Monitorare e gestire Microsoft 365 Business Premium e Defender per le aziende
Dopo aver configurato e configurato Microsoft 365 Business Premium o la versione autonoma di Microsoft Defender for Business, il passaggio successivo consiste nel preparare un piano per la manutenzione e le operazioni. È importante mantenere aggiornati i sistemi, i dispositivi, gli account utente e i criteri di sicurezza per proteggere da attacchi informatici. È possibile usare questo articolo come guida per preparare il piano.
Durante la preparazione del piano, è possibile organizzare le varie attività in due categorie principali, come indicato nella tabella seguente:
Attività di sicurezza
Le attività di sicurezza vengono in genere eseguite dagli amministratori della sicurezza e dagli operatori di sicurezza.
Attività di sicurezza giornaliere
| Attività | Descrizione |
|---|---|
| Controllare il dashboard di gestione delle vulnerabilità delle minacce | Ottenere uno snapshot della vulnerabilità delle minacce esaminando il dashboard di gestione delle vulnerabilità, che riflette la vulnerabilità dell'organizzazione alle minacce alla sicurezza informatica. Un punteggio di esposizione elevato indica che i dispositivi sono più vulnerabili allo sfruttamento. 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento selezionare Dashboard di gestione > delle vulnerabilità. 2. Esaminare il punteggio di esposizione dell'organizzazione. Se si trova nell'intervallo accettabile o "Alto", è possibile continuare. In alternativa, fare clic su Migliora punteggio per visualizzare altri dettagli e consigli sulla sicurezza per migliorare questo punteggio. Conoscere il punteggio di esposizione consente di: - Comprendere e identificare rapidamente gli aspetti di alto livello relativi allo stato della sicurezza nell'organizzazione - Rilevare e rispondere alle aree che richiedono un'indagine o un'azione per migliorare lo stato corrente - Comunicare con i peer e la gestione dell'impatto delle attività di sicurezza |
| Esaminare le azioni in sospeso nel centro notifiche | Man mano che vengono rilevate minacce, entrano in gioco le azioni di correzione . A seconda della minaccia specifica e di come sono configurate le impostazioni di sicurezza, le azioni di rimedio potrebbero essere intraprese automaticamente o solo previa approvazione, motivo per cui queste dovrebbero essere monitorate regolarmente. Le azioni di correzione vengono rilevate nel Centro notifiche. 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, scegliere Centro notifiche. 2. Selezionare la scheda In sospeso per visualizzare e approvare (o rifiutare) eventuali azioni in sospeso. Tali azioni possono derivare dalla protezione antivirus o antimalware, da indagini automatizzate, da attività di risposta manuale o da sessioni di risposta dal vivo. 3. Selezionare la scheda Cronologia per visualizzare un elenco di azioni completate. |
| Esaminare i dispositivi con il rilevamento di minacce | Quando vengono rilevate minacce nei dispositivi, il team di sicurezza deve sapere in modo che tutte le azioni necessarie, ad esempio l'isolamento di un dispositivo, possano essere eseguite tempestivamente. 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, scegliere Report di sicurezza generale > report>. 2. Scorrere verso il basso fino alla riga Dispositivi vulnerabili . Se sono state rilevate minacce nei dispositivi, è possibile visualizzare tali informazioni in questa riga. |
| Informazioni sui nuovi eventi imprevisti o avvisi | Quando vengono rilevate minacce e vengono generati avvisi, vengono creati incidenti. Il team di sicurezza dell'azienda può visualizzare e gestire gli eventi imprevisti nel portale di Microsoft Defender. 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel menu di spostamento selezionare Eventi imprevisti. Gli eventi imprevisti vengono visualizzati nella pagina con gli avvisi associati. 2. Selezionare un avviso per aprire il riquadro a comparsa, in cui è possibile ottenere altre informazioni sull'avviso. 3. Nel riquadro a comparsa è possibile visualizzare il titolo dell'avviso, visualizzare un elenco di asset (ad esempio endpoint o account utente) interessati, eseguire azioni disponibili e usare i collegamenti per visualizzare altre informazioni e persino aprire la pagina dei dettagli per l'avviso selezionato. |
| Eseguire un'analisi o un'indagine automatizzate | Il team di sicurezza può avviare un'analisi o un'indagine automatizzata su un dispositivo con un livello di rischio elevato o minacce rilevate. A seconda dei risultati dell'analisi o dell'analisi automatizzata, le azioni di correzione possono verificarsi automaticamente o dopo l'approvazione. 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, scegliere Dispositivi asset>. 2. Selezionare un dispositivo per aprire il riquadro a comparsa ed esaminare le informazioni visualizzate. - Selezionare i puntini di sospensione (...) per aprire il menu azioni. - Selezionare un'azione, ad esempio Eseguire l'analisi antivirus o Avviare un'indagine automatizzata. |
Attività di sicurezza settimanali
| Attività | Descrizione |
|---|---|
| Monitorare e migliorare il punteggio di sicurezza Microsoft | Microsoft Secure Score è una misura del comportamento di sicurezza dell'organizzazione. I numeri più alti indicano che sono necessarie meno azioni di miglioramento. Usando il punteggio di sicurezza, è possibile: - Report sullo stato corrente del comportamento di sicurezza dell'organizzazione. - Migliorare il comportamento di sicurezza fornendo individuabilità, visibilità, indicazioni e controllo. - Confrontare con i benchmark e stabilire indicatori di prestazioni chiave (KPI). Per controllare il punteggio, seguire questa procedura: 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento scegliere Punteggio di sicurezza. 2. Esaminare e prendere decisioni sulle correzioni e le azioni per migliorare il punteggio di sicurezza complessivo di Microsoft. |
| Migliorare il punteggio di sicurezza per i dispositivi | Migliorano la configurazione di sicurezza correggendo i problemi utilizzando l'elenco delle raccomandazioni di sicurezza. In questo modo, Microsoft Secure Score for Devices migliora e l'organizzazione diventa più resiliente alle minacce e alle vulnerabilità di sicurezza informatica in futuro. Vale sempre la pena di dedicare del tempo alla revisione e al miglioramento del proprio punteggio. Per controllare il punteggio di sicurezza, seguire questa procedura: 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento selezionare Punteggio di sicurezza. 2. Nella scheda Microsoft Secure Score for Devices (Punteggio di sicurezza Microsoft per dispositivi ) nel dashboard di Gestione vulnerabilità di Defender selezionare una delle categorie. Viene visualizzato un elenco di raccomandazioni correlate a tale categoria, insieme alle raccomandazioni. 3.Selezionare un elemento nell'elenco per visualizzare i dettagli correlati alla raccomandazione. 4. Selezionare Opzioni di correzione. 5. Leggere la descrizione per comprendere il contesto del problema e cosa fare dopo. Scegliere una data di scadenza, aggiungere note e selezionare Esporta tutti i dati delle attività di correzione in CSV in modo da poterla collegare a un messaggio di posta elettronica per il completamento. Un messaggio di conferma indica che l'attività di correzione è stata creata. 6. Inviare un messaggio di posta elettronica di completamento all'amministratore IT e consentire il tempo assegnato per la propagazione della correzione nel sistema. 7. Tornare alla scheda Microsoft Secure Score for Devices nel dashboard. Il numero di raccomandazioni sui controlli di sicurezza è diminuito in seguito alle azioni. 8. Selezionare Controlli di sicurezza per tornare alla pagina Consigli di sicurezza. L'elemento a cui si è fatto riferimento non è più elencato in tale elenco, con conseguente miglioramento del punteggio di sicurezza Microsoft. |
Attività di sicurezza mensili
| Attività | Descrizione |
|---|---|
| Eseguire i report | Diversi report sono disponibili nel portale di Microsoft Defender (https://security.microsoft.com). 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento selezionare Report. 2. Scegliere un report da esaminare. Ogni report visualizza una serie di categorie pertinenti per il report. 3. Selezionare Visualizza dettagli per visualizzare informazioni più dettagliate per ogni categoria. 4. Selezionare il titolo di una determinata minaccia per visualizzare i dettagli specifici. |
| Eseguire un'esercitazione sulla simulazione | È sempre consigliabile aumentare la preparazione alla sicurezza per te e il tuo team tramite la formazione. È possibile accedere alle esercitazioni di simulazione nel portale di Microsoft Defender. Le esercitazioni riguardano diversi tipi di minacce informatiche. Per iniziare, seguire questa procedura: 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, scegliere Esercitazioni.< 2. Leggere la procedura dettagliata per un'esercitazione che si è interessati a eseguire, quindi scaricare il file o copiare lo script necessario per eseguire la simulazione in base alle istruzioni. |
| Esplorare l'hub di apprendimento | Usare l'hub di apprendimento per migliorare la conoscenza delle minacce alla cybersecurity e come risolverle. È consigliabile esplorare le risorse offerte, in particolare nelle sezioni Microsoft Defender XDR ed Endpoint. 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, scegliere Hub di apprendimento. 2. Selezionare un'area, ad esempio Microsoft Defender XDR o Endpoint. 3. Selezionare un elemento per altre informazioni su ogni concetto. Alcune risorse nell'hub di Apprendimento potrebbero coprire funzionalità non incluse in Microsoft 365 Business Premium. Ad esempio, le funzionalità di ricerca avanzata sono incluse nelle sottoscrizioni aziendali, ad esempio Defender per endpoint piano 2 o Microsoft Defender XDR, ma non in Microsoft 365 Business Premium. Vedere Confronto tra Defender for Business e Microsoft 365 Business Premium? |
Attività di sicurezza da eseguire in base alle esigenze
| Attività | Descrizione |
|---|---|
| Gestire i falsi positivi/negativi | Un falso positivo è un'entità, ad esempio un file o un processo rilevato e identificato come dannoso anche se l'entità non è effettivamente una minaccia. Un falso negativo è un'entità che non è stata rilevata come minaccia, anche se in realtà è dannosa. I falsi positivi/negativi possono verificarsi con qualsiasi soluzione di protezione dalle minacce, inclusi Microsoft Defender per Office 365 e Microsoft Defender for Business, entrambi inclusi in Microsoft 365 Business Premium. Fortunatamente, è possibile adottare misure per risolvere e ridurre questi tipi di problemi. Per i falsi positivi/negativi nei dispositivi, vedere Indirizzo di falsi positivi/negativi in Microsoft Defender per endpoint. Per i falsi positivi/negativi nel messaggio di posta elettronica, vedere gli articoli seguenti: - Come gestire i messaggi di posta elettronica dannosi recapitati ai destinatari (falsi negativi), usando Microsoft Defender per Office 365 - Come gestire i messaggi di posta elettronica legittimi bloccati (Falso positivo), usando Microsoft Defender per Office 365 |
| Rafforzare il comportamento di sicurezza | Defender per le aziende include un dashboard di gestione delle vulnerabilità che fornisce il punteggio di esposizione e consente di visualizzare informazioni sui dispositivi esposti e visualizzare le raccomandazioni di sicurezza pertinenti. È possibile usare il dashboard di Gestione vulnerabilità di Defender per ridurre l'esposizione e migliorare il comportamento di sicurezza dell'organizzazione. Fare inoltre riferimento ai seguenti articoli: - Usare il dashboard di gestione delle vulnerabilità in Microsoft Defender for Business - Informazioni dettagliate sul dashboard |
| Modificare i criteri di sicurezza | I report sono disponibili in modo da poter visualizzare informazioni sulle minacce rilevate, sullo stato del dispositivo e altro ancora. A volte è necessario modificare i criteri di sicurezza. Ad esempio, è possibile applicare una protezione rigorosa ad alcuni account utente o dispositivi e la protezione standard ad altri. Fare inoltre riferimento ai seguenti articoli: - Per la protezione dei dispositivi: visualizzare o modificare i criteri in Microsoft Defender for Business - Per la protezione della posta elettronica: impostazioni consigliate per la sicurezza di EOP e Microsoft Defender per Office 365 |
| Analizzare gli invii di amministratori | A volte è necessario inviare entità, ad esempio messaggi di posta elettronica, URL o allegati a Microsoft per un'ulteriore analisi. Gli elementi di report consentono di ridurre l'occorrenza di falsi positivi/negativi e migliorare l'accuratezza del rilevamento delle minacce. Fare inoltre riferimento ai seguenti articoli: - Usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft - Amministrazione esaminare i messaggi segnalati dall'utente |
| Proteggere gli account utente con priorità | Non tutti gli account utente hanno accesso alle stesse informazioni aziendali. Alcuni account hanno accesso a informazioni sensibili, ad esempio dati finanziari, informazioni sullo sviluppo di prodotti, accesso ai partner a sistemi di compilazione critici e altro ancora. In caso di compromissione, gli account che hanno accesso a informazioni altamente riservate rappresentano una grave minaccia. Questi tipi di account vengono chiamati account con priorità. Gli account con priorità includono (ma non sono limitati a) AMMINISTRATORI DELEGATI, CISO, CFO, account amministratore dell'infrastruttura, account di sistema di compilazione e altro ancora. Fare inoltre riferimento ai seguenti articoli: - Proteggere gli account amministratore - Consigli sulla sicurezza per gli account con priorità in Microsoft 365 |
| Proteggere i dispositivi ad alto rischio | La valutazione complessiva dei rischi di un dispositivo si basa su una combinazione di fattori, ad esempio i tipi e la gravità degli avvisi attivi nel dispositivo. Quando il team di sicurezza risolve gli avvisi attivi, approva le attività di correzione ed elimina gli avvisi successivi, il livello di rischio diminuisce. Vedere Gestire i dispositivi in Microsoft Defender for Business. |
| Eseguire l'onboarding o l'offboard dei dispositivi | Man mano che i dispositivi vengono sostituiti o ritirati, vengono acquistati nuovi dispositivi o le esigenze aziendali cambiano, è possibile eseguire l'onboarding o l'offboarding dei dispositivi da Defender for Business. Fare inoltre riferimento ai seguenti articoli: - Eseguire l'onboarding dei dispositivi in Microsoft Defender for Business - Eseguire l'offboarding di un dispositivo da Microsoft Defender for Business |
| Correggere un elemento | Microsoft 365 Business Premium include diverse azioni correttive. Alcune azioni vengono eseguite automaticamente e altre attendono l'approvazione del team di sicurezza. 1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, passare a Dispositivi asset>. 2. Selezionare un dispositivo, ad esempio uno con un livello di rischio elevato o un livello di esposizione. Viene aperto un riquadro a comparsa e vengono visualizzate altre informazioni sugli avvisi e gli eventi imprevisti generati per tale elemento. 3. Nel riquadro a comparsa visualizzare le informazioni visualizzate. Selezionare i puntini di sospensione (...) per aprire un menu che elenca le azioni disponibili. 4. Selezionare un'azione disponibile. Ad esempio, è possibile scegliere Esegui scansione antivirus, che farà sì che Microsoft Defender Antivirus avvii un'analisi rapida nel dispositivo. In alternativa, è possibile selezionare Avvia indagine automatizzata per attivare un'indagine automatizzata nel dispositivo. |
Azioni di correzione per i dispositivi
La tabella seguente riepiloga le azioni correttive disponibili per i dispositivi in Microsoft 365 Business Premium e Defender for Business:
| Origine | Azioni |
|---|---|
| Indagini automatizzate | Mettere in quarantena un file Rimuovere una chiave del Registro di sistema Terminare un processo Arrestare un servizio Disabilitare un driver Rimuovere un'attività pianificata |
| Azioni di risposta manuale | Analisi dei virus Isolamento i dispositivi Aggiungere un indicatore per bloccare o consentire un file |
| Live Response | Raccogliere dati forensi Analizzare un file Eseguire uno script Inviare un'entità sospetta a Microsoft per l'analisi Correggere un file Ricerca proattiva delle minacce |
Attività generali di amministrazione
La gestione dell'ambiente include la gestione degli account utente, la gestione dei dispositivi e l'aggiornamento e il corretto funzionamento. Amministrazione attività vengono in genere eseguite dagli amministratori globali e dagli amministratori tenant. Altre informazioni sui ruoli di amministratore.
Se non si ha familiarità con Microsoft 365, è possibile ottenere una panoramica del interfaccia di amministrazione di Microsoft 365.
Amministrazione attività principali
| Attività | Risorse per approfondire |
|---|---|
| Introduzione all'uso del interfaccia di amministrazione di Microsoft 365 | Informazioni generali sull'interfaccia di amministrazione di Microsoft 365 |
| Informazioni sulle nuove funzionalità nel interfaccia di amministrazione di Microsoft 365 | Novità del interfaccia di amministrazione di Microsoft 365 |
| Scopri gli aggiornamenti e le funzionalità dei nuovi prodotti in modo da poter aiutare a preparare gli utenti | Rimanere aggiornati sulle modifiche al prodotto e alle funzionalità di Microsoft 365 |
| Visualizzare i report sull'utilizzo per vedere come gli utenti usano Microsoft 365 | Report di Microsoft 365 nell'interfaccia di amministrazione |
| Aprire un ticket di supporto tecnico | Ottenere supporto per Microsoft 365 per le aziende |
Utenti, gruppi e password
Email e calendari
| Attività | Risorse per approfondire |
|---|---|
| Eseguire la migrazione di posta elettronica e contatti da Gmail o da un altro provider di posta elettronica a Microsoft 365 | Eseguire la migrazione di posta elettronica e contatti a Microsoft 365 |
| Aggiungere una firma di posta elettronica, una dichiarazione di non responsabilità legale o un'informativa sulla divulgazione ai messaggi di posta elettronica che entrano o escono | Creare firme e dichiarazioni di non responsabilità a livello di organizzazione |
| Configurare, modificare o eliminare un gruppo di sicurezza | Creare, modificare o eliminare un gruppo di sicurezza nel interfaccia di amministrazione di Microsoft 365 |
| Aggiungere utenti a un gruppo di distribuzione | Aggiungere un utente o un contatto a un gruppo di distribuzione di Microsoft 365 |
Configurare una cassetta postale condivisa in modo che gli utenti possano monitorare e inviare messaggi di posta elettronica da indirizzi di posta elettronica comuni, ad esempio info@contoso.com |
Creazione di una cassetta postale condivisa |
Dispositivi
| Attività | Risorse per approfondire |
|---|---|
| Usare Windows Autopilot per configurare e preconfigurare nuovi dispositivi o per reimpostare, riutilizzare e ripristinare i dispositivi (si applica a Microsoft 365 Business Premium) |
Panoramica di Windows Autopilot |
| Visualizzare lo stato corrente dei dispositivi e gestirli | Gestire i dispositivi in Microsoft Defender for Business |
| Eseguire l'onboarding di dispositivi in Defender for Business. | Eseguire l'onboarding di dispositivi in Defender for Business. |
| Dispositivi offboard da Defender for Business | Eseguire l'offboarding di un dispositivo da Defender for Business |
| Gestire i dispositivi con Intune | Cosa significa gestione dei dispositivi con Intune? Gestire i dispositivi e controllare le funzionalità del dispositivo in Microsoft Intune |
Domini
| Attività | Risorse per approfondire |
|---|---|
| Aggiungere un dominio (ad esempio contoso.com) alla sottoscrizione di Microsoft 365 | Aggiunta di un dominio a Microsoft 365 |
| Acquistare un dominio | Acquistare un nome di dominio |
| Rimuovere un dominio | Rimuovere un dominio |
Abbonamenti e fatturazione
| Attività | Risorse per approfondire |
|---|---|
| Visualizzare la fattura | Visualizzare la ricevuta o la fattura dell'abbonamento a Microsoft 365 per le aziende |
| Gestire i metodi di pagamento | Gestione metodi di pagamento |
| Modificare la frequenza dei pagamenti | Modificare la frequenza di fatturazione dell'abbonamento a Microsoft 365 |
| Modificare l'indirizzo di fatturazione | Modificare gli indirizzi di fatturazione di Microsoft 365 per le aziende |
Vedere anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per