Centro notifiche
Si applica a:
- Microsoft Defender XDR
Il Centro notifiche offre un'esperienza di "singolo riquadro di vetro" per le attività di avviso e eventi imprevisti, ad esempio:
- Approvazione delle azioni di correzione in sospeso.
- Visualizzazione di un log di controllo delle azioni correttive già approvate.
- revisione delle azioni di correzione completate.
Poiché il Centro notifiche offre una panoramica completa delle Microsoft Defender XDR sul lavoro, il team addetto alle operazioni di sicurezza può operare in modo più efficace ed efficiente.
Centro notifiche unificato
Il Centro notifiche unificato (https://security.microsoft.com/action-center) elenca le azioni correttive in sospeso e completate per i dispositivi, la posta elettronica & contenuto di collaborazione e le identità in un'unica posizione.
Ad esempio:
- Se si usa il Centro notifiche nel Microsoft Defender Security Center (https://securitycenter.windows.com/action-center), provare il Centro notifiche unificato nel portale di Microsoft Defender.
- Se si usa già il portale di Microsoft Defender, verranno visualizzati diversi miglioramenti nel Centro notifiche (https://security.microsoft.com/action-center).
Il Centro notifiche unificato riunisce le azioni di correzione in Defender per endpoint e Defender per Office 365. Definisce un linguaggio comune per tutte le azioni di correzione e offre un'esperienza di indagine unificata. Il team delle operazioni di sicurezza ha un'esperienza di "riquadro di controllo singolo" per visualizzare e gestire le azioni correttive.
È possibile usare il Centro notifiche unificato se si dispone delle autorizzazioni appropriate e di una o più delle sottoscrizioni seguenti:
- Defender per endpoint
- [Defender per Office 365]/defender-office-365/mdo-about
- Microsoft Defender XDR
Consiglio
Per altre informazioni, vedere Requisiti.
È possibile passare all'elenco delle azioni in attesa di approvazione in due modi diversi:
- Passare a https://security.microsoft.com/action-center; o
- Nel portale di Microsoft Defender (https://security.microsoft.com), nella scheda di risposta & indagine automatizzata selezionare Approva nel Centro notifiche.
Uso del Centro notifiche
Passare a Microsoft Defender portale e accedere.
Nel riquadro di spostamento in Azioni e invii scegliere Centro notifiche. In alternativa, nella scheda di risposta Analisi automatizzata & selezionare Approva nel Centro notifiche.
Usare le schede Azioni in sospeso e Cronologia . La tabella seguente riepiloga ciò che verrà visualizzato in ogni scheda:
Scheda Descrizione In sospeso Visualizza un elenco di azioni che richiedono attenzione. È possibile approvare o rifiutare le azioni una alla volta o selezionare più azioni se hanno lo stesso tipo di azione, ad esempio il file di quarantena.
Assicurarsi di esaminare e approvare (o rifiutare) le azioni in sospeso il prima possibile in modo che le indagini automatizzate possano essere completate in modo tempestivo.Cronologia Funge da log di controllo per le azioni eseguite, ad esempio:
- Azioni correttive eseguite a seguito di indagini automatizzate
- Azioni di correzione eseguite su messaggi di posta elettronica, file o URL sospetti o dannosi
- Azioni di correzione approvate dal team delle operazioni di sicurezza
- Comandi eseguiti e azioni correttive applicate durante le sessioni di Live Response
- Azioni di correzione eseguite dalla protezione antivirus
Fornisce un modo per annullare determinate azioni (vedere Annullare le azioni completate).È possibile personalizzare, ordinare, filtrare ed esportare i dati nel Centro notifiche.
- Selezionare un'intestazione di colonna per ordinare gli elementi in ordine crescente o decrescente.
- Usare il filtro periodo di tempo per visualizzare i dati relativi al giorno, alla settimana, ai 30 giorni o ai 6 mesi precedenti.
- Scegliere le colonne da visualizzare.
- Specificare il numero di elementi da includere in ogni pagina di dati.
- Usare i filtri per visualizzare solo gli elementi che si desidera visualizzare.
- Selezionare Esporta per esportare i risultati in un file di .csv.
Azioni rilevate nel Centro notifiche
Tutte le azioni, indipendentemente dal fatto che siano in attesa di approvazione o che siano già state eseguite, vengono rilevate nel centro notifiche. Le azioni disponibili includono quanto segue:
- Raccolta di un pacchetto di indagini
- Isolare il dispositivo (questa azione può essere annullata)
- Offboarding dei computer
- Esecuzione del codice di rilascio
- Rilascio dalla quarantena
- Esempio di richiesta
- Limitare l'esecuzione del codice (questa azione può essere annullata)
- Analisi dei virus
- Arresto e messa in quarantena di un file
- Contenere i dispositivi dalla rete
Oltre alle azioni di correzione eseguite automaticamente a seguito di indagini automatizzate, il Centro notifiche tiene traccia anche delle azioni intraprese dal team di sicurezza per affrontare le minacce rilevate e delle azioni eseguite in seguito alle funzionalità di protezione dalle minacce in Microsoft Defender XDR. Per altre informazioni sulle azioni di correzione automatiche e manuali, vedere Azioni di correzione.
Visualizzazione dei dettagli dell'origine dell'azione
(NUOVO!) Il Centro notifiche migliorato include ora una colonna origine azione che indica da dove proviene ogni azione. La tabella seguente descrive i possibili valori di origine action :
| Valore dell'origine dell'azione | Descrizione |
|---|---|
| Azione manuale del dispositivo | Un'azione manuale eseguita su un dispositivo. Gli esempi includono l'isolamento del dispositivo o la quarantena dei file. |
| Azione di posta elettronica manuale | Un'azione manuale eseguita sulla posta elettronica. Un esempio include l'eliminazione temporanea dei messaggi di posta elettronica o la correzione di un messaggio di posta elettronica. |
| Azione automatica del dispositivo | Azione automatizzata eseguita su un'entità, ad esempio un file o un processo. Esempi di azioni automatizzate includono l'invio di un file in quarantena, l'arresto di un processo e la rimozione di una chiave del Registro di sistema. Vedere Azioni di correzione in Microsoft Defender per endpoint. |
| Azione di posta elettronica automatizzata | Azione automatizzata eseguita sul contenuto della posta elettronica, ad esempio un messaggio di posta elettronica, un allegato o un URL. Esempi di azioni automatizzate includono l'eliminazione temporanea dei messaggi di posta elettronica, il blocco degli URL e la disattivazione dell'inoltro della posta esterna. Vedere Azioni di correzione in Microsoft Defender per Office 365. |
| Azione di ricerca avanzata | Azioni eseguite su dispositivi o posta elettronica con ricerca avanzata. |
| Azione esplora | Azioni eseguite sul contenuto della posta elettronica con Explorer. |
| Azione manuale di risposta in tempo reale | Azioni eseguite su un dispositivo con risposta in tempo reale. Gli esempi includono l'eliminazione di un file, l'arresto di un processo e la rimozione di un'attività pianificata. |
| Azione di risposta in tempo reale | Azioni eseguite in un dispositivo con API Microsoft Defender per endpoint. Esempi di azioni includono l'isolamento di un dispositivo, l'esecuzione di un'analisi antivirus e il recupero di informazioni su un file. |
Autorizzazioni necessarie per le attività del centro notifiche
Per eseguire attività, ad esempio l'approvazione o il rifiuto di azioni in sospeso nel Centro notifiche, è necessario disporre delle autorizzazioni assegnate come indicato nella tabella seguente:
| Azione correttiva | Ruoli e autorizzazioni necessari |
|---|---|
| Microsoft Defender per endpoint correzione (dispositivi) | Ruolo di amministratore della sicurezza assegnato in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com) --- o --- Ruolo Azioni correttive attive assegnato in Microsoft Defender per endpoint Per altre informazioni, vedere le risorse seguenti: - Microsoft Entra ruoli predefiniti - Create e gestire i ruoli per il controllo degli accessi in base al ruolo (Microsoft Defender per endpoint) |
| Microsoft Defender per Office 365 correzione (contenuto e posta elettronica di Office) | Ruolo di amministratore della sicurezza assegnato in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com) --- e --- Search e ripulisci ruolo assegnato nei ruoli di collaborazione Microsoft Defender XDR Email &> IMPORTANTE: se il ruolo Amministratore della sicurezza è assegnato solo nei ruoli di collaborazione Microsoft Defender XDR> Email &, non sarà possibile accedere al Centro notifiche o alle funzionalità di Microsoft Defender XDR. È necessario avere il ruolo Di amministratore della sicurezza assegnato in Microsoft Entra ID o nella interfaccia di amministrazione di Microsoft 365. Per altre informazioni, vedere le risorse seguenti: - Microsoft Entra ruoli predefiniti - Autorizzazioni nel Centro conformità & sicurezza |
Consiglio
Gli utenti con il ruolo di amministratore globale assegnato in Microsoft Entra ID possono approvare o rifiutare qualsiasi azione in sospeso nel Centro notifiche. Tuttavia, come procedura consigliata, l'organizzazione deve limitare il numero di persone a cui è assegnato il ruolo di amministratore globale . È consigliabile usare l'amministratore della sicurezza, le azioni di correzione attive e i ruoli di Search ed eliminazione elencati nella tabella precedente per le autorizzazioni del Centro notifiche.
Passaggio successivo
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per