Configurare le funzionalità di analisi e risposta automatizzate in Microsoft Defender XDR

Articolo
04/26/2024

Microsoft Defender XDR include potenti funzionalità automatizzate di analisi e risposta che consentono al team di operazioni di sicurezza di risparmiare molto tempo e fatica. Con la correzione automatica, queste funzionalità simulano i passaggi che un analista della sicurezza potrebbe intraprendere per analizzare e rispondere alle minacce, solo più velocemente e con una maggiore capacità di scalabilità.

Questo articolo descrive come configurare l'analisi e la risposta automatizzate in Microsoft Defender XDR con la procedura seguente:

Esaminare i prerequisiti.
Esaminare o modificare il livello di automazione per i gruppi di dispositivi.
Esaminare i criteri di sicurezza e avviso in Office 365.

Dopo aver configurato tutto, è quindi possibile visualizzare e gestire le azioni di correzione nel Centro notifiche. Se necessario, è possibile apportare modifiche alle impostazioni di indagine automatizzate.

Prerequisiti per l'analisi automatizzata e la risposta in Microsoft Defender XDR

Requisito	Dettagli
Requisiti dell'abbonamento	Una di queste sottoscrizioni: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security Microsoft 365 A3 con il componente aggiuntivo sicurezza Microsoft 365 A5 Office 365 E5 più Enterprise Mobility + Security E5 più Windows E5 Vedere Microsoft Defender XDR requisiti di licenza.
Requisiti di rete	Microsoft Defender per identità abilitata Microsoft Defender for Cloud Apps configurata integrazione Microsoft Defender per identità
Requisiti dei dispositivi Windows	Windows 11 Windows 10, versione 1709 o successiva installata (vedere informazioni sulla versione di Windows) Sono configurati i servizi di protezione dalle minacce seguenti: Microsoft Defender per endpoint Antivirus Microsoft Defender
Protezione del contenuto della posta elettronica e dei file di Office	Microsoft Defender per Office 365 è configurato Le funzionalità di analisi e correzione automatizzate in Defender per endpoint sono configurate (necessarie per le azioni di risposta manuale, ad esempio l'eliminazione di messaggi di posta elettronica nei dispositivi)
Autorizzazioni	Per configurare le funzionalità di analisi e risposta automatizzate, è necessario disporre di uno dei ruoli seguenti assegnati in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com): Amministratore globale Amministratore della sicurezza Per usare le funzionalità di analisi e risposta automatizzate, ad esempio esaminando, approvando o rifiutando le azioni in sospeso, vedere Autorizzazioni necessarie per le attività del Centro notifiche.

Esaminare o modificare il livello di automazione per i gruppi di dispositivi

L'esecuzione di indagini automatizzate e l'esecuzione di azioni correttive automaticamente o solo dopo l'approvazione dei dispositivi dipendono da determinate impostazioni, ad esempio i criteri del gruppo di dispositivi dell'organizzazione. Esaminare il livello di automazione configurato per i criteri del gruppo di dispositivi. Per eseguire la procedura seguente, è necessario essere un amministratore globale o un amministratore della sicurezza:

Passare al portale di Microsoft Defender all'indirizzo https://security.microsoft.com e accedere.
Passare a Impostazioni>EndpointGruppi di> dispositivi in Autorizzazioni.
Esaminare i criteri del gruppo di dispositivi. In particolare, esaminare la colonna Livello di automazione . È consigliabile usare Full: correggere automaticamente le minacce. Potrebbe essere necessario creare o modificare i gruppi di dispositivi per ottenere il livello di automazione desiderato. Per ottenere assistenza con questa attività, vedere gli articoli seguenti:
- Come vengono risolte le minacce
- Creazione e gestione di gruppi di dispositivi

Esaminare i criteri di sicurezza e avviso in Office 365

Microsoft fornisce criteri di avviso predefiniti che consentono di identificare determinati rischi. Questi rischi includono l'uso improprio delle autorizzazioni di amministratore di Exchange, l'attività di malware, potenziali minacce esterne e interne e i rischi di gestione del ciclo di vita dei dati. Alcuni avvisi possono attivare l'analisi automatizzata e la risposta in Office 365. Verificare che le funzionalità di Defender per Office 365 siano configurate correttamente.

Anche se alcuni avvisi e criteri di sicurezza possono attivare indagini automatizzate, non vengono eseguite automaticamente azioni correttive per la posta elettronica e il contenuto. Al contrario, tutte le azioni di correzione per i contenuti di posta elettronica e posta elettronica attendono l'approvazione del team delle operazioni di sicurezza nel Centro notifiche.

Le impostazioni di sicurezza in Exchange Online Protection (EOP) e Defender per Office 365 consentono di proteggere la posta elettronica e il contenuto. È consigliabile usare i criteri di sicurezza predefiniti Standard e Strict per assegnare la protezione agli utenti.

Se si usano criteri personalizzati, usare l'analizzatore di configurazione per confrontare le impostazioni dei criteri con le impostazioni dei criteri di sicurezza predefiniti Standard e Strict. Per un elenco dettagliato di tutte le impostazioni dei criteri, vedere le tabelle in Impostazioni consigliate per EOP e sicurezza Microsoft Defender per Office 365.

È possibile esaminare i criteri di avviso nel portale di Defender in https://security.microsoft.com>Criteri & regole>Criteri di avviso o direttamente in https://security.microsoft.com/alertpoliciesv2. Nella categoria Gestione minacce sono inclusi diversi criteri di avviso predefiniti. Alcuni criteri di avviso nella categoria Gestione minacce possono attivare l'analisi e la risposta automatizzate. Per altre informazioni, vedere Criteri di avviso per la gestione delle minacce.

È necessario apportare modifiche alle impostazioni di indagine automatizzate?

È possibile scegliere tra diverse opzioni per modificare le impostazioni per le funzionalità automatizzate di analisi e risposta. Nella tabella seguente sono elencate alcune opzioni:

Per	Seguire questa procedura
Specificare i livelli di automazione per gruppi di dispositivi	Configurare uno o più gruppi di dispositivi. Vedere Create e gestire i gruppi di dispositivi. Nel portale di Microsoft Defender passare a Ruoli endpoint autorizzazioni>& gruppi Gruppi>di dispositivi. Selezionare un gruppo di dispositivi ed esaminarne l'impostazione a livello di automazione . (È consigliabile usare Full - Correggere automaticamente le minacce). Vedere Livelli di automazione nelle funzionalità di analisi e correzione automatizzate. Ripetere i passaggi 2 e 3 in base alle esigenze per tutti i gruppi di dispositivi.

Per

Seguire questa procedura

Specificare i livelli di automazione per gruppi di dispositivi

Configurare uno o più gruppi di dispositivi. Vedere Create e gestire i gruppi di dispositivi.
Nel portale di Microsoft Defender passare a Ruoli endpoint autorizzazioni>& gruppi Gruppi>di dispositivi.
Selezionare un gruppo di dispositivi ed esaminarne l'impostazione a livello di automazione . (È consigliabile usare Full - Correggere automaticamente le minacce). Vedere Livelli di automazione nelle funzionalità di analisi e correzione automatizzate.
Ripetere i passaggi 2 e 3 in base alle esigenze per tutti i gruppi di dispositivi.

Passaggi successivi

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.