Usare il Centro operativo
Centro notifiche
Il centro notifiche unificato del portale di Microsoft Defender elenca le azioni di correzione in sospeso e completate per i dispositivi, i contenuti di collaborazione, le email e le identità in un'unica posizione.
Il centro notifiche unificato riunisce le azioni di correzione di Defender per endpoint e Defender per Office 365. Definisce un linguaggio comune per tutte le azioni di correzione e offre un'esperienza di indagine unificata. Il team addetto alle operazioni di sicurezza può accedere a un'esperienza "singolo pannello di controllo" per visualizzare e gestire le azioni correttive.
Il centro notifiche riporta elementi in sospeso e cronologici:
In sospeso: visualizza un elenco di indagini in corso che richiedono attenzione. Vengono indicate le azioni consigliate, che il team addetto alle operazioni di sicurezza può approvare o rifiutare. La scheda Azioni in sospeso viene visualizzata solo se sono presenti azioni in sospeso da approvare o rifiutare.
Cronologia: funge da log di controllo per tutti gli elementi seguenti:
Azioni di correzione eseguite in seguito a un'indagine automatizzata
Azioni di correzione approvate dal team addetto alle operazioni di sicurezza (alcune azioni, ad esempio l'invio di un file per la quarantena, possono essere annullate)
Comandi eseguiti e azioni di correzione applicate alle sessioni di Live Response (alcune azioni possono essere annullate)
Azioni di correzione applicate da Antivirus Microsoft Defender (alcune azioni possono essere annullate)
Selezionare Indagini automatizzate e quindi Centro notifiche.
Quando viene eseguita un'indagine automatizzata, viene generato un verdetto per ogni parte di evidenza analizzata. I verdetti possono indicare un'entità di tipo dannoso o sospetto oppure nessuna minaccia trovata, a seconda degli elementi seguenti:
Tipo di minaccia
Verdetto risultante
Modalità di configurazione dei gruppi di dispositivi dell'organizzazione
Le azioni di correzione possono essere eseguite automaticamente o solo dopo l'approvazione da parte del team addetto alle operazioni di sicurezza dell'organizzazione.
Esaminare le azioni in sospeso
Per approvare o rifiutare un'azione in sospeso:
Selezionare un elemento nella scheda In sospeso.
Selezionare un'indagine tra le categorie per aprire un pannello in cui è possibile approvare o rifiutare le azioni di correzione.
Vengono visualizzati altri dettagli, ad esempio quelli relativi al file o al servizio, all'indagine e all'avviso. Dal pannello è possibile selezionare il collegamento per aprire la pagina dell'indagine e visualizzare i dettagli dell'indagine. È anche possibile selezionare più indagini per approvare o rifiutare azioni per più indagini.
Esaminare le azioni completate
Per esaminare le azioni completate:
Selezionare la scheda Cronologia. Se necessario, espandere il periodo di tempo per visualizzare più dati.
Selezionare un elemento per visualizzare altri dettagli sull'azione di correzione.
Annullare le azioni completate
Se si determina che un dispositivo o un file non è una minaccia, è possibile annullare le azioni di correzione eseguite, indipendentemente dal fatto che siano state eseguite automaticamente o manualmente. È possibile annullare le azioni seguenti:
Origine
Indagine automatizzata
Microsoft Defender Antivirus
Azioni di risposta manuale
Azioni supportate
Isolare il dispositivo
Limitare l'esecuzione del codice
Mettere in quarantena un file
Rimuovere una chiave del Registro di sistema
Arrestare un servizio
Disabilitare un driver
Rimuovere un'attività pianificata
Rimuovere un file dalla quarantena in più dispositivi
Per rimuovere un file dalla quarantena in più dispositivi:
Nella scheda Cronologia selezionare un file con un'azione di tipo quarantena.
Nel riquadro sul lato destro dello schermo selezionare l'opzione per applicare a X altre istanze del file e quindi fare clic su Annulla.
Visualizzazione dei dettagli dell'origine dell'azione
Il Centro notifiche include una colonna delle origini delle azioni che indica da dove ha avuto origine ogni azione. La tabella seguente descrive i possibili valori dell'origine dell'azione:
| Valore origine azione | Descrizione |
|---|---|
| Azione dispositivo manuale | Azione manuale eseguita su un dispositivo. Ne sono esempio l'isolamento dei dispositivi o la messa in quarantena dei file. |
| Azione posta elettronica manuale | Azione manuale eseguita sui messaggi di posta elettronica. Ne sono esempio l'eliminazione temporanea di messaggi di posta elettronica o la correzione di un messaggio. |
| Azione dispositivo automatizzata | Azione automatizzata eseguita su un'entità, come un file o un processo. Ne sono esempio l'invio di un file in quarantena, l'arresto di un processo e la rimozione di una chiave del Registro di sistema |
| Azione posta elettronica automatizzata | Azione automatizzata eseguita su contenuti di posta elettronica, come un messaggio di posta elettronica, un allegato o un URL. Ne sono esempio l'eliminazione temporanea di messaggi di posta elettronica, il blocco di URL e la disattivazione dell'inoltro di posta elettronica esterna |
| Azione di ricerca avanzata | Azioni eseguite su dispositivi o messaggi di posta elettronica con la ricerca avanzata. |
| Azione di Explorer | Azioni eseguite su contenuti di posta elettronica con Explorer. |
| Azione di Live Response manuale | Azioni eseguite su un dispositivo con Live Response. Ne sono esempio l'eliminazione di un file, l'arresto di un processo e la rimozione di un'attività pianificata. |
| Azione di Live Response | Azioni eseguite su un dispositivo con le API di Microsoft Defender per endpoint. Ne sono esempio l'isolamento di un dispositivo, l'esecuzione di un'analisi antivirus e il recupero di informazioni su un file. |
Invii
Nelle organizzazioni Microsoft 365 con cassette postali di Exchange Online, gli amministratori possono usare il portale Invio nel portale di Microsoft Defender per inviare email, URL e allegati a Microsoft per farli esaminare.
Quando si invia un messaggio di posta elettronica per l'analisi, si otterrà:
- Verifica dell'autenticazione del messaggio di posta elettronica: indica se l'autenticazione del messaggio è andata o meno a buon fine al momento del recapito.
- Riscontri dei criteri: informazioni su tutti i criteri che potrebbero avere consentito o bloccato il messaggio di posta elettronica in arrivo nel tenant, ignorando i verdetti del filtro del servizio.
- Reputazione/detonazione del payload: esame aggiornato degli URL e degli allegati nel messaggio.
- Analisi dell'esaminatore: verifica eseguita da persone incaricate di esaminare i messaggi per verificare se sono dannosi o meno.
Importante
La reputazione/detonazione del payload e l'analisi dell'esaminatore non vengono eseguite in tutti i tenant. Le informazioni verso l'esterno dell'organizzazione vengono bloccate quando i dati non devono lasciare il limite del tenant per motivi di conformità.
Cosa è necessario sapere prima di iniziare?
Per inviare messaggi e file a Microsoft, è necessario avere uno dei ruoli seguenti:
Amministratore della sicurezza o ruolo con autorizzazioni di lettura per la sicurezza nel portale di Microsoft Defender.
Gli amministratori possono inviare messaggi precedenti fino a 30 giorni se sono ancora disponibili nella cassetta postale e non vengono eliminati dall'utente o da un altro amministratore.
Gli invii dell'amministratore sono limitati alle frequenze seguenti:
Numero massimo di invii in un periodo di 15 minuti: 150 invii
Numero di invii dello stesso tipo in un periodo di 24 ore: Tre invii
Numero di invii dello stesso tipo in un periodo di 15 minuti: Un invio
Segnalare contenuti sospetti a Microsoft
Nella pagina Invii verificare che la scheda dei messaggi di posta elettronica, degli allegati o degli URL sia selezionata in base al tipo di contenuto che si desidera segnalare. Selezionare quindi l'icona Invia a Microsoft per l'analisi. Inviare a Microsoft per l'analisi.
Usare il riquadro a comparsa Invia a Microsoft per l'analisi visualizzato per inviare il rispettivo tipo di contenuto (messaggio, URL o allegato di posta elettronica).
Nota
Gli invii di file e di URL non sono disponibili nei cloud che non consentono ai dati di lasciare l'ambiente. La possibilità di selezionare File o URL sarà disattivata.
Inviare notifica agli utenti dall'interno del portale
Nella pagina Invii selezionare la scheda Messaggi segnalati dall'utente e quindi selezionare il messaggio da contrassegnare e notificare.
Selezionare l'elenco a discesa Contrassegna come e notifica e quindi selezionare Nessuna minaccia trovata > phishing o posta indesiderata.
Il messaggio segnalato verrà contrassegnato come falso positivo o falso negativo. Una notifica di posta elettronica viene inviata automaticamente dall'interno del portale all'utente che ha segnalato il messaggio.
Inviare un messaggio di posta elettronica interrogativo a Microsoft
Nella casella Selezionare il tipo di invio verificare che sia selezionata la voce Messaggio di posta elettronica nell'elenco a discesa.
Nella sezione Aggiungi l'ID messaggio di rete o carica il file di posta elettronica usare una delle opzioni seguenti:
Aggiungere l'ID messaggio di rete di posta elettronica: l'ID è un valore GUID disponibile nell'intestazione X-MS-Exchange-Organization-Organization-Message-Id nel messaggio o nell'intestazione X-MS-Office365-Filtering-Correlation-Id nei messaggi in quarantena.
Caricare il file di posta elettronica (con estensione msg o eml): selezionare Sfoglia file. Nella finestra di dialogo che viene visualizzata trovare e selezionare il file con estensione eml o msg e quindi selezionare Apri.
Nella casella Scegliere un destinatario che ha avuto un problema specificare il destinatario che si desidera sottoporre a controllo dei criteri. Il controllo dei criteri determinerà se il messaggio di posta elettronica è stato ignorato nell'analisi a causa di criteri utente od organizzazione.
Nella sezione Selezionare un motivo per l'invio a Microsoft selezionare una delle opzioni seguenti:
- Non avrebbe dovuto essere bloccato (Falso positivo)
- Avrebbe dovuto essere bloccato (Falso negativo): nella sezione "Il messaggio di posta elettronica avrebbe dovuto essere classificato come" che viene visualizzata selezionare uno dei valori seguenti (se non si è sicuri, usare il buonsenso): Phishing, Malware o Spam
Al termine, selezionare Invia.
Inviare un URL sospetto a Microsoft
Nella casella Selezionare il tipo di invio selezionare la voce URL nell'elenco a discesa.
Nella casella URL che viene visualizzata immettere l'URL completo. Ad esempio:
https://www.fabrikam.com/marketing.html.Nella sezione Selezionare un motivo per l'invio a Microsoft selezionare una delle opzioni seguenti:
- Non avrebbe dovuto essere bloccato (Falso positivo)
- Avrebbe dovuto essere bloccato (Falso negativo): nella sezione "L'URL avrebbe dovuto essere classificato come" che viene visualizzata selezionare uno dei valori seguenti (se non si è sicuri, usare il buonsenso): Phishing, Malware
Al termine, selezionare Invia.
Inviare un allegato di posta elettronica sospetto a Microsoft
Nella casella Selezionare il tipo di invio selezionare la voce Allegato e-mail nell'elenco a discesa.
Nella sezione File che viene visualizzata selezionare Sfoglia file. Nella finestra di dialogo che viene visualizzata trovare e selezionare il file e quindi selezionare Apri.
Nella sezione Selezionare un motivo per l'invio a Microsoft selezionare una delle opzioni seguenti:
- Non avrebbe dovuto essere bloccato (Falso positivo)
- Avrebbe dovuto essere bloccato (Falso negativo): nella sezione "Il file avrebbe dovuto essere classificato come" che viene visualizzata selezionare uno dei valori seguenti (se non si è sicuri, usare il buonsenso): Phishing, Malware
Al termine, selezionare Invia.
Nota
Se il filtro malware ha sostituito gli allegati del messaggio con il file Malware Alert Text.txt, è necessario inviare il messaggio originale dalla quarantena contenente gli allegati originali. Per altre informazioni sulla quarantena e su come rilasciare i messaggi con falsi positivi malware, vedere Gestire messaggi e file in quarantena come amministratore.
Visualizzare gli invii dell'amministratore a Microsoft
Nella pagina Invii verificare che sia selezionata la scheda Posta elettronica, URL o Allegato di posta elettronica.
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per visualizzare un massimo di sette colonne. I valori predefiniti sono contrassegnati con un asterisco (*):
- Nome invio*
- Mittente*
- Destinatario
- Data di invio*
- Motivo dell'invio*
- Stato*
- Risultato*
- Verdetto filtro
- Motivo recapito/blocco
- ID invio
- ID messaggio di rete/ID oggetto
- Direzione
- IP mittente
- Livello conformità in blocco (BCL)
- Destinazione
- Azione dei criteri
- Inviata da
- Simulazione di phishing
- Tags*
- Consenti
Al termine, seleziona Applica.
Dettagli risultato dell'invio dell'amministrazione
I messaggi che vengono inviati negli invii dell'amministratore vengono esaminati e i risultati vengono visualizzati nel riquadro a comparsa dei dettagli degli invii:
- Se si è verificato un errore nell'autenticazione del messaggio di posta elettronica del mittente al momento del recapito.
- Informazioni su eventuali riscontri dei criteri che potrebbero avere influenzato o ignorato il verdetto di un messaggio.
- Risultati di detonazione correnti per verificare se gli URL o i file contenuti nel messaggio sono dannosi o meno.
- Feedback degli esaminatori.
Se è stato trovato un override, il risultato dovrebbe essere disponibile dopo diversi minuti. Se non si è verificato un problema di autenticazione del messaggio di posta elettronica o il recapito non è stato interessato da un override, il feedback degli esaminatori potrebbe richiedere fino a un giorno.
Visualizzare gli invii dell'utente a Microsoft
Se è stato distribuito il componente aggiuntivo Segnala messaggio, il componente aggiuntivo Segnala phishing o se gli utenti usano la creazione di report integrata in Outlook sul Web, è possibile visualizzare gli oggetti che gli utenti segnalano nella scheda Messaggi segnalati dall'utente.
Nella pagina Invii selezionare la scheda Messaggi segnalati dall'utente.
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per visualizzare le opzioni. I valori predefiniti sono contrassegnati con un asterisco (*):
- Oggetto del messaggio di posta elettronica*
- Segnalato da*
- Data di segnalazione*
- Mittente*
- Motivo segnalazione*
- Risultato*
- ID messaggio segnalato
- ID messaggio di rete
- IP mittente
- Segnalato da
- Simulazione di phishing
- Convertito nell'invio dell'amministratore
- Tags*
- Contrassegnato come*
- Contrassegnato da
- Data contrassegno
Al termine, seleziona Applica.
Nota
Se le organizzazioni sono configurate per inviare messaggi segnalati dall'utente solo alla cassetta postale personalizzata, i messaggi segnalati verranno visualizzati in Messaggi segnalati dagli utenti, ma i risultati saranno sempre vuoti (perché non riesaminati).
Annullare gli invii degli utenti
Dopo che un utente invia un messaggio di posta elettronica sospetto alla cassetta postale personalizzata, l'utente e l'amministratore non hanno possibilità di annullare l'invio. Se l'utente vuole recuperare il messaggio di posta elettronica, il messaggio sarà disponibile nelle cartelle Elementi eliminati o Posta indesiderata.
Conversione di messaggi segnalati dall'utente dalla cassetta postale personalizzata in un invio dell'amministratore
Se è stata configurata la cassetta postale personalizzata per intercettare i messaggi segnalati dall'utente senza inviare i messaggi a Microsoft, è possibile trovare e inviare messaggi specifici a Microsoft per l'analisi.
Nella scheda Messaggi segnalati dall'utente selezionare un messaggio nell'elenco, selezionare Invia a Microsoft per l'analisi e quindi selezionare uno dei valori seguenti nell'elenco a discesa:
- Segnala come attendibile
- Segnala phishing
- Segnala malware
- Segnala posta indesiderata
- Avviare analisi