Spiegare le azioni del dispositivo

  • 4 minuti

Quando si eseguono indagini su un dispositivo, è possibile eseguire azioni, raccogliere dati o accedere in remoto al computer. Defender per endpoint fornisce il necessario controllo del dispositivo.

È possibile eseguire le azioni di contenimento seguenti:

  • Isola il dispositivo

  • Limita esecuzione delle app

  • Esegui l'analisi antivirus

È possibile eseguire le azioni di indagine seguenti:

  • Avvia indagine automatizzata

  • Raccogliere il pacchetto di indagine

  • Avvia sessione di Live Response

Il Centro notifiche fornisce informazioni sulle azioni eseguite su un dispositivo o su un file.

Isolare dispositivi dalle reti

A seconda della gravità dell'attacco e del livello di riservatezza del dispositivo, potrebbe essere necessario isolare il dispositivo dalla rete. Questa azione impedisce all'autore dell'attacco di controllare il dispositivo compromesso e di eseguire altre attività, come l'esfiltrazione di dati e lo spostamento laterale.

Questa funzionalità di isolamento del dispositivo disconnette il dispositivo compromesso dalla rete mantenendo la connettività al servizio Defender per endpoint, che continua a monitorare il dispositivo.

In Windows 10, versione 1709 o successiva, si avrà un altro controllo sul livello di isolamento della rete. È anche possibile scegliere di abilitare la connettività a Outlook, Microsoft Teams e Skype for Business (anche noto come "isolamento selettivo").

Dopo aver selezionato Isola il dispositivo nella pagina Dispositivo, digitare un commento e selezionare Conferma. Nel Centro operativo verranno visualizzate le informazioni di analisi e la sequenza temporale del dispositivo includerà un nuovo evento.

Quando un dispositivo viene isolato, viene visualizzata una notifica per informare l'utente che il dispositivo verrà isolato dalla rete.

Limita esecuzione delle app

Oltre a contenere un attacco arrestando processi dannosi, è anche possibile bloccare un dispositivo e impedire successivi tentativi di esecuzione di programmi potenzialmente dannosi.

Importante

Questa azione è disponibile per i dispositivi che eseguono Windows 10, versione 1709 o successiva. Questa funzionalità è disponibile se l'organizzazione usa l'antivirus Microsoft Defender. Questa azione deve soddisfare i requisiti di firma e i formati dei criteri di integrità del codice di Controllo di applicazioni di Windows Defender. Per limitare l'esecuzione di un'applicazione, viene applicato un criterio di integrità del codice che consente di eseguire solo i file firmati tramite un certificato emesso da Microsoft. Questo metodo di limitazione può contribuire a impedire a un utente malintenzionato di controllare i dispositivi compromessi ed eseguire ulteriori attività dannose.

Si può annullare la limitazione dell'esecuzione delle applicazioni in qualsiasi momento. Il pulsante della pagina Dispositivo cambierà per consentire la rimozione delle limitazioni dell'app e quindi si eseguirà la stessa procedura per limitare l'esecuzione dell'app.

Dopo aver selezionato Limita l'esecuzione dell'app nella pagina Dispositivo, digitare un commento e selezionare Conferma. Nel Centro operativo verranno visualizzate le informazioni di analisi e la sequenza temporale del dispositivo includerà un nuovo evento.

Quando l'esecuzione di un'app viene limitata, viene visualizzata una notifica per informare l'utente in tal senso.