Azioni di correzione in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
Durante e dopo un'indagine automatizzata in Microsoft Defender XDR, vengono identificate azioni correttive per elementi dannosi o sospetti. Alcuni tipi di azioni correttive vengono eseguite nei dispositivi, detti anche endpoint. Altre azioni correttive vengono eseguite su identità, account e contenuto di posta elettronica. Inoltre, alcuni tipi di azioni correttive possono verificarsi automaticamente, mentre altri tipi di azioni correttive vengono eseguiti manualmente dal team di sicurezza dell'organizzazione. Quando un'indagine automatizzata genera una o più azioni correttive, l'indagine viene completata solo quando le azioni correttive vengono eseguite, approvate o rifiutate.
Importante
Se le azioni correttive vengono eseguite automaticamente o solo dopo l'approvazione dipende da determinate impostazioni, ad esempio i livelli di automazione. Per altre informazioni, vedere gli articoli seguenti:
La tabella seguente riepiloga le azioni di correzione attualmente supportate in Microsoft Defender XDR.
Azioni di correzione del dispositivo (endpoint) | Azioni correttive della posta elettronica | Utenti (account) |
---|---|---|
- Raccogliere il pacchetto di indagine - Isolare il dispositivo (questa azione può essere annullata) - Offboard machine - Rilasciare l'esecuzione del codice - Rilascio dalla quarantena - Esempio di richiesta - Limitare l'esecuzione del codice (questa azione può essere annullata) - Eseguire l'analisi antivirus - Arresto e messa in quarantena di un file - Contenere i dispositivi dalla rete |
- URL di blocco (tempo di clic) - Eliminazione temporanea di messaggi di posta elettronica o cluster - Posta elettronica in quarantena - Mettere in quarantena un allegato di posta elettronica - Disattivare l'inoltro della posta esterna |
- Disabilitare l'utente - Reimpostare la password utente - Confermare l'utente come compromesso |
Le azioni di correzione, in sospeso o già completate, possono essere visualizzate nel Centro notifiche.
Azioni di correzione che seguono indagini automatizzate
Al termine di un'indagine automatizzata, viene raggiunto un verdetto per ogni prova coinvolta. A seconda del verdetto, vengono identificate le azioni correttive. In alcuni casi, le azioni correttive vengono eseguite automaticamente; in altri casi, invece, è necessario approvarle. Tutto dipende dal modo in cui vengono configurati l'analisi e la risposta automatizzate.
Nella tabella seguente sono elencati i possibili verdetti e i risultati:
Verdetto | Entità interessate | Risultati |
---|---|---|
Dannosa | Dispositivi (endpoint) | Le azioni di correzione vengono eseguite automaticamente (presupponendo che i gruppi di dispositivi dell'organizzazione siano impostati su Completo - Correggere automaticamente le minacce) |
Compromessa | Utenti | Le azioni correttive vengono eseguite automaticamente |
Dannosa | Contenuto della posta elettronica (URL o allegati) | Le azioni correttive consigliate sono in attesa di approvazione |
Sospetta | Dispositivi o contenuto della posta elettronica | Le azioni correttive consigliate sono in attesa di approvazione |
Nessuna minaccia trovata | Dispositivi o contenuto della posta elettronica | Non sono necessarie azioni correttive |
Azioni di correzione eseguite manualmente
Oltre alle azioni di correzione che seguono indagini automatizzate, il team delle operazioni di sicurezza può eseguire alcune azioni correttive manualmente. Queste azioni includono:
- Azione manuale del dispositivo, ad esempio isolamento del dispositivo o quarantena dei file
- Azione di posta elettronica manuale, ad esempio messaggi di posta elettronica con eliminazione temporanea
- Azione manuale dell'utente, ad esempio disabilitare l'utente o reimpostare la password utente
- Azione di ricerca avanzata su dispositivi, utenti o posta elettronica
- Azione di Explorer sul contenuto della posta elettronica, ad esempio lo spostamento della posta elettronica indesiderata, l'eliminazione temporanea o l'eliminazione definitiva della posta elettronica
- Azione di risposta dinamica manuale, ad esempio l'eliminazione di un file, l'arresto di un processo e la rimozione di un'attività pianificata
- Azione di risposta in tempo reale con le API di Microsoft Defender per endpoint, ad esempio isolamento di un dispositivo, esecuzione di un'analisi antivirus e recupero di informazioni su un file
Passaggi successivi
- Visita il Centro notifiche
- Visualizzare e gestire le azioni correttive
- Risolvere i falsi positivi o i falsi negativi
- Contenere i dispositivi dalla rete
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.