Panoramica di rilevamento e reazione dagli endpoint

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Le funzionalità di risposta e rilevamento degli endpoint di Defender for Endpoint offrono rilevamenti di attacchi avanzati quasi in tempo reale e utilizzabili. I responsabili della sicurezza possono assegnare priorità agli avvisi in modo efficace, ottenere una visibilità completa su una violazione e adottare azioni di risposta per correggere le minacce.

Quando viene rilevata una minaccia, il sistema genera un avviso e un analista avvia le indagini. Gli avvisi che presentano tecniche di attacco simili o che possono essere attribuiti alla stessa persona vengono aggregati in un'entità chiamata incidente. L'aggregazione di avvisi consente di analizzare e rispondere in modo completo alle minacce.

Ispirato dalla mentalità "presupporre violazione", Defender for Endpoint raccoglie continuamente la telemetria cyber comportamentale. Tali dati includono le informazioni sui processi, le attività di rete, l’analisi approfondita del kernel e della gestione della memoria, le attività di accesso degli utenti, le modifiche apportate al registro di sistema e altro ancora. Queste informazioni vengono archiviate per sei mesi, consentendo ai responsabili della sicurezza di identificare l'inizio di un attacco indietro nel tempo. In questo modo è possibile eseguire un’analisi da varie angolazioni e iniziare un'indagine attraverso più vettori.

Le funzionalità di risposta consentono di correggere tempestivamente le minacce agendo sulle entità interessate.