Panoramica di Microsoft Defender per endpoint Piano 1

  • Articolo

Si applica a

Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint aziendali progettata per aiutare organizzazioni come la tua a prevenire, rilevare, analizzare e rispondere alle minacce avanzate. Microsoft è lieta di annunciare che Defender per endpoint è ora disponibile in due piani:

Le caselle verdi nell'immagine seguente illustrano gli elementi inclusi in Defender per endpoint Piano 1:

Diagramma che mostra gli elementi inclusi in Defender per endpoint Piano 1

Usare questa guida per:

Funzionalità di Defender per endpoint piano 1

Defender per Endpoint Piano 1 include le funzionalità seguenti:

Le sezioni seguenti forniscono altri dettagli su queste funzionalità.

Protezione di nuova generazione

La protezione di nuova generazione include una protezione antivirus e antimalware affidabile. Con la protezione di nuova generazione, si ottiene:

  • Protezione antivirus basata sul comportamento, euristica e in tempo reale
  • Protezione fornita dal cloud, che include il rilevamento quasi istantaneo e il blocco di minacce nuove ed emergenti
  • Protezione dedicata e aggiornamenti del prodotto, inclusi gli aggiornamenti correlati all'antivirus Microsoft Defender

Per altre informazioni, vedere Panoramica della protezione di nuova generazione.

Azioni di risposta manuale

Le azioni di risposta manuale sono azioni che il team di sicurezza può eseguire quando vengono rilevate minacce negli endpoint o nei file. Defender per endpoint include alcune azioni di risposta manuale che possono essere eseguite in un dispositivo rilevato come potenzialmente compromesso o con contenuto sospetto. È anche possibile eseguire azioni di risposta su file rilevati come minacce. La tabella seguente riepiloga le azioni di risposta manuale disponibili in Defender per endpoint Piano 1.

File/Dispositivo Azione Descrizione
Dispositivo Analisi dei virus Avvia un'analisi antivirus. Se vengono rilevate minacce nel dispositivo, tali minacce vengono spesso affrontate durante un'analisi antivirus.
Dispositivo Isolamento i dispositivi Disconnette un dispositivo dalla rete dell'organizzazione mantenendo la connettività a Defender per endpoint. Questa azione consente di monitorare il dispositivo ed eseguire altre azioni, se necessario.
File Aggiungere un indicatore per bloccare o consentire un file Gli indicatori di blocco impediscono la lettura, la scrittura o l'esecuzione di file eseguibili portabili nei dispositivi.

Consenti indicatori che impediscono il blocco o la correzione dei file.

Per altre informazioni, vedere gli articoli seguenti:

Riduzione della superficie d'attacco

Le superfici di attacco dell'organizzazione sono tutte le posizioni in cui si è vulnerabili agli attacchi informatici. Con Defender per endpoint Piano 1 è possibile ridurre le superfici di attacco proteggendo i dispositivi e le applicazioni usati dall'organizzazione. Le funzionalità di riduzione della superficie di attacco incluse in Defender per Endpoint Piano 1 sono descritte nelle sezioni seguenti.

Per altre informazioni sulle funzionalità di riduzione della superficie di attacco in Defender per endpoint, vedere Panoramica della riduzione della superficie di attacco.

Regole di riduzione della superficie di attacco

Le regole di riduzione della superficie di attacco sono destinate a determinati comportamenti software considerati rischiosi. Tali comportamenti includono:

  • Avvio di file eseguibili e script che tentano di scaricare o eseguire altri file
  • Esecuzione di script offuscati o in altro modo sospetti
  • Comportamenti di avvio che le app in genere non avviano durante il normale lavoro

Le applicazioni aziendali legittime possono presentare tali comportamenti software; tuttavia, questi comportamenti sono spesso considerati rischiosi perché vengono comunemente abusati dagli utenti malintenzionati tramite malware. Le regole di riduzione della superficie di attacco possono limitare i comportamenti rischiosi e proteggere l'organizzazione.

Per altre informazioni, vedere Usare le regole di riduzione della superficie di attacco per prevenire l'infezione da malware.

Mitigazione ransomware

Con l'accesso controllato alle cartelle, si ottiene la mitigazione ransomware. L'accesso controllato alle cartelle consente solo alle app attendibili di accedere alle cartelle protette sugli endpoint. Le app vengono aggiunte all'elenco delle app attendibili in base alla loro prevalenza e reputazione. Anche il team delle operazioni di sicurezza può aggiungere o rimuovere app dall'elenco delle app attendibili.

Per altre informazioni, vedere Proteggere cartelle importanti con accesso controllato alle cartelle.

Controllo del dispositivo

A volte le minacce ai dispositivi dell'organizzazione si presentano sotto forma di file su unità rimovibili, ad esempio unità USB. Defender per endpoint include funzionalità che consentono di evitare che le minacce provenienti da periferiche non autorizzate compromettano i dispositivi. È possibile configurare Defender per endpoint per bloccare o consentire i dispositivi e i file rimovibili nei dispositivi rimovibili.

Per altre informazioni, vedere Controllare i dispositivi USB e i supporti rimovibili.

Protezione Web

Con la protezione Web, è possibile proteggere i dispositivi dell'organizzazione da minacce Web e contenuti indesiderati. La protezione Web include la protezione dalle minacce Web e il filtro dei contenuti Web.

  • La protezione dalle minacce Web impedisce l'accesso a siti di phishing, vettori di malware, siti di exploit, siti non attendibili o a bassa reputazione e siti che si bloccano in modo esplicito.
  • Il filtro contenuto Web impedisce l'accesso a determinati siti in base alla categoria. Le categorie possono includere contenuti per adulti, siti per il tempo libero, siti di responsabilità legale e altro ancora.

Per altre informazioni, vedere Protezione Web.

Protezione della rete

Con la protezione di rete, è possibile impedire all'organizzazione di accedere a domini pericolosi che potrebbero ospitare truffe di phishing, exploit e altri contenuti dannosi su Internet.

Per altre informazioni, vedere Proteggere la rete.

Firewall di rete

Con la protezione del firewall di rete, è possibile impostare regole che determinano il traffico di rete a cui è consentito il flusso da o verso i dispositivi dell'organizzazione. Con il firewall di rete e la sicurezza avanzata che si ottiene con Defender per endpoint, è possibile:

  • Ridurre il rischio di minacce alla sicurezza di rete
  • Proteggere i dati sensibili e la proprietà intellettuale
  • Estendere l'investimento in sicurezza

Per altre informazioni, vedere Windows Defender Firewall con sicurezza avanzata.

Controllo delle applicazioni

Il controllo delle applicazioni protegge gli endpoint di Windows eseguendo solo applicazioni e codice attendibili nel core di sistema (kernel). Il team di sicurezza può definire regole di controllo delle applicazioni che considerano gli attributi di un'applicazione, ad esempio i certificati di progettazione condivisa, la reputazione, il processo di avvio e altro ancora. Il controllo applicazione è disponibile in Windows 10 o versioni successive.

Per altre informazioni, vedere Controllo dell'applicazione per Windows.

Gestione centralizzata

Defender per endpoint piano 1 include il portale di Microsoft Defender, che consente al team di sicurezza di visualizzare le informazioni correnti sulle minacce rilevate, intraprendere azioni appropriate per mitigare le minacce e gestire centralmente le impostazioni di protezione dalle minacce dell'organizzazione.

Per altre informazioni, vedere panoramica del portale di Microsoft Defender.

Controllo dell'accesso basato sui ruoli

Usando il controllo degli accessi in base al ruolo, l'amministratore della sicurezza può creare ruoli e gruppi per concedere l'accesso appropriato al portale di Microsoft Defender (https://security.microsoft.com). Con il controllo degli accessi in base al ruolo, si ha un controllo granulare su chi può accedere a Defender for Cloud e cosa può vedere e fare.

Per altre informazioni, vedere Gestire l'accesso al portale usando il controllo degli accessi in base al ruolo.

Creazione di report

Il portale di Microsoft Defender (https://security.microsoft.com) consente di accedere facilmente alle informazioni sulle minacce e sulle azioni rilevate per affrontare tali minacce.

  • La home page include schede per mostrare a colpo d'occhio quali utenti o dispositivi sono a rischio, quante minacce sono state rilevate e quali avvisi/eventi imprevisti sono stati creati.
  • Nella sezione Eventi imprevisti & avvisi sono elencati gli eventi imprevisti creati a seguito di avvisi attivati. Gli avvisi e gli eventi imprevisti vengono generati quando vengono rilevate minacce tra dispositivi.
  • Il Centro notifiche elenca le azioni correttive eseguite. Ad esempio, se un file viene inviato in quarantena o un URL è bloccato, ogni azione viene elencata nel Centro notifiche nella scheda Cronologia .
  • La sezione Report include report che mostrano le minacce rilevate e il relativo stato.

Per altre informazioni, vedere Introduzione a Microsoft Defender per endpoint Piano 1.

API

Con le API di Defender per endpoint è possibile automatizzare i flussi di lavoro e integrarsi con le soluzioni personalizzate dell'organizzazione.

Per altre informazioni, vedere Api di Defender per endpoint.

Supporto multipiattaforma

La maggior parte delle organizzazioni usa diversi dispositivi e sistemi operativi. Defender per Endpoint Piano 1 supporta i sistemi operativi seguenti:

  • Windows 10 e 11
  • Windows 7 (richiesta ESU) Pro o Enterprise
  • Windows 8.1 Pro, Enterprise e Pro Education
  • macOS (sono supportate le tre versioni più recenti)
  • iOS
  • Android OS

I server richiedono una licenza aggiuntiva, ad esempio:

Vedere Le licenze e le condizioni del prodotto Microsoft.

Passaggi successivi

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.