Panoramica delle indagini automatizzate

Si applica a:

Vuoi vedere come funziona? Guarda il video seguente:

La tecnologia nell'indagine automatizzata utilizza vari algoritmi di ispezione ed è basata sui processi utilizzati dagli analisti della sicurezza. Le funzionalità AIR sono progettate per esaminare gli avvisi e intervenire immediatamente per risolvere le violazioni. Le funzionalità AIR riducono significativamente il volume degli avvisi, consentendo alle operazioni di sicurezza di concentrarsi su minacce più sofisticate e altre iniziative di alto valore. Tutte le azioni di correzione, in sospeso o completate, vengono rilevate nel centro notifiche. Nel centro notifiche le azioni in sospeso vengono approvate (o rifiutate) e le azioni completate possono essere annullate, se necessario.

In questo articolo viene fornita una panoramica di AIR e vengono forniti collegamenti ai passaggi successivi e a risorse aggiuntive.

Suggerimento

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Inizio dell'indagine automatizzata

Un'indagine automatizzata può iniziare quando viene attivato un avviso o quando un operatore di sicurezza avvia l'indagine.



Situazione Effetto
Viene attivato un avviso In generale, un'indagine automatizzata viene avviata quando viene attivato un avviso e viene creato un evento imprevisto. Si supponga ad esempio che un file dannoso si trovi in un dispositivo. Quando viene rilevato il file, viene attivato un avviso e viene creato un evento imprevisto. Nel dispositivo viene avviato un processo di indagine automatizzato. Poiché altri avvisi vengono generati a causa dello stesso file in altri dispositivi, vengono aggiunti all'evento imprevisto associato e all'indagine automatizzata.
Un'indagine viene avviata manualmente Un'indagine automatizzata può essere avviata manualmente dal team delle operazioni di sicurezza. Ad esempio, si supponga che un operatore di sicurezza riveda un elenco di dispositivi e noti che un dispositivo ha un livello di rischio elevato. L'operatore di sicurezza può selezionare il dispositivo nell'elenco per aprire il riquadro a comparsa e quindi selezionare Avvia indagine automatizzata.

Come un'indagine automatizzata espande il suo ambito

Durante l'esecuzione di un'indagine, tutti gli altri avvisi generati dal dispositivo vengono aggiunti a un'indagine automatizzata in corso fino al completamento dell'indagine. Inoltre, se la stessa minaccia viene vista su altri dispositivi, questi dispositivi vengono aggiunti all'indagine.

Se un'entità incriminata viene visualizzata in un altro dispositivo, il processo di indagine automatizzata espande l'ambito per includere tale dispositivo e un playbook di sicurezza generale viene avviato su tale dispositivo. Se durante questo processo di espansione vengono trovati 10 o più dispositivi dalla stessa entità, l'azione di espansione richiede un'approvazione ed è visibile nella scheda Azioni in sospeso.

Modalità di correzione delle minacce

Quando vengono attivati avvisi e viene eseguita un'indagine automatizzata, viene generato un verdetto per ogni prova esaminata. I verdetti possono essere:

  • Dannoso;
  • Sospetto; o
  • Nessuna minaccia trovata.

Una volta raggiunti i verdetti, le indagini automatizzate possono comportare una o più azioni di correzione. Esempi di azioni di correzione includono l'invio di un file in quarantena, l'arresto di un servizio, la rimozione di un'attività pianificata e altro ancora. Per ulteriori informazioni, vedere Azioni di correzione.

A seconda del livello di automazione impostato per l'organizzazione, nonché di altre impostazioni di sicurezza, le azioni di correzione possono verificarsi automaticamente o solo dopo l'approvazione da parte del team delle operazioni di sicurezza. Altre impostazioni di sicurezza che possono influire sulla correzione automatica includono la protezione da applicazioni potenzialmente indesiderate.

Tutte le azioni di correzione, in sospeso o completate, vengono rilevate nel centro notifiche. Se necessario, il team delle operazioni di sicurezza può annullare un'azione di correzione. Per ulteriori informazioni, vedere Review and approve remediation actions following an automated investigation.

Suggerimento

Consultare la nuova pagina di indagine unificata nel centro sicurezza Microsoft 365 sicurezza. Per ulteriori informazioni, vedere (NEW!) Pagina di indagine unificata.

Requisiti per AIR

L'organizzazione deve disporre di Defender per Endpoint (vedere Requisiti minimi per Microsoft Defender per Endpoint).

Attualmente, AIR supporta solo le seguenti versioni del sistema operativo:

  • Windows Server 2019
  • Windows 10 versione 1709 (OS Build 16299.1085 con KB4493441)o versione successiva
  • Windows 10 versione 1803 (OS Build 17134.704 con KB4493464)o versione successiva
  • Windows 10 versione 1803 o successiva

Passaggi successivi

Vedere anche