Eseguire un'azione sui risultati delle query di ricerca avanzate

Si applica a:

• Microsoft Defender XDR

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

È possibile contenere rapidamente minacce o affrontare gli asset compromessi disponibili nella ricerca avanzata usando opzioni di azione avanzate e complete. Con queste opzioni, è possibile:

• Eseguire varie azioni nei dispositivi
• File di quarantena

Autorizzazioni necessarie

Per intervenire sui dispositivi tramite la ricerca avanzata, è necessario un ruolo in Microsoft Defender per endpoint con le autorizzazioni per inviare azioni di correzione nei dispositivi. Se non è possibile intervenire, contattare un amministratore globale per ottenere l'autorizzazione seguente:

Azioni di correzione > attive Gestione delle minacce e delle vulnerabilità - Gestione delle correzioni

Per intervenire sui messaggi di posta elettronica tramite la ricerca avanzata, è necessario un ruolo in Microsoft Defender per Office 365 per cercare ed eliminare i messaggi di posta elettronica.

Eseguire varie azioni nei dispositivi

È possibile eseguire le azioni seguenti nei dispositivi identificati dalla colonna nei risultati della DeviceId query:

• Isolare i dispositivi interessati per contenere un'infezione o impedire che gli attacchi si spostino lateralmente
• Raccogliere il pacchetto di indagine per ottenere altre informazioni forensi
• Eseguire un'analisi antivirus per trovare e rimuovere le minacce usando gli aggiornamenti più recenti di Security Intelligence
• Avviare un'indagine automatizzata per controllare e correggere le minacce nel dispositivo e possibilmente in altri dispositivi interessati
• Limitare l'esecuzione dell'app solo ai file eseguibili firmati da Microsoft, impedendo la successiva attività di minaccia tramite malware o altri eseguibili non attendibili

Per altre informazioni su come vengono eseguite queste azioni di risposta tramite Microsoft Defender per endpoint, vedere azioni di risposta nei dispositivi.

File di quarantena

È possibile distribuire l'azione di quarantena nei file in modo che vengano automaticamente messi in quarantena quando vengono rilevati. Quando si seleziona questa azione, è possibile scegliere tra le colonne seguenti per identificare i file nei risultati della query da mettere in quarantena:

• SHA1: nelle tabelle di ricerca più avanzate, questa colonna fa riferimento all'SHA-1 del file interessato dall'azione registrata. Ad esempio, se un file è stato copiato, questo file interessato sarebbe il file copiato.
• InitiatingProcessSHA1: nelle tabelle di ricerca più avanzate, questa colonna fa riferimento al file responsabile dell'avvio dell'azione registrata. Ad esempio, se è stato avviato un processo figlio, questo file dell'iniziatore fa parte del processo padre.
• SHA256: questa colonna è l'equivalente SHA-256 del file identificato dalla SHA1 colonna.
• InitiatingProcessSHA256: questa colonna è l'equivalente SHA-256 del file identificato dalla InitiatingProcessSHA1 colonna.

Per altre informazioni su come vengono eseguite le azioni di quarantena e su come ripristinare i file, leggere le azioni di risposta sui file.

Nota

Per individuare i file e metterli in quarantena, i risultati della query devono includere DeviceId anche valori come identificatori di dispositivo.

Per eseguire una delle azioni descritte, selezionare uno o più record nei risultati della query e quindi selezionare Esegui azioni. Una procedura guidata guiderà l'utente nel processo di selezione e invio delle azioni preferite.

Eseguire varie azioni sui messaggi di posta elettronica

Oltre ai passaggi di correzione incentrati sul dispositivo, è anche possibile eseguire alcune azioni sui messaggi di posta elettronica dai risultati della query. Selezionare i record su cui si vuole eseguire l'azione, selezionare Esegui azioni, quindi in Scegli azioni selezionare la scelta tra le opzioni seguenti:

• Move to mailbox folder - Selezionare questa opzione per spostare i messaggi di posta elettronica nella cartella Posta indesiderata, Posta in arrivo o Posta eliminata

  

• Delete email - Selezionare questa opzione per spostare i messaggi di posta elettronica nella cartella Posta eliminata (eliminazione temporanea) o eliminarli definitivamente (eliminazione definitiva)

  

È anche possibile fornire un nome di correzione e una breve descrizione dell'azione eseguita per tenerne facilmente traccia nella cronologia del centro notifiche. È anche possibile usare l'ID approvazione per filtrare queste azioni nel centro notifiche. Questo ID viene fornito alla fine della procedura guidata:

Queste azioni di posta elettronica sono applicabili anche ai rilevamenti personalizzati .

Esaminare le azioni eseguite

Ogni azione viene registrata singolarmente nel centro notifiche inCronologiacentro> notifiche (security.microsoft.com/action-center/history). Passare al centro notifiche per controllare lo stato di ogni azione.

Nota

Alcune tabelle di questo articolo potrebbero non essere disponibili in Microsoft Defender per endpoint. Attivare Microsoft Defender XDR per cercare le minacce usando più origini dati. È possibile spostare i flussi di lavoro di ricerca avanzati da Microsoft Defender per endpoint a Microsoft Defender XDR seguendo la procedura descritta in Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint.

Argomenti correlati

• Panoramica della rilevazione avanzata
• Capire il linguaggio delle query
• Usare i risultati delle query
• Comprendere lo schema
• Panoramica del Centro notifiche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.