Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce informazioni su come escludere gli asset dall'essere contenuti automaticamente dall'interruzione automatica degli attacchi in Microsoft Defender XDR.
L'interruzione automatica degli attacchi consente l'esclusione di account utente, dispositivi e indirizzi IP specifici da azioni di contenimento automatizzate. Una volta esclusi, questi asset non saranno interessati da azioni automatizzate attivate dall'interruzione dell'attacco.
Attenzione
Non è consigliabile escludere gli asset dalle risposte automatizzate. L'esclusione di asset dalle risposte automatizzate può ridurre l'efficacia dell'interruzione automatica degli attacchi nella protezione dell'ambiente da attacchi sofisticati e ad alto impatto.
Prerequisiti
Per escludere gli asset dalle risposte automatizzate nell'interruzione automatica degli attacchi, è necessario avere uno dei ruoli seguenti assegnati in Microsoft Entra ID (https://portal.azure.com) o nella interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com):
- Amministratore globale
- Amministratore della sicurezza
Esaminare o modificare le esclusioni di risposta automatizzate per gli asset
Per escludere gli asset dalle risposte automatizzate nell'interruzione automatica degli attacchi, seguire questa procedura:
Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
Passare a Impostazioni>Microsoft Defender XDR.
Escludere gli account utente
In Risposta automatica selezionare Identità.
Per escludere un account utente, selezionare Aggiungi esclusione utente. Viene visualizzato un riquadro a comparsa.
Nel riquadro a comparsa immettere i nomi degli account utente nella casella Seleziona utenti e selezionare gli account utente da escludere.
Selezionare Escludi utenti per salvare l'esclusione.
Escludere i gruppi di dispositivi
Attenzione
L'esclusione dei gruppi di dispositivi dalle risposte automatizzate influisce anche sulle azioni automatizzate di indagine e risposta .
In Risposte automatizzate selezionare Dispositivi.
Nella scheda Gruppi di dispositivi scegliere un gruppo di dispositivi selezionando la casella di controllo accanto al nome del gruppo nell'elenco per configurare le impostazioni di automazione dell'interruzione degli attacchi.
Nel riquadro a comparsa selezionare il livello di automazione appropriato per il gruppo di dispositivi. È possibile scegliere uno dei livelli di automazione seguenti appropriati per il gruppo di dispositivi:
- Completa: corregge automaticamente le minacce: contiene automaticamente i dispositivi quando viene rilevata una minaccia.
- Semi : richiede l'approvazione per le cartelle di base: analizza automaticamente i dispositivi quando viene ricevuto un avviso e applica azioni di correzione ad eccezione degli elementi all'interno delle cartelle di sistema di base. Le azioni di correzione per le cartelle principali richiedono l'approvazione.
- Semi: richiede l'approvazione per le cartelle non temporanee: analizzare e applicare automaticamente la correzione alle azioni all'interno delle cartelle temp e download quando viene ricevuto un avviso. Tutte le altre azioni correttive richiedono l'approvazione.
- Semi: richiede l'approvazione per tutte le cartelle: analizzare automaticamente i dispositivi quando viene ricevuto un avviso. Tutte le azioni di correzione richiedono l'approvazione.
- Nessuna risposta automatizzata: non viene eseguita alcuna indagine o risposta automatizzata per i dispositivi in questo gruppo.
Selezionare Salva per salvare il livello di automazione per il gruppo di dispositivi.
Importante
Alcune informazioni in questo articolo si riferiscono a un prodotto pre-noleggiato, che può essere modificato in modo sostanziale prima che venga rilasciato commercialmente. Microsoft non fornisce alcuna garanzia espressa o implicita in relazione alle informazioni fornite qui.
Escludere indirizzi IP
In Risposte automatizzate selezionare Dispositivi.
Nella scheda IP selezionare Escludi IP per escludere un indirizzo IP.
Nel riquadro a comparsa immettere l'indirizzo IP/intervallo IP/subnet IP da escludere. È possibile aggiungere più indirizzi IP e subnet IP separandoli con una virgola.
Aggiungere un nome e una nota per l'esclusione. Selezionare Crea per salvare l'esclusione.
Rimuovere le esclusioni
Per rimuovere un'esclusione:
- Passare alla pagina Identità . Selezionare l'account utente da rimuovere dall'elenco e quindi selezionare Rimuovi.
- Passare alla pagina Dispositivi e passare alla scheda INDIRIZZI IP . Selezionare l'indirizzo IP da rimuovere dall'elenco e quindi selezionare Rimuovi esclusione.
- Le esclusioni dei gruppi di dispositivi possono essere configurate nella scheda Gruppi di dispositivi . Selezionare il gruppo di dispositivi da configurare dall'elenco e scegliere l'esclusione appropriata dal riquadro a comparsa. Selezionare Salva per salvare l'esclusione.
Rifiuto esplicito dell'interruzione automatica degli attacchi
Rifiutare esplicitamente l'interruzione degli attacchi può aumentare notevolmente il rischio per la sicurezza. È consigliabile escludere invece entità specifiche .
Se è necessario rifiutare esplicitamente l'interruzione dell'attacco, è possibile farlo aprendo un caso di supporto nel portale di Microsoft Defender con l'oggetto Interruzione dell'attacco opt-out. Nella richiesta specificare che si desidera rifiutare esplicitamente l'interruzione dell'attacco e includere una breve spiegazione della decisione. Questo feedback ci aiuta a migliorare la funzionalità e a comprendere meglio le esigenze dei clienti. Rifiutando esplicitamente, si riceveranno comunque avvisi relativi all'interruzione degli attacchi, ma non vengono eseguite azioni automatizzate.
Vedere anche
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.