Introduzione a Microsoft Defender per endpoint Piano 1
Si applica a:
Il portale di Microsoft Defender (https://security.microsoft.com) consente di visualizzare informazioni sulle minacce rilevate, gestire avvisi e eventi imprevisti, intraprendere qualsiasi azione necessaria sulle minacce rilevate e gestire i dispositivi. Nel portale di Microsoft Defender è possibile iniziare a interagire con le funzionalità di protezione dalle minacce disponibili con Defender per endpoint Piano 1. Le sezioni seguenti descrivono come iniziare:
- Portale Microsoft Defender
- Visualizzazione e gestione di eventi imprevisti & avvisi
- Gestione dei dispositivi
- Visualizzazione dei report
Portale Microsoft Defender
Il portale di Microsoft Defender (https://security.microsoft.com) consente di visualizzare avvisi, gestire i dispositivi e visualizzare i report. Quando si accede al portale di Microsoft Defender, si inizia con la home page, simile all'immagine seguente:
La home page offre al team di sicurezza una visualizzazione aggregata snapshot degli avvisi, dello stato del dispositivo e delle minacce rilevate. Microsoft Defender XDR è configurato in modo che il team delle operazioni di sicurezza possa trovare le informazioni che stanno cercando in modo rapido e semplice.
Nota
Gli esempi illustrati in questo articolo potrebbero essere diversi da quelli visualizzati nel portale di Microsoft Defender. Ciò che viene visualizzato nel portale dipende dalle licenze e dalle autorizzazioni. Inoltre, il team di sicurezza può personalizzare il portale dell'organizzazione aggiungendo, rimuovendo e riorganizzando le schede.
Le schede evidenziano le informazioni chiave e includono raccomandazioni
La home page include schede, ad esempio la scheda Eventi imprevisti attivi visualizzata nell'immagine seguente:
La scheda fornisce informazioni a colpo d'occhio, insieme a un collegamento o a un pulsante che è possibile selezionare per visualizzare informazioni più dettagliate. Facendo riferimento alla scheda Eventi imprevisti attivi di esempio, è possibile selezionare Visualizza tutti gli eventi imprevisti per passare all'elenco degli eventi imprevisti.
La barra di spostamento semplifica la ricerca di avvisi, centro notifiche e altro ancora
La barra di spostamento sul lato sinistro dello schermo consente di spostarsi facilmente tra eventi imprevisti, avvisi, centro notifiche, report e impostazioni. Nella tabella seguente viene descritta la barra di spostamento.
| Elemento della barra di spostamento | Descrizione |
|---|---|
| Home | Passa alla home page del portale di Microsoft Defender. |
| Eventi imprevisti & avvisi | Si espande per visualizzare eventi imprevisti e avvisi. |
| Eventi imprevisti & avvisi>Incidenti | Passa all'elenco Eventi imprevisti . Gli eventi imprevisti vengono creati quando vengono attivati avvisi e/o vengono rilevate minacce. Per impostazione predefinita, l'elenco Eventi imprevisti visualizza i dati degli ultimi 30 giorni, con l'evento imprevisto più recente elencato per primo. Per altre informazioni, vedere Eventi imprevisti. |
| Eventi imprevisti & avvisi>Avvisi | Passa all'elenco Avvisi (noto anche come coda avvisi). Gli avvisi vengono attivati quando viene rilevato un file, un processo o un comportamento sospetto o dannoso. Per impostazione predefinita, l'elenco Avvisi visualizza i dati degli ultimi 30 giorni, con l'avviso più recente elencato per primo. Per altre informazioni, vedere Avvisi. |
| Eventi imprevisti & avvisi>avvisi di collaborazione Email & | Se la sottoscrizione include Microsoft Defender per Office 365, vengono generati avvisi quando vengono rilevate potenziali minacce nella posta elettronica e nei file di Office. |
| Azioni & invii>Centro notifiche | Passa al Centro notifiche, che tiene traccia delle azioni di correzione e risposta manuale. Il Centro notifiche tiene traccia di attività come queste: - Microsoft Defender Antivirus rileva un file dannoso e quindi blocca/rimuove tale file. - Il team di sicurezza isola un dispositivo. - Defender per endpoint rileva e mette in quarantena un file. Per altre informazioni, vedere Centro notifiche. |
| Azioni & invii>Osservazioni | Passa al portale degli invii unificato, in cui gli amministratori possono inviare file a Microsoft per la revisione. Per altre informazioni, vedere Inviare file in Microsoft Defender per endpoint. |
| Punteggio di sicurezza | Visualizza una rappresentazione del comportamento di sicurezza dell'organizzazione insieme a un elenco di azioni e metriche consigliate. Per altre informazioni, vedere Microsoft Secure Score. |
| Hub di apprendimento | Passa a un elenco di percorsi di apprendimento a cui è possibile accedere per altre informazioni sulle funzionalità di sicurezza di Microsoft 365. |
| Prove | Passa a un elenco di sottoscrizioni di valutazione gratuite di Microsoft 365 che è possibile avviare. L'avvio di una versione di valutazione consente di prendere decisioni informate sugli acquisti o gli aggiornamenti. Si applicano determinati termini e condizioni. Vedere Termini e condizioni della versione di valutazione di Microsoft 365. |
| Catalogo del partner | Se stai cercando un partner Microsoft che ti aiuti con la sicurezza e altre impostazioni, consulta gli elenchi dei partner in questo catalogo. |
| Asset>Dispositivi | Passa all'elenco di dispositivi di cui viene eseguita l'onboarding in Defender per endpoint. Fornisce informazioni sui dispositivi, ad esempio i livelli di esposizione e di rischio. Per altre informazioni, vedere Inventario dei dispositivi. |
| Endpoint>Gestione della configurazione>Cruscotto | Passa a un dashboard con schede che mostrano lo stato di sicurezza corrente con collegamenti per migliorare il punteggio, configurare le funzionalità, caricare i dispositivi e altre informazioni sulle funzionalità. |
| Report | Passa ai report, ad esempio il report sulla protezione dalle minacce, il report integrità e conformità dei dispositivi e il report sulla protezione Web. |
| Integrità | Include collegamenti alla Integrità dei servizi e al Centro messaggi. |
| Salute>Integrità dei servizi | Passa alla pagina Integrità dei servizi nel interfaccia di amministrazione di Microsoft 365. Questa pagina consente di visualizzare lo stato di integrità in tutti i servizi disponibili con le sottoscrizioni dell'organizzazione. |
| Salute>Centro messaggi | Passa al Centro messaggi nel interfaccia di amministrazione di Microsoft 365. Il Centro messaggi fornisce informazioni sulle modifiche pianificate. Ogni messaggio descrive cosa sta arrivando, come potrebbe influire sugli utenti e come gestire le modifiche. |
| Autorizzazioni & ruoli | Consente di concedere le autorizzazioni per l'uso del portale di Microsoft Defender. Le autorizzazioni vengono concesse tramite i ruoli in Microsoft Entra ID. Selezionare un ruolo e viene visualizzato un riquadro a comparsa. Il riquadro a comparsa contiene un collegamento a Microsoft Entra ID in cui è possibile aggiungere o rimuovere membri in un gruppo di ruoli. Per altre informazioni, vedere Gestire l'accesso al portale usando il controllo degli accessi in base al ruolo. |
| Impostazioni | Passa alle impostazioni generali per il portale di Microsoft Defender (elencato come Centro sicurezza) e Defender per endpoint (elencato come Endpoint). Per altre informazioni, vedere Impostazioni. |
| Altre risorse | Visualizza un elenco di altri portali e centri, ad esempio Microsoft Entra ID e il Portale di conformità di Microsoft Purview. Per altre informazioni, vedere i portali di sicurezza e le interfacce di amministrazione Microsoft. |
Consiglio
Per altre informazioni, vedere panoramica del portale di Microsoft Defender.
Visualizzare e gestire gli eventi imprevisti & gli avvisi
Quando si accede al portale di Microsoft Defender, assicurarsi di visualizzare e gestire gli eventi imprevisti e gli avvisi. Iniziare con l'elenco Eventi imprevisti . L'immagine seguente mostra un elenco di eventi imprevisti, tra cui uno con gravità elevata e un altro con gravità media.
Selezionare un evento imprevisto per visualizzare i dettagli sull'evento imprevisto. I dettagli includono quali avvisi sono stati attivati, quanti dispositivi e utenti sono stati interessati e altri dettagli. L'immagine seguente mostra un esempio di dettagli dell'evento imprevisto.
Usare le schede Avvisi, Dispositivi e Utenti per visualizzare altre informazioni, ad esempio gli avvisi attivati, i dispositivi interessati e gli account utente interessati. Da qui è possibile eseguire azioni di risposta manuali, ad esempio isolare un dispositivo, arrestare e mettere in quarantena un file e così via.
Consiglio
Per altre informazioni sull'uso della visualizzazione Eventi imprevisti , vedere Gestire gli eventi imprevisti.
Gestire i dispositivi
Per visualizzare e gestire i dispositivi dell'organizzazione, nella barra di spostamento, in Asset selezionare Dispositivi. Viene visualizzato un elenco di dispositivi. L'elenco include i dispositivi per i quali sono stati generati avvisi. Per impostazione predefinita, i dati visualizzati sono relativi agli ultimi 30 giorni, con gli elementi più recenti elencati per primi. Selezionare un dispositivo per visualizzare altre informazioni su di esso. Viene aperto un riquadro a comparsa, come illustrato nell'immagine seguente:
Il riquadro a comparsa visualizza i dettagli, ad esempio eventuali avvisi attivi per il dispositivo, e include collegamenti per eseguire azioni, ad esempio l'isolamento di un dispositivo.
Se nel dispositivo sono presenti avvisi attivi, è possibile visualizzarli nel riquadro a comparsa. Selezionare un singolo avviso per visualizzare altri dettagli su di esso. In alternativa, eseguire un'azione, ad esempio Isolare il dispositivo, in modo da poter analizzare ulteriormente il dispositivo riducendo al minimo il rischio di infettare altri dispositivi.
Consiglio
Per altre informazioni, vedere Analizzare i dispositivi nell'elenco Dispositivi di Defender per endpoint.
Visualizzazione di report
In Defender per endpoint Piano 1 sono disponibili diversi report nel portale di Microsoft Defender. Per accedere ai report, seguire questa procedura:
Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
Nella barra di spostamento scegliere Report.
Selezionare un report nell'elenco. I report includono:
- Report di protezione dalle minacce.
- Report sull'integrità dei dispositivi
- Report sulla protezione Web
Consiglio
Per altre informazioni, vedere Report sulla protezione dalle minacce.
Report di protezione dalle minacce.
Per accedere al report di Protezione dalle minacce, nel portale di Microsoft Defender scegliere Report e quindi Protezione dalle minacce. Il report di Threat Protection mostra tendenze, stato, categorie e altro ancora. Le visualizzazioni sono disposte in due colonne: Tendenze avvisi e Stato avviso, come illustrato nell'immagine seguente:
Scorrere verso il basso per visualizzare tutte le visualizzazioni in ogni elenco.
- Per impostazione predefinita, le visualizzazioni nella colonna Tendenze avviso visualizzano i dati degli ultimi 30 giorni, ma è possibile impostare una visualizzazione per visualizzare i dati per gli ultimi tre mesi, gli ultimi sei mesi o un intervallo di tempo personalizzato (fino a 180 giorni).
- Le visualizzazioni nella colonna Stato avviso sono uno snapshot per il giorno lavorativo precedente.
Consiglio
Per altre informazioni, vedere Report sulla protezione dalle minacce in Defender per endpoint.
Report sull'integrità dei dispositivi
Per accedere al report integrità del dispositivo, nel portale di Microsoft Defender scegliere Report e quindi Scegliere Integrità del dispositivo. Il report Integrità dei dispositivi mostra lo stato di integrità e l'antivirus nei dispositivi dell'organizzazione. Analogamente al report Protezione dalle minacce, le visualizzazioni sono disposte in due colonne: Tendenze del dispositivo e Riepilogo del dispositivo, come illustrato nell'immagine seguente:
Scorrere verso il basso per visualizzare tutte le visualizzazioni in ogni elenco. Per impostazione predefinita, le visualizzazioni nella colonna Tendenze dispositivo visualizzano i dati degli ultimi 30 giorni, ma è possibile modificare una visualizzazione per visualizzare i dati degli ultimi tre mesi, degli ultimi sei mesi o di un intervallo di tempo personalizzato (fino a 180 giorni). Le visualizzazioni di riepilogo del dispositivo sono snapshot per il giorno lavorativo precedente.
Consiglio
Per altre informazioni, vedere Integrità del dispositivo.
Report sulla protezione Web
Per accedere al report integrità del dispositivo, nel portale di Microsoft Defender scegliere Report e quindi scegliere Protezione Web. Il report protezione Web mostra i rilevamenti nel tempo, ad esempio URL dannosi e tentativi di accesso agli URL bloccati, come illustrato nell'immagine seguente:
Scorrere verso il basso per visualizzare tutte le visualizzazioni nel report protezione Web. Alcune visualizzazioni includono collegamenti che consentono di visualizzare altri dettagli, configurare le funzionalità di protezione dalle minacce e persino gestire gli indicatori che fungono da eccezioni in Defender per endpoint.
Consiglio
Per altre informazioni, vedere Protezione Web.
Passaggi successivi
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.