Configurare le funzionalità di analisi e risposta automatizzate in Microsoft 365 DefenderConfigure automated investigation and response capabilities in Microsoft 365 Defender

Importante

Il nuovo Centro sicurezza Microsoft 365 è ora disponibile.The improved Microsoft 365 security center is now available. Questa nuova esperienza consente di accedere a Defender per endpoint, Defender per Office 365, Microsoft 365 Defender e altre soluzioni nel Centro sicurezza Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Informazioni sulle novità.Learn what's new.

Microsoft 365 Defender include potenti funzionalità di analisi e risposta automatizzate che consentono di risparmiare tempo e fatica al team delle operazioni di sicurezza.Microsoft 365 Defender includes powerful automated investigation and response capabilities that can save your security operations team much time and effort. Con la correzioneautomatica, queste funzionalità simulano i passaggi che un analista della sicurezza potrebbe eseguire per analizzare e rispondere alle minacce, solo più velocemente e con maggiore capacità di ridimensionamento.With self-healing, these capabilities mimic the steps a security analyst would take to investigate and respond to threats, only faster, and with more ability to scale.

In questo articolo viene descritto come configurare l'indagine e la risposta automatizzate in Microsoft 365 Defender con questi passaggi:This article describes how to configure automated investigation and response in Microsoft 365 Defender with these steps:

  1. Esaminare i prerequisiti.Review the prerequisites.
  2. Rivedere o modificare il livello di automazione per i gruppi di dispositivi.Review or change the automation level for device groups.
  3. Esaminare i criteri di sicurezza e avviso in Office 365.Review your security and alert policies in Office 365.
  4. Assicurati che Microsoft 365 Defender sia attivato.Make sure Microsoft 365 Defender is turned on.

Dopo aver configurato tutto, è possibile visualizzare e gestire le azioni di correzione nel centro notifiche.Then, after you're all set up, you can view and manage remediation actions in the Action center.

Prerequisiti per l'indagine e la risposta automatizzate in Microsoft 365 DefenderPrerequisites for automated investigation and response in Microsoft 365 Defender



RequisitoRequirement DettagliDetails
Requisiti dell'abbonamentoSubscription requirements Una di queste sottoscrizioni:One of these subscriptions:
  • Microsoft 365 E5Microsoft 365 E5
  • Microsoft 365 A5Microsoft 365 A5
  • Microsoft 365 E3 con il Microsoft 365 E5 Security aggiuntivoMicrosoft 365 E3 with the Microsoft 365 E5 Security add-on
  • Microsoft 365 A3 con il Microsoft 365 A5 SecurityMicrosoft 365 A3 with the Microsoft 365 A5 Security add-on
  • Office 365 E5 più Enterprise Mobility + Security E5 più Windows E5Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Vedere Microsoft 365 Defender di licenza .See Microsoft 365 Defender licensing requirements.

Requisiti di reteNetwork requirements
Requisiti di computer WindowsWindows machine requirements
Protezione del contenuto della posta elettronica e dei Office di posta elettronicaProtection for email content and Office files Microsoft Defender per Office 365 configuratoMicrosoft Defender for Office 365 configured
AutorizzazioniPermissions Per configurare le funzionalità di analisi e risposta automatizzate, è necessario disporre del ruolo amministratore globale o amministratore della sicurezza assegnato in Azure Active Directory ( ) o nella interfaccia di amministrazione di Microsoft 365 https://portal.azure.com ( https://admin.microsoft.com ).To configure automated investigation and response capabilities, you must have the Global Administrator or Security Administrator role assigned in either Azure Active Directory (https://portal.azure.com) or in the Microsoft 365 admin center (https://admin.microsoft.com).

Per ottenere le autorizzazioni necessarie per utilizzare le funzionalità di analisi e risposta automatizzate, ad esempio la revisione, l'approvazione o il rifiuto di azioni in sospeso, vedere Autorizzazioni necessarie per le attività del centro notifiche.To get the permissions needed to work with automated investigation and response capabilities, such as reviewing, approving, or rejecting pending actions, see Required permissions for Action center tasks.

Rivedere o modificare il livello di automazione per i gruppi di dispositiviReview or change the automation level for device groups

L'esecuzione di indagini automatizzate e l'esecuzione automatica o solo dopo l'approvazione dei dispositivi dipendono da determinate impostazioni, ad esempio i criteri di gruppo dei dispositivi dell'organizzazione.Whether automated investigations run, and whether remediation actions are taken automatically or only upon approval for your devices depend on certain settings, such as your organization's device group policies. Esaminare il livello di automazione configurato per i criteri di gruppo del dispositivo.Review the configured automation level for your device group policies.

  1. Vai al Microsoft Defender Security Center ( https://securitycenter.windows.com ) e accedi.Go to the Microsoft Defender Security Center (https://securitycenter.windows.com) and sign in.

  2. Vai a Impostazioni > autorizzazioni Gruppi di > dispositivi.Go to Settings > Permissions > Device groups.

  3. Esaminare i criteri di gruppo dei dispositivi.Review your device group policies. In particolare, esaminare la colonna Livello di correzione.In particular, look at the Remediation level column. Ti consigliamo di usare Full - correggere automaticamente le minacce.We recommend using Full - remediate threats automatically. Potrebbe essere necessario creare o modificare i gruppi di dispositivi per ottenere il livello di automazione desiderato.You might need to create or edit your device groups to get the level of automation you want. Per informazioni su questa attività, vedere gli articoli seguenti:To get help with this task, see the following articles:

Esaminare i criteri di sicurezza e avviso in Office 365Review your security and alert policies in Office 365

Microsoft fornisce criteri di avviso predefiniti che consentono di identificare determinati rischi.Microsoft provides built-in alert policies that help identify certain risks. Questi rischi includono l Exchange abuso delle autorizzazioni di amministratore, attività di malware, potenziali minacce esterne e interne e rischi di governance delle informazioni.These risks include Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. Alcuni avvisi possono attivare indagini e risposte automatizzate in Office 365.Some alerts can trigger automated investigation and response in Office 365. Assicurati che le funzionalità di Defender for Office 365 siano configurate correttamente.Make sure your Defender for Office 365 features are configured correctly.

Anche se determinati avvisi e criteri di sicurezza possono attivare indagini automatizzate, non vengono eseguite automaticamente azioni di correzione per la posta elettronica e il contenuto.Although certain alerts and security policies can trigger automated investigations, no remediation actions are taken automatically for email and content. Al contrario, tutte le azioni di correzione per la posta elettronica e il contenuto di posta elettronica attendono l'approvazione da parte del team delle operazioni di sicurezza nel centro notifiche.Instead, all remediation actions for email and email content await approval by your security operations team in the Action center.

Le impostazioni di sicurezza in Office 365 proteggere la posta elettronica e il contenuto.Security settings in Office 365 help protect email and content. Per visualizzare o modificare queste impostazioni, seguire le indicazioni in Protezione dalle minacce.To view or change these settings, follow the guidance in Protect against threats.

  1. Nel portale Microsoft 365 Defender ( https://security.microsoft.com ), passare a Criteri & Regole Criteri di > minaccia.In the Microsoft 365 Defender portal (https://security.microsoft.com), go to Policies & Rules > Threat policies.

  2. Verificare che siano configurati tutti i criteri seguenti.Make sure all of the following policies are configured. Per ottenere assistenza e suggerimenti, vedere Protezione dalle minacce.To get help and recommendations, see Protect against threats.

  3. Assicurati che Microsoft Defender per Office 365 per SharePoint, OneDrive e Microsoft Teams sia attivato.Make sure Microsoft Defender for Office 365 for SharePoint, OneDrive, and Microsoft Teams is turned on.

  4. Assicurati che l'eliminazione automatica di zero ore per la protezione della posta elettronica sia in vigore.Make sure zero-hour auto purge for email protection is in effect.

  5. Questo passaggio è facoltativo. Esaminare i Office 365 di avviso nella Centro conformità Microsoft 365 ( https://compliance.microsoft.com/compliancepolicies ).(This step is optional.) Review your Office 365 alert policies in the Microsoft 365 compliance center (https://compliance.microsoft.com/compliancepolicies). Diversi criteri di avviso predefiniti sono nella categoria Gestione delle minacce.Several default alert policies are in the Threat management category. Alcuni di questi avvisi possono attivare un'indagine e una risposta automatizzate.Some of these alerts can trigger automated investigation and response. Per ulteriori informazioni, vedere Criteri di avviso predefiniti.To learn more, see Default alert policies.

Assicurarsi che Microsoft 365 Defender sia attivatoMake sure Microsoft 365 Defender is turned on

MTP su

  1. Accedere al portale di Microsoft 365 Defender ( https://security.microsoft.com ).Sign in to the Microsoft 365 Defender portal (https://security.microsoft.com).

  2. Nel riquadro di spostamento cerca Eventi imprevisti & avvisi, Ricerca e Centro notifiche, come mostrato nell'immagine precedente. In the navigation pane, look for Incidents & Alerts, Hunting, and Action center as shown in the preceding image.

  3. Nel riquadro di spostamento scegliere Impostazioni > Microsoft 365 Defender.In the navigation pane, choose Settings > Microsoft 365 Defender. Verificare che Microsoft 365 Defender sia attivato.Confirm that Microsoft 365 Defender is turned on.

Suggerimento

Hai bisogno di assistenza?Need help? Vedi Attivare Microsoft 365 Defender.See Turn on Microsoft 365 Defender.

Passaggi successiviNext steps