Configurare le funzionalità di analisi e risposta automatizzate in Microsoft Defender XDR

Articolo
07/18/2024

Microsoft Defender XDR include potenti funzionalità automatizzate di analisi e risposta che consentono al team delle operazioni di sicurezza di risparmiare molto tempo e fatica. Con la correzione automatica, queste funzionalità simulano i passaggi che un analista della sicurezza potrebbe intraprendere per analizzare e rispondere alle minacce, solo più velocemente e con una maggiore capacità di scalabilità.

Questo articolo descrive come configurare l'analisi e la risposta automatizzate in Microsoft Defender XDR con questi passaggi:

Esaminare i prerequisiti.
Esaminare o modificare il livello di automazione per i gruppi di dispositivi.
Esaminare i criteri di sicurezza e avviso in Office 365.

Dopo aver configurato tutto, è quindi possibile visualizzare e gestire le azioni di correzione nel Centro notifiche. Se necessario, è possibile apportare modifiche alle impostazioni di indagine automatizzate.

Prerequisiti per l'analisi automatizzata e la risposta in Microsoft Defender XDR

Requisito	Dettagli
Requisiti dell'abbonamento	Una di queste sottoscrizioni: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security Microsoft 365 A3 con il componente aggiuntivo Microsoft 365 A5 Security Office 365 E5 più Enterprise Mobility + Security E5 più Windows E5 Vedere Requisiti di licenza di Microsoft Defender XDR.
Requisiti di rete	Microsoft Defender per identità abilitato Microsoft Defender per app cloud configurate Integrazione di Microsoft Defender per identità
Requisiti dei dispositivi Windows	Windows 11 Windows 10, versione 1709 o successiva installata (vedere informazioni sulla versione di Windows) Sono configurati i servizi di protezione dalle minacce seguenti: Microsoft Defender per endpoint Antivirus Microsoft Defender
Protezione del contenuto della posta elettronica e dei file di Office	Microsoft Defender per Office 365 è configurato Le funzionalità di analisi e correzione automatizzate in Defender per endpoint sono configurate (necessarie per le azioni di risposta manuale, ad esempio l'eliminazione di messaggi di posta elettronica nei dispositivi)
Autorizzazioni	Per configurare le funzionalità di analisi e risposta automatizzate, è necessario avere uno dei ruoli seguenti assegnati nell'ID Microsoft Entra (https://portal.azure.com) o nell'interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com): Amministratore globale Amministratore della sicurezza Per usare le funzionalità di analisi e risposta automatizzate, ad esempio esaminando, approvando o rifiutando le azioni in sospeso, vedere Autorizzazioni necessarie per le attività del Centro notifiche.

Nota

Microsoft consiglia di usare ruoli con meno autorizzazioni per una maggiore sicurezza. Il ruolo Amministratore globale, che dispone di molte autorizzazioni, deve essere usato solo in situazioni di emergenza quando nessun altro ruolo rientra.

Esaminare o modificare il livello di automazione per i gruppi di dispositivi

L'esecuzione di indagini automatizzate e l'esecuzione di azioni correttive automaticamente o solo dopo l'approvazione dei dispositivi dipendono da determinate impostazioni, ad esempio i criteri del gruppo di dispositivi dell'organizzazione. Esaminare il livello di automazione configurato per i criteri del gruppo di dispositivi. Per eseguire la procedura seguente, è necessario essere un amministratore globale o un amministratore della sicurezza:

Passare al portale di Microsoft Defender all'indirizzo https://security.microsoft.com e accedere.
Passare a Impostazioni>EndpointGruppi di> dispositivi in Autorizzazioni.
Esaminare i criteri del gruppo di dispositivi. In particolare, esaminare la colonna Livello di correzione . È consigliabile usare Full: correggere automaticamente le minacce. Potrebbe essere necessario creare o modificare i gruppi di dispositivi per ottenere il livello di automazione desiderato. Per ottenere assistenza con questa attività, vedere gli articoli seguenti:
- Come vengono risolte le minacce
- Creazione e gestione di gruppi di dispositivi

Esaminare i criteri di sicurezza e avviso in Office 365

Microsoft fornisce criteri di avviso predefiniti che consentono di identificare determinati rischi. Questi rischi includono l'uso improprio delle autorizzazioni di amministratore di Exchange, l'attività di malware, potenziali minacce esterne e interne e i rischi di gestione del ciclo di vita dei dati. Alcuni avvisi possono attivare indagini e risposte automatizzate in Office 365. Assicurarsi che le funzionalità di Defender per Office 365 siano configurate correttamente.

Anche se alcuni avvisi e criteri di sicurezza possono attivare indagini automatizzate, non vengono eseguite automaticamente azioni correttive per la posta elettronica e il contenuto. Al contrario, tutte le azioni di correzione per i contenuti di posta elettronica e posta elettronica attendono l'approvazione del team delle operazioni di sicurezza nel Centro notifiche.

Le impostazioni di sicurezza in Exchange Online Protection (EOP) e Defender per Office 365 consentono di proteggere posta elettronica e contenuto. È consigliabile usare i criteri di sicurezza predefiniti Standard e Strict per assegnare la protezione agli utenti.

Se si usano criteri personalizzati, usare l'analizzatore di configurazione per confrontare le impostazioni dei criteri con le impostazioni dei criteri di sicurezza predefiniti Standard e Strict. Per un elenco dettagliato di tutte le impostazioni dei criteri, vedere le tabelle in Impostazioni consigliate per la sicurezza di EOP e Microsoft Defender per Office 365.

È possibile esaminare i criteri di avviso nel portale di Defender in https://security.microsoft.com>Criteri & regole>Criteri di avviso o direttamente in https://security.microsoft.com/alertpoliciesv2. Nella categoria Gestione minacce sono inclusi diversi criteri di avviso predefiniti. Alcuni criteri di avviso nella categoria Gestione minacce possono attivare l'analisi e la risposta automatizzate. Per altre informazioni, vedere Criteri di avviso per la gestione delle minacce.

È necessario apportare modifiche alle impostazioni di indagine automatizzate?

È possibile scegliere tra diverse opzioni per modificare le impostazioni per le funzionalità automatizzate di analisi e risposta. Nella tabella seguente sono elencate alcune opzioni:

Per	Seguire questa procedura
Specificare i livelli di automazione per gruppi di dispositivi	Configurare uno o più gruppi di dispositivi. Vedere Creare e gestire gruppi di dispositivi. Nel portale di Microsoft Defender passare a Ruoli endpoint autorizzazioni>& gruppi Gruppi>di dispositivi. Selezionare un gruppo di dispositivi ed esaminarne l'impostazione a livello di automazione . (È consigliabile usare Full - Correggere automaticamente le minacce). Vedere Livelli di automazione nelle funzionalità di analisi e correzione automatizzate. Ripetere i passaggi 2 e 3 in base alle esigenze per tutti i gruppi di dispositivi.

Per

Seguire questa procedura

Specificare i livelli di automazione per gruppi di dispositivi

Configurare uno o più gruppi di dispositivi. Vedere Creare e gestire gruppi di dispositivi.
Nel portale di Microsoft Defender passare a Ruoli endpoint autorizzazioni>& gruppi Gruppi>di dispositivi.
Selezionare un gruppo di dispositivi ed esaminarne l'impostazione a livello di automazione . (È consigliabile usare Full - Correggere automaticamente le minacce). Vedere Livelli di automazione nelle funzionalità di analisi e correzione automatizzate.
Ripetere i passaggi 2 e 3 in base alle esigenze per tutti i gruppi di dispositivi.

Passaggi successivi

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.

Condividi tramite