Configurare le funzionalità di indagine e correzione automatizzate

  • 5 minuti

Per configurare l'indagine e la correzione automatizzate, attivare le funzionalità e quindi configurare i gruppi di dispositivi.

Attivare l'indagine e la correzione automatizzate

Amministratore globale o amministratore della sicurezza:

  1. Nel riquadro di spostamento selezionare Impostazioni > Endpoint.

  2. Nella sezione Generale selezionare Funzionalità avanzate.

  3. Attivare entrambe le opzioni Indagine automatizzata e Automatically resolve alerts (Risolvi automaticamente gli avvisi).

Configurare i gruppi di dispositivi

  1. Nel riquadro di spostamento per Endpoint selezionare Gruppi di dispositivi in Autorizzazioni.

  2. Selezionare + Add device group (+ Aggiungi gruppo di dispositivi).

    • Creare almeno un gruppo di dispositivi, come indicato di seguito:

      • Specificare un nome e una descrizione per il gruppo di dispositivi.

      • Nell'elenco dei livelli di automazione selezionare un livello, ad esempio Full – remediate threats automatically (Completa - Correggi automaticamente le minacce). Il livello di automazione determina se le azioni correttive vengono eseguite automaticamente o solo dopo l'approvazione. Per altre informazioni, vedere Come vengono risolte le minacce.

      • Nella sezione Dispositivi usare una o più condizioni per identificare e includere i dispositivi.

      • Nella scheda Accesso utente selezionare i gruppi di Azure Active Directory a cui concedere l'accesso al gruppo di dispositivi in fase di creazione.

  3. Selezionare Fine al termine della configurazione del gruppo di dispositivi.

Livelli di automazione

Full - remediate threats automatically (Completa - Correggi automaticamente le minacce), nota anche come automazione completa

Con l'automazione completa, le azioni di correzione vengono eseguite automaticamente. Tutte le azioni di correzione eseguite possono essere visualizzate nella scheda Cronologia del centro notifiche. Se necessario, un'azione di correzione può essere annullata.

Semi - require approval for any remediation (Semi - Richiedi l'approvazione per qualsiasi correzione), nota anche come semi-automazione

Con questo livello di semi-automazione, è richiesta l'approvazione per tutte le azioni di correzione. Tali azioni in sospeso possono essere visualizzate e approvate nella scheda In sospeso del centro notifiche.

Semi - require approval for core folders remediation (Semi - Richiedi l'approvazione per la correzione delle cartelle di base), un altro tipo di semi-automazione

Con questo livello di semi-automazione, è richiesta l'approvazione per tutte le azioni di correzione necessarie per i file o per gli eseguibili presenti nelle cartelle di base. Le cartelle di base includono le directory del sistema operativo, ad esempio Windows (\windows*). Le azioni di correzione possono essere eseguite automaticamente sui file o sugli eseguibili che si trovano in altre cartelle (non di base). Le azioni in sospeso per i file o gli eseguibili nelle cartelle di base possono essere visualizzate e approvate nella scheda In sospeso del Centro notifiche. Le azioni eseguite sui file o sugli eseguibili in altre cartelle possono essere visualizzate nella scheda Cronologia del Centro notifiche.

Semi - require approval for non-temp folders remediation (Semi - Richiedi l'approvazione per la correzione delle cartelle non temporanee), un altro tipo di semi-automazione

Con questo livello di semi-automazione, è richiesta l'approvazione per tutte le azioni di correzione necessarie per i file o gli eseguibili che non si trovano in cartelle temporanee.

Le cartelle temporanee possono includere gli esempi seguenti:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \programmi\

  • \programmi (x86)*

  • \documents and settings*\users*

Le azioni di correzione possono essere eseguite automaticamente sui file o sugli eseguibili nelle cartelle temporanee. Le azioni in sospeso per i file o gli eseguibili in cartelle non temporanee possono essere visualizzate e approvate nella scheda In sospeso del Centro notifiche. Le azioni eseguite sui file o sugli eseguibili in cartelle temporanee possono essere visualizzate nella scheda Cronologia del Centro notifiche.

No automated response (Nessuna risposta automatizzata), nota anche come 'nessuna automazione'

Senza automazione, l'indagine automatizzata non viene eseguita nei dispositivi dell'organizzazione. Di conseguenza, non vengono eseguite azioni di correzione e non sono presenti azioni in sospeso in seguito a un'indagine automatizzata. Tuttavia, le altre funzionalità di protezione dalle minacce, ad esempio la protezione da applicazioni potenzialmente indesiderate, possono essere attive, a seconda di come sono configurate le funzionalità di antivirus e protezione di nuova generazione.

Non è consigliabile usare l'opzione "nessuna automazione" perché riduce la postura di sicurezza dei dispositivi dell'organizzazione. Si consiglia di configurare il livello di automazione sull'automazione completa o almeno sulla semi-automazione.

Configurare rapidamente i livelli di correzione nei gruppi di dispositivi

Un altro modo per impostare o aggiornare i livelli di correzione nei gruppi di dispositivi è disponibile nella pagina Impostazioni, Generali, Correzione automatica. La pagina fornisce un elenco di gruppi di dispositivi e il livello di correzione corrente corrispondente. Selezionare la riga per modificare l'impostazione di correzione.