Gestire le indagini automatizzate
Gestire le indagini automatizzate
Il team addetto alle operazioni di sicurezza riceve un avviso ogni volta che Microsoft Defender rileva un artefatto dannoso o sospetto da un endpoint. Il team ha difficoltà a gestire la moltitudine di avvisi provenienti dal flusso di minacce apparentemente infinito. Microsoft Defender per endpoint include funzionalità di indagine e correzione automatizzate che consentono al team addetto alle operazioni di sicurezza di affrontare le minacce in modo più efficiente ed efficace.
La tecnologia nell'indagine automatizzata usa vari algoritmi di ispezione e si basa sui processi usati dagli analisti della sicurezza. Le funzionalità AIR sono progettate per esaminare gli avvisi e intervenire immediatamente per risolvere le violazioni. Le funzionalità AIR riducono significativamente il volume degli avvisi, consentendo alle operazioni di sicurezza di concentrarsi sulle minacce più sofisticate e altre iniziative ad alto valore. Il centro notifiche tiene traccia di tutte le indagini avviate automaticamente, insieme ai dettagli, ad esempio lo stato dell'indagine, l'origine del rilevamento e tutte le azioni in sospeso o completate.
Modalità di avvio dell'indagine automatizzata
Quando viene attivato un avviso, viene applicato un playbook di sicurezza. A seconda del playbook, può venire avviata un'indagine automatizzata. Si supponga, ad esempio, che un file dannoso si trovi in un dispositivo. Quando viene rilevato il file, viene attivato un avviso e viene avviato il processo di indagine automatizzata. Microsoft Defender per endpoint controlla se il file dannoso è presente in altri dispositivi dell'organizzazione. I dettagli dell'indagine, inclusi i verdetti (di tipo dannoso o sospetto oppure nessuna minaccia trovata), sono disponibili durante e dopo l'indagine automatizzata. Per altre informazioni su ciò che accade dopo il raggiungimento di un verdetto, vedere i risultati dell'indagine automatizzata e le azioni di correzione.
Dettagli di un'indagine automatizzata
Durante e dopo un'indagine automatizzata, è possibile visualizzare i relativi dettagli. Selezionare un avviso di attivazione per visualizzare i dettagli dell'indagine. Da questa posizione è possibile accedere alle schede relative a grafico, avvisi, dispositivi, evidenza, entità e log dell'indagine.
Avvisi - Avvisi dai quali è stata avviata l'indagine.
Dispositivi - Dispositivi in cui è stata individuata la minaccia.
Evidenza - Entità che sono state rilevate come dannose durante un'indagine.
Entità - Dettagli su ogni entità analizzata, inclusa una determinazione per ogni tipo di entità (di tipo dannoso o sospetto oppure nessuna minaccia trovata).
Log - Visualizzazione cronologica dettagliata di tutte le azioni di indagine eseguite per l'avviso.
Azioni in sospeso - Se sono presenti azioni in attesa di approvazione in seguito all'indagine, viene visualizzata la scheda Azioni in sospeso. Nella scheda Azioni in sospeso è possibile approvare o rifiutare ogni azione.
Modalità di espansione dell'ambito di un'indagine automatizzata
Durante l'esecuzione di un'indagine, qualsiasi altro avviso generato dal dispositivo viene aggiunto a un'indagine automatizzata in corso fino al completamento dell'indagine. Se inoltre la stessa minaccia viene rilevata in altri dispositivi, questi vengono aggiunti all'indagine.
Se un'entità incriminata viene rilevata in un altro dispositivo, il processo di indagine automatizzata espande l'ambito per includere tale dispositivo e viene avviato un playbook di sicurezza generale in quel dispositivo. Se durante questo processo di espansione vengono trovati dieci o più dispositivi per la stessa entità, l'azione di espansione richiede l'approvazione ed è visibile nella scheda Azioni in sospeso.
Modalità di correzione delle minacce
Quando vengono attivati avvisi e viene eseguita un'indagine automatizzata, viene generato un verdetto per ogni parte di evidenza analizzata. I verdetti possono indicare un'entità di tipo dannoso o sospetto oppure nessuna minaccia trovata.
Quando vengono raggiunti i verdetti, le indagini automatizzate possono determinare una o più azioni di correzione. Esempi di azioni di correzione includono l'invio di un file per la quarantena, l'arresto di un servizio, la rimozione di un'attività pianificata e altre attività ancora. Vedere Azioni di correzione.
A seconda del livello di automazione impostato per l'organizzazione, nonché di altre impostazioni di sicurezza, le azioni di correzione possono essere eseguite automaticamente oppure solo dopo l'approvazione da parte del team delle operazioni di sicurezza. Le impostazioni di sicurezza aggiuntive che possono influire sulla correzione automatica includono la protezione da applicazioni potenzialmente indesiderate.
Tutte le azioni di correzione, sia in sospeso che completate, possono essere visualizzate nel centro notifiche https://security.microsoft.com. Se necessario, il team addetto alle operazioni di sicurezza può annullare un'azione di correzione.
Livelli di automazione per le funzionalità di indagine e correzione automatizzate
Le funzionalità di indagine e correzione automatizzate in Microsoft Defender per endpoint possono essere configurate su uno dei diversi livelli di automazione. Il livello di automazione determina se le azioni di correzione indicate in seguito alle attività di indagine e correzione automatizzate vengono eseguite automaticamente o solo dopo l'approvazione.
L'automazione completa (scelta consigliata) prevede che le azioni di correzione vengano eseguite automaticamente sugli artefatti rilevati come dannosi.
La semi-automazione prevede che alcune azioni di correzione vengano eseguite automaticamente, mentre per altre sia necessaria l'approvazione. Vedere la tabella in Livelli di automazione.
Tutte le azioni di correzione, sia in sospeso che completate, vengono monitorate nel centro notifiche
Livelli di automazione
Full - remediate threats automatically (Completa - Correggi automaticamente le minacce), nota anche come automazione completa
Con l'automazione completa, le azioni di correzione vengono eseguite automaticamente. Tutte le azioni di correzione eseguite possono essere visualizzate nella scheda Cronologia del centro notifiche. Se necessario, un'azione di correzione può essere annullata.
Semi - require approval for any remediation (Semi - Richiedi l'approvazione per qualsiasi correzione), nota anche come semi-automazione
Con questo livello di semi-automazione, è richiesta l'approvazione per tutte le azioni di correzione. Tali azioni in sospeso possono essere visualizzate e approvate nella scheda In sospeso del centro notifiche.
Semi - require approval for core folders remediation (Semi - Richiedi l'approvazione per la correzione delle cartelle di base), un altro tipo di semi-automazione
Con questo livello di semi-automazione, è richiesta l'approvazione per tutte le azioni di correzione necessarie per i file o per gli eseguibili presenti nelle cartelle di base. Le cartelle di base includono le directory del sistema operativo, ad esempio Windows (\windows*).
Le azioni di correzione possono essere eseguite automaticamente sui file o sugli eseguibili che si trovano in altre cartelle (non di base).
Le azioni in sospeso per i file o gli eseguibili nelle cartelle di base possono essere visualizzate e approvate nella scheda In sospeso del centro notifiche.
Le azioni eseguite su file o eseguibili in altre cartelle possono essere visualizzate nella scheda Cronologia del centro notifiche.
Semi - require approval for non-temp folders remediation (Semi - Richiedi l'approvazione per la correzione delle cartelle non temporanee), un altro tipo di semi-automazione
Con questo livello di semi-automazione, è richiesta l'approvazione per tutte le azioni di correzione necessarie per i file o gli eseguibili che non si trovano in cartelle temporanee.
Le cartelle temporanee possono includere gli esempi seguenti:
\users*\appdata\local\temp*
\documents and settings*\local settings\temp*
\documents and settings*\local settings\temporary*
\windows\temp*
\users*\downloads*
\programmi\
\programmi (x86)*
\documents and settings*\users*
Le azioni di correzione possono essere eseguite automaticamente sui file o sugli eseguibili nelle cartelle temporanee.
Le azioni in sospeso per i file e gli eseguibili che non si trovano nelle cartelle temporanee possono essere visualizzate e approvate nella scheda In sospeso del centro notifiche.
Le azioni eseguite su file o eseguibili nelle cartelle temporanee possono essere visualizzate e approvate nella scheda Cronologia del centro notifiche.
No automated response (Nessuna risposta automatizzata), nota anche come nessuna automazione
Senza automazione, l'indagine automatizzata non viene eseguita nei dispositivi dell'organizzazione. Di conseguenza, non vengono eseguite azioni di correzione e non sono presenti azioni in sospeso in seguito a un'indagine automatizzata. Tuttavia, le altre funzionalità di protezione dalle minacce, ad esempio la protezione da applicazioni potenzialmente indesiderate, possono essere attive, a seconda di come sono configurate le funzionalità di antivirus e protezione di nuova generazione.
Non è consigliabile usare l'opzione "nessuna automazione" perché riduce la postura di sicurezza dei dispositivi dell'organizzazione. Si consiglia di configurare il livello di automazione sull'automazione completa o almeno sulla semi-automazione.
Considerazioni importanti sui livelli di automazione
L'automazione completa è affidabile, efficiente e sicura ed è consigliata per tutti i clienti. L'automazione completa consente di liberare le risorse più importanti addette alla sicurezza in modo che possano concentrarsi maggiormente sulle iniziative strategiche. Se il team responsabile della sicurezza ha definito gruppi di dispositivi con un livello di automazione, queste impostazioni non vengono modificate dalle nuove impostazioni predefinite che vengono implementate.