Esaminare e correggere i consigli relativi a rilevamento e reazione dagli endpoint (senza agente)

  • Articolo

Microsoft Defender per il cloud fornisce raccomandazioni per proteggere e configurare le soluzioni rilevamento e reazione dagli endpoint. Correggendo questi consigli, è possibile assicurarsi che la soluzione rilevamento e reazione dagli endpoint sia conforme e sicura in tutti gli ambienti.

Le raccomandazioni rilevamento e reazione dagli endpoint consentono di:

  • Identificare se una soluzione rilevamento e reazione dagli endpoint è installata nei computer multicloud

  • Identificare le lacune nelle configurazioni di sicurezza in una delle soluzioni rilevamento e reazione dagli endpoint individuate

  • Correggere le lacune rilevate nelle configurazioni di sicurezza

Prerequisiti

Le raccomandazioni indicate in questo articolo sono disponibili solo se sono presenti i prerequisiti seguenti:

Nota

La funzionalità descritta in questa pagina è la funzionalità di sostituzione per la funzionalità basata su MMA, che è impostata per essere ritirata insieme al ritiro MMA nel mese di agosto 2024.

Altre informazioni sulla migrazione e sul processo di deprecazione delle raccomandazioni correlate a Endpoint Protection.

Esaminare e correggere rilevamento e reazione dagli endpoint raccomandazioni per l'individuazione

Quando Defender per il cloud individua una soluzione di rilevamento e reazione dagli endpoint supportata nella macchina virtuale, lo scanner del computer senza agente esegue i controlli seguenti per vedere:

  • Se è abilitata una soluzione di rilevamento e reazione dagli endpoint supportata
  • Se defender per server piano 2 è abilitato nella sottoscrizione e nelle macchine virtuali associate
  • Se la soluzione supportata è installata correttamente

Se questi controlli presentano problemi, la raccomandazione offre diversi passaggi di correzione per assicurarsi che le macchine virtuali siano protette da una soluzione di rilevamento e reazione dagli endpoint supportata e risolvere eventuali lacune di sicurezza.

Soluzioni e piattaforme supportate

In Defender per il cloud sono supportate le soluzioni di rilevamento e reazione dagli endpoint seguenti:

Soluzione di rilevamento e risposta degli endpoint Piattaforme supportate
Microsoft Defender per endpoint per Windows Finestre
Microsoft Defender per endpoint per Linux Linux
Microsoft Defender per endpoint soluzione unificata Windows Server 2012 R2 e Windows 2016
CrowdStrike (Falcon) Windows e Linux
Trellix Windows e Linux
Symantec Windows e Linux
Sophos Windows e Linux
Singularity Platform di SentinelOne Windows e Linux
Cortex XDR Windows e Linux

Identificare la soluzione rilevamento e reazione dagli endpoint abilitata in una macchina virtuale

Defender per il cloud ha la possibilità di indicare se è abilitata una soluzione di rilevamento e reazione dagli endpoint supportata nelle macchine virtuali (VM) e quale soluzione si tratta.

Per identificare la soluzione abilitata in una macchina virtuale:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud>Consigli.

  3. Cercare e selezionare una delle raccomandazioni seguenti:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)

  4. Selezionare la scheda Risorse integre .

  5. Nella colonna rilevamento e reazione dagli endpoint individuata viene visualizzata la soluzione rilevata.

    Screenshot della scheda Risorse integre, che mostra dove è possibile vedere quale rilevamento e reazione dagli endpoint soluzione è abilitata nel computer.

Esaminare e correggere le raccomandazioni per l'individuazione

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud>Consigli.

  3. Cercare e selezionare una delle raccomandazioni seguenti:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)

    Screenshot della pagina raccomandazioni che mostra le raccomandazioni per la soluzione degli endpoint identificate.

  4. Selezionare la raccomandazione pertinente.

  5. La raccomandazione offre più azioni consigliate da risolvere in ogni computer collegato, selezionare l'azione pertinente per visualizzare i passaggi di correzione:

Abilitare l’integrazione di Microsoft Defender per endpoint

Questa azione consigliata è disponibile quando:

  • Una delle soluzioni di rilevamento e reazione dagli endpoint supportate non è stata rilevata nella macchina virtuale.

  • La macchina virtuale può avere Microsoft Defender per endpoint installato in esso come parte delle offerte incluse in Defender per server.

Per abilitare l'integrazione di Defender per endpoint nella macchina virtuale interessata:

  1. Selezionare il computer interessato.

  2. (Facoltativo) Selezionare più computer interessati con l'azione Enable Microsoft Defender for Endpoint integration consigliata.

  3. Selezionare Correggi.

    Screenshot che mostra dove si trova il pulsante di correzione.

  4. Selezionare Abilita.

    Screenshot che mostra la finestra popup da cui abilitare l'integrazione di Defender per endpoint.

Defender per endpoint viene applicato a tutti i server Windows e Linux all'interno della sottoscrizione. Al termine del processo, la visualizzazione del computer nella scheda Risorse integre può richiedere fino a 24 ore.

Aggiornare il piano di Defender

Questa azione consigliata è disponibile quando:

  • Una delle soluzioni di rilevamento e reazione dagli endpoint supportate non è stata rilevata nella macchina virtuale.

  • Defender per server piano 2 non è abilitato nella macchina virtuale.

Per abilitare l'integrazione di Defender per endpoint nel piano defender per server nella macchina virtuale interessata:

  1. Selezionare il computer interessato.

  2. (Facoltativo) Selezionare più computer interessati con l'azione Upgrade Defender plan consigliata.

  3. Selezionare Correggi.

    Screenshot che mostra dove si trova il pulsante di correzione sullo schermo.

  4. Selezionare un piano nel menu a discesa. Ogni piano include un costo, altre informazioni sul costo nella pagina dei prezzi di Defender per il cloud.

  5. Selezionare Abilita.

    Screenshot che mostra la finestra popup che consente di selezionare il piano di Defender per server da abilitare nella sottoscrizione.

Al termine del processo, la visualizzazione del computer nella scheda Risorse integre può richiedere fino a 24 ore.

Risolvere i problemi di installazione non riusciti

Questa azione consigliata è disponibile quando:

  • Defender per endpoint viene rilevato nel computer, ma l'installazione non è riuscita.

Per risolvere i problemi nella macchina virtuale:

  1. Selezionare la risorsa interessata.

  2. Selezionare Passaggi di correzione.

    Screenshot che mostra dove si trovano i passaggi di correzione nella raccomandazione.

  3. Seguire le istruzioni per risolvere Microsoft Defender per endpoint problemi di onboarding per Windows o Linux.

Al termine del processo, la visualizzazione del computer nella scheda Risorse integre può richiedere fino a 24 ore.

Esaminare e correggere rilevamento e reazione dagli endpoint raccomandazioni di configurazione errata

Quando Defender per il cloud rileva errori di configurazione nella soluzione rilevamento e reazione dagli endpoint, nella pagina delle raccomandazioni vengono visualizzate raccomandazioni. Questa raccomandazione è applicabile solo alle macchine virtuali in cui è abilitato Defender per endpoint. Questi consigli controllano i controlli di sicurezza seguenti:

  • Both full and quick scans are out of 7 days
  • Signature out of date
  • Anti-virus is off or partially configured

Per rilevare errori di configurazione nella soluzione rilevamento e reazione dagli endpoint:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud>Consigli.

  3. Cercare e selezionare una delle raccomandazioni seguenti:

    • EDR configuration issues should be resolved on virtual machines
    • EDR configuration issues should be resolved on EC2s
    • EDR configuration issues should be resolved on GCP virtual machines

    Screenshot che mostra le raccomandazioni per configurare il rilevamento e la soluzione degli endpoint e correggere le configurazioni errate.

  4. Selezionare la raccomandazione pertinente.

  5. Selezionare un controllo di sicurezza per esaminare le risorse interessate.

    Screenshot che mostra un controllo di sicurezza selezionato e le risorse interessate.

  6. Selezionare ogni controllo di sicurezza per esaminare tutte le risorse interessate.

  7. Espandere la sezione relativa alle risorse interessate.

    Screenshot che mostra dove è necessario selezionare nella schermata per espandere la sezione relativa alle risorse interessate.

  8. Selezionare una risorsa non integra per esaminare i risultati.

    Screenshot che mostra i risultati di una risorsa non integra interessata.

  9. Selezionare il controllo di sicurezza per visualizzare informazioni aggiuntive e i passaggi di correzione.

    Screenshot che mostra la sezione dei dettagli aggiuntivi.

  10. Seguire la procedura di correzione.

Al termine del processo, la visualizzazione del computer nella scheda Risorse integre può richiedere fino a 24 ore.

Passaggio successivo

Informazioni sulle differenze tra l'esperienza MMA e l'esperienza senza agente.