Configurare le funzionalità avanzate in Defender for Endpoint

Si applica a:

Vuoi provare Defender per Endpoint? iscriversi a una versione di valutazione gratuita.

A seconda dei prodotti di sicurezza Microsoft che usi, alcune funzionalità avanzate potrebbero essere disponibili per l'integrazione di Defender per Endpoint con.

Abilitare le funzionalità avanzate

  1. Nel riquadro di spostamento selezionare Impostazioni > endpoint > funzionalità avanzate.
  2. Selezionare la funzionalità avanzata che si desidera configurare e attivare o disattivare l'impostazione.
  3. Fare clic su Salva preferenze.

Utilizzare le funzionalità avanzate seguenti per proteggere meglio i file potenzialmente dannosi e ottenere informazioni più approfondite durante le indagini di sicurezza.

Indagine automatizzata

Attivare questa funzionalità per sfruttare le funzionalità di analisi e correzione automatizzate del servizio. Per ulteriori informazioni, vedere Analisi automatizzata.

Risposta live

Attiva questa funzionalità in modo che gli utenti con le autorizzazioni appropriate possano avviare una sessione di risposta in tempo reale nei dispositivi.

Per ulteriori informazioni sulle assegnazioni di ruolo, vedere Create and manage roles.

Risposta in tempo reale per i server

Attivare questa funzionalità in modo che gli utenti con le autorizzazioni appropriate possano avviare una sessione di risposta in tempo reale sui server.

Per ulteriori informazioni sulle assegnazioni di ruolo, vedere Create and manage roles.

Esecuzione di script non firmati in tempo reale

L'abilitazione di questa funzionalità consente di eseguire script non firmati in una sessione di risposta in tempo reale.

Correggere sempre i problemi di protezione dei dati

Le applicazioni potenzialmente indesiderate sono una categoria di software che può causare un'esecuzione lenta del computer, visualizzare annunci imprevisti o, nel peggiore dei casi, installare altro software, che potrebbe essere imprevisto o indesiderato.

Attivare questa funzionalità in modo che le applicazioni potenzialmente indesiderate (PUA) siano corretti in tutti i dispositivi del tenant anche se la protezione da accesso client non è configurata nei dispositivi. Ciò consente di proteggere gli utenti dall'installazione accidentale di applicazioni indesiderate nel dispositivo. Se disattivata, la correzione dipende dalla configurazione del dispositivo.

Limitare la correlazione all'interno di gruppi di dispositivi con ambito

Questa configurazione può essere usata per scenari in cui le operazioni SOC locali desiderano limitare le correlazioni degli avvisi solo ai gruppi di dispositivi a cui possono accedere. Attivando questa impostazione, un evento imprevisto composto da avvisi che non verranno più considerati un singolo evento imprevisto tra gruppi di dispositivi. Il SOC locale può quindi intervenire sull'evento imprevisto perché ha accesso a uno dei gruppi di dispositivi coinvolti. Tuttavia, il SOC globale visualizza diversi incidenti in base al gruppo di dispositivi anziché a un evento imprevisto. Non è consigliabile attivare questa impostazione a meno che questa operazione non superi i vantaggi della correlazione degli incidenti nell'intera organizzazione

Nota

La modifica di questa impostazione influisce solo sulle correlazioni degli avvisi futuri.

Abilita EDR in modalità blocco

Il rilevamento e la risposta degli endpoint (EDR) in modalità blocco fornisce protezione da artefatti dannosi, anche quando Antivirus Microsoft Defender in esecuzione in modalità passiva. Quando è attivata, EDR in modalità blocco blocca artefatti o comportamenti dannosi rilevati in un dispositivo. EDR in modalità blocco funziona dietro le quinte per correggere gli artefatti dannosi rilevati dopo la violazione.

Risolvere in modo automatico gli avvisi corretti

Per i tenant creati in o dopo Windows 10, versione 1809, la funzionalità di analisi e correzione automatizzata è configurata per impostazione predefinita per risolvere gli avvisi in cui lo stato del risultato dell'analisi automatica è "Nessuna minaccia trovata" o "Correzione". Se non si desidera che gli avvisi vengono risolti automaticamente, è necessario disattivare manualmente la funzionalità.

Suggerimento

Per i tenant creati prima di tale versione, è necessario attivare manualmente questa funzionalità dalla pagina Funzionalità avanzate.

Nota

  • Il risultato dell'azione di risoluzione automatica può influire sul calcolo del livello di rischio del dispositivo basato sugli avvisi attivi rilevati in un dispositivo.
  • Se un analista delle operazioni di sicurezza imposta manualmente lo stato di un avviso su "In corso" o "Risolto", la funzionalità di risoluzione automatica non lo sovrascriverà.

Consenti o blocca file

Il blocco è disponibile solo se l'organizzazione soddisfa questi requisiti:

  • Usa Antivirus Microsoft Defender come soluzione antimalware attiva e,
  • La funzionalità di protezione basata su cloud è abilitata

Questa funzionalità consente di bloccare i file potenzialmente dannosi nella rete. Il blocco di un file ne impedirà la lettura, la scrittura o l'esecuzione nei dispositivi dell'organizzazione.

Per attivare Consenti o blocca file:

  1. Nel riquadro di spostamento selezionare Impostazioni Endpoint Funzionalità avanzate > > > Consenti > o blocca file.

  2. Attivare o disattivare l'impostazione.

    Immagine delle impostazioni avanzate per la funzionalità blocca file

  3. Seleziona Salva preferenze nella parte inferiore della pagina.

Dopo aver attivata questa funzionalità, puoi bloccare i file tramite la scheda Aggiungi indicatore nella pagina del profilo di un file.

Indicatori di rete personalizzati

L'attivazione di questa funzionalità consente di creare indicatori per indirizzi IP, domini o URL, che determinano se saranno consentiti o bloccati in base all'elenco di indicatori personalizzato.

Per usare questa funzionalità, i dispositivi devono essere Windows 10 versione 1709 o successiva. Devono inoltre disporre della protezione di rete in modalità blocco e della versione 4.18.1906.3 o successiva della piattaforma antimalware, vedere KB 4052623.

Per ulteriori informazioni, vedere Manage indicators.

Nota

La protezione di rete sfrutta i servizi di reputazione che elaborano le richieste in posizioni che potrebbero essere esterne alla posizione selezionata per i dati di Defender for Endpoint.

Protezione anti-manomissione

Durante alcuni tipi di attacchi informatici, i malinti tentano di disabilitare le funzionalità di sicurezza, ad esempio la protezione antivirus, nei computer. Gli utenti malintenzionati desiderano disabilitare le funzionalità di sicurezza per ottenere un accesso più semplice ai dati, installare malware o sfruttare in altro modo i dati, l'identità e i dispositivi.

La protezione anti-manomissione blocca essenzialmente Antivirus Microsoft Defender e impedisce che le impostazioni di sicurezza vengano modificate tramite app e metodi.

Questa funzionalità è disponibile se l'organizzazione usa Antivirus Microsoft Defender e la protezione basata su cloud è abilitata. Per ulteriori informazioni, vedere Use next-generation technologies in Antivirus Microsoft Defender through cloud-delivered protection.

Mantenere attivata la protezione anti-manomissione per evitare modifiche indesiderate alla soluzione di sicurezza e alle relative funzionalità essenziali.

Mostra dettagli utente

Attivare questa funzionalità per visualizzare i dettagli utente archiviati in Azure Active Directory. I dettagli includono l'immagine, il nome, il titolo e le informazioni del reparto di un utente durante l'analisi delle entità dell'account utente. Le informazioni sull'account utente sono disponibili nelle visualizzazioni seguenti:

  • Dashboard delle operazioni di sicurezza
  • Coda avvisi
  • Pagina dettagli dispositivo

Per ulteriori informazioni, vedere Investigate a user account.

Skype for Business integrazione

L'abilitazione Skype for Business'integrazione consente di comunicare con gli utenti tramite Skype for Business, posta elettronica o telefono. Ciò può essere utile quando è necessario comunicare con l'utente e ridurre i rischi.

Nota

Quando un dispositivo viene isolato dalla rete, è disponibile un popup in cui è possibile scegliere di abilitare le comunicazioni Outlook e Skype che consentono le comunicazioni all'utente mentre sono disconnesse dalla rete. Questa impostazione si applica alle Skype e Outlook quando i dispositivi sono in modalità isolamento.

Integrazione di Microsoft Defender for Identity

L'integrazione con Microsoft Defender for Identity consente di eseguire il pivot direttamente in un altro prodotto di sicurezza microsoft Identity. Microsoft Defender for Identity aumenta un'indagine con ulteriori informazioni su un account sospetto compromesso e risorse correlate. Abilitando questa funzionalità, arricchirai la funzionalità di indagine basata su dispositivo tramite pivot nella rete da un punto di vista di identificazione.

Nota

Per abilitare questa funzionalità, è necessario disporre della licenza appropriata.

Office 365 Connessione di Threat Intelligence

Questa funzionalità è disponibile solo se hai un'Office 365 E5 attiva o il componente aggiuntivo Threat Intelligence. Per ulteriori informazioni, vedere la pagina Office 365 Enterprise prodotto E5.

Quando abiliti questa funzionalità, sarai in grado di incorporare i dati di Microsoft Defender per Office 365 in Microsoft 365 Defender per condurre un'indagine completa sulla sicurezza nelle cassette postali di Office 365 e nei dispositivi Windows.

Nota

Per abilitare questa funzionalità, è necessario disporre della licenza appropriata.

Per ricevere l'integrazione contestuale dei dispositivi in Office 365 Threat Intelligence, devi abilitare le impostazioni di Defender for Endpoint nel dashboard sicurezza & conformità. Per ulteriori informazioni, vedere Analisi e risposta alle minacce.

Microsoft Threat Experts - Notifiche di attacco mirato

Tra i due componenti Microsoft Threat Expert, la notifica di attacco mirato è in generale disponibile. La funzionalità esperti su richiesta è ancora in anteprima. Puoi usare la funzionalità esperti su richiesta solo se hai richiesto l'anteprima e l'applicazione è stata approvata. Puoi ricevere notifiche di attacco mirate da Microsoft Threat Experts tramite il dashboard degli avvisi del portale di Defender for Endpoint e tramite posta elettronica se lo configure.

Nota

La Microsoft Threat Experts in Defender for Endpoint è disponibile con una licenza E5 per Enterprise Mobility + Security.

Microsoft Cloud App Security

L'abilitazione di questa impostazione inoltra i segnali di Defender for Endpoint Microsoft Cloud App Security per fornire una visibilità più approfondita sull'utilizzo delle applicazioni cloud. I dati inoltrati vengono archiviati ed elaborati nella stessa posizione dei Cloud App Security dati.

Nota

Questa funzionalità sarà disponibile con una licenza E5 per Enterprise Mobility + Security nei dispositivi che eseguono Windows 10, versione 1709 (OS Build 16299.1085 con KB4493441),Windows 10, versione 1803 (OS Build 17134.704 con KB4493464),Windows 10, versione 1809 (OS Build 17763.379 con KB4489899)o versioni successive Windows 10.

Microsoft Secure Score

Inoltra i segnali di Microsoft Defender for Endpoint a Microsoft Secure Score nel centro sicurezza Microsoft 365 sicurezza. L'attivazione di questa funzionalità consente a Microsoft Secure Score di visibilità sulla posizione di sicurezza del dispositivo. I dati inoltrati vengono archiviati ed elaborati nella stessa posizione dei dati di Microsoft Secure Score.

Abilitare l'integrazione di Microsoft Defender for Endpoint dal portale di Microsoft Defender per l'identità

Per ricevere l'integrazione contestuale dei dispositivi in Microsoft Defender for Identity, dovrai anche abilitare la funzionalità nel portale di Microsoft Defender per l'identità.

  1. Accedere al portale di Microsoft Defender per l'identità con un ruolo amministratore globale o amministratore della sicurezza.

  2. Fare clic su Crea l'istanza.

  3. Attiva l'impostazione Integrazione e fai clic su Salva.

Dopo aver completato i passaggi di integrazione in entrambi i portali, potrai visualizzare avvisi pertinenti nella pagina dei dettagli del dispositivo o dei dettagli utente.

Filtro contenuti Web

Bloccare l'accesso ai siti Web contenenti contenuti indesiderati e tenere traccia delle attività Web in tutti i domini. Per specificare le categorie di contenuto Web che si desidera bloccare, creare un criterio di filtro contenuto Web. Assicurati di avere la protezione di rete in modalità blocco durante la distribuzione di Microsoft Defender for Endpoint security baseline.

Condividere gli avvisi degli endpoint con Il Centro conformità Microsoft

Inoltra gli avvisi di sicurezza degli endpoint e il relativo stato di valutazione al Centro conformità Microsoft, consentendo di migliorare i criteri di gestione dei rischi insider con avvisi e correggere i rischi interni prima che questi causano danni. I dati inoltrati vengono elaborati e archiviati nella stessa posizione dei Office 365 dati.

Dopo aver configurato gli indicatori di violazione dei criteri di sicurezza nelle impostazioni di gestione dei rischi insider, gli avvisi di Defender for Endpoint verranno condivisi con la gestione dei rischi insider per gli utenti applicabili.

Microsoft Intune connessione

Defender for Endpoint può essere integrato con Microsoft Intune per abilitare l'accesso condizionale basato sul rischio del dispositivo. Quando accerti questa funzionalità,potrai condividere le informazioni sul dispositivo Defender for Endpoint con Intune, migliorando l'applicazione dei criteri.

Importante

Dovrai abilitare l'integrazione sia in Intune che in Defender per Endpoint per usare questa funzionalità. Per altre informazioni su passaggi specifici, vedi Configurare l'accesso condizionale in Defender per Endpoint.

Questa funzionalità è disponibile solo se sono disponibili le opzioni seguenti:

  • Tenant con licenza per Enterprise Mobility + Security E3 e Windows E5 (o Microsoft 365 Enterprise E5)
  • Un ambiente Microsoft Intune, con dispositivi Windows 10 gestiti da Intune aggiunti ad Azure AD.

Criteri di accesso condizionale

Quando abiliti l'integrazione di Intune, Intune creerà automaticamente un criterio di accesso condizionale (CA) classico. Questo criterio CA classico è un prerequisito per la configurazione delle relazioni sullo stato in Intune. Non deve essere eliminato.

Nota

Il criterio CA classico creato da Intune è distinto dai criteri di accessocondizionale moderni, usati per configurare gli endpoint.

Device discovery

Consente di individuare i dispositivi non gestiti connessi alla rete aziendale senza la necessità di dispositivi aggiuntivi o modifiche di processo ingombranti. Usando i dispositivi onboarded, puoi trovare dispositivi non gestiti nella rete e valutare vulnerabilità e rischi. Per altre informazioni, vedi Individuazione dei dispositivi.

Nota

Puoi sempre applicare filtri per escludere i dispositivi non gestiti dall'elenco di inventario dei dispositivi. Puoi anche usare la colonna dello stato di onboarding nelle query API per filtrare i dispositivi non gestiti.

Funzionalità di anteprima

Informazioni sulle nuove funzionalità nella versione di anteprima di Defender for Endpoint. Prova le funzionalità future attivando l'esperienza di anteprima.

Avrai accesso alle funzionalità future, su cui puoi fornire feedback per migliorare l'esperienza complessiva prima che le funzionalità siano in genere disponibili.

Scaricare i file in quarantena

Eseguire il backup dei file in quarantena in un percorso sicuro e conforme in modo che possano essere scaricati direttamente dalla quarantena. Il pulsante Scarica file sarà sempre disponibile nella pagina del file. Questa impostazione è attivata per impostazione predefinita. Ulteriori informazioni sui requisiti