Panoramica delle indagini automatizzate

Si applica a:

Piattaforme

  • Windows

Vuoi vedere come funziona? Guardare il video seguente:

La tecnologia nell'indagine automatizzata usa vari algoritmi di ispezione e si basa su processi usati dagli analisti della sicurezza. Le funzionalità AIR sono progettate per esaminare gli avvisi e intraprendere azioni immediate per risolvere le violazioni. Le funzionalità AIR riducono significativamente il volume degli avvisi, consentendo alle operazioni di sicurezza di concentrarsi su minacce più sofisticate e altre iniziative di alto valore. Tutte le azioni di correzione, in sospeso o completate, vengono rilevate nel Centro notifiche. Nel Centro notifiche le azioni in sospeso vengono approvate (o rifiutate) e le azioni completate possono essere annullate, se necessario.

Questo articolo offre una panoramica di AIR e include collegamenti a passaggi successivi e risorse aggiuntive.

Suggerimento

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Avvio dell'indagine automatizzata

Un'indagine automatizzata può iniziare quando viene attivato un avviso o quando un operatore di sicurezza avvia l'indagine.

Situazione Effetto
Viene attivato un avviso In generale, viene avviata un'indagine automatizzata quando viene attivato un avviso e viene creato un evento imprevisto . Si supponga, ad esempio, che un file dannoso si trovino in un dispositivo. Quando viene rilevato il file, viene attivato un avviso e viene creato un evento imprevisto. Nel dispositivo inizia un processo di indagine automatizzato. Poiché vengono generati altri avvisi a causa dello stesso file in altri dispositivi, vengono aggiunti all'evento imprevisto associato e all'indagine automatizzata.
Un'indagine viene avviata manualmente Un'indagine automatizzata può essere avviata manualmente dal team delle operazioni di sicurezza. Si supponga, ad esempio, che un operatore di sicurezza stia esaminando un elenco di dispositivi e noti che un dispositivo ha un livello di rischio elevato. L'operatore di sicurezza può selezionare il dispositivo nell'elenco per aprire il riquadro a comparsa e quindi selezionare Avvia indagine automatizzata.

Come un'indagine automatizzata espande l'ambito

Mentre un'indagine è in esecuzione, tutti gli altri avvisi generati dal dispositivo vengono aggiunti a un'indagine automatizzata in corso fino al completamento dell'indagine. Inoltre, se la stessa minaccia viene rilevata in altri dispositivi, tali dispositivi vengono aggiunti all'indagine.

Se un'entità incriminata viene visualizzata in un altro dispositivo, il processo di indagine automatizzato espande l'ambito per includere tale dispositivo e viene avviato un playbook di sicurezza generale nel dispositivo. Se durante questo processo di espansione vengono trovati 10 o più dispositivi dalla stessa entità, l'azione di espansione richiede un'approvazione ed è visibile nella scheda Azioni in sospeso .

Come vengono risolte le minacce

Quando vengono attivati avvisi e viene eseguita un'indagine automatizzata, viene generato un verdetto per ogni elemento di prova indagato. I verdetti possono essere:

  • Dannoso;
  • Sospetto; O
  • Nessuna minaccia trovata.

Quando vengono raggiunti i verdetti, le indagini automatizzate possono comportare una o più azioni correttive. Esempi di azioni di correzione includono l'invio di un file in quarantena, l'arresto di un servizio, la rimozione di un'attività pianificata e altro ancora. Per altre informazioni, vedere Azioni di correzione.

A seconda del livello di automazione impostato per l'organizzazione, nonché di altre impostazioni di sicurezza, le azioni di correzione possono verificarsi automaticamente o solo dopo l'approvazione da parte del team delle operazioni di sicurezza. Altre impostazioni di sicurezza che possono influire sulla correzione automatica includono la protezione da applicazioni potenzialmente indesiderate.Additional security settings that can affect automatic remediation include protection from potentially unwanted applications (PUA).

Tutte le azioni di correzione, in sospeso o completate, vengono rilevate nel Centro notifiche. Se necessario, il team delle operazioni di sicurezza può annullare un'azione di correzione. Per altre informazioni, vedere Esaminare e approvare le azioni correttive a seguito di un'indagine automatizzata.

Suggerimento

Vedere la nuova pagina di indagine unificata nel portale di Microsoft 365 Defender. Per altre informazioni, vedere Pagina Di indagine unificata.

Requisiti per AIR

La sottoscrizione deve includere Defender per endpoint o Defender per le aziende.

Nota

L'analisi e la risposta automatizzate richiedono Antivirus Microsoft Defender per l'esecuzione in modalità passiva o attiva. Se Antivirus Microsoft Defender è disabilitato o disinstallato, l'analisi e la risposta automatizzate non funzioneranno correttamente.

Attualmente AIR supporta solo le versioni del sistema operativo seguenti:

  • Windows Server 2012 R2 (anteprima)
  • Windows Server 2016 (anteprima)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, versione 1709 (build del sistema operativo 16299.1085 con KB4493441) o versione successiva
  • Windows 10 versione 1803 (build del sistema operativo 17134.704 con KB4493464) o versione successiva
  • Windows 10 versione 1803 o successiva
  • Windows 11

Passaggi successivi

Vedere anche