Condividi tramite


Centro notifiche

Si applica a:

  • Microsoft Defender XDR

Il Centro notifiche offre un'esperienza di "singolo riquadro di vetro" per le attività di avviso e eventi imprevisti, ad esempio:

  • Approvazione delle azioni di correzione in sospeso.
  • Visualizzazione di un log di controllo delle azioni correttive già approvate.
  • revisione delle azioni di correzione completate.

Poiché il Centro notifiche offre una panoramica completa delle Microsoft Defender XDR sul lavoro, il team addetto alle operazioni di sicurezza può operare in modo più efficace ed efficiente.

Centro notifiche unificato

Il Centro notifiche unificato (https://security.microsoft.com/action-center) elenca le azioni correttive in sospeso e completate per i dispositivi, la posta elettronica & contenuto di collaborazione e le identità in un'unica posizione.

Centro notifiche unificato nel portale di Microsoft Defender.

Ad esempio:

Il Centro notifiche unificato riunisce le azioni di correzione tra Microsoft Defender per endpoint e Microsoft Defender per Office 365. Definisce un linguaggio comune per tutte le azioni di correzione e offre un'esperienza di indagine unificata. Il team delle operazioni di sicurezza ha un'esperienza di "riquadro di controllo singolo" per visualizzare e gestire le azioni correttive.

È possibile usare il Centro notifiche unificato se si dispone delle autorizzazioni appropriate e di una o più delle sottoscrizioni seguenti:

Consiglio

Per altre informazioni, vedere Requisiti.

È possibile passare all'elenco delle azioni in attesa di approvazione in due modi diversi:

Uso del Centro notifiche

  1. Passare a Microsoft Defender portale e accedere.

  2. Nel riquadro di spostamento in Azioni e invii scegliere Centro notifiche. In alternativa, nella scheda di risposta Analisi automatizzata & selezionare Approva nel Centro notifiche.

  3. Usare le schede Azioni in sospeso e Cronologia . La tabella seguente riepiloga ciò che verrà visualizzato in ogni scheda:

    Scheda Descrizione
    In sospeso Visualizza un elenco di azioni che richiedono attenzione. È possibile approvare o rifiutare le azioni una alla volta o selezionare più azioni se hanno lo stesso tipo di azione, ad esempio il file di quarantena.

    Assicurarsi di esaminare e approvare (o rifiutare) le azioni in sospeso il prima possibile in modo che le indagini automatizzate possano essere completate in modo tempestivo.
    Cronologia Funge da log di controllo per le azioni eseguite, ad esempio:
    • >Azioni correttive eseguite a seguito di indagini automatizzate
    • Azioni di correzione eseguite su messaggi di posta elettronica, file o URL sospetti o dannosi
    • Azioni correttive approvate dal team delle operazioni di sicurezza
    • Comandi eseguiti e azioni di correzione applicate durante le sessioni di Live Response
    • Azioni di correzione eseguite dalla protezione antivirus


    Fornisce un modo per annullare determinate azioni (vedere Annullare le azioni completate).
  4. È possibile personalizzare, ordinare, filtrare ed esportare i dati nel Centro notifiche.

    Screenshot che mostra le funzionalità di ordinamento, filtro e personalizzazione del Centro notifiche.

    • Selezionare un'intestazione di colonna per ordinare gli elementi in ordine crescente o decrescente.
    • Usare il filtro periodo di tempo per visualizzare i dati relativi al giorno, alla settimana, ai 30 giorni o ai 6 mesi precedenti.
    • Scegliere le colonne da visualizzare.
    • Specificare il numero di elementi da includere in ogni pagina di dati.
    • Usare i filtri per visualizzare solo gli elementi che si desidera visualizzare.
    • Selezionare Esporta per esportare i risultati in un file di .csv.

Azioni rilevate nel Centro notifiche

Tutte le azioni, indipendentemente dal fatto che siano in attesa di approvazione o che siano già state eseguite, vengono rilevate nel centro notifiche. Le azioni disponibili includono quanto segue:

  • Raccolta di un pacchetto di indagini
  • Isolare il dispositivo (questa azione può essere annullata)
  • Offboarding dei computer
  • Esecuzione del codice di rilascio
  • Rilascio dalla quarantena
  • Esempio di richiesta
  • Limitare l'esecuzione del codice (questa azione può essere annullata)
  • Analisi dei virus
  • Arresto e messa in quarantena di un file
  • Contenere i dispositivi dalla rete

Oltre alle azioni di correzione eseguite automaticamente a seguito di indagini automatizzate, il Centro notifiche tiene traccia anche delle azioni intraprese dal team di sicurezza per affrontare le minacce rilevate e delle azioni eseguite in seguito alle funzionalità di protezione dalle minacce in Microsoft Defender XDR. Per altre informazioni sulle azioni di correzione automatiche e manuali, vedere Azioni di correzione.

Visualizzazione dei dettagli dell'origine dell'azione

Il Centro notifiche migliorato include una colonna origine azione che indica da dove proviene ogni azione. La tabella seguente descrive i possibili valori di origine action :

Valore dell'origine dell'azione Descrizione
Azione manuale del dispositivo Un'azione manuale eseguita su un dispositivo. Gli esempi includono l'isolamento del dispositivo o la quarantena dei file.
Azione di posta elettronica manuale Un'azione manuale eseguita sulla posta elettronica. Un esempio include l'eliminazione temporanea dei messaggi di posta elettronica o la correzione di un messaggio di posta elettronica.
Azione automatica del dispositivo Azione automatizzata eseguita su un'entità, ad esempio un file o un processo. Esempi di azioni automatizzate includono l'invio di un file in quarantena, l'arresto di un processo e la rimozione di una chiave del Registro di sistema. Vedere Azioni di correzione in Microsoft Defender per endpoint.
Azione di posta elettronica automatizzata Azione automatizzata eseguita sul contenuto della posta elettronica, ad esempio un messaggio di posta elettronica, un allegato o un URL. Esempi di azioni automatizzate includono l'eliminazione temporanea dei messaggi di posta elettronica, il blocco degli URL e la disattivazione dell'inoltro della posta esterna. Vedere Azioni di correzione in Microsoft Defender per Office 365.
Azione di ricerca avanzata Azioni eseguite su dispositivi o posta elettronica con ricerca avanzata.
Azione esplora Azioni eseguite sul contenuto della posta elettronica con Explorer.
Azione manuale di risposta in tempo reale Azioni eseguite su un dispositivo con risposta in tempo reale. Gli esempi includono l'eliminazione di un file, l'arresto di un processo e la rimozione di un'attività pianificata.
Azione di risposta in tempo reale Azioni eseguite in un dispositivo con API Microsoft Defender per endpoint. Esempi di azioni includono l'isolamento di un dispositivo, l'esecuzione di un'analisi antivirus e il recupero di informazioni su un file.

Autorizzazioni necessarie per le attività del centro notifiche

Per eseguire attività, ad esempio l'approvazione o il rifiuto di azioni in sospeso nel Centro notifiche, sono necessarie autorizzazioni specifiche. Sono disponibili le opzioni seguenti:

  • Microsoft Entra autorizzazioni: l'appartenenza a questi ruoli offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365:

    • Microsoft Defender per endpoint correzione (dispositivi): appartenenza al ruolo Amministratore della sicurezza.

    • Microsoft Defender per Office 365 correzione (contenuto e posta elettronica di Office):

      • Appartenenza al ruolo Amministratore della sicurezza .

      and

  • Email & le autorizzazioni di collaborazione nel portale di Microsoft Defender:

    • Microsoft Defender per Office 365 correzione (contenuto e posta elettronica di Office):

      • Appartenenza al gruppo di ruoli Amministratore della sicurezza

      and

  • Microsoft Defender XDR controllo degli accessi in base al ruolo unificato

    • Microsoft Defender per endpoint correzione: Operazioni di sicurezza \ Dati di sicurezza \ Risposta (gestione).
    • Microsoft Defender per Office 365 correzione (contenuto e posta elettronica di Office, se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender, non su PowerShell:
      • Accesso in lettura per la posta elettronica e le intestazioni dei messaggi di Teams: operazioni di sicurezza/dati non elaborati (posta elettronica & collaborazione)/metadati di collaborazione Email & (lettura).
      • Correggere la posta elettronica dannosa: operazioni di sicurezza/Dati di sicurezza/Email & azioni avanzate di collaborazione (gestione).Remediate malicious email: Security operations/Security data/Email & collaboration advanced actions (manage).

    Consiglio

    L'appartenenza al gruppo di ruoli Amministratore della sicurezza Email & le autorizzazioni di collaborazione non concedono l'accesso al Centro notifiche o alle funzionalità di Microsoft Defender XDR. Per tali elementi, è necessario essere membri del ruolo Amministratore della sicurezza nelle autorizzazioni di Microsoft Entra.

  • Autorizzazioni di Defender per endpoint:

    • Microsoft Defender per endpoint correzione (dispositivi): appartenenza al ruolo Azioni correttive attive.

Consiglio

I membri del ruolo Amministratore globale in Microsoft Entra ID possono approvare o rifiutare qualsiasi azione in sospeso nel Centro notifiche. Tuttavia, come procedura consigliata, è consigliabile limitare i membri del ruolo Amministratore globale . È consigliabile usare i ruoli e i gruppi di ruoli alternativi come descritto nell'elenco precedente per le autorizzazioni del Centro notifiche.

Passaggio successivo

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.