Livello di automazione nelle indagini automatizzate e nelle funzionalità di correzione

Si applica a:

• Microsoft Defender XDR
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender for Business

Le funzionalità di analisi e correzione automatizzate (AIR) in Microsoft Defender for Business sono preconfigurate e non sono configurabili. In Microsoft Defender per endpoint è possibile configurare AIR in uno dei diversi livelli di automazione. Il livello di automazione influisce sul fatto che le azioni correttive successive alle indagini AIR vengano eseguite automaticamente o solo dopo l'approvazione.

• Automazione completa (scelta consigliata) significa che le azioni correttive vengono eseguite automaticamente sugli artefatti determinati come dannosi. L'automazione completa è impostata per impostazione predefinita in Defender per le aziende.
• La semi-automazione significa che alcune azioni correttive vengono eseguite automaticamente, ma altre azioni correttive attendono l'approvazione prima di essere eseguite. Vedere la tabella in Livelli di automazione.
• Tutte le azioni di correzione, in sospeso o completate, vengono rilevate nel Centro notifiche (https://security.microsoft.com).

Consiglio

Per ottenere risultati ottimali, è consigliabile usare l'automazione completa quando si configura AIR. I dati raccolti e analizzati nell'ultimo anno mostrano che i clienti che usano l'automazione completa hanno rimosso il 40% in più di campioni di malware ad alta attendibilità rispetto ai clienti che usano livelli di automazione inferiori. L'automazione completa può aiutare a liberare le risorse delle operazioni di sicurezza per concentrarsi maggiormente sulle iniziative strategiche.

Nota

La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

Livelli di automazione

Livello di automazione	Descrizione
Completa: correggi automaticamente le minacce (detto anche automazione completa)	Con l'automazione completa, le azioni di correzione vengono eseguite automaticamente su entità considerate dannose. Tutte le azioni correttive eseguite possono essere visualizzate nel Centro notifiche nella scheda Cronologia . Se necessario, è possibile annullare un'azione di correzione. L'automazione completa è consigliata ed è selezionata per impostazione predefinita per i tenant con Defender per endpoint creati il 16 agosto 2020 o dopo, senza gruppi di dispositivi ancora definiti. L'automazione completa è impostata per impostazione predefinita in Defender per le aziende.
Semi : richiede l'approvazione per tutte le cartelle (detto anche semi-automazione)	Con questo livello di semi-automazione, l'approvazione è necessaria per le azioni di correzione in tutti i file. Tali azioni in sospeso possono essere visualizzate e approvate nel Centro notifiche, nella scheda In sospeso . Timeout delle azioni in sospeso dopo 7 giorni. Se si verifica un timeout di un'azione, il comportamento è lo stesso di se l'azione viene rifiutata. Questo livello di semi-automazione viene selezionato per impostazione predefinita per i tenant creati prima del 16 agosto 2020 con Microsoft Defender per endpoint, senza gruppi di dispositivi definiti.
Semi : richiedere l'approvazione per la correzione delle cartelle di base (anche un tipo di semi-automazione)	Con questo livello di semi-automazione, è necessaria l'approvazione per tutte le azioni di correzione necessarie nei file o nei file eseguibili che si trovano nelle cartelle di base. Le cartelle di base includono directory del sistema operativo, ad esempio Windows (\windows\*). Le azioni di correzione possono essere eseguite automaticamente su file o eseguibili che si trovano in altre cartelle (non core). Le azioni in sospeso per file o eseguibili nelle cartelle principali possono essere visualizzate e approvate nel Centro notifiche, nella scheda In sospeso . Le azioni eseguite su file o eseguibili in altre cartelle possono essere visualizzate nel Centro notifiche, nella scheda Cronologia .
Semi - richiedere l'approvazione per la correzione di cartelle non temporanee (anche un tipo di semi-automazione)	Con questo livello di semi-automazione, è necessaria l'approvazione per tutte le azioni correttive necessarie per file o eseguibili che non sono* nelle cartelle temporanee. Le cartelle temporanee possono includere gli esempi seguenti: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* Le azioni di correzione possono essere eseguite automaticamente nei file o nei file eseguibili che si trovano in cartelle temporanee. Le azioni in sospeso per file o eseguibili non presenti in cartelle temporanee possono essere visualizzate e approvate nel Centro notifiche, nella scheda In sospeso . Le azioni eseguite su file o eseguibili in cartelle temporanee possono essere visualizzate e approvate nel Centro notifiche, nella scheda Cronologia .
Nessuna risposta automatizzata (noto anche come nessuna automazione)	Senza automazione, l'analisi automatizzata non viene eseguita nei dispositivi dell'organizzazione. Di conseguenza, non vengono eseguite azioni correttive o in sospeso a seguito di un'indagine automatizzata. Tuttavia, possono essere applicate altre funzionalità di protezione dalle minacce, ad esempio la protezione da applicazioni potenzialmente indesiderate, a seconda di come vengono configurate le funzionalità di protezione antivirus e di nuova generazione. *Non è consigliabile usare l'opzione nessuna automazione perché riduce il comportamento di sicurezza dei dispositivi dell'organizzazione. Valutare la possibilità di configurare il livello di automazione per l'automazione completa (o almeno la semi-automazione).

Punti importanti sui livelli di automazione

• L'automazione completa si è dimostrata affidabile, efficiente e sicura ed è consigliata per tutti i clienti. L'automazione completa libera le risorse di sicurezza critiche in modo che possano concentrarsi maggiormente sulle iniziative strategiche.

• I nuovi tenant (che includono i tenant creati il 16 agosto 2020 o dopo tale data) con Defender per endpoint sono impostati su automazione completa per impostazione predefinita.

• Defender for Business usa l'automazione completa per impostazione predefinita. Defender per le aziende non usa i gruppi di dispositivi allo stesso modo di Defender per endpoint. Di conseguenza, l'automazione completa viene attivata e applicata a tutti i dispositivi in Defender for Business.

• Se il team di sicurezza ha definito gruppi di dispositivi con un livello di automazione, tali impostazioni non vengono modificate dalle nuove impostazioni predefinite in fase di implementazione.

• È possibile mantenere le impostazioni di automazione predefinite o modificarle in base alle esigenze dell'organizzazione. Per modificare le impostazioni, impostare il livello di automazione.

Nota

Defender for Business dipende dalla protezione in tempo reale per l'indagine automatica. La protezione in tempo reale deve essere abilitata e in modalità attiva per abilitare l'analisi automatica.

Passaggi successivi

• Configurare le funzionalità di analisi e correzione automatizzate in Defender per endpoint
• Visita il Centro notifiche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.