Monitorare e gestire Microsoft 365 Business Premium e Defender for Business

Dopo aver configurato e configurato Microsoft 365 Business Premium o la versione autonoma di Microsoft Defender for Business, il passaggio successivo consiste nel preparare un piano per la manutenzione e le operazioni. È importante mantenere aggiornati i sistemi, i dispositivi, gli account utente e i criteri di sicurezza per proteggere da attacchi informatici. È possibile usare questo articolo come guida per preparare il piano.

Durante la preparazione del piano, è possibile organizzare le varie attività in due categorie principali, come indicato nella tabella seguente:

Tipo di attività Sezioni
Attività di sicurezza Attività di sicurezza giornaliere
Attività di sicurezza settimanali
Attività di sicurezza mensili
Attività di sicurezza da eseguire in base alle esigenze
Attività generali di amministrazione Amministrazione attività principali
Utenti, gruppi e password
Email e calendari
Dispositivi
Abbonamenti e fatturazione

Attività di sicurezza

Le attività di sicurezza vengono in genere eseguite dagli amministratori della sicurezza e dagli operatori di sicurezza.

Attività di sicurezza giornaliere

Attività Descrizione
Controllare il dashboard di gestione delle vulnerabilità delle minacce Ottenere uno snapshot della vulnerabilità delle minacce esaminando il dashboard di gestione delle vulnerabilità, che riflette la vulnerabilità dell'organizzazione alle minacce alla sicurezza informatica. Un punteggio di esposizione elevato indica che i dispositivi sono più vulnerabili allo sfruttamento.

1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento selezionare Dashboard di gestione > delle vulnerabilità.

2. Esaminare il punteggio di esposizione dell'organizzazione. Se si trova nell'intervallo accettabile o "Alto", è possibile continuare. In alternativa, fare clic su Migliora punteggio per visualizzare altri dettagli e consigli sulla sicurezza per migliorare questo punteggio.

Conoscere il punteggio di esposizione consente di:
- Comprendere e identificare rapidamente gli aspetti di alto livello relativi allo stato della sicurezza nell'organizzazione
- Rilevare e rispondere alle aree che richiedono un'indagine o un'azione per migliorare lo stato corrente
- Comunicare con i peer e la gestione dell'impatto delle attività di sicurezza
Esaminare le azioni in sospeso nel centro notifiche Man mano che vengono rilevate minacce, entrano in gioco le azioni di correzione . A seconda della minaccia specifica e di come sono configurate le impostazioni di sicurezza, le azioni di rimedio potrebbero essere intraprese automaticamente o solo previa approvazione, motivo per cui queste dovrebbero essere monitorate regolarmente. Le azioni di correzione vengono rilevate nel Centro notifiche.

1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, scegliere Centro notifiche.

2. Selezionare la scheda In sospeso per visualizzare e approvare (o rifiutare) eventuali azioni in sospeso. Tali azioni possono derivare dalla protezione antivirus o antimalware, da indagini automatizzate, da attività di risposta manuale o da sessioni di risposta dal vivo.

3. Selezionare la scheda Cronologia per visualizzare un elenco di azioni completate.
Esaminare i dispositivi con il rilevamento di minacce Quando vengono rilevate minacce nei dispositivi, il team di sicurezza deve sapere in modo che tutte le azioni necessarie, ad esempio l'isolamento di un dispositivo, possano essere eseguite tempestivamente.

1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, scegliere Report di sicurezza generale > report>.

2. Scorrere verso il basso fino alla riga Dispositivi vulnerabili . Se sono state rilevate minacce nei dispositivi, è possibile visualizzare tali informazioni in questa riga.
Informazioni sui nuovi eventi imprevisti o avvisi Quando vengono rilevate minacce e vengono generati avvisi, vengono creati incidenti. Il team di sicurezza dell'azienda può visualizzare e gestire gli eventi imprevisti nel portale di Microsoft Defender.

1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel menu di spostamento selezionare Eventi imprevisti. Gli eventi imprevisti vengono visualizzati nella pagina con gli avvisi associati.

2. Selezionare un avviso per aprire il riquadro a comparsa, in cui è possibile ottenere altre informazioni sull'avviso.

3. Nel riquadro a comparsa è possibile visualizzare il titolo dell'avviso, visualizzare un elenco di asset (ad esempio endpoint o account utente) interessati, eseguire azioni disponibili e usare i collegamenti per visualizzare altre informazioni e persino aprire la pagina dei dettagli per l'avviso selezionato.
Eseguire un'analisi o un'indagine automatizzate Il team di sicurezza può avviare un'analisi o un'indagine automatizzata su un dispositivo con un livello di rischio elevato o minacce rilevate. A seconda dei risultati dell'analisi o dell'analisi automatizzata, le azioni di correzione possono verificarsi automaticamente o dopo l'approvazione.

1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, scegliere Dispositivi asset>.

2. Selezionare un dispositivo per aprire il riquadro a comparsa ed esaminare le informazioni visualizzate.
- Selezionare i puntini di sospensione (...) per aprire il menu azioni.
- Selezionare un'azione, ad esempio Eseguire l'analisi antivirus o Avviare un'indagine automatizzata.

Attività di sicurezza settimanali

Attività Descrizione
Monitorare e migliorare il punteggio di sicurezza Microsoft Microsoft Secure Score è una misura del comportamento di sicurezza dell'organizzazione. I numeri più alti indicano che sono necessarie meno azioni di miglioramento. Usando il punteggio di sicurezza, è possibile:
- Report sullo stato corrente del comportamento di sicurezza dell'organizzazione.
- Migliorare il comportamento di sicurezza fornendo individuabilità, visibilità, indicazioni e controllo.
- Confrontare con i benchmark e stabilire indicatori di prestazioni chiave (KPI).

Per controllare il punteggio, seguire questa procedura:

1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento scegliere Punteggio di sicurezza.

2. Esaminare e prendere decisioni sulle correzioni e le azioni per migliorare il punteggio di sicurezza complessivo di Microsoft.
Migliorare il punteggio di sicurezza per i dispositivi Migliorano la configurazione di sicurezza correggendo i problemi utilizzando l'elenco delle raccomandazioni di sicurezza. In questo modo, Microsoft Secure Score for Devices migliora e l'organizzazione diventa più resiliente alle minacce e alle vulnerabilità di sicurezza informatica in futuro. Vale sempre la pena di dedicare del tempo alla revisione e al miglioramento del proprio punteggio.

Per controllare il punteggio di sicurezza, seguire questa procedura:

1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento selezionare Punteggio di sicurezza.

2. Nella scheda Microsoft Secure Score for Devices nel dashboard Gestione delle vulnerabilità di Defender selezionare una delle categorie. Viene visualizzato un elenco di raccomandazioni correlate a tale categoria, insieme alle raccomandazioni.

3.Selezionare un elemento nell'elenco per visualizzare i dettagli correlati alla raccomandazione.

4. Selezionare Opzioni di correzione.

5. Leggere la descrizione per comprendere il contesto del problema e cosa fare dopo. Scegliere una data di scadenza, aggiungere note e selezionare Esporta tutti i dati delle attività di correzione in CSV in modo da poterla collegare a un messaggio di posta elettronica per il completamento. Un messaggio di conferma indica che l'attività di correzione è stata creata.

6. Inviare un messaggio di posta elettronica di completamento all'amministratore IT e consentire il tempo assegnato per la propagazione della correzione nel sistema.

7. Tornare alla scheda Microsoft Secure Score for Devices nel dashboard. Il numero di raccomandazioni sui controlli di sicurezza è diminuito in seguito alle azioni.

8. Selezionare Controlli di sicurezza per tornare alla pagina Consigli di sicurezza. L'elemento a cui si è fatto riferimento non è più elencato in tale elenco, con conseguente miglioramento del punteggio di sicurezza Microsoft.

Attività di sicurezza mensili

Attività Descrizione
Eseguire i report Diversi report sono disponibili nel portale di Microsoft Defender (https://security.microsoft.com).

1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento selezionare Report.

2. Scegliere un report da esaminare. Ogni report visualizza una serie di categorie pertinenti per il report.

3. Selezionare Visualizza dettagli per visualizzare informazioni più dettagliate per ogni categoria.

4. Selezionare il titolo di una determinata minaccia per visualizzare i dettagli specifici.

Attività di sicurezza da eseguire in base alle esigenze

Attività Descrizione
Gestire i falsi positivi/negativi Un falso positivo è un'entità, ad esempio un file o un processo rilevato e identificato come dannoso anche se l'entità non è effettivamente una minaccia. Un falso negativo è un'entità che non è stata rilevata come minaccia, anche se in realtà è dannosa. I falsi positivi/negativi possono verificarsi con qualsiasi soluzione di protezione dalle minacce, inclusi Microsoft Defender per Office 365 e Microsoft Defender for Business, entrambi inclusi in Microsoft 365 Business Premium. Fortunatamente, è possibile adottare misure per risolvere e ridurre questi tipi di problemi.

Per i falsi positivi/negativi nei dispositivi, vedere Indirizzo di falsi positivi/negativi in Microsoft Defender per endpoint.

Per i falsi positivi/negativi nel messaggio di posta elettronica, vedere gli articoli seguenti:
- Come gestire i messaggi di posta elettronica dannosi recapitati ai destinatari (falsi negativi), usando Microsoft Defender per Office 365
- Come gestire i messaggi di posta elettronica legittimi bloccati (Falso positivo), usando Microsoft Defender per Office 365
Rafforza la postura di sicurezza Defender for Business include un dashboard di gestione delle vulnerabilità che fornisce il punteggio di esposizione e consente di visualizzare informazioni sui dispositivi esposti e visualizzare le raccomandazioni di sicurezza pertinenti. È possibile usare il dashboard di Gestione delle vulnerabilità di Defender per ridurre l'esposizione e migliorare il comportamento di sicurezza dell'organizzazione.

Fare inoltre riferimento ai seguenti articoli:
- Usare il dashboard di gestione delle vulnerabilità in Microsoft Defender for Business
- Informazioni dettagliate sul dashboard
Modificare i criteri di sicurezza I report sono disponibili in modo da poter visualizzare informazioni sulle minacce rilevate, sullo stato del dispositivo e altro ancora. A volte è necessario modificare i criteri di sicurezza. Ad esempio, è possibile applicare una protezione rigorosa ad alcuni account utente o dispositivi e la protezione standard ad altri.

Fare inoltre riferimento ai seguenti articoli:
- Per la protezione dei dispositivi: visualizzare o modificare i criteri in Microsoft Defender for Business
- Per la protezione della posta elettronica: impostazioni consigliate per la sicurezza di EOP e Microsoft Defender per Office 365
Analizzare gli invii di amministratori A volte è necessario inviare entità, ad esempio messaggi di posta elettronica, URL o allegati a Microsoft per un'ulteriore analisi. Gli elementi di report consentono di ridurre l'occorrenza di falsi positivi/negativi e migliorare l'accuratezza del rilevamento delle minacce.

Fare inoltre riferimento ai seguenti articoli:
- Usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft
- Amministrazione esaminare i messaggi segnalati dall'utente
Proteggere gli account utente con priorità Non tutti gli account utente hanno accesso alle stesse informazioni aziendali. Alcuni account hanno accesso a informazioni sensibili, ad esempio dati finanziari, informazioni sullo sviluppo di prodotti, accesso ai partner a sistemi di compilazione critici e altro ancora. In caso di compromissione, gli account che hanno accesso a informazioni altamente riservate rappresentano una grave minaccia. Questi tipi di account vengono chiamati account con priorità. Gli account con priorità includono (ma non sono limitati a) AMMINISTRATORI DELEGATI, CISO, CFO, account amministratore dell'infrastruttura, account di sistema di compilazione e altro ancora.

Fare inoltre riferimento ai seguenti articoli:
- Proteggere gli account amministratore
- Consigli sulla sicurezza per gli account con priorità in Microsoft 365
Proteggere i dispositivi ad alto rischio La valutazione complessiva dei rischi di un dispositivo si basa su una combinazione di fattori, ad esempio i tipi e la gravità degli avvisi attivi nel dispositivo. Quando il team di sicurezza risolve gli avvisi attivi, approva le attività di correzione ed elimina gli avvisi successivi, il livello di rischio diminuisce.

Vedere Gestire i dispositivi in Microsoft Defender for Business.
Eseguire l'onboarding o l'offboard dei dispositivi Man mano che i dispositivi vengono sostituiti o ritirati, vengono acquistati nuovi dispositivi o le esigenze aziendali cambiano, è possibile eseguire l'onboarding o l'offboarding dei dispositivi da Defender for Business.

Fare inoltre riferimento ai seguenti articoli:
- Eseguire l'onboarding dei dispositivi in Microsoft Defender for Business
- Eseguire l'offboarding di un dispositivo da Microsoft Defender for Business
Correggere un elemento Microsoft 365 Business Premium include diverse azioni correttive. Alcune azioni vengono eseguite automaticamente e altre attendono l'approvazione del team di sicurezza.

1. Nel portale di Microsoft Defender (https://security.microsoft.com), nel riquadro di spostamento, passare a Dispositivi asset>.

2. Selezionare un dispositivo, ad esempio uno con un livello di rischio elevato o un livello di esposizione. Viene aperto un riquadro a comparsa e vengono visualizzate altre informazioni sugli avvisi e gli eventi imprevisti generati per tale elemento.

3. Nel riquadro a comparsa visualizzare le informazioni visualizzate. Selezionare i puntini di sospensione (...) per aprire un menu che elenca le azioni disponibili.

4. Selezionare un'azione disponibile. Ad esempio, è possibile scegliere Esegui scansione antivirus, che farà sì che Microsoft Defender Antivirus avvii un'analisi rapida nel dispositivo. In alternativa, è possibile selezionare Avvia indagine automatizzata per attivare un'indagine automatizzata nel dispositivo.

Azioni di correzione per i dispositivi

La tabella seguente riepiloga le azioni di correzione disponibili per i dispositivi in Microsoft 365 Business Premium e Defender for Business:

Origine Azioni
Indagini automatizzate Mettere in quarantena un file
Rimuovere una chiave del Registro di sistema
Terminare un processo
Arrestare un servizio
Disabilitare un driver
Rimuovere un'attività pianificata
Azioni di risposta manuale Analisi dei virus
Isolamento i dispositivi
Aggiungere un indicatore per bloccare o consentire un file
Live Response Raccogliere dati forensi
Analizza un file
Eseguire uno script
Inviare un'entità sospetta a Microsoft per l'analisi
Correggere un file
Ricerca proattiva delle minacce

Attività generali di amministrazione

La gestione dell'ambiente include la gestione degli account utente, la gestione dei dispositivi e l'aggiornamento e il corretto funzionamento. Amministrazione attività vengono in genere eseguite da amministratori globali e amministratori tenant. Altre informazioni sui ruoli di amministratore.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Se non si ha familiarità con Microsoft 365, è possibile ottenere una panoramica del interfaccia di amministrazione di Microsoft 365.

Amministrazione attività principali

Attività Risorse per approfondire
Introduzione all'uso del interfaccia di amministrazione di Microsoft 365 Informazioni generali sull'interfaccia di amministrazione di Microsoft 365
Informazioni sulle nuove funzionalità nel interfaccia di amministrazione di Microsoft 365 Novità del interfaccia di amministrazione di Microsoft 365
Scopri gli aggiornamenti e le funzionalità dei nuovi prodotti in modo da poter aiutare a preparare gli utenti Rimanere aggiornati sulle modifiche al prodotto e alle funzionalità di Microsoft 365
Visualizzare i report sull'utilizzo per vedere come gli utenti usano Microsoft 365 Report di Microsoft 365 nell'interfaccia di amministrazione
Aprire un ticket di supporto tecnico Ottenere supporto per Microsoft 365 per le aziende

Utenti, gruppi e password

Attività Risorse per approfondire
Aggiungere un nuovo utente Aggiungere un nuovo dipendente a Microsoft 365
Assegnare o annullare l'assegnazione di licenze per gli utenti Assegnare o annullare l'assegnazione di licenze per gli utenti nel interfaccia di amministrazione di Microsoft 365

Assegnare licenze di Microsoft 365 agli account utente tramite PowerShell
Assegnare ruoli di amministratore a persone che necessitano di autorizzazioni di amministratore Assegnare ruoli di amministratore nel interfaccia di amministrazione di Microsoft 365

Assegnare ruoli di amministratore agli account utente di Microsoft 365 con PowerShell
Rimuovere licenze dagli utenti Assegnare o annullare l'assegnazione di licenze per gli utenti nel interfaccia di amministrazione di Microsoft 365

Rimuovere le licenze di Microsoft 365 dagli account utente con PowerShell
Attivare o disattivare i pronomi Attivare o disattivare i pronome per l'organizzazione nel interfaccia di amministrazione di Microsoft 365
Determinare se consentire l'accesso guest ai gruppi per l'intera organizzazione o per i singoli gruppi
(si applica a Microsoft 365 Business Premium)
Utenti guest in interfaccia di amministrazione di Microsoft 365
Rimuovere un account utente quando un utente lascia l'organizzazione Panoramica: Rimuovere un ex dipendente e proteggere i dati
Reimpostare le password per gli account utente Reimpostare le password in Microsoft 365 per le aziende

Email e calendari

Attività Risorse per approfondire
Eseguire la migrazione di posta elettronica e contatti da Gmail o da un altro provider di posta elettronica a Microsoft 365 Eseguire la migrazione di posta elettronica e contatti a Microsoft 365
Aggiungere una firma di posta elettronica, una dichiarazione di non responsabilità legale o un'informativa sulla divulgazione ai messaggi di posta elettronica che entrano o escono Creare firme e dichiarazioni di non responsabilità a livello di organizzazione
Configurare, modificare o eliminare un gruppo di sicurezza Creare, modificare o eliminare un gruppo di sicurezza nel interfaccia di amministrazione di Microsoft 365
Aggiungere utenti a un gruppo di distribuzione Aggiungere un utente o un contatto a un gruppo di distribuzione di Microsoft 365
Configurare una cassetta postale condivisa in modo che gli utenti possano monitorare e inviare messaggi di posta elettronica da indirizzi di posta elettronica comuni, ad esempio info@contoso.com Creazione di una cassetta postale condivisa

Dispositivi

Attività Risorse per approfondire
Usare Windows Autopilot per configurare e preconfigurare nuovi dispositivi o per reimpostare, riutilizzare e ripristinare i dispositivi
(si applica a Microsoft 365 Business Premium)
Panoramica di Windows Autopilot
Visualizzare lo stato corrente dei dispositivi e gestirli Gestire i dispositivi in Microsoft Defender for Business
Eseguire l'onboarding di dispositivi in Defender for Business. Eseguire l'onboarding di dispositivi in Defender for Business.
Dispositivi offboard da Defender for Business Eseguire l'offboarding di un dispositivo da Defender for Business
Gestire i dispositivi con Intune Cosa significa gestione dei dispositivi con Intune?

Gestire i dispositivi e controllare le funzionalità del dispositivo in Microsoft Intune

Domini

Attività Risorse per approfondire
Aggiungere un dominio (ad esempio contoso.com) alla sottoscrizione di Microsoft 365 Aggiunta di un dominio a Microsoft 365
Acquistare un dominio Acquistare un nome di dominio
Rimuovere un dominio Rimuovere un dominio

Abbonamenti e fatturazione

Attività Risorse per approfondire
Visualizzare la fattura Visualizzare la ricevuta o la fattura dell'abbonamento a Microsoft 365 per le aziende
Gestire i metodi di pagamento Gestione metodi di pagamento
Modificare la frequenza dei pagamenti Modificare la frequenza di fatturazione dell'abbonamento a Microsoft 365
Modificare l'indirizzo di fatturazione Modificare gli indirizzi di fatturazione di Microsoft 365 per le aziende

Vedere anche