Azioni di correzione in Microsoft 365 DefenderRemediation actions in Microsoft 365 Defender

Importante

Il nuovo Centro sicurezza Microsoft 365 è ora disponibile.The improved Microsoft 365 security center is now available. Questa nuova esperienza consente di accedere a Defender per endpoint, Defender per Office 365, Microsoft 365 Defender e altre soluzioni nel Centro sicurezza Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Informazioni sulle novità.Learn what's new.

Si applica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Durante e dopo un'indagine automatizzata in Microsoft 365 Defender, le azioni di correzione vengono identificate per elementi dannosi o sospetti.During and after an automated investigation in Microsoft 365 Defender, remediation actions are identified for malicious or suspicious items. Alcuni tipi di azioni di correzione vengono eseguite nei dispositivi, definiti anche endpoint.Some kinds of remediation actions are taken on devices, also referred to as endpoints. Altre azioni di correzione vengono eseguite sul contenuto della posta elettronica.Other remediation actions are taken on email content. Le indagini automatizzate vengono completate dopo l'esecuzione, l'approvazione o il rifiuto di azioni correttive.Automated investigations complete after remediation actions are taken, approved, or rejected.

Importante

Il fatto che le azioni di correzione siano eseguite automaticamente o solo dopo l'approvazione dipende da determinate impostazioni, ad esempio il modo in cui i livelli di automazione.Whether remediation actions are taken automatically or only upon approval depends on certain settings, such as how automation levels. Per ulteriori informazioni, vedere gli articoli seguenti:To learn more, see the following articles:

Nella tabella seguente sono riepilogate le azioni di correzione attualmente supportate in Microsoft 365 Defender.The following table summarizes remediation actions that are currently supported in Microsoft 365 Defender.

Azioni di correzione del dispositivo (endpoint)Device (endpoint) remediation actions Azioni correttive della posta elettronicaEmail remediation actions
- Raccogliere il pacchetto di indagine- Collect investigation package
- Isolare il dispositivo (questa azione può essere annullata)- Isolate device (this action can be undone)
- Computer offboard- Offboard machine
- Esecuzione del codice di rilascio- Release code execution
- Rilascio dalla quarantena- Release from quarantine
- Esempio di richiesta- Request sample
- Limitare l'esecuzione del codice (questa azione può essere annullata)- Restrict code execution (this action can be undone)
- Eseguire l'analisi antivirus- Run antivirus scan
- Arrestare e mettere in quarantena- Stop and quarantine
- URL di blocco (ora del clic)- Block URL (time-of-click)
- Eliminazione recidiva dei messaggi di posta elettronica o dei cluster- Soft delete email messages or clusters
- Posta elettronica in quarantena- Quarantine email
- Mettere in quarantena un allegato di posta elettronica- Quarantine an email attachment
- Disattivare l'inoltro della posta esterna- Turn off external mail forwarding

Le azioni di correzione, in attesa di approvazione o già completate, possono essere visualizzate nel centro notifiche.Remediation actions, whether pending approval or already complete, can be viewed in the Action center.

Azioni correttive che seguono indagini automatizzateRemediation actions that follow automated investigations

Al termine di un'indagine automatizzata, viene raggiunto un verdetto per ogni prova coinvolta.When an automated investigation completes, a verdict is reached for every piece of evidence involved. A seconda del verdetto, vengono identificate le azioni correttive.Depending on the verdict, remediation actions are identified. In alcuni casi, le azioni correttive vengono eseguite automaticamente; in altri casi, invece, è necessario approvarle.In some cases, remediation actions are taken automatically; in other cases, remediation actions await approval. Tutto dipende dal modo in cui vengono configurate l'indagine e la risposta automatizzate.It all depends on how automated investigation and response is configured.

Nella tabella seguente sono elencati i possibili verdetti e i risultati:The following table lists possible verdicts and outcomes:

VerdettoVerdict Entità interessateAffected entities RisultatiOutcomes
DannosaMalicious Dispositivi (endpoint)Devices (endpoints) Le azioni di correzione vengono eseguite automaticamente (presupponendo che i gruppi di dispositivi dell'organizzazione siano impostati su Completo - correggere automaticamente le minacce)Remediation actions are taken automatically (assuming your organization's device groups are set to Full - remediate threats automatically)
DannosaMalicious Contenuto della posta elettronica (URL o allegati)Email content (URLs or attachments) Le azioni correttive consigliate sono in attesa di approvazioneRecommended remediation actions are pending approval
SospettaSuspicious Dispositivi o contenuto della posta elettronicaDevices or email content Le azioni correttive consigliate sono in attesa di approvazioneRecommended remediation actions are pending approval
Nessuna minaccia trovataNo threats found Dispositivi o contenuto della posta elettronicaDevices or email content Non sono necessarie azioni correttiveNo remediation actions are needed

Azioni correttive eseguite manualmenteRemediation actions that are taken manually

Oltre alle azioni di correzione che seguono indagini automatizzate, il team delle operazioni di sicurezza può eseguire alcune azioni di correzione manualmente.In addition to remediation actions that follow automated investigations, your security operations team can take certain remediation actions manually. Tra le caratteristiche vi sono le seguenti:These include the following:

  • Azione manuale del dispositivo, ad esempio isolamento del dispositivo o quarantena dei fileManual device action, such as device isolation or file quarantine
  • Azione manuale della posta elettronica, ad esempio l'eliminazione recidiva dei messaggi di posta elettronicaManual email action, such as soft-deleting email messages
  • Azione di ricerca avanzata su dispositivi o posta elettronicaAdvanced hunting action on devices or email
  • Azione di Explorer sul contenuto della posta elettronica, ad esempio lo spostamento della posta elettronica nella posta indesiderata, l'eliminazione recisa della posta elettronica o l'eliminazione permanente della posta elettronicaExplorer action on email content, such as moving email to junk, soft-deleting email, or hard-deleting email
  • Azione di risposta in tempo reale manuale, ad esempio l'eliminazione di un file, l'arresto di un processo e la rimozione di un'attività pianificataManual live response action, such as deleting a file, stopping a process, and removing a scheduled task
  • Azione di risposta in tempo reale con Le API di Microsoft Defender per endpoint,ad esempio isolare un dispositivo, eseguire un'analisi antivirus e ottenere informazioni su un fileLive response action with Microsoft Defender for Endpoint APIs, such as isolating a device, running an antivirus scan, and getting information about a file

Passaggi successiviNext steps