Monitoraggio e Reporting dei dispositivi nel centro sicurezza Microsoft 365Device monitoring and reporting in the Microsoft 365 security center

Mantenere i dispositivi sicuri, aggiornati e individuare potenziali minacce nel centro sicurezza Microsoft 365.Keep your devices secure, up-to-date, and spot potential threats in the Microsoft 365 security center.

Visualizzare gli avvisi per i dispositiviView device alerts

Ottenere avvisi aggiornati sull'attività di violazione e altre minacce sui dispositivi da Microsoft Defender ATP (disponibile con una licenza E5).Get up-to-date alerts about breach activity and other threats on your devices from Microsoft Defender ATP (available with an E5 license). Microsoft 365 Security Center monitora efficacemente gli avvisi a un livello elevato utilizzando il flusso di lavoro preferito.Microsoft 365 security center effectively monitors these alerts at a high level using your preferred workflow.

Monitorare gli avvisi ad impatto elevatoMonitor high-impact alerts

Ogni avviso del trifosfato di adenosina di Microsoft Defender ha un livello di gravità corrispondente (alto, medio, basso o informativo).Each Microsoft Defender ATP alert has a corresponding severity (high, medium, low, or informational). Indica un impatto potenziale per la rete se non è presente.It indicates potential impact to your network if left unattended.

Utilizzare la scheda gravità avviso dispositivo per concentrarsi in modo specifico sugli avvisi più gravi e potrebbe richiedere una risposta immediata.Use the Device alert severity card to focus specifically on alerts that are more severe and might require immediate response. Da questa scheda, è possibile visualizzare altre informazioni sul portale Microsoft Defender Security Center.From this card, you can view more information on the Microsoft Defender Security Center portal.

Scheda di gravità avvisi dispositivo

Informazioni sulle origini degli avvisiUnderstand sources of alerts

Microsoft Defender ATP utilizza i dati provenienti da una vasta gamma di sensori di sicurezza e fonti di intelligence per generare avvisi.Microsoft Defender ATP leverages data from a broad range of security sensors and intelligence sources to generate alerts. Ad esempio, è possibile utilizzare le informazioni di rilevamento di Microsoft Defender Antivirus e di terze parti antimalware.For example, it can use detection information from Microsoft Defender Antivirus and third-party antimalware. È inoltre possibile utilizzare la propria Intelligence di minacce personalizzata fornita tramite l'API del servizio Web.It can also use your own custom threat intelligence provided through the web service API.

La scheda fonti di rilevamento avvisi dispositivo Visualizza la distribuzione degli avvisi per origine.The Device alert detection sources card shows the distribution of alerts by source. Monitorare le attività relative a determinate origini, in particolare le origini personalizzate.Track activity related to certain sources, particularly your custom sources. È inoltre possibile utilizzare la scheda per concentrarsi sugli avvisi provenienti da sensori che non sono configurati per bloccare automaticamente le attività o i componenti dannosi.You can also use the card to focus on alerts coming from sensors that aren't configured to automatically block malicious activity or components.

Scheda fonti di rilevamento avvisi dispositivo

Da questa scheda, è possibile visualizzare altre informazioni sul portale Microsoft Defender Security Center.From this card, you can view more information on the Microsoft Defender Security Center portal.

Comprendere i tipi di minacce che attivano gli avvisiUnderstand the types of threats that trigger alerts

Microsoft Defender ATP Ordina ogni avviso in una categoria che rappresenta una determinata fase della catena di attacco o del tipo di componente di minaccia.Microsoft Defender ATP sorts each alert into a category representing a certain stage in the attack chain or type of threat component. Ad esempio, un'attività di minacce rilevata potrebbe essere categorizzata come "movimento laterale" per indicare che si è verificato un tentativo di raggiungere altri dispositivi sulla rete.For example, a detected threat activity might be categorized as "lateral movement" to indicate there was an attempt to reach other devices on the network. L'attività è probabile che si verifichi dopo che gli aggressori hanno acquisito un punto di appoggio iniziale.The activity has likely occurred after attackers gained an initial foothold. Una volta rilevato, un componente di rischio può essere classificato in senso lato come malware o in modo specifico come tipo di minaccia specifico.When detected, a threat component might be classified broadly as malware or specifically as a specific threat type. Le specifiche includono ransomware, furto di credenziali o altri tipi di software dannoso o indesiderato.Specifics include ransomware, credential stealing, or other types of malicious or unwanted software.

La scheda categorie minacce dispositivo Visualizza la distribuzione degli avvisi in queste categorie.The Device threat categories card shows the distribution of alerts into these categories. Utilizzare queste informazioni per identificare le attività di minacce, ad esempio i tentativi di furto di credenziali, che in genere hanno un impatto maggiore rispetto ai tentativi di social engineering.Use this information to identify threat activity, such as credential theft attempts, that usually have higher impact than social engineering attempts. È inoltre possibile eseguire il monitoraggio di minacce potenzialmente distruttive come ransomware.You can also to monitor for potentially destructive threats like ransomware.

Scheda categorie di minacce per dispositivi

Monitorare gli avvisi attiviMonitor active alerts

La scheda stato avviso dispositivo indica il numero di avvisi che non sono stati risolti e potrebbe richiedere attenzione.The Device alert status card indicates the number of alerts that haven't been resolved and may require attention. Da questa scheda, è possibile visualizzare altre informazioni sul portale Microsoft Defender Security Center.From this card, you can view more information on the Microsoft Defender Security Center portal.

Scheda stato avviso dispositivo

Monitorare la classificazione degli avvisi risoltiMonitor classification of resolved alerts

Durante la risoluzione di un avviso di Microsoft Defender ATP, il personale di sicurezza può specificare se un avviso è stato verificato come:When resolving a Microsoft Defender ATP alert, your security staff can specify whether an alert has been verified as:

  • Un avviso vero che identifica le attività di violazione effettive o i componenti di minacciaA true alert that identifies actual breach activity or threat components
  • Un falso avviso che ha rilevato erroneamente attività normaleA false alert that has incorrectly detected normal activity

La scheda di classificazione avviso dispositivo indica se gli avvisi risolti sono stati classificati come avvisi veri o falsi.The Device alert classification card shows whether your resolved alerts have been classified as true or false alerts. Da questa scheda, è possibile visualizzare altre informazioni sul portale Microsoft Defender Security Center.From this card, you can view more information on the Microsoft Defender Security Center portal.

Nota: in alcuni casi, le informazioni di classificazione non sono disponibili per determinati avvisi.Note: In some cases, classification information is unavailable for certain alerts.

Scheda di classificazione degli avvisi dei dispositivi

Monitorare la determinazione degli avvisi risoltiMonitor determination of resolved alerts

Insieme alla classificazione se un avviso è vero o falso durante la risoluzione, il personale di sicurezza può fornire una determinazione.Along with classifying whether an alert is true or false during resolution, your security staff can provide a determination. Una determinazione indica il tipo di attività normale o dannosa individuata durante la convalida dell'avviso.A determination indicates the type of normal or malicious activity that was found while validating the alert.

La scheda di determinazione dell'avviso del dispositivo Visualizza la determinazione fornita per ogni avviso.The Device alert determination card shows the determination provided for each alert.

  • Apt: Advanced Persistent Threat, che indica che l'attività rilevata o il componente di minaccia è parte di una sofisticata violazione progettata per ottenere un punto di appoggio nella rete in questioneAPT: advanced persistent threat, indicating that the detected activity or threat component is part of a sophisticated breach designed to gain a foothold in the affected network
  • Malware: file o codice dannosoMalware: malicious file or code
  • Personale di sicurezza: attività normale eseguita dal personale della sicurezzaSecurity personnel: normal activity performed by security staff
  • Test di sicurezza: attività o componenti studiati per simulare le minacce effettive e prevedere l'attivazione di sensori di sicurezza e generare avvisiSecurity testing: activity or components designed to simulate actual threats and expected to trigger security sensors and generate alerts
  • Software indesiderato: app e altri software che non sono considerati dannosi, ma violano in altro modo i criteri o gli standard di utilizzo accettabiliUnwanted software: apps and other software that are not considered malicious, but otherwise violate policy or acceptable use standards
  • Altri: qualsiasi altra determinazione che non rientra nei tipi fornitiOthers: any other determination that doesn't fall under the provided types

Da questa scheda, è possibile visualizzare altre informazioni in Microsoft Defender Security Center.From this card, you can view more information in Microsoft Defender Security Center.

Scheda di determinazione dell'avviso del dispositivo

Comprendere quali dispositivi sono a rischioUnderstand which devices are at risk

La protezione del dispositivo Visualizza il livello di rischio per i dispositivi.Device protection shows the risk level for devices. Il livello di rischio si basa su fattori quali il tipo e la gravità degli avvisi nel dispositivo.The risk level is based on factors such as the type and severity of alerts on the device.

Scheda di protezione del dispositivo

Monitorare e segnalare lo stato dei dispositivi gestiti da IntuneMonitor and report status of Intune-managed devices

Nei rapporti seguenti sono contenuti dati provenienti da dispositivi registrati in Intune.The following reports contain data from devices enrolled in Intune. I dati dei dispositivi non registrati non sono inclusi.Data from unenrolled devices isn't included. Solo gli amministratori globali possono visualizzare queste schede.Only Global Administrators can view these cards.

I dati dei dispositivi registrati di Intune includono:Intune enrolled device data includes:

  • Conformità dispositivoDevice compliance
  • Dispositivi con malware attivoDevices with active malware
  • Tipi di malware nei dispositiviTypes of malware on devices
  • Malware nei dispositiviMalware on devices
  • Dispositivi con rilevamenti di malwareDevices with malware detections
  • Utenti con rilevamenti di malwareUsers with malware detections

Monitorare la conformità del dispositivoMonitor device compliance

La conformità del dispositivo indica il numero di dispositivi registrati in Intune conformi ai criteri di configurazione.Device compliance shows how many devices that are enrolled in Intune comply with configuration policies.

Scheda conformità dispositivo

Individuare i dispositivi con rilevamenti di malwareDiscover devices with malware detections

I rilevamenti di malware per i dispositivi forniscono il numero di dispositivi registrati di Intune con malware che non è stato completamente risolto.Device malware detections provide the number of Intune enrolled devices with malware that hasn't been fully resolved. La mancanza di soluzione può essere dovuta a operazioni in sospeso, a un riavvio, a un'analisi completa, a azioni manuali dell'utente o a un'operazione di correzione non completata.A lack of resolution can be because of pending actions, a restart, a full scan, manual user actions, or if the remediation action was not successfully completed.

Scheda rilevamenti malware dispositivo

Informazioni sui tipi di malware rilevatiUnderstand the types of malware detected

I tipi di malware nei dispositivi mostrano diversi tipi di malware che sono stati rilevati nei dispositivi registrati in Intune.Types of malware on devices show different kinds of malware that have been detected on devices enrolled in Intune. È possibile esaminare ogni tipo nel centro sicurezza Microsoft 365.You can investigate each type in the Microsoft 365 security center.

Tipi di malware sulla scheda dispositivi

Comprendere il malware specifico rilevato nei dispositiviUnderstand the specific malware detected on your devices

Malware nei dispositivi fornisce un elenco di malware specifici rilevati nei dispositivi.Malware on devices provides a list of the specific malware detected on your devices.

Scheda malware su dispositivi

Informazioni sui dispositivi con la maggior parte dei malwareUnderstand which devices have the most malware

I dispositivi con rilevamenti di malware mostrano quali dispositivi presentano la maggior parte dei rilevamenti di malware.Devices with malware detections show which devices have the most malware detections. nel centro sicurezza Microsoft 365, è possibile verificare se il malware è attivo, chi usa il dispositivo e lo stato di gestione in Intune.in the Microsoft 365 security center, you can investigate whether malware is active, who uses the device, and its management status in Intune.

Scheda dispositivi con rilevamento malware

Comprendere quali utenti dispongono di dispositivi con la maggior parte dei malwareUnderstand which users have devices with the most malware

Gli utenti che dispongono di rilevamenti di malware mostrano agli utenti i dispositivi con più rilevamenti di malware.Users with malware detections show users with devices that had the most malware detections. Nel centro sicurezza Microsoft 365, è possibile visualizzare il numero di dispositivi assegnati a ciascun utente e ulteriori informazioni su ogni dispositivo e sul tipo di malware.In the Microsoft 365 security center, you can see how many devices are assigned to each user and more information about each device and the type of malware.

Utenti con scheda di rilevamento antimalware

Monitorare e gestire la distribuzione e i rilevamenti delle regole di riduzione delle superfici di attaccoMonitor and manage attack surface reduction rule deployment and detections

Le regole di riduzione dell'attacco superficiale (ASR, Attack Surface Reduction) consentono di prevenire azioni e app che in genere vengono utilizzate da malware in grado di sfruttare i dispositivi.Attack Surface Reduction (ASR) rules help prevent actions and apps that are typically used by exploit-seeking malware to infect devices. Queste regole controllano il modo in cui possono essere eseguiti i file eseguibili.These rules control when and how executables can run. Ad esempio, è possibile impedire a JavaScript o VBScript di avviare un file eseguibile scaricato, bloccare le chiamate API Win32 dalle macro di Office o bloccare i processi eseguiti da unità USB.For example, you can prevent JavaScript or VBScript from launching a downloaded executable, block Win32 API calls from Office macros, or block processes that run from USB drives.

Scheda riduzioni superficie attacco

La scheda Regole per la riduzione della superficie di attacco fornisce una panoramica della distribuzione delle regole in tutti i dispositivi.The Attack surface reduction rules card provides an overview of the deployment of rules across your devices.

La barra superiore della scheda mostra il numero totale di dispositivi che si trovano nelle modalità di distribuzione seguenti:The top bar on the card shows the total number of devices that are in the following deployment modes:

  • Modalità di blocco: dispositivi con almeno una regola configurata per bloccare l'attività rilevataBlock mode: devices with at least one rule configured to block detected activity
  • Modalità di controllo: i dispositivi con nessuna regola impostata per bloccare l'attività rilevata, ma hanno almeno un set di regole per il controllo dell'attività rilevataAudit mode: devices with no rules set to block detected activity, but has at least one rule set to audit detected activity
  • Disattivato: i dispositivi con tutte le regole di ASR sono disattivatiOff: devices with all ASR rules turned off

La parte inferiore della scheda mostra le impostazioni per ciascuna regola in tutti i dispositivi.The lower part of this card shows settings by rule across your devices. Ogni barra indica il numero di dispositivi impostati per il blocco, il rilevamento di controllo o la regola completamente disattivata.Each bar indicates the number of devices that are set to block, audit detection, or have the rule completely turned off.

Visualizzazione dei rilevamenti ASRView ASR detections

Per visualizzare informazioni dettagliate sui rilevamenti delle regole di ASR nella rete, selezionare Visualizza rilevamenti nella scheda regole di riduzione della superficie di attacco .To view detailed information about ASR rule detections in your network, select View detections on the Attack surface reduction rules card. Verrà aperta la scheda rilevamenti nella pagina rapporto dettagliato.The Detections tab in the detailed report page will open.

Scheda rilevamenti

Il grafico nella parte superiore della pagina Visualizza rilevamenti nel tempo di rilevamenti di sovrapposizione che sono stati bloccati o controllati.The chart at the top of the page shows detections over time stacking detections that were either blocked or audited. La tabella in basso elenca i rilevamenti più recenti.The table at the bottom lists the most recent detections. Utilizzare le informazioni seguenti nella tabella per comprendere la natura dei rilevamenti:Use the following information on the table to understand the nature of the detections:

  • File rilevato: il file, in genere uno script o un documento, il cui contenuto ha attivato l'attività di attacco sospettaDetected file: the file, typically a script or document, whose contents triggered the suspected attack activity
  • Regola: nome che descrive le attività di attacco la regola è progettata per essere intercettata.Rule: name describing the attack activities the rule is designed to catch. Leggere le regole ASR esistentiRead about existing ASR rules
  • App di origine: l'applicazione che ha caricato o eseguito contenuto che attiva l'attività di attacco sospetta.Source app: the application that loaded or executed content triggering the suspected attack activity. Potrebbe essere un'applicazione legittima, ad esempio il Web browser, un'applicazione di Office o uno strumento di sistema come PowerShell.It could be a legitimate application, such as web browser, an Office application, or a system tool like PowerShell
  • Publisher: il fornitore che ha rilasciato l'app di originePublisher: the vendor that released the source app

Esaminare le impostazioni della regola di ASR del dispositivoReview device ASR rule settings

Nella pagina rapporto regole di riduzione della superficie di attacco passare alla scheda configurazione per esaminare le impostazioni delle regole per i singoli dispositivi.In the Attack surface reduction rules report page, go to the Configuration tab to review rule settings for individual devices. Selezionare un dispositivo per ottenere informazioni dettagliate sul fatto che ogni regola sia in modalità di blocco, modalità di controllo o disattivata completamente.Select a device to get detailed information about whether each rule is in block mode, audit mode, or turned off entirely.

Scheda configurazione

Microsoft Intune offre funzionalità di gestione per le regole di ASR.Microsoft Intune provides management functionality for your ASR rules. Se si desidera aggiornare le impostazioni, selezionare Get Started in Configure Devices nella scheda per aprire Gestione dispositivi su Intune.If you want to update your settings, select Get started under Configure devices in the tab to open device management on Intune.

Escludi file dalle regole di ASRExclude files from ASR rules

Microsoft 365 Security Center raccoglie i nomi dei file che potrebbe essere necessario escludere dai rilevamenti tramite le regole di riduzione della superficie di attacco.Microsoft 365 security center collects the names of the files you might want to exclude from detections by attack surface reduction rules. Escludendo i file, è possibile ridurre i rilevamenti falsi positivi e distribuire in modo più sicuro le regole di riduzione della superficie di attacco in modalità di blocco.By excluding files, you can reduce false positive detections and more confidently deploy attack surface reduction rules in block mode.

Le esclusioni sono gestite su Microsoft Intune, ma Microsoft 365 Security Center fornisce uno strumento di analisi per facilitare la comprensione dei file.The exclusions are managed on Microsoft Intune, but Microsoft 365 security center provides an analysis tool to help you understand the files. Per avviare la raccolta dei file per l'esclusione, passare alla scheda Aggiungi esclusioni nella pagina rapporto regole di riduzione della superficie di attacco .To start collecting files for exclusion, go to the Add exclusions tab in the Attack surface reduction rules report page.

Nota

Lo strumento analizza i rilevamenti per tutte le regole di riduzione della superficie di attacco, ma solo alcune regole supportano le esclusioni.The tool analyzes detections by all attack surface reduction rules, but only some rules support exclusions.

Scheda Aggiungi esclusioni

Nella tabella sono elencati tutti i nomi di file rilevati dalle regole di riduzione della superficie di attacco.The table lists all the file names detected by your attack surface reduction rules. È possibile selezionare i file per esaminare l'impatto dell'esclusione:You can select files to review the impact of excluding them:

  • Quanti meno rilevamentiHow many fewer detections
  • Quanti meno dispositivi segnalano i rilevamentiHow many fewer devices report the detections

Per ottenere un elenco dei file selezionati con i percorsi completi per l'esclusione, selezionare Ottieni percorsi di esclusione.To get a list of the selected files with their full paths for exclusion, select Get exclusion paths.

Registri per la regola di ASR Block Credential Stealing from the Windows Local Security Authority Subsystem (lsass.exe) Capture the source app lsass.exe.Logs for the ASR rule Block credential stealing from the Windows local security authority subsystem (lsass.exe) capture the source app lsass.exe. Si tratta di un normale file di sistema, ma acquisito come file rilevato.It is a normal system file, but captured as the detected file. Di conseguenza, l'elenco generato dei percorsi di esclusione includerà questo file.As a result, the generated list of exclusion paths will include this file. Per escludere il file che ha attivato questa regola anziché lsass.exe, utilizzare il percorso dell'applicazione di origine anziché del file rilevato.To exclude the file that triggered this rule instead of lsass.exe, use the path to the source app instead of the detected file.

Per individuare l'app di origine, eseguire la query di ricerca avanzata seguente per questa regola specifica (identificata dalla regola ID 9e6c4e1f-7d60-472F-ba1a-a39ef669e4b2):To locate the source app, run the following advanced hunting query for this specific rule (identified by rule ID 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2):

DeviceEvents
| where Timestamp > ago(7d)
| where ActionType startswith "Asr"
| where AdditionalFields contains "9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2"
| project InitiatingProcessFolderPath, InitiatingProcessFileName

Controllare i file per l'esclusioneCheck files for exclusion

Prima di escludere un file da ASR, è consigliabile ispezionare il file per determinare se non è effettivamente dannoso.Before excluding a file from ASR, we recommend that you inspect the file to determine if it's indeed not malicious.

Per esaminare un file, utilizzare la pagina informazioni sui file in Microsoft Defender Security Center.To review a file, use the file information page on Microsoft Defender Security Center. La pagina fornisce informazioni sulla prevalenza e sul rapporto di rilevamento antivirus di VirusTotal.The page provides prevalence information and the VirusTotal antivirus detection ratio. È inoltre possibile utilizzare la pagina per inviare il file per un'analisi approfondita.You can also use the page to submit the file for deep analysis.

Per individuare un file rilevato in Microsoft Defender Security Center, cercare tutti i rilevamenti ASR utilizzando la query di caccia avanzata seguente:To locate a detected file in Microsoft Defender Security Center, search for all ASR detections using the following advanced hunting query:

MiscEvents
| where EventTime > ago(7d)
| where ActionType startswith "Asr"
| project FolderPath, FileName, SHA1, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessSHA1

Utilizzare l'interfaccia SHA1 o la InitiatingProcessSHA1 nei risultati per cercare il file utilizzando la barra di ricerca universale in Microsoft Defender Security Center.Use the SHA1 or the InitiatingProcessSHA1 in the results to search for the file using the universal search bar in Microsoft Defender Security Center.