Rilevamento e reazione dagli endpoint (EDR) in modalità di blocco

Si applica a:

Piattaforme

  • Windows

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Che cos'è EDR in modalità blocco?

Il rilevamento e la risposta degli endpoint (EDR) in modalità blocco offrono una protezione aggiuntiva da artefatti dannosi quando Antivirus Microsoft Defender non è il prodotto antivirus primario ed è in esecuzione in modalità passiva. EDR in modalità blocco funziona dietro le quinte per correggere gli artefatti dannosi rilevati dalle funzionalità di EDR. Tali artefatti potrebbero essere stati persi dal prodotto antivirus primario non Microsoft. Per i dispositivi che eseguono Antivirus Microsoft Defender come antivirus primario, EDR in modalità blocco offre un ulteriore livello di difesa consentendo agli Antivirus Microsoft Defender di eseguire azioni automatiche nei rilevamenti di EDR comportamentali e post-violazione.

Importante

EDR in modalità blocco non fornisce tutta la protezione disponibile quando è abilitata Antivirus Microsoft Defender protezione in tempo reale. Tutte le funzionalità che dipendono da Antivirus Microsoft Defender come soluzione antivirus attiva non funzioneranno, inclusi gli esempi chiave seguenti:

È previsto che la soluzione antivirus non Microsoft fornisca queste funzionalità.

EDR in modalità blocco è integrato con & gestione delle vulnerabilità delle minacce. Il team di sicurezza dell'organizzazione riceverà un consiglio di sicurezza per attivare EDR in modalità blocco se non è già abilitato.

Raccomandazione di attivare EDR in modalità blocco

Suggerimento

Per ottenere la protezione migliore, assicurarsi di distribuire Microsoft Defender per endpoint baseline.

Guardare questo video per scoprire perché e come attivare rilevamento e reazione dagli endpoint (EDR) in modalità blocco, abilitare il blocco comportamentale e il contenimento in ogni fase, dalla pre-violazione alla post-violazione.

Cosa accade quando viene rilevato qualcosa?

Quando EDR in modalità blocco è attivato e viene rilevato un artefatto dannoso, Microsoft Defender per endpoint blocca e corregge tale artefatto. Il team delle operazioni di sicurezza visualizzerà lo stato di rilevamento come Bloccato o Impedito nel Centro notifiche, elencato come azioni completate.

L'immagine seguente mostra un'istanza di software indesiderato rilevato e bloccato tramite EDR in modalità blocco:

Il rilevamento tramite EDR in modalità blocco

Abilitare EDR in modalità blocco

Importante

A partire dalla versione 4.18.2202.X della piattaforma, è ora possibile impostare EDR in modalità blocco per indirizzare gruppi di dispositivi specifici usando Intune CSP. È possibile continuare a impostare EDR in modalità blocco a livello di tenant nel portale di Microsoft 365 Defender. EDR in modalità blocco è consigliabile principalmente per i dispositivi che eseguono Antivirus Microsoft Defender in modalità passiva (nel dispositivo è installata e attiva una soluzione antivirus non Microsoft).

Suggerimento

Assicurarsi che i requisiti siano soddisfatti prima di attivare EDR in modalità blocco.

Portale di sicurezza

  1. Passa al portale di Microsoft 365 Defender (https://security.microsoft.com/) e accedi.

  2. Scegliere Impostazioni > Funzionalità generali > avanzate degli > endpoint.

  3. Scorrere verso il basso e quindi attivare Abilita EDR in modalità blocco.

Intune

Per creare criteri personalizzati in Intune, vedere Distribuire OMA-URIs per definire come destinazione un provider di servizi di configurazione tramite Intune e un confronto con l'ambiente locale.

Per altre informazioni sul provider di servizi di configurazione defender usato per EDR in modalità blocco, vedere "Configurazione/Correzione passiva" in Defender CSP.

Requisiti per EDR in modalità blocco

Nella tabella seguente sono elencati i requisiti per EDR in modalità blocco:

Requisito Dettagli
Autorizzazioni È necessario avere il ruolo Amministratore globale o Amministratore della sicurezza assegnato in Azure Active Directory. Per altre informazioni, vedere Autorizzazioni di base.
Sistema operativo I dispositivi devono eseguire una delle versioni seguenti di Windows:
- Windows 11
- Windows 10 (tutte le versioni)
- Windows Server 2022
- Windows Server 2019
- Windows Server, versione 1803 o successiva
- Windows Server 2016 e Windows Server 2012 R2 (con la nuova soluzione client unificata)[1]
Microsoft Defender per endpoint È necessario eseguire l'onboarding dei dispositivi in Defender per endpoint. Fare inoltre riferimento ai seguenti articoli:
- Requisiti minimi per Microsoft Defender per endpoint
- Eseguire l'onboarding dei dispositivi e configurare le funzionalità di Microsoft Defender per endpoint
- Eseguire l'onboarding dei server Windows nel servizio Defender per endpoint
- Nuove funzionalità Windows Server 2012 R2 e 2016 nella soluzione unificata moderna (anteprima)
Antivirus Microsoft Defender I dispositivi devono avere Antivirus Microsoft Defender installati ed in esecuzione in modalità attiva o passiva. Verificare che Antivirus Microsoft Defender sia in modalità attiva o passiva.
Protezione fornita dal cloud Antivirus Microsoft Defender deve essere configurato in modo che sia abilitata la protezione fornita dal cloud.
piattaforma Antivirus Microsoft Defender I dispositivi devono essere aggiornati. Per confermare, usando PowerShell, eseguire il cmdlet Get-MpComputerStatus come amministratore. Nella riga AMProductVersion dovrebbe essere visualizzata la versione 4.18.2001.10 o successiva.

Per ulteriori informazioni, vedere Gestire gli aggiornamenti in Antivirus Microsoft Defender e applicare i valori di riferimento.

motore Antivirus Microsoft Defender I dispositivi devono essere aggiornati. Per confermare, usando PowerShell, eseguire il cmdlet Get-MpComputerStatus come amministratore. Nella riga AMEngineVersion dovrebbe essere visualizzata la versione 1.1.16700.2 o successiva.

Per ulteriori informazioni, vedere Gestire gli aggiornamenti in Antivirus Microsoft Defender e applicare i valori di riferimento.

(1) Vedere Se EDR in modalità blocco è supportato in Windows Server 2016 e Windows Server 2012 R2?

Importante

Per ottenere il miglior valore di protezione, assicurarsi che la soluzione antivirus sia configurata per ricevere aggiornamenti regolari e funzionalità essenziali e che le esclusioni siano configurate. EDR in modalità blocco rispetta le esclusioni definite per Antivirus Microsoft Defender, ma non gli indicatori definiti per Microsoft Defender per endpoint.

Domande frequenti

È possibile specificare esclusioni per EDR in modalità blocco?

Se si ottiene un falso positivo, è possibile inviare il file per l'analisi nel sito di invio Intelligence di sicurezza Microsoft.

È anche possibile definire un'esclusione per Antivirus Microsoft Defender. Vedere Configurare e convalidare le esclusioni per le analisi Antivirus Microsoft Defender.

È necessario attivare EDR in modalità blocco se Antivirus Microsoft Defender è in esecuzione nei dispositivi?

Lo scopo principale di EDR in modalità blocco è quello di correggere i rilevamenti post-violazione che sono stati persi da un prodotto antivirus non Microsoft. L'abilitazione dei EDR in modalità blocco offre un vantaggio minimo quando Antivirus Microsoft Defender è in modalità attiva, perché la protezione in tempo reale dovrebbe intercettare e correggere prima i rilevamenti. È consigliabile abilitare EDR in modalità blocco negli endpoint in cui Microsoft Defender per Antivirus è in esecuzione in modalità passiva. EDR rilevamenti possono essere corretti automaticamente tramite la protezione pua o tramite analisi automatizzata & funzionalità di correzione in modalità blocco.

La EDR in modalità blocco influirà sulla protezione antivirus di un utente?

EDR in modalità blocco non influisce sulla protezione antivirus di terze parti in esecuzione nei dispositivi degli utenti. EDR in modalità blocco funziona se la soluzione antivirus primaria manca qualcosa o se è presente un rilevamento post-violazione. EDR in modalità blocco funziona come Antivirus Microsoft Defender in modalità passiva, ad eccezione del fatto che EDR in modalità blocco blocca e corregge anche gli artefatti o i comportamenti dannosi rilevati.

Perché è necessario mantenere Antivirus Microsoft Defender aggiornato?

Poiché Antivirus Microsoft Defender rileva e corregge gli elementi dannosi, è importante mantenerli aggiornati. Per rendere efficace EDR in modalità blocco, usa i modelli di apprendimento dei dispositivi più recenti, i rilevamenti comportamentali e l'euristica. Lo stack di funzionalità di Defender per endpoint funziona in modo integrato. Per ottenere il miglior valore di protezione, è consigliabile mantenere Antivirus Microsoft Defender aggiornato. Vedere Gestire gli aggiornamenti Antivirus Microsoft Defender e applicare le baseline.

Perché è necessaria la protezione cloud (MAPS)?

La protezione cloud è necessaria per attivare la funzionalità nel dispositivo. La protezione cloud consente a Defender for Endpoint di offrire la protezione più recente e massima in base all'ampiezza e alla profondità dell'intelligence di sicurezza, insieme ai modelli di apprendimento comportamentale e dei dispositivi.

Qual è la differenza tra la modalità attiva e quella passiva?

Per gli endpoint che eseguono Windows 10, Windows 11, Windows Server, versione 1803 o successiva, Windows Server 2019 o Windows Server 2022 quando Antivirus Microsoft Defender è in modalità attiva, viene usato come antivirus primario nel dispositivo. Quando è in esecuzione in modalità passiva, Antivirus Microsoft Defender non è il prodotto antivirus principale. In questo caso, le minacce non vengono corrette da Antivirus Microsoft Defender in tempo reale.

Nota

Antivirus Microsoft Defender può essere eseguito in modalità passiva solo quando il dispositivo viene caricato in Microsoft Defender per endpoint.

Per altre informazioni, vedere compatibilità Antivirus Microsoft Defender.

Ricerca per categorie verificare che Antivirus Microsoft Defender sia in modalità attiva o passiva?

Per verificare se Antivirus Microsoft Defender è in esecuzione in modalità attiva o passiva, è possibile usare il prompt dei comandi o PowerShell in un dispositivo che esegue Windows.

Metodo Procedura
PowerShell 1. Selezionare il menu Start, iniziare a digitare PowerShelle quindi aprire Windows PowerShell nei risultati.

2. Digitare Get-MpComputerStatus.

3. Nell'elenco dei risultati, nella riga AMRunningMode cercare uno dei valori seguenti:
- Normal
- Passive Mode

Per altre informazioni, vedere Get-MpComputerStatus.
Prompt dei comandi 1. Selezionare il menu Start, iniziare a digitare Command Prompte quindi aprire Windows prompt dei comandi nei risultati.

2. Digitare sc query windefend.

3. Nell'elenco dei risultati, nella riga STATE , verificare che il servizio sia in esecuzione.

Ricerca per categorie verificare che EDR in modalità blocco sia attivato con Antivirus Microsoft Defender in modalità passiva?

È possibile usare PowerShell per verificare che EDR in modalità blocco sia attivato con Antivirus Microsoft Defender in esecuzione in modalità passiva.

  1. Selezionare il menu Start, iniziare a digitare PowerShelle quindi aprire Windows PowerShell nei risultati.

  2. Tipo Get-MPComputerStatus|select AMRunningMode.

  3. Verificare che venga visualizzato il risultato , EDR Block Mode.

    Suggerimento

    Se Antivirus Microsoft Defender è in modalità attiva, verrà visualizzato Normal invece di EDR Block Mode. Per altre informazioni, vedere Get-MpComputerStatus.

I EDR in modalità blocco sono supportati in Windows Server 2016 e Windows Server 2012 R2?

Se Antivirus Microsoft Defender è in esecuzione in modalità attiva o passiva, EDR in modalità blocco è supportato nelle versioni seguenti di Windows:

  • Windows 11
  • Windows 10 (tutte le versioni)
  • Windows Server, versione 1803 o successiva
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016 e Windows Server 2012 R2 (con la nuova soluzione client unificata)

Con la nuova soluzione client unificata per Windows Server 2016 e Windows Server 2012 R2, è possibile eseguire EDR in modalità blocco in modalità passiva o attiva.

Nota

Windows Server 2016 e Windows Server 2012 R2 devono essere caricati usando le istruzioni in Eseguire l'onboarding dei server Windows affinché questa funzionalità funzioni.

Quanto tempo occorre per disabilitare EDR in modalità blocco?

Se si sceglie di disabilitare EDR in modalità blocco, possono essere necessari fino a 30 minuti prima che il sistema disabiliti questa funzionalità.

Vedere anche