Rivedere e modificare le impostazioni in Microsoft Defender for Business
È possibile visualizzare e modificare le impostazioni, ad esempio le impostazioni del portale e le funzionalità avanzate, nel portale di Microsoft Defender (https://security.microsoft.com). Usare questo articolo per ottenere una panoramica delle varie impostazioni disponibili e su come modificare le impostazioni di Defender per le aziende.
Visualizzare le impostazioni per le funzionalità avanzate
Nel portale di Microsoft Defender (https://security.microsoft.com), passare a Impostazioni>Funzionalitàavanzate generali>degli> endpoint.
Nella tabella seguente vengono descritte le impostazioni avanzate delle funzionalità.
Impostazione | Descrizione |
---|---|
Indagini automatizzate (attivato per impostazione predefinita) |
Quando vengono generati avvisi, possono verificarsi indagini automatizzate. Ogni indagine automatizzata determina se una minaccia rilevata richiede un'azione e quindi esegue o consiglia azioni correttive, ad esempio l'invio di un file in quarantena, l'arresto di un processo, l'isolamento di un dispositivo o il blocco di un URL. Durante l'esecuzione di un'indagine, tutti gli altri avvisi correlati che emergono vengono aggiunti all'indagine fino al suo completamento. Se un'entità interessata viene vista altrove, l'indagine automatizzata espande il suo ambito per includere tale entità e il processo di indagine si ripete. È possibile visualizzare le indagini nella pagina Eventi imprevisti . Selezionare un evento imprevisto e quindi selezionare la scheda Indagini . Per impostazione predefinita, le funzionalità di analisi e risposta automatizzate sono attivate a livello di tenant. È consigliabile mantenere attiva l'indagine automatizzata. Se lo spegni, la protezione in tempo reale in Microsoft Defender Antivirus sarà influenzata e il livello complessivo di protezione verrà ridotto. Altre informazioni sulle indagini automatizzate. |
Risposta in tempo reale | Defender for Business include i tipi seguenti di azioni di risposta manuale: - Eseguire l'analisi antivirus - Isolare il dispositivo - Arrestare e mettere in quarantena un file - Aggiungere un indicatore per bloccare o consentire un file Altre informazioni sulle azioni di risposta. |
Risposta in tempo reale per i server | Questa impostazione non è attualmente disponibile in Defender per le aziende. |
Esecuzione di script senza segno di Live Response | Questa impostazione non è attualmente disponibile in Defender per le aziende. |
Abilitare EDR in modalità blocco (attivato per impostazione predefinita) |
Fornisce una protezione aggiuntiva da artefatti dannosi quando Microsoft Defender Antivirus non è il prodotto antivirus principale ed è in esecuzione in modalità passiva in un dispositivo. Il rilevamento degli endpoint e la risposta (EDR) in modalità blocco funziona dietro le quinte per correggere gli artefatti dannosi rilevati dalle funzionalità EDR. Tali artefatti potrebbero essere stati persi dal prodotto antivirus primario non Microsoft. Altre informazioni su EDR in modalità blocco. |
Consentire o bloccare un file (attivato per impostazione predefinita) |
Consente di consentire o bloccare un file usando indicatori. Questa funzionalità richiede Microsoft Defender Antivirus sia in modalità attiva e la protezione cloud sia attivata. Il blocco di un file impedisce che venga letto, scritto o eseguito nei dispositivi dell'organizzazione. Altre informazioni sugli indicatori per i file. |
Indicatori di rete personalizzati (attivato per impostazione predefinita) |
Consente di consentire o bloccare un indirizzo IP, un URL o un dominio usando indicatori di rete. Questa funzionalità richiede che Microsoft Defender Antivirus sia in modalità attiva e che la protezione di rete sia attivata. È possibile consentire o bloccare indirizzi IP, URL o domini in base all'intelligence sulle minacce. È anche possibile richiedere agli utenti se aprono un'app rischiosa, ma la richiesta non impedisce loro di usare l'app. Altre informazioni sulla protezione di rete. |
Protezione da manomissioni (è consigliabile attivare questa impostazione) |
La protezione dalle manomissioni impedisce alle app dannose di eseguire azioni come: - Disabilitare la protezione da virus e minacce - Disabilitare la protezione in tempo reale - Disattivare il monitoraggio del comportamento - Disabilitare la protezione cloud - Rimuovere gli aggiornamenti dell'intelligence per la sicurezza - Disabilitare le azioni automatiche sulle minacce rilevate La protezione dalle manomissioni blocca essenzialmente Microsoft Defender Antivirus ai valori predefiniti sicuri e impedisce che le impostazioni di sicurezza vengano modificate da app e metodi non autorizzati. Altre informazioni sulla protezione da manomissioni. |
Visualizzare i dettagli dell'utente (attivato per impostazione predefinita) |
Consente agli utenti dell'organizzazione di visualizzare i dettagli, ad esempio immagini, nomi, titoli e reparti dei dipendenti. Questi dettagli vengono archiviati in Microsoft Entra ID. Altre informazioni sui profili utente in Microsoft Entra ID. |
integrazione Skype for Business (attivato per impostazione predefinita) |
Skype for Business è stato ritirato nel luglio 2021. Se non si è ancora passati a Microsoft Teams, vedere Configurare Microsoft Teams nella piccola azienda. L'integrazione con Microsoft Teams (o il Skype for Business precedente) consente la comunicazione con un clic tra gli utenti dell'azienda. |
Filtro contenuti Web (attivato per impostazione predefinita) |
Blocca l'accesso ai siti Web che contengono contenuti indesiderati e tiene traccia dell'attività Web in tutti i domini. Vedere Configurare il filtro del contenuto Web. |
connessione Microsoft Intune Se si dispone di Intune, è consigliabile attivare questa impostazione. |
Se la sottoscrizione dell'organizzazione include Microsoft Intune (incluse nelle risorse Microsoft 365 Business Premium), questa impostazione consente a Defender for Business di condividere informazioni sui dispositivi con Intune. |
Device discovery (attivato per impostazione predefinita) |
Consente al team di sicurezza di trovare i dispositivi non gestiti connessi alla rete aziendale. I dispositivi sconosciuti e non gestiti comportano rischi significativi per la rete, che si tratti di una stampante senza patch, di un dispositivo di rete con una configurazione di sicurezza debole o di un server senza controlli di sicurezza. L'individuazione dei dispositivi usa i dispositivi caricati per individuare i dispositivi non gestiti, in modo che il team di sicurezza possa eseguire l'onboarding dei dispositivi non gestiti e ridurre la vulnerabilità. Altre informazioni sull'individuazione dei dispositivi. |
Funzionalità di anteprima | Microsoft aggiorna continuamente servizi come Defender for Business per includere nuove funzionalità e miglioramenti delle funzionalità. Se si acconsente esplicitamente a ricevere le funzionalità di anteprima, si sarà tra i primi a provare le funzionalità imminenti nell'esperienza di anteprima. Altre informazioni sulle funzionalità di anteprima. |
Visualizzare e modificare altre impostazioni nel portale di Microsoft Defender
Oltre ai criteri di sicurezza applicati ai dispositivi, sono disponibili altre impostazioni che è possibile visualizzare e modificare in Defender for Business. Ad esempio, specificare il fuso orario da usare ed eseguire l'onboarding o l'offboarding dei dispositivi.
Nota
Nel tenant potrebbero essere visualizzate più impostazioni di quelle elencate in questo articolo. Questo articolo evidenzia le impostazioni più importanti che è consigliabile esaminare in Defender per le aziende.
Impostazioni da rivedere per Defender for Business
La tabella seguente descrive le impostazioni che è possibile visualizzare e modificare in Defender per le aziende:
Categoria | Impostazione | Descrizione |
---|---|---|
Centro sicurezza | Fuso orario | Selezionare il fuso orario da usare per le date e le ore visualizzate in eventi imprevisti, minacce rilevate e analisi e correzione automatizzate. È possibile usare l'ora UTC o il fuso orario locale (scelta consigliata). |
Microsoft Defender XDR | Account | Visualizzare i dettagli, ad esempio dove sono archiviati i dati, l'ID tenant e l'ID dell'organizzazione (organizzazione). |
Microsoft Defender XDR | Funzionalità di anteprima | Attivare le funzionalità di anteprima per provare le funzionalità imminenti e le nuove funzionalità. È possibile essere tra i primi a visualizzare in anteprima le nuove funzionalità e a fornire commenti e suggerimenti. |
Endpoint | Notifiche tramite posta elettronica | Configurare o modificare le regole di notifica tramite posta elettronica. Quando vengono rilevate vulnerabilità o viene creato un avviso, i destinatari specificati nelle regole di notifica tramite posta elettronica riceveranno un messaggio di posta elettronica. Altre informazioni sulle notifiche tramite posta elettronica. |
Endpoint | Gestione dei dispositivi>Onboarding | Eseguire l'onboarding dei dispositivi in Defender for Business usando uno script scaricabile. Per altre informazioni, vedere Eseguire l'onboarding di dispositivi in Defender per le aziende. |
Endpoint | Gestione dei dispositivi>Offboarding | Dispositivi offboard (rimuovi) da Defender per le aziende. Quando si esegue l'offboarding di un dispositivo, i dati non vengono più inviati a Defender for Business, ma i dati ricevuti prima dell'offboarding vengono conservati. Per altre informazioni, vedere Offboarding a device (Offboarding di un dispositivo). |
Accedere alle impostazioni nel portale di Microsoft Defender
Passare al portale di Microsoft Defender (https://security.microsoft.com/) e accedere.
Selezionare Impostazioni e quindi selezionare una categoria, ad esempio Centro sicurezza, Microsoft Defender XDR o Endpoint.
Nell'elenco delle impostazioni selezionare un elemento da visualizzare o modificare.