Configurare l'interruzione automatica degli attacchi in Microsoft Defender XDR

Articolo
2025-05-16

Microsoft Defender XDR include potenti funzionalità di interruzione automatica degli attacchi che possono proteggere l'ambiente da attacchi sofisticati e ad alto impatto.

Questo articolo descrive come configurare le funzionalità di interruzione automatica degli attacchi in Microsoft Defender XDR. Dopo aver configurato tutto, è possibile visualizzare e gestire le azioni di contenimento in Eventi imprevisti e centro notifiche. E, se necessario, è possibile apportare modifiche alle impostazioni.

Prerequisiti

Di seguito sono riportati i prerequisiti per la configurazione dell'interruzione automatica degli attacchi in Microsoft Defender XDR:

Requisito	Dettagli
Requisiti dell'abbonamento	Una di queste sottoscrizioni: Microsoft 365 E5 o A5 Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security Microsoft 365 E3 con il componente aggiuntivo Enterprise Mobility + Security E5 Microsoft 365 A3 con il componente aggiuntivo sicurezza Microsoft 365 A5 Windows 10 Enterprise E5 o A5 Windows 11 Enterprise E5 o A5 Enterprise Mobility + Security (EMS) E5 o A5 Office 365 E5 o A5 Microsoft Defender per endpoint (piano 2) Microsoft Defender per identità Microsoft Defender for Cloud Apps Defender per Office 365 (Piano 2) Microsoft Defender for Business Vedere Microsoft Defender XDR requisiti di licenza.
Requisiti di distribuzione	Distribuzione tra i prodotti Defender (ad esempio Defender per endpoint, Defender per Office 365, Defender per identità e Defender for Cloud Apps) Più ampia è la distribuzione, maggiore è la copertura di protezione. Ad esempio, se un segnale Microsoft Defender for Cloud Apps viene usato in un determinato rilevamento, questo prodotto è necessario per rilevare lo scenario di attacco specifico pertinente. Analogamente, il prodotto pertinente deve essere distribuito per eseguire un'azione di risposta automatizzata. Ad esempio, Microsoft Defender per endpoint deve contenere automaticamente un dispositivo. l'individuazione del dispositivo di Microsoft Defender per endpoint è impostata su 'individuazione standard' (prerequisito per l'avvio automatico dell'azione "Contain Device")
Autorizzazioni	Per configurare le funzionalità di interruzione automatica degli attacchi, è necessario avere uno dei ruoli seguenti assegnati in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com): Amministratore globale Amministratore della sicurezza Per usare le funzionalità di analisi e risposta automatizzate, ad esempio esaminando, approvando o rifiutando le azioni in sospeso, vedere Autorizzazioni necessarie per le attività del Centro notifiche.

Requisito

Dettagli

Requisiti dell'abbonamento

Una di queste sottoscrizioni:

Microsoft 365 E5 o A5
Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security
Microsoft 365 E3 con il componente aggiuntivo Enterprise Mobility + Security E5
Microsoft 365 A3 con il componente aggiuntivo sicurezza Microsoft 365 A5
Windows 10 Enterprise E5 o A5
Windows 11 Enterprise E5 o A5
Enterprise Mobility + Security (EMS) E5 o A5
Office 365 E5 o A5
Microsoft Defender per endpoint (piano 2)
Microsoft Defender per identità
Microsoft Defender for Cloud Apps
Defender per Office 365 (Piano 2)
Microsoft Defender for Business

Vedere Microsoft Defender XDR requisiti di licenza.

Requisiti di distribuzione

Distribuzione tra i prodotti Defender (ad esempio Defender per endpoint, Defender per Office 365, Defender per identità e Defender for Cloud Apps)

Più ampia è la distribuzione, maggiore è la copertura di protezione. Ad esempio, se un segnale Microsoft Defender for Cloud Apps viene usato in un determinato rilevamento, questo prodotto è necessario per rilevare lo scenario di attacco specifico pertinente.
Analogamente, il prodotto pertinente deve essere distribuito per eseguire un'azione di risposta automatizzata. Ad esempio, Microsoft Defender per endpoint deve contenere automaticamente un dispositivo.

l'individuazione del dispositivo di Microsoft Defender per endpoint è impostata su 'individuazione standard' (prerequisito per l'avvio automatico dell'azione "Contain Device")

Autorizzazioni

Per configurare le funzionalità di interruzione automatica degli attacchi, è necessario avere uno dei ruoli seguenti assegnati in Microsoft Entra ID (https://portal.azure.com) o nel interfaccia di amministrazione di Microsoft 365 (https://admin.microsoft.com):

Amministratore globale
Amministratore della sicurezza

Per usare le funzionalità di analisi e risposta automatizzate, ad esempio esaminando, approvando o rifiutando le azioni in sospeso, vedere Autorizzazioni necessarie per le attività del Centro notifiche.

prerequisiti Microsoft Defender per endpoint

Versione minima del client sense (client MDE)

La versione minima dell'agente di valutazione necessaria per il funzionamento dell'azione Contain User è v10.8470. È possibile identificare la versione di Sense Agent in un dispositivo eseguendo il comando di PowerShell seguente:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation" o Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status' -Name "MsSenseDllVersion"

Impostazione di automazione per i dispositivi delle organizzazioni

Esaminare il livello di automazione configurato per i criteri del gruppo di dispositivi, se vengono eseguite indagini automatizzate e se le azioni di correzione vengono eseguite automaticamente o solo dopo l'approvazione dei dispositivi in base a determinate impostazioni. Per eseguire la procedura seguente, è necessario essere un amministratore globale o un amministratore della sicurezza:

Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
Passare aImpostazioni>di sistema>Endpoint Gruppi di>dispositivi in Autorizzazioni.
Esaminare i criteri del gruppo di dispositivi e esaminare la colonna Livello di correzione . È consigliabile usare Full: correggere automaticamente le minacce.

È anche possibile creare o modificare i gruppi di dispositivi per impostare il livello di correzione appropriato per ogni gruppo. La selezione del livello di automazione semi consente di attivare l'interruzione automatica degli attacchi senza la necessità di approvazione manuale. Per escludere un gruppo di dispositivi dal contenimento automatizzato, è possibile impostarne il livello di automazione su nessuna risposta automatizzata. Si noti che questa impostazione non è altamente consigliata e deve essere eseguita solo per un numero limitato di dispositivi.

Nota

L'interruzione degli attacchi può agire sui dispositivi indipendentemente dallo stato operativo Microsoft Defender Antivirus di un dispositivo. Lo stato operativo può essere attivo, passivo o in modalità blocco EDR.

Prerequisiti di Microsoft Defender per identità

Configurare il controllo nei controller di dominio

Informazioni su come configurare il controllo nei controller di dominio in Configurare i criteri di controllo per i log eventi di Windows per assicurarsi che gli eventi di controllo necessari siano configurati nei controller di dominio in cui viene distribuito il sensore Defender per identità.

Convalidare gli account azione

Defender per identità consente di eseguire azioni correttive destinate agli account Active Directory locale nel caso in cui un'identità venga compromessa. Per eseguire queste azioni, Defender per identità deve disporre delle autorizzazioni necessarie per eseguire questa operazione. Per impostazione predefinita, il sensore Defender per identità rappresenta l'account LocalSystem del controller di dominio ed esegue le azioni. Poiché è possibile modificare l'impostazione predefinita, verificare che Defender per identità disponga delle autorizzazioni necessarie o usi l'account LocalSystem predefinito.

Per altre informazioni sugli account azione, vedere Configurare gli account azione Microsoft Defender per identità

Il sensore Defender per identità deve essere distribuito nel controller di dominio in cui l'account di Active Directory deve essere disattivato.

Nota

Se è stata eseguita l'automazione per attivare o bloccare un utente, verificare se l'automazione può interferire con l'interruzione. Ad esempio, se è in atto un'automazione per verificare e applicare regolarmente che tutti i dipendenti attivi abbiano abilitato gli account, questo potrebbe attivare involontariamente gli account disattivati dall'interruzione dell'attacco mentre viene rilevato un attacco.

prerequisiti Microsoft Defender for Cloud Apps

connettore Microsoft Office 365

Microsoft Defender for Cloud Apps deve essere connesso a Microsoft Office 365 tramite il connettore. Per connettersi Defender for Cloud Apps, vedere Connettere Microsoft 365 a Microsoft Defender for Cloud Apps.

App Governance

La governance delle app deve essere attivata. Per attivarlo, vedere la documentazione sulla governance delle app .

Microsoft Defender per Office 365 prerequisiti

Percorso delle cassette postali

Le cassette postali devono essere ospitate in Exchange Online.

Registrazione di controllo delle cassette postali

È necessario controllare almeno gli eventi della cassetta postale seguenti:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
SoftDelete
HardDelete

Per informazioni sulla gestione del controllo delle cassette postali, vedere Gestire il controllo delle cassette postali .

I criteri safelink devono essere presenti

Passaggi successivi

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.

Condividi tramite