Panoramica delle indagini automatizzate

Si applica a:

Piattaforme

  • Windows

Vuoi vedere come funziona? Guardare il video seguente:

La tecnologia nell'indagine automatizzata usa vari algoritmi di ispezione e si basa sui processi usati dagli analisti della sicurezza. Le funzionalità AIR sono progettate per esaminare gli avvisi e intervenire immediatamente per risolvere le violazioni. Le funzionalità AIR riducono significativamente il volume degli avvisi, consentendo alle operazioni di sicurezza di concentrarsi sulle minacce più sofisticate e altre iniziative ad alto valore. Tutte le azioni correttive, siano esse in sospeso o già completate, vengono monitorate nel Centro azioni. Nel Centro azioni vengono approvate (o rifiutate) le azioni in sospeso e le azioni completate possono essere annullate, se necessario.

Questo articolo offre una panoramica di AIR e include collegamenti a passaggi successivi e risorse aggiuntive.

Consiglio

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Avvio dell'indagine automatizzata

Un'indagine automatizzata può iniziare quando viene attivato un avviso o quando un operatore di sicurezza avvia l'indagine.

Situazione Effetto
Viene attivato un avviso In generale, viene avviata un'indagine automatizzata quando viene attivato un avviso e viene creato un evento imprevisto . Si supponga, ad esempio, che un file dannoso si trovino in un dispositivo. Quando viene rilevato il file, viene attivato un avviso e viene creato un evento imprevisto. Nel dispositivo inizia un processo di indagine automatizzato. Poiché vengono generati altri avvisi a causa dello stesso file in altri dispositivi, vengono aggiunti all'evento imprevisto associato e all'indagine automatizzata.
Un'indagine viene avviata manualmente Un'indagine automatizzata può essere avviata manualmente dal team delle operazioni di sicurezza. Si supponga, ad esempio, che un operatore di sicurezza stia esaminando un elenco di dispositivi e noti che un dispositivo ha un livello di rischio elevato. L'operatore di sicurezza può selezionare il dispositivo nell'elenco per aprire il riquadro a comparsa e quindi selezionare Avvia indagine automatizzata.

Come un'indagine automatizzata espande l'ambito

Mentre un'indagine è in esecuzione, tutti gli altri avvisi generati dal dispositivo vengono aggiunti a un'indagine automatizzata in corso fino al completamento dell'indagine. Inoltre, se la stessa minaccia viene rilevata in altri dispositivi, tali dispositivi vengono aggiunti all'indagine.

Se un'entità incriminata viene visualizzata in un altro dispositivo, il processo di indagine automatizzato espande l'ambito per includere tale dispositivo e viene avviato un playbook di sicurezza generale nel dispositivo. Se durante questo processo di espansione vengono trovati 10 o più dispositivi dalla stessa entità, l'azione di espansione richiede un'approvazione ed è visibile nella scheda Azioni in sospeso .

Come vengono risolte le minacce

Quando vengono attivati avvisi e viene eseguita un'indagine automatizzata, viene generato un verdetto per ogni elemento di prova indagato. I verdetti possono essere:

  • Dannoso;
  • Sospetto; O
  • Nessuna minaccia trovata.

Quando vengono raggiunti i verdetti, le indagini automatizzate possono comportare una o più azioni correttive. Esempi di azioni di correzione includono l'invio di un file in quarantena, l'arresto di un servizio, la rimozione di un'attività pianificata e altro ancora. Per altre informazioni, vedere Azioni di correzione.

A seconda del livello di automazione impostato per l'organizzazione, nonché di altre impostazioni di sicurezza, le azioni di correzione possono verificarsi automaticamente o solo dopo l'approvazione da parte del team delle operazioni di sicurezza. Altre impostazioni di sicurezza che possono influire sulla correzione automatica includono la protezione da applicazioni potenzialmente indesiderate.Additional security settings that can affect automatic remediation include protection from potentially unwanted applications (PUA).

Tutte le azioni correttive, siano esse in sospeso o già completate, vengono monitorate nel Centro azioni. Se necessario, il team delle operazioni di sicurezza può annullare un'azione di correzione. Per altre informazioni, vedere Esaminare e approvare le azioni correttive a seguito di un'indagine automatizzata.

Consiglio

Vedere la nuova pagina di indagine unificata nel portale di Microsoft Defender. Per altre informazioni, vedere Pagina Di indagine unificata.

Requisiti per AIR

La sottoscrizione deve includere Defender per endpoint o Defender per le aziende.

Nota

L'analisi e la risposta automatizzate richiedono Microsoft Defender Antivirus per l'esecuzione in modalità passiva o attiva. Se Microsoft Defender Antivirus è disabilitato o disinstallato, l'analisi e la risposta automatizzate non funzioneranno correttamente.

Attualmente AIR supporta solo le versioni del sistema operativo seguenti:

  • Windows Server 2012 R2 (anteprima)
  • Windows Server 2016 (anteprima)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10 versione 1709 (build del sistema operativo 16299.1085 con KB4493441) o versioni successive
  • Windows 10 versione 1803 (OS Build 17134.704 con KB4493464) o versione successiva
  • Windows 10 versione 1803 o successiva
  • Windows 11

Nota

L'analisi automatizzata e la risposta su Windows Server 2012 R2 e Windows Server 2016 richiedono l'installazione dell'agente unificato.

Passaggi successivi

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.