Protezione dalle minacce

Nota

Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.

Si applica a

Ecco una guida introduttiva che suddivide la configurazione di Defender per Office 365 in blocchi. Se non si ha familiarita' con le funzionalità di protezione dalle minacce in Office 365, non si è certi di dove iniziare o se si impara meglio facendo, usare queste linee guida come elenco di controllo e punto di partenza.

Importante

Le impostazioni consigliate iniziali sono incluse per ogni tipo di criterio. Tuttavia, sono disponibili molte opzioni ed è possibile modificare le impostazioni in base alle esigenze specifiche dell'organizzazione. Consentire circa 30 minuti al funzionamento dei criteri o delle modifiche nel data center.

Per ignorare la configurazione manuale della maggior parte dei criteri in Defender per Office 365, è possibile usare criteri di sicurezza predefiniti a livello Standard o Strict. Per altre informazioni, vedere Preimpostare i criteri di sicurezza in EOP e Microsoft Defender per Office 365.

Requisiti

Sottoscrizioni

Le funzionalità di protezione dalle minacce sono incluse in tutte le sottoscrizioni Microsoft o Office 365; tuttavia, alcune sottoscrizioni hanno funzionalità avanzate. La tabella seguente elenca le funzionalità di protezione incluse in questo articolo insieme ai requisiti minimi di sottoscrizione.

Suggerimento

Si noti che oltre alle indicazioni per attivare il controllo, i passaggi avviano antimalware, anti-phishing e protezione dalla posta indesiderata, contrassegnati come parte di Office 365 Exchange Online Protection (EOP). Questo può sembrare strano in un articolo Defender per Office 365, fino a quando non si ricorda (Defender per Office 365) contiene e si basa su EOP.

Tipo di protezione Requisito dell'abbonamento
Registrazione di controllo (a scopo di creazione di report) Exchange Online
Protezione anti-malware Exchange Online Protection (EOP)
Protezione anti-phishing EOP
Protezione dalla posta indesiderata EOP
Protezione da URL e file dannosi nei documenti di posta elettronica e Office (collegamenti Cassaforte e allegati Cassaforte) Microsoft Defender per Office 365

Ruoli e autorizzazioni

Per configurare i criteri di Defender per Office 365, è necessario assegnare un ruolo appropriato. Esaminare la tabella seguente per i ruoli che possono eseguire queste azioni.

Ruolo o gruppo di ruoli Dove saperne di più
amministratore globale Informazioni sui ruoli di amministratore di Microsoft 365
Amministratore della sicurezza Azure AD ruoli predefiniti
Gestione organizzazione di Exchange Online Autorizzazioni in Exchange Online

Per altre informazioni, vedere Autorizzazioni nel portale di Microsoft 365 Defender.

Attivare la registrazione di controllo per la creazione di report e l'analisi

Parte 1 - Protezione antimalware in EOP

Per altre informazioni sulle impostazioni consigliate per l'antimalware, vedere Impostazioni dei criteri antimalware di EOP.

  1. Aprire la pagina Antimalware nel portale di Microsoft 365 Defender all'indirizzo https://security.microsoft.com/antimalwarev2.

  2. Nella pagina Antimalware selezionare il criterio denominato Default (Default) facendo clic sul nome.

  3. Nel riquadro a comparsa dei dettagli dei criteri visualizzato fare clic su Modifica impostazioni di protezione e quindi configurare le impostazioni seguenti:

    • Sezione Impostazioni di protezione :
      • Abilitare il filtro degli allegati comuni: selezionare (attivare). Fare clic su Personalizza tipi di file per aggiungere altri tipi di file.
      • Abilitare l'eliminazione automatica di zero ore per il malware: verificare che questa impostazione sia selezionata. Per altre informazioni su ZAP per il malware, vedere Eliminazione automatica a zero ore (ZAP) per il malware.
    • Criteri di quarantena: lasciare selezionato il valore predefinito AdminOnlyAccessPolicy. I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per ulteriori informazioni, vedere criteri di quarantena.
    • Sezione Notifica : verificare che nessuna delle impostazioni di notifica sia selezionata.

    Al termine, scegliere Salva.

  4. Tornare al riquadro a comparsa dei dettagli sui criteri, fare clic su chiudi.

Per istruzioni dettagliate sulla configurazione dei criteri antimalware, vedere Configurare i criteri antimalware in EOP.

Parte 2 - Protezione anti-phishing in EOP e Defender per Office 365

La protezione anti-phishing è disponibile nelle sottoscrizioni che includono EOP. La protezione avanzata anti-phishing è disponibile in Defender per Office 365.

Per altre informazioni sulle impostazioni consigliate per i criteri anti-phishing, vedere Impostazioni dei criteri anti-phishing di EOP e Impostazioni dei criteri anti-phishing in Microsoft Defender per Office 365.

La procedura seguente descrive come configurare i criteri anti-phishing predefiniti. Impostazioni disponibili solo in Defender per Office 365 sono chiaramente contrassegnate.

  1. Aprire la pagina Anti-phishing nel portale di Microsoft 365 Defender all'indirizzo https://security.microsoft.com/antiphishing.

  2. Nella pagina Anti-phishing selezionare il criterio denominato Office365 AntiPhish Default (Predefinito) facendo clic sul nome.

  3. Nel riquadro a comparsa dei dettagli dei criteri visualizzato configurare le impostazioni seguenti:

    • Sezione Soglia di phishing & protezione : fare clic su Modifica impostazioni di protezione e configurare le impostazioni seguenti nel riquadro a comparsa visualizzato:

      • Soglia *di posta elettronica di phishing: selezionare 2 - Aggressivo (Standard) o 3 - Più aggressivo (strict).
      • Sezione Rappresentazione*: configurare i valori seguenti:
        • Selezionare Abilita gli utenti da proteggere, fare clic sul collegamento Gestisci (nn) mittenti visualizzato e quindi aggiungere mittenti interni ed esterni da proteggere dalla rappresentazione, ad esempio i membri del consiglio di amministrazione dell'organizzazione, il CEO, il CFO e altri dirigenti senior.
        • Selezionare Abilita domini da proteggere e quindi configurare le impostazioni seguenti visualizzate:
          • Selezionare Includi domini di cui sono proprietario per proteggere i mittenti interni nei domini accettati (visibili facendo clic su Visualizza i miei domini) dalla rappresentazione.
          • Per proteggere i mittenti in altri domini, selezionare Includi domini personalizzati, fare clic sul collegamento Gestisci (nn) dominio personalizzato visualizzato e quindi aggiungere altri domini da proteggere dalla rappresentazione.
      • Aggiungere mittenti e domini* attendibili: fare clic su Gestisci (nn) mittenti attendibili e domini per configurare le eccezioni del dominio del mittente e del mittente per la protezione della rappresentazione, se necessario.
      • Impostazioni di intelligence per le * cassette postali: verificare che siano selezionate Abilita intelligence per le cassette postali e Abilita intelligence per la protezione della rappresentazione .
      • Sezione Spoof : verificare che l'opzione Abilita funzionalità di intelligence per spoofing sia selezionata.

      Al termine, fare clic su Salva.

    • Sezione Azioni : fare clic su Modifica azioni e configurare le impostazioni seguenti nel riquadro a comparsa che si apre:

      • Sezione Azioni messaggio : configurare le impostazioni seguenti:
        • Se viene rilevato un messaggio come utente* rappresentato: selezionare Metti in quarantena il messaggio. Viene visualizzata una casella Applica criteri di quarantena in cui si selezionano i criteri di quarantena applicabili ai messaggi messi in quarantena dalla protezione della rappresentazione utente.
        • Se il messaggio viene rilevato come dominio* rappresentato: selezionare Metti in quarantena il messaggio. Viene visualizzata una casella Applica criteri di quarantena in cui si selezionano i criteri di quarantena applicabili ai messaggi messi in quarantena dalla protezione della rappresentazione del dominio.
        • Se l'intelligence per le cassette postali rileva un utente* rappresentato: selezionare Sposta messaggio nelle cartelle Posta indesiderata dei destinatari (Standard) o Metti in quarantena il messaggio (Strict). Se si seleziona Metti in quarantena il messaggio, viene visualizzata una casella Applica criteri di quarantena in cui si selezionano i criteri di quarantena applicabili ai messaggi messi in quarantena dalla protezione intelligence delle cassette postali.
        • Se il messaggio viene rilevato come spoofing: selezionare Sposta messaggio nelle cartelle Posta indesiderata dei destinatari (Standard) o Metti in quarantena il messaggio (Strict). Se si seleziona Metti in quarantena il messaggio, viene visualizzata una casella Applica criteri di quarantena in cui si selezionano i criteri di quarantena che si applicano ai messaggi messi in quarantena dalla protezione intelligence dello spoofing.
      • Suggerimenti per la sicurezza & sezione indicatori : Configurare le impostazioni seguenti:
        • Mostra il primo contatto suggerimento per la sicurezza: selezionare (attivare).
        • Mostra la rappresentazione utente suggerimento per la sicurezza*: selezionare (attivare).
        • Mostra la rappresentazione del dominio suggerimento per la sicurezza*: selezionare (attivare).
        • Mostra caratteri insoliti di rappresentazione utente suggerimento per la sicurezza*: selezionare (attivare).
        • Mostra (?) per i mittenti non autenticati per lo spoofing: selezionare (attivare).
        • Mostra tag "via": selezionare (attivare).

      Al termine, fare clic su Salva.

    *Questa impostazione è disponibile solo in Defender per Office 365.

  4. Fare clic su Salva e quindi su Chiudi

Per istruzioni dettagliate sulla configurazione dei criteri anti-phishing, vedere Configurare i criteri anti-phishing in EOP e Configurare i criteri anti-phishing in Microsoft Defender per Office 365.

Parte 3 - Protezione dalla posta indesiderata in EOP

Per altre informazioni sulle impostazioni consigliate per la protezione dalla posta indesiderata, vedere Impostazioni dei criteri di protezione dalla posta indesiderata di EOP.

  1. Aprire la pagina Criteri di protezione dalla posta indesiderata nel portale di Microsoft 365 Defender all'indirizzo https://security.microsoft.com/antispam.

  2. Nella pagina Criteri di protezione dalla posta indesiderata selezionare il criterio denominato Criteri in ingresso antispam (impostazione predefinita) nell'elenco facendo clic sul nome.

  3. Nel riquadro a comparsa dei dettagli dei criteri visualizzato configurare le impostazioni seguenti:

    • Soglia posta in blocco & sezione proprietà posta indesiderata : fare clic su Modifica soglia posta indesiderata e proprietà. Nel riquadro a comparsa visualizzato configurare le impostazioni seguenti:

      • Soglia posta elettronica bulk: impostare questo valore su 5 (Strict) o 6 (Standard).
      • Lasciare le altre impostazioni in corrispondenza dei valori predefiniti (Disattivato o Nessuno).

      Al termine, fare clic su Salva.

    • Sezione Azioni : fare clic su Modifica azioni. Nel riquadro a comparsa visualizzato configurare le impostazioni seguenti:

      • Sezione Azioni messaggio :

        • Posta indesiderata: verificare che l'opzione Sposta messaggio nella cartella Posta indesiderata sia selezionata (Standard) o selezionare Messaggio di quarantena (Strict).
        • Posta indesiderata con attendibilità elevata: selezionare Messaggio di quarantena.
        • Phishing: selezionare Messaggio di quarantena.
        • Phishing con attendibilità elevata: verificare che sia selezionata l'opzione Messaggi di quarantena .
        • Bulk: verificare che l'opzione Sposta messaggio nella cartella Posta indesiderata sia selezionata (Standard) o selezionare Messaggio di quarantena (Strict).

        Per ogni azione in cui si seleziona Messaggio di quarantena, viene visualizzata una casella Seleziona criteri di quarantena in cui si selezionano i criteri di quarantena applicabili ai messaggi messi in quarantena dalla protezione dalla posta indesiderata.

      • Conservare la posta indesiderata in quarantena per questo numero di giorni: verificare il valore di 30 giorni.

      • Abilita suggerimenti per la protezione dalla posta indesiderata: verificare che questa impostazione sia selezionata (attivata).

      • Abilita eliminazione automatica a zero ore (ZAP): verificare che questa impostazione sia selezionata (attivata).

      Al termine, fare clic su Salva.

    • Sezione Mittenti e domini consentiti e bloccati : esaminare o modificare i mittenti consentiti e i domini consentiti come descritto in Creare elenchi di mittenti bloccati in EOP o Creare elenchi di mittenti attendibili in EOP.

      Al termine, fare clic su Salva.

  4. Al termine, fare clic su Chiudi.

Per istruzioni dettagliate sulla configurazione dei criteri di protezione dalla posta indesiderata, vedere Configurare i criteri di protezione dalla posta indesiderata in EOP.

La protezione con tempo di clic da URL e file dannosi è disponibile nelle sottoscrizioni che includono Microsoft Defender per Office 365. Viene configurato tramite Cassaforte allegati e Cassaforte criteri collegamenti.

Cassaforte criteri allegati in Microsoft Defender per Office 365

Per altre informazioni sulle impostazioni consigliate per gli allegati Cassaforte, vedere . Cassaforte impostazioni allegati.

  1. Aprire la pagina allegati Cassaforte nel portale di Microsoft 365 Defender all'indirizzo https://security.microsoft.com/safeattachmentv2.

  2. Nella pagina allegati Cassaforte fare clic su Impostazioni globali e quindi configurare le impostazioni seguenti nel riquadro a comparsa visualizzato:

    • Attivare Defender per Office 365 per SharePoint, OneDrive e Microsoft Teams: attivare questa impostazione (Attiva/Disattiva).

      Importante

      Prima di attivare Cassaforte Allegati per SharePoint, OneDrive e Microsoft Teams, verificare che la registrazione di controllo sia attivata nell'organizzazione. Questa azione viene in genere eseguita da un utente con il ruolo Log di controllo assegnato in Exchange Online. Per altre informazioni, vedere Attivare o disattivare la ricerca nel log di controllo.

    • Attivare Cassaforte Documenti per i client Office: attivare questa impostazione (attiva/disattiva). Si noti che questa funzionalità è disponibile e significativa solo con i tipi di licenze richiesti. Per altre informazioni, vedere Cassaforte Documenti in Microsoft 365 E5.

    • Consenti agli utenti di fare clic su Visualizzazione protetta anche se Cassaforte Documenti ha identificato il file come dannoso: verificare che questa impostazione sia disattivata (Attiva/Disattiva).

    Al termine, fare clic su Salva

  3. Nella pagina Allegati Cassaforte fare clic sull'icona Crea.

  4. Nella creazione guidata criteri allegati Cassaforte visualizzata configurare le impostazioni seguenti:

    • Assegnare un nome alla pagina dei criteri :
      • Nome: immettere un elemento univoco e descrittivo.
      • Descrizione: immettere una descrizione facoltativa.
    • Pagina Utenti e domini : poiché si tratta del primo criterio e probabilmente si vuole ottimizzare la copertura, è consigliabile immettere i domini accettati nella casella Domini . In caso contrario, è possibile usare le caselle Utenti e Gruppi per un controllo più granulare. È possibile specificare le eccezioni selezionando Escludi questi utenti, gruppi e domini e immettendo valori.
    • Impostazioni pagina:
      • Cassaforte Risposta malware sconosciuto allegati: selezionare Blocca.
      • Criteri di quarantena: il valore predefinito è vuoto, ovvero viene usato il criterio AdminOnlyAccessPolicy. I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per ulteriori informazioni, vedere criteri di quarantena.
      • Allegato di reindirizzamento con allegati rilevati : abilita reindirizzamento: attiva questa impostazione (seleziona) e immetti un indirizzo di posta elettronica per ricevere i messaggi rilevati.
      • Applicare la risposta di rilevamento Cassaforte Allegati se l'analisi non può essere completata (timeout o errori): verificare che questa impostazione sia selezionata.
  5. Al termine, fare clic su Invia e quindi su Fine.

  6. (Scelta consigliata) Come amministratore globale o amministratore di SharePoint Online, eseguire il cmdlet Set-SPOTenant con il parametro DisallowInfectedFileDownload impostato su $true in SharePoint PowerShell online.

    • $true blocca tutte le azioni (ad eccezione di Elimina) per i file rilevati. Gli utenti non possono aprire, spostare, copiare o condividere i file rilevati.
    • $false blocca tutte le azioni tranne Elimina e Scarica. Gli utenti possono scegliere di accettare il rischio e scaricare un file rilevato.
  7. Consentire fino a 30 minuti per la distribuzione delle modifiche a tutti i data center Microsoft 365.

Per istruzioni dettagliate sulla configurazione dei criteri Cassaforte allegati e delle impostazioni globali per gli allegati Cassaforte, vedere gli argomenti seguenti:

Per altre informazioni sulle impostazioni consigliate per i collegamenti Cassaforte, vedere Cassaforte Impostazioni dei collegamenti.

  1. Aprire la pagina Collegamenti Cassaforte nel portale di Microsoft 365 Defender all'indirizzo https://security.microsoft.com/safelinksv2.

  2. Nella pagina Collegamenti Cassaforte fare clic su Impostazioni globali e quindi configurare le impostazioni seguenti nel riquadro a comparsa visualizzato:

    • Impostazioni applicabili al contenuto nella sezione delle app Office 365 supportate:
      • Usare Cassaforte Collegamenti nelle app Office 365: verificare che questa impostazione sia attivata (attiva/disattiva).
      • Non tenere traccia quando gli utenti fanno clic su collegamenti protetti nelle app Office 365: disattiva questa impostazione (Disattiva).
      • Non consentire agli utenti di fare clic sull'URL originale nelle app Office 365: verificare che questa impostazione sia attivata (attiva/disattiva).

    Al termine, fare clic su Salva

  3. Nella pagina Collegamenti Cassaforte fare clic sull'icona Crea.

  4. Nella procedura guidata Crea criteri Cassaforte Collegamenti visualizzata configurare le impostazioni seguenti:

    • Assegnare un nome alla pagina dei criteri :
      • Nome: immettere un elemento univoco e descrittivo.
      • Descrizione: immettere una descrizione facoltativa.
    • Pagina Utenti e domini : poiché si tratta del primo criterio e probabilmente si vuole ottimizzare la copertura, è consigliabile immettere i domini accettati nella casella Domini . In caso contrario, è possibile usare le caselle Utenti e Gruppi per un controllo più granulare. È possibile specificare le eccezioni selezionando Escludi questi utenti, gruppi e domini e immettendo valori.
    • Url & fare clic sulla pagina delle impostazioni di protezione :
      • Azione su URL potenzialmente dannosi all'interno della sezione Messaggi di posta elettronica :
        • On: Cassaforte Links controlla un elenco di collegamenti noti e dannosi quando gli utenti cliccano sui collegamenti nella posta elettronica: seleziona la sua impostazione (attiva).
        • Applica Cassaforte Collegamenti ai messaggi di posta elettronica inviati all'interno dell'organizzazione: selezionare questa impostazione (attiva).
        • Applicare l'analisi degli URL in tempo reale per i collegamenti sospetti e i collegamenti che puntano ai file: selezionare questa impostazione (attivare).
        • Attendere il completamento dell'analisi url prima di recapitare il messaggio: selezionare questa impostazione (attivare).
        • Non riscrivere gli URL, eseguire controlli solo tramite Cassaforte'API Collegamenti: verificare che questa impostazione non sia selezionata (disattiva).
      • Non riscrivere gli URL seguenti nel messaggio di posta elettronica: non è disponibile alcuna raccomandazione specifica per questa impostazione. Per altre informazioni, vedere gli elenchi "Non riscrivere gli URL seguenti" nei criteri Cassaforte Collegamenti.
      • Azione per URL potenzialmente dannosi nella sezione Microsoft Teams:
        • *On: Cassaforte Links controlla un elenco di collegamenti noti e dannosi quando gli utenti fa clic sui collegamenti in Microsoft Teams: selezionare questa impostazione (attivare).
      • Fare clic sulla sezione impostazioni di protezione :
        • Tenere traccia dei clic dell'utente: verificare che questa impostazione sia selezionata (attivata).
        • Consenti agli utenti di fare clic sull'URL originale: disattiva questa impostazione (non selezionata).
        • Visualizzare la personalizzazione dell'organizzazione nelle pagine di notifica e avviso: la selezione di questa impostazione (attivarla) è significativa solo dopo aver seguito le istruzioni in Personalizzare il tema Microsoft 365 per consentire all'organizzazione di caricare il logo aziendale.
    • Pagina di notifica :
      • Come si vuole notificare agli utenti? sezione: facoltativamente, è possibile selezionare Usa testo di notifica personalizzato per immettere testo di notifica personalizzato da usare. È anche possibile selezionare Usa Microsoft Translator per la localizzazione automatica per tradurre il testo della notifica personalizzata nella lingua dell'utente. In caso contrario, lasciare selezionato Usa il testo di notifica predefinito .
  5. Al termine, fare clic su Invia e quindi su Fine.

Per istruzioni dettagliate sulla configurazione dei criteri di Cassaforte Links e delle impostazioni globali per i collegamenti Cassaforte, vedere gli argomenti seguenti:

Configurare ora gli avvisi per i file rilevati in SharePoint Online o OneDrive for Business

Per ricevere una notifica quando un file in SharePoint Online o OneDrive for Business è stato identificato come dannoso, è possibile configurare un avviso come descritto in questa sezione.

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Criteri di collaborazione > & posta elettronica & regole > Criteri di avviso.

  2. Nella pagina Criteri di avviso fare clic su Nuovo criterio di avviso.

  3. Verrà visualizzata la procedura guidata Nuovo criterio di avviso . Nella pagina Nome configurare le impostazioni seguenti:

    • Nome: immettere un nome univoco e descrittivo. Ad esempio, è possibile digitare File dannosi nelle librerie.
    • Descrizione: immettere una descrizione facoltativa.
    • Gravità: selezionare Bassa, Media o Alta.
    • Categoria: selezionare Gestione delle minacce.

    Al termine, fare clic su Avanti

  4. Nella pagina Crea impostazioni avviso configurare le impostazioni seguenti:

    • Su cosa si vuole inviare un avviso? sezione: l'attività è > Rilevato malware nel file.
    • Come si vuole che l'avviso venga attivato sezione: Verificare ogni volta che un'attività corrisponde alla regola è selezionata.

    Al termine, fare clic su Avanti

  5. Nella pagina Imposta i destinatari configurare le impostazioni seguenti:

    • Invia notifiche tramite posta elettronica: verificare che questa impostazione sia selezionata.
    • Destinatari di posta elettronica: selezionare uno o più amministratori globali, amministratori della sicurezza o lettori della sicurezza che devono ricevere notifiche quando viene rilevato un file dannoso.
    • Limite di notifica giornaliero: verificare che non sia selezionato alcun limite .

    Al termine, fare clic su Avanti

  6. Nella pagina Rivedi le impostazioni esaminare le impostazioni, verificare che l'opzione Sì, attivarla immediatamente sia selezionata e quindi fare clic su Fine

Per altre informazioni sui criteri di avviso, vedere Criteri di avviso nel portale di conformità di Microsoft Purview.

Attività post-installazione e passaggi successivi

Dopo aver configurato le funzionalità di protezione dalle minacce, assicurarsi di monitorare il funzionamento di tali funzionalità. Esaminare e rivedere i criteri in modo che eservi le operazioni necessarie. Controllare anche le nuove funzionalità e gli aggiornamenti del servizio che possono aggiungere valore.

Soluzione Risorse per approfondire
Vedere come funzionano le funzionalità di protezione dalle minacce per l'organizzazione visualizzando i report Report sulla sicurezza della posta elettronica

Report per Microsoft Defender per Office 365

Esplora minacce

Esaminare e rivedere periodicamente i criteri di protezione dalle minacce in base alle esigenze Secure Score

Microsoft 365 funzionalità di analisi delle minacce e risposta

Controllare le nuove funzionalità e gli aggiornamenti dei servizi Opzioni di versione standard e mirate

Centro messaggi

Roadmap di Microsoft 365

Descrizioni dei servizi