare) le azioni in sospeso il prima possibile in modo che l’indagine automatizzata possa essere completata nel tempo previsto.

  1. Passare a Microsoft Defender portale e accedere.

  2. Nel riquadro di spostamento in Azioni e invii scegliere Centro notifiche.

  3. Nella scheda In sospeso del Centro notifiche selezionare un elemento nell'elenco. Verrà aperto il riquadro a comparsa. Di seguito viene riportato un esempio.

    Opzioni per approvare o rifiutare un'azione

  4. Esaminare le informazioni nel riquadro a comparsa e quindi seguire questa procedura:

    • Selezionare pagina Apri indagine per visualizzare altri dettagli sull'indagine.
    • Selezionare Approva per avviare un'azione in sospeso.
    • Selezionare Rifiuta per impedire l'esecuzione di un'azione in sospeso.
    • Selezionare Vai a caccia per passare a Ricerca avanzata.

Consiglio

Sono ora disponibili altre opzioni per esaminare e approvare/rifiutare un'azione correttiva. Oltre a usare il Centro notifiche, è anche possibile approvare o rifiutare un'azione di correzione durante la revisione di un evento imprevisto. Per altre informazioni, vedere Approvare o rifiutare le azioni correttive.

Annullare le azioni completate

Se si è stabilito che un dispositivo o un file non è una minaccia, è possibile annullare le azioni di correzione eseguite, indipendentemente dal fatto che tali azioni siano state eseguite automaticamente o manualmente. Nel Centro notifiche, nella scheda Cronologia , è possibile annullare una delle azioni seguenti:

Origine azione Azioni supportate
- Indagine automatizzata
- antivirus Microsoft Defender
- Azioni di risposta manuali		 - Isolare il dispositivo
- Limitare l'esecuzione del codice
- Mettere in quarantena un file
- Rimuovere una chiave del Registro di sistema
- Arrestare un servizio
- Disabilitare un driver
- Rimuovere un'attività pianificata

Annullare un'azione di correzione

  1. Passare al Centro notifiche (https://security.microsoft.com/action-center) e accedere.

  2. Nella scheda Cronologia selezionare un'azione da annullare.

  3. Nel riquadro a destra dello schermo selezionare Annulla.

Annullare più azioni di correzione

  1. Passare al Centro notifiche (https://security.microsoft.com/action-center) e accedere.

  2. Nella scheda Cronologia selezionare le azioni da annullare. Assicurarsi di selezionare gli elementi con lo stesso tipo di azione. Verrà aperto un riquadro a comparsa.

  3. Nel riquadro a comparsa selezionare Annulla.

Per rimuovere un file dalla quarantena tra più dispositivi

  1. Passare al Centro notifiche (https://security.microsoft.com/action-center) e accedere.

  2. Nella scheda Cronologia selezionare un file con un tipo di azione del file di quarantena .

  3. Nel riquadro a destra dello schermo selezionare Applica a X altre istanze di questo file e quindi selezionare Annulla.

Passaggi successivi

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.