Azioni di correzione in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
Durante e dopo un'indagine automatizzata in Microsoft Defender XDR, vengono identificate azioni correttive per elementi dannosi o sospetti. Alcuni tipi di azioni correttive vengono eseguite nei dispositivi, detti anche endpoint. Altre azioni correttive vengono eseguite su identità, account e contenuto di posta elettronica. Le indagini automatizzate vengono completate dopo l'esecuzione, l'approvazione o il rifiuto delle azioni correttive.
Importante
Se le azioni correttive vengono eseguite automaticamente o solo dopo l'approvazione dipende da determinate impostazioni, ad esempio i livelli di automazione. Per altre informazioni, vedere gli articoli seguenti:
Nella tabella seguente vengono riepilogate le azioni correttive attualmente supportate in Microsoft Defender XDR.
| Azioni di correzione del dispositivo (endpoint) | Azioni correttive della posta elettronica | Utenti (account) |
|---|---|---|
| - Raccogliere il pacchetto di indagine - Isolare il dispositivo (questa azione può essere annullata) - Offboard machine - Rilasciare l'esecuzione del codice - Rilascio dalla quarantena - Esempio di richiesta - Limitare l'esecuzione del codice (questa azione può essere annullata) - Eseguire l'analisi antivirus - Arresto e messa in quarantena di un file - Contenere i dispositivi dalla rete |
- URL di blocco (tempo di clic) - Eliminazione temporanea di messaggi di posta elettronica o cluster - Posta elettronica in quarantena - Mettere in quarantena un allegato di posta elettronica - Disattivare l'inoltro della posta esterna |
- Disabilitare l'utente - Reimpostare la password utente - Confermare l'utente come compromesso |
Le azioni di correzione, in sospeso o già completate, possono essere visualizzate nel Centro notifiche.
Azioni di correzione che seguono indagini automatizzate
Al termine di un'indagine automatizzata, viene raggiunto un verdetto per ogni prova coinvolta. A seconda del verdetto, vengono identificate le azioni correttive. In alcuni casi, le azioni correttive vengono eseguite automaticamente; in altri casi, invece, è necessario approvarle. Tutto dipende dal modo in cui vengono configurati l'analisi e la risposta automatizzate.
Nella tabella seguente sono elencati i possibili verdetti e i risultati:
| Verdetto | Entità interessate | Risultati |
|---|---|---|
| Dannosa | Dispositivi (endpoint) | Le azioni di correzione vengono eseguite automaticamente (presupponendo che i gruppi di dispositivi dell'organizzazione siano impostati su Completo - Correggere automaticamente le minacce) |
| Compromessa | Utenti | Le azioni correttive vengono eseguite automaticamente |
| Dannosa | Contenuto della posta elettronica (URL o allegati) | Le azioni correttive consigliate sono in attesa di approvazione |
| Sospetta | Dispositivi o contenuto della posta elettronica | Le azioni correttive consigliate sono in attesa di approvazione |
| Nessuna minaccia trovata | Dispositivi o contenuto della posta elettronica | Non sono necessarie azioni correttive |
Azioni di correzione eseguite manualmente
Oltre alle azioni di correzione che seguono indagini automatizzate, il team delle operazioni di sicurezza può eseguire alcune azioni correttive manualmente. Tra le caratteristiche vi sono le seguenti:
- Azione manuale del dispositivo, ad esempio isolamento del dispositivo o quarantena dei file
- Azione di posta elettronica manuale, ad esempio messaggi di posta elettronica con eliminazione temporanea
- Azione manuale dell'utente, ad esempio disabilitare l'utente o reimpostare la password utente
- Azione di ricerca avanzata su dispositivi, utenti o posta elettronica
- Azione di Explorer sul contenuto della posta elettronica, ad esempio lo spostamento della posta elettronica indesiderata, l'eliminazione temporanea o l'eliminazione definitiva della posta elettronica
- Azione di risposta dinamica manuale, ad esempio l'eliminazione di un file, l'arresto di un processo e la rimozione di un'attività pianificata
- Azione di risposta dinamica con API Microsoft Defender per endpoint, ad esempio isolamento di un dispositivo, esecuzione di un'analisi antivirus e recupero di informazioni su un file
Passaggi successivi
- Visita il Centro notifiche
- Visualizzare e gestire le azioni correttive
- Risolvere i falsi positivi o i falsi negativi
- Contenere i dispositivi dalla rete
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per