Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre una panoramica della funzionalità Azioni di risposta selettiva in Microsoft Defender per endpoint. Il gruppo di destinatari è costituito da amministratori della sicurezza e team operativi IT responsabili della gestione delle Microsoft Defender per endpoint in ambienti che includono sistemi di livello 0 e asset di valore elevato, ad esempio controller di dominio, server ADFS e altre infrastrutture critiche.
Panoramica
Azioni di risposta selettiva è una funzionalità Microsoft Defender per endpoint che consente alle organizzazioni di personalizzare le operazioni di sicurezza ad alto impatto durante l'onboarding. Fornisce un controllo preciso sul modo in cui le azioni di risposta vengono applicate ai sistemi di livello 0 e ad altri asset di alto valore, contribuendo a mantenere la stabilità operativa offrendo al tempo stesso una protezione avanzata.
Background
La distribuzione di Microsoft Defender per endpoint in asset di valore elevato, ad esempio controller di dominio, server ADFS e altri sistemi di livello 0, richiede un approccio ponderato per bilanciare la protezione avanzata con la stabilità operativa. Date le potenti funzionalità di risposta disponibili, le organizzazioni spesso cercano un maggiore controllo su come queste azioni vengono applicate negli ambienti sensibili.
Molte organizzazioni, in particolare quelle con rigidi criteri di gestione degli accessi con privilegi, preferiscono anche limitare le azioni amministrative avviate dal cloud nei sistemi di livello 0 per allinearsi ai requisiti di sicurezza e conformità.
La funzionalità Azioni di risposta selettiva soddisfa queste esigenze fornendo un approccio più controllato e flessibile. Consente alle organizzazioni di definire esattamente quali azioni di risposta sono consentite per gli asset critici, contribuendo a mantenere la continuità operativa pur traendo vantaggio dalla protezione di Defender.
Come funziona la funzionalità?
In primo luogo, la funzionalità deve essere abilitata nel tenant. Vedere Abilitare le azioni di risposta selettiva.
Dopo aver abilitato la funzionalità, usare lo strumento di distribuzione Defender (DDT) per creare un pacchetto di onboarding con impostazioni di operazioni di sicurezza limitate. Quando si configura il pacchetto, è possibile scegliere tra la funzionalità completa (la modalità di onboarding predefinita, in cui tutte le azioni di risposta sono consentite nel dispositivo sottoposto a onboarding) e la funzionalità con restrizioni (in cui le azioni di risposta ad impatto elevato possono essere non consentite). Se si sceglie la funzionalità con restrizioni, è possibile specificare quali azioni sono consentite nel dispositivo dopo l'onboarding.
Nella tabella seguente vengono descritte le azioni di risposta ad impatto elevato che è possibile consentire o non consentire.
| Funzionalità | Descrizione | Osservazioni |
|---|---|---|
| Risposta di base | Eseguire l'analisi antivirus, raccogliere file e raccogliere il pacchetto di analisi. | La funzionalità Raccogli file si riferisce al recupero di un file dalla pagina File nel portale, non al GetFile comando disponibile in Live Response. |
| Risposta avanzata | Isolare il dispositivo, limitare l'esecuzione dell'app e richiedere la correzione. | La correzione delle richieste consente agli amministratori della sicurezza di avviare azioni di correzione per le vulnerabilità identificate in un dispositivo specifico. |
| Live Response | Consente sessioni di risposta in tempo reale al dispositivo remoto. | |
| Protezione dei dispositivi | Consente di eseguire indagini e risposte automatizzate (AIR) sul dispositivo. | Questo vale sia per AIR attivato automaticamente che per AIR avviato manualmente. |
Per istruzioni dettagliate su come usare lo strumento di distribuzione Defender per creare pacchetti di onboarding con impostazioni di operazioni di sicurezza limitate, vedere Distribuire Microsoft Defender per endpoint nei dispositivi Windows usando lo strumento di distribuzione Defender (anteprima).
Nota
I dispositivi caricati in modalità con restrizioni non supportano l'esecuzione di script Live Response, che è disabilitata dalla progettazione, anche se Live Response è abilitato. La modalità con restrizioni non influisce sul rilevamento, sugli avvisi o sulla copertura del sensore. Tutti gli avvisi, le sequenze temporali e i rilevamenti delle minacce continuano a funzionare come previsto.
Prerequisiti e sistemi operativi supportati
La modalità con restrizioni è supportata nelle workstation client Windows seguenti e Windows Server sistemi operativi che eseguono Sense versione 10.8798 o successiva.
Sistema operativo KB richiesto Windows Server 2025, tutte le edizioni KB5063878 Windows Server 2022 KB5063880 Windows Server 2019 KB5063877 Windows 10 22H2 KB5062649 Windows 11 23H2 KB5062663 Windows 11 24H2 KB5062660 Windows 11 25H2 Tutti Per usare la modalità con restrizioni, è necessario abilitare l'opzione di funzionalità Consenti operazioni di sicurezza con restrizioni durante l'onboarding . Vedere Abilitazione della funzionalità azioni di risposta selettiva.
Abilitazione della funzionalità azioni di risposta selettiva
Per usare la funzionalità azioni di risposta selettiva, abilitare la funzionalità nel portale di Microsoft Defender:
- Accedere al portale di Microsoft Defender.
- Passare a Impostazioni>Endpoint>Funzionalità avanzate.
- Attivare Consenti operazioni di sicurezza limitate durante l'onboarding.
Una volta abilitata, l'opzione in modalità con restrizioni diventa disponibile quando si creano pacchetti di distribuzione defender per Windows tramite lo strumento di distribuzione defender (DDT). È quindi possibile creare pacchetti di distribuzione che specificano le operazioni di sicurezza da consentire nei dispositivi di cui si esegue l'onboarding. Dopo aver generato il pacchetto di distribuzione, usarlo per eseguire l'onboarding del dispositivo.
Come controllare lo stato delle operazioni di sicurezza dei dispositivi di cui è stato eseguito l'onboarding
Lo stato delle operazioni di sicurezza dei dispositivi può essere identificato in diversi modi:
Nella pagina Inventario dispositivi nel portale di Defender, una proprietà denominata Operazioni di sicurezza indica la modalità di onboarding di ogni dispositivo:
- Se il dispositivo viene caricato con funzionalità complete, il valore verrà visualizzato come Completo.
- Se viene eseguito l'onboarding del dispositivo con funzionalità limitate, il valore verrà visualizzato come Con restrizioni, che indica all'amministratore che il dispositivo dispone di un set limitato di operazioni di sicurezza remota disponibili.
Questa visibilità consente ai team di sicurezza di comprendere rapidamente l'ambito operativo per ogni dispositivo e di intraprendere le azioni appropriate, se necessario.
Quando il dispositivo è in modalità con restrizioni, al dispositivo viene aggiunto automaticamente un tag denominato Operazioni di sicurezza con restrizioni per consentire ai team di sicurezza di identificare rapidamente gli asset con funzionalità limitate. È possibile visualizzare questo tag nella pagina Dispositivo. La pagina Dispositivo include anche uno stato delle operazioni di sicurezza per riflettere il livello di funzionalità di sicurezza remota configurate per il dispositivo:
- Full indica che il dispositivo è stato caricato con il set completo di funzionalità di Microsoft Defender per endpoint. Sono disponibili tutte le azioni di risposta remota.
- Con restrizioni indica che il dispositivo è stato caricato con un set limitato di azioni di risposta disponibili.
Nell'immagine precedente è possibile notare che l'avvio delle sessioni di Live Response non è stato consentito nel dispositivo.
Per accedere a un elenco dettagliato di tutti i controlli di sicurezza e del relativo stato corrente (abilitato o disabilitato) nel dispositivo, selezionare Visualizza informazioni sulle operazioni di sicurezza per visualizzare il riquadro Operazioni di sicurezza del dispositivo.
È anche possibile utilizzare la proprietà
RestrictedDeviceSecurityOperationsRicerca avanzata per controllare quali operazioni di sicurezza sono limitate nel dispositivo. I valori rappresentano le categorie di operazioni di sicurezza specifiche limitate. Ad esempio, se il valore dellaRestrictedDeviceSecurityOperationsproprietà è LiveResponse, significa che solo la funzionalità Live Response non è consentita nel dispositivo, mentre tutte le altre operazioni sono consentite.
La risposta selettiva viene bloccata anche quando si usa l'API pubblica. Se si tenta di eseguire un'azione con restrizioni tramite l'API, viene visualizzato un messaggio di errore che indica che l'operazione non è consentita nel dispositivo.
Modifica delle impostazioni di restrizione
Dopo l'onboarding di un dispositivo con impostazioni limitate, la configurazione delle operazioni di sicurezza non può essere modificata o modificata. Per aggiornare le funzionalità di risposta di un dispositivo, è necessario eseguire di nuovo l'onboarding del dispositivo usando un nuovo pacchetto di distribuzione con le impostazioni desiderate. L'ID dispositivo rimane invariato e tutti i dati cronologici vengono conservati.
Se si vuole limitare le azioni di risposta in un dispositivo già sottoposto a onboarding in Defender per endpoint in modalità Completa, è necessario prima di tutto eseguire l'offboarding del dispositivo e quindi eseguirne di nuovo l'onboarding usando un pacchetto di onboarding configurato con impostazioni limitate. L'ID dispositivo rimane invariato e tutti i dati cronologici vengono conservati.
Risorse correlate
- Distribuire Microsoft Defender per endpoint nei dispositivi Windows usando lo strumento di distribuzione Defender (anteprima)
- Risolvere i problemi relativi agli strumenti di distribuzione di Defender
- Aggiungere dispositivi a Microsoft Defender per endpoint
- Intraprendere azioni di risposta su un dispositivo