Intraprendere azioni di risposta su un dispositivo
Si applica a:
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Rispondere rapidamente agli attacchi rilevati isolando i dispositivi o raccogliendo un pacchetto di indagine. Dopo aver eseguita un'azione sui dispositivi, è possibile controllare i dettagli dell'attività nel Centro notifiche.
Le azioni di risposta vengono eseguite nella parte superiore di una pagina specifica del dispositivo e includono:
- Gestire i tag
- Avviare un'indagine automatizzata
- Avviare la sessione di risposta in tempo reale
- Raccolta di un pacchetto di indagini
- Analisi dei virus
- Limitare l'esecuzione dell'app
- Isolamento i dispositivi
- Contenere il dispositivo
- Consultare un esperto di minacce
- Centro notifiche
Nota
Defender per endpoint piano 1 include solo le seguenti azioni di risposta manuale:
- Analisi dei virus
- Isolamento i dispositivi
- Arrestare e mettere in quarantena un file
- Aggiungere un indicatore per bloccare o consentire un file.
Microsoft Defender for Business al momento non include l'azione "Arresta e metti in quarantena un file".
La sottoscrizione deve includere Defender per endpoint piano 2 per avere tutte le azioni di risposta descritte in questo articolo.
È possibile trovare le pagine del dispositivo da una delle visualizzazioni seguenti:
- Coda avvisi: selezionare il nome del dispositivo accanto all'icona del dispositivo nella coda degli avvisi.
- Elenco dispositivi: selezionare l'intestazione del nome del dispositivo dall'elenco dei dispositivi.
- Casella di ricerca: selezionare Dispositivo dal menu a discesa e immettere il nome del dispositivo.
Importante
Per informazioni sulla disponibilità e sul supporto per ogni azione di risposta, vedere i requisiti minimi del sistema operativo supportati per ogni funzionalità.
Gestire i tag
Aggiungere o gestire tag per creare un'affiliazione di gruppo logico. I tag del dispositivo supportano la mappatura corretta della rete, consentendo di collegare tag diversi per acquisire il contesto e consentire la creazione di elenchi dinamici come parte di un incidente.
Per altre informazioni sull'assegnazione di tag ai dispositivi, vedere Creare e gestire i tag del dispositivo.
Avviare un'indagine automatizzata
Se necessario, è possibile avviare una nuova indagine automatizzata per utilizzo generico nel dispositivo. Mentre un'indagine è in esecuzione, qualsiasi altro avviso generato dal dispositivo viene aggiunto a un'indagine automatizzata in corso fino al completamento dell'indagine. Inoltre, se la stessa minaccia viene rilevata in altri dispositivi, tali dispositivi vengono aggiunti all'indagine.
Per altre informazioni sulle indagini automatizzate, vedere Panoramica delle indagini automatizzate.
Avviare la sessione di risposta in tempo reale
La risposta dinamica è una funzionalità che consente l'accesso istantaneo a un dispositivo tramite una connessione shell remota. In questo modo è possibile eseguire indagini approfondite e intraprendere azioni di risposta immediata per contenere tempestivamente le minacce identificate in tempo reale.
La risposta dinamica è progettata per migliorare le indagini consentendo di raccogliere dati forensi, eseguire script, inviare entità sospette per l'analisi, correggere le minacce e cercare in modo proattivo le minacce emergenti.
Per altre informazioni sulla risposta in tempo reale, vedere Analizzare le entità nei dispositivi usando la risposta in tempo reale.
Raccogliere il pacchetto di indagine dai dispositivi
Come parte del processo di indagine o risposta, è possibile raccogliere un pacchetto di indagine da un dispositivo. Raccogliendo il pacchetto di indagine, è possibile identificare lo stato corrente del dispositivo e comprendere ulteriormente gli strumenti e le tecniche usate dall'utente malintenzionato.
Per scaricare il pacchetto (cartella compressa) e analizzare gli eventi che si sono verificati in un dispositivo, seguire questa procedura:
Selezionare Raccogli pacchetto di indagine dalla riga delle azioni di risposta nella parte superiore della pagina del dispositivo.
Specificare nella casella di testo il motivo per cui si vuole eseguire questa azione. Selezionare Conferma.
Download del file ZIP.
In alternativa, usare questa procedura alternativa:
Selezionare Raccogli pacchetto di indagine nella sezione azioni di risposta della pagina del dispositivo.
Aggiungere commenti e quindi selezionare Conferma.
Selezionare Centro notifiche nella sezione azioni di risposta della pagina del dispositivo.
Selezionare Pacchetto raccolta pacchetti disponibile per scaricare il pacchetto della raccolta.
Contenuto del pacchetto di analisi per i dispositivi Windows
Per i dispositivi Windows, il pacchetto contiene le cartelle descritte nella tabella seguente:
Cartella | Descrizione |
---|---|
Esecuzioni automatiche | Contiene un set di file che rappresentano ognuno il contenuto del Registro di sistema di un punto di ingresso di avvio automatico noto (ASEP) per identificare la persistenza dell'utente malintenzionato nel dispositivo. Se la chiave del Registro di sistema non viene trovata, il file contiene il messaggio seguente: "ERROR: The system was unable to find the specified registry key or value". |
Programmi installati | Questo file .CSV contiene l'elenco dei programmi installati che consentono di identificare gli elementi attualmente installati nel dispositivo. Per altre informazioni, vedere Win32_Product classe . |
Connessioni di rete | Questa cartella contiene un set di punti dati correlati alle informazioni di connettività che consentono di identificare la connettività agli URL sospetti, l'infrastruttura di comando e controllo dell'utente malintenzionato (C&C), qualsiasi spostamento laterale o connessioni remote. - ActiveNetConnections.txt : visualizza le statistiche del protocollo e le connessioni di rete TCP/IP correnti. Consente di cercare la connettività sospetta eseguita da un processo.- Arp.txt : visualizza le tabelle della cache ARP (Address Resolution Protocol) correnti per tutte le interfacce. La cache ARP può rivelare altri host in una rete che sono stati compromessi o sistemi sospetti nella rete che potrebbero essere usati per eseguire un attacco interno.- DnsCache.txt : visualizza il contenuto della cache del resolver client DNS, che include entrambe le voci precaricate dal file Hosts locale e tutti i record di risorse ottenuti di recente per le query sui nomi risolte dal computer. Ciò può essere utile per identificare connessioni sospette.- IpConfig.txt : visualizza la configurazione TCP/IP completa per tutte le schede. Le schede possono rappresentare interfacce fisiche, ad esempio schede di rete installate o interfacce logiche, ad esempio connessioni remote.- FirewallExecutionLog.txt e pfirewall.log Il pfirewall.log file deve esistere in %windir%\system32\logfiles\firewall\pfirewall.log , quindi è incluso nel pacchetto di analisi. Per altre informazioni sulla creazione del file di log del firewall, vedere Configurare Windows Firewall con il log di sicurezza avanzata. |
File di prelettura | I file prefetch di Windows sono progettati per velocizzare il processo di avvio dell'applicazione. Può essere usato per tenere traccia di tutti i file usati di recente nel sistema e trovare tracce per le applicazioni che potrebbero essere eliminate, ma che possono comunque essere trovate nell'elenco dei file di prelettura. - Prefetch folder : contiene una copia dei file di prelettura da %SystemRoot%\Prefetch . È consigliabile scaricare un visualizzatore di file di prelettura per visualizzare i file di prelettura.- PrefetchFilesList.txt : contiene l'elenco di tutti i file copiati che possono essere usati per tenere traccia di eventuali errori di copia nella cartella di prelettura. |
Processi | Contiene un file .CSV che elenca i processi in esecuzione e consente di identificare i processi correnti in esecuzione nel dispositivo. Questo può essere utile quando si identifica un processo sospetto e il relativo stato. |
Attività pianificate | Contiene un file .CSV che elenca le attività pianificate, che può essere usato per identificare le routine eseguite automaticamente in un dispositivo scelto per cercare codice sospetto impostato per l'esecuzione automatica. |
Registro eventi di sicurezza | Contiene il registro eventi di sicurezza, che contiene i record dell'attività di accesso o disconnessione o altri eventi correlati alla sicurezza specificati dai criteri di controllo del sistema. Aprire il file del registro eventi usando il Visualizzatore eventi. |
Servizi | Contiene un file .CSV che elenca i servizi e i relativi stati. |
sessioni SMB (Windows Server Message Block) | Elenchi accesso condiviso a file, stampanti e porte seriali e comunicazioni varie tra nodi di una rete. In questo modo è possibile identificare l'esfiltrazione o lo spostamento laterale dei dati. Contiene i file per SMBInboundSessions e SMBOutboundSession . Se non sono presenti sessioni (in ingresso o in uscita), viene visualizzato un file di testo che indica che non sono state trovate sessioni SMB. |
Informazioni di sistema | Contiene un SystemInformation.txt file che elenca le informazioni di sistema, ad esempio la versione del sistema operativo e le schede di rete. |
Directory temporanee | Contiene un set di file di testo che elenca i file che si trovano in %Temp% per ogni utente del sistema. Ciò consente di tenere traccia dei file sospetti che un utente malintenzionato potrebbe aver eliminato nel sistema. Se il file contiene il messaggio seguente: "Il sistema non riesce a trovare il percorso specificato", significa che non esiste alcuna directory temporanea per l'utente e potrebbe essere dovuto al fatto che l'utente non ha eseguito l'accesso al sistema. |
Utenti e gruppi | Fornisce un elenco di file che rappresentano ognuno un gruppo e i relativi membri. |
WdSupportLogs | Fornisce e MpCmdRunLog.txt MPSupportFiles.cab . Questa cartella viene creata solo in Windows 10 versione 1709 o successiva con aggiornamento cumulativo di febbraio 2020 o versioni più recenti installate:- Win10 1709 (RS3) Build 16299.1717: KB4537816 - Win10 1803 (RS4) Build 17134.1345: KB4537795 - Win10 1809 (RS5) Build 17763.1075: KB4537818 - Win10 1903/1909 (19h1/19h2) Build 18362.693 e 18363.693: KB4535996 |
CollectionSummaryReport.xls | Questo file è un riepilogo della raccolta di pacchetti di analisi, contiene l'elenco dei punti dati, il comando usato per estrarre i dati, lo stato di esecuzione e il codice di errore in caso di errore. È possibile usare questo report per tenere traccia se il pacchetto include tutti i dati previsti e identificare se si sono verificati errori. |
Contenuto del pacchetto di analisi per dispositivi Mac e Linux
Nella tabella seguente sono elencati i contenuti dei pacchetti di raccolta per i dispositivi Mac e Linux:
Oggetto | macOS | Linux |
---|---|---|
Applicazioni | Elenco di tutte le applicazioni installate | Non applicabile |
Volume disco | - Quantità di spazio disponibile - Elenco di tutti i volumi di dischi montati - Elenco di tutte le partizioni |
- Quantità di spazio disponibile - Elenco di tutti i volumi di dischi montati - Elenco di tutte le partizioni |
File | Elenco di tutti i file aperti con i processi corrispondenti che usano questi file | Elenco di tutti i file aperti con i processi corrispondenti che usano questi file |
Cronologia | Cronologia shell | Non applicabile |
Moduli kernel | Tutti i moduli caricati | Non applicabile |
Connessioni di rete | - Connessioni attive - Connessioni in ascolto attive - Tabella ARP - Regole del firewall - Configurazione dell'interfaccia - Impostazioni proxy - Impostazioni VPN |
- Connessioni attive - Connessioni in ascolto attive - Tabella ARP - Regole del firewall - Elenco IP - Impostazioni proxy |
Processi | Elenco di tutti i processi in esecuzione | Elenco di tutti i processi in esecuzione |
Servizi e attività pianificate | -Certificati - Profili di configurazione - Informazioni sull'hardware |
- Dettagli CPU - Informazioni sull'hardware - Informazioni sul sistema operativo |
Informazioni di sicurezza del sistema | - Informazioni sull'integrità EFI (Extensible Firmware Interface) - Stato del firewall - Informazioni sullo strumento di rimozione malware (MRT) - Stato SIP (System Integrity Protection) |
Non applicabile |
Utenti e gruppi | - Cronologia di accesso - Sudoers |
- Cronologia di accesso - Sudoers |
Eseguire Microsoft Defender'analisi antivirus nei dispositivi
Come parte del processo di indagine o risposta, è possibile avviare in remoto un'analisi antivirus per identificare e correggere il malware che potrebbe essere presente in un dispositivo compromesso.
Importante
- Questa azione è supportata per macOS e Linux per la versione client 101.98.84 e successive. È anche possibile usare la risposta dinamica per eseguire l'azione. Per altre informazioni sulla risposta in tempo reale, vedere Analizzare le entità nei dispositivi usando la risposta in tempo reale
- Un'analisi antivirus Microsoft Defender può essere eseguita insieme ad altre soluzioni antivirus, indipendentemente dal fatto che Microsoft Defender Antivirus sia o meno la soluzione antivirus attiva. Microsoft Defender antivirus può essere in modalità passiva. Per altre informazioni, vedere Microsoft Defender Compatibilità dell'antivirus.
Selezionare Esegui analisi antivirus, selezionare il tipo di analisi che si vuole eseguire (rapido o completo) e aggiungere un commento prima di confermare l'analisi.
Il Centro notifiche mostra le informazioni di analisi e la sequenza temporale del dispositivo include un nuovo evento, che riflette l'invio di un'azione di analisi nel dispositivo. Microsoft Defender gli avvisi antivirus riflettono eventuali rilevamenti visualizzati durante l'analisi.
Nota
Quando si attiva un'analisi usando l'azione di risposta di Defender per endpoint, Microsoft Defender valore antivirus ScanAvgCPULoadFactor
si applica e limita l'impatto della CPU sull'analisi.
Se ScanAvgCPULoadFactor
non è configurato, il valore predefinito è un limite del 50% di carico massimo della CPU durante un'analisi.
Per altre informazioni, vedere configure-advanced-scan-types-microsoft-defender-antivirus.
Limitare l'esecuzione dell'app
Oltre a contenere un attacco arrestando i processi dannosi, è anche possibile bloccare un dispositivo e impedire l'esecuzione di successivi tentativi di programmi potenzialmente dannosi.
Importante
- Questa azione è disponibile per i dispositivi in Windows 10, versione 1709 o successiva, Windows 11 e Windows Server 2019 o versioni successive.
- Questa funzionalità è disponibile se l'organizzazione usa Microsoft Defender Antivirus.
- Questa azione deve soddisfare i formati dei criteri di integrità del codice e i requisiti di firma di Windows Defender Application Control. Per altre informazioni, vedere Formati e firma dei criteri di integrità del codice.
Per limitare l'esecuzione di un'applicazione, vengono applicati criteri di integrità del codice che consentono l'esecuzione dei file solo se firmati da un certificato rilasciato da Microsoft. Questo metodo di restrizione può impedire a un utente malintenzionato di controllare i dispositivi compromessi ed eseguire altre attività dannose.
Nota
Sarà possibile invertire la restrizione dell'esecuzione delle applicazioni in qualsiasi momento. Il pulsante nella pagina del dispositivo cambia per dire Rimuovi restrizioni dell'app e quindi esegui gli stessi passaggi della limitazione dell'esecuzione dell'app.
Dopo aver selezionato Limita l'esecuzione dell'app nella pagina del dispositivo, digitare un commento e selezionare Conferma. Il Centro notifiche mostra le informazioni di analisi e la sequenza temporale del dispositivo include un nuovo evento.
Notifica sull'utente del dispositivo
Quando un'app è limitata, viene visualizzata la notifica seguente per informare l'utente che l'esecuzione di un'app è limitata:
Nota
La notifica non è disponibile in Windows Server 2016 e Windows Server 2012 R2.
Isolare i dispositivi dalla rete
A seconda della gravità dell'attacco e della sensibilità del dispositivo, è possibile isolare il dispositivo dalla rete. Questa azione consente di impedire all'utente malintenzionato di controllare il dispositivo compromesso ed eseguire altre attività, ad esempio l'esfiltrazione dei dati e lo spostamento laterale.
Punti importanti da tenere a mente:
- L'isolamento dei dispositivi dalla rete è supportato per macOS per la versione client 101.98.84 e successive. È anche possibile usare la risposta dinamica per eseguire l'azione. Per altre informazioni sulla risposta in tempo reale, vedere Analizzare le entità nei dispositivi usando la risposta in tempo reale
- L'isolamento completo è disponibile per i dispositivi che eseguono Windows 11, Windows 10, versione 1703 o successiva, Windows Server 2022, Windows Server 2019, Windows Server 2016 e Windows Server 2012 R2.
- È possibile usare la funzionalità di isolamento del dispositivo in tutti i Microsoft Defender per endpoint supportati in Linux elencati in Requisiti di sistema. Verificare che siano abilitati i prerequisiti seguenti:
iptables
ip6tables
- Kernel Linux con
CONFIG_NETFILTER
,CONFID_IP_NF_IPTABLES
eCONFIG_IP_NF_MATCH_OWNER
- L'isolamento selettivo è disponibile per i dispositivi che eseguono Windows 10, versione 1709 o successiva e Windows 11.
- Quando si isola un dispositivo, sono consentiti solo determinati processi e destinazioni. Pertanto, i dispositivi che si trovano dietro un tunnel VPN completo non saranno in grado di raggiungere il servizio cloud Microsoft Defender per endpoint dopo l'isolamento del dispositivo. È consigliabile usare una VPN di split tunneling per Microsoft Defender per endpoint e Microsoft Defender traffico correlato alla protezione basata sul cloud antivirus.
- La funzionalità supporta la connessione VPN.
- È necessario avere almeno il
Active remediation actions
ruolo assegnato. Per altre informazioni, vedere Creare e gestire ruoli. - È necessario avere accesso al dispositivo in base alle impostazioni del gruppo di dispositivi. Per altre informazioni, vedere Creare e gestire gruppi di dispositivi.
- Le esclusioni, ad esempio la posta elettronica, l'applicazione di messaggistica e altre applicazioni per l'isolamento di macOS e Linux non sono supportate.
- Un dispositivo isolato viene rimosso dall'isolamento quando un amministratore modifica o aggiunge una nuova
iptable
regola al dispositivo isolato. - L'isolamento di un server in esecuzione in Microsoft Hyper-V blocca il traffico di rete verso tutte le macchine virtuali figlio del server.
La funzionalità di isolamento del dispositivo disconnette il dispositivo compromesso dalla rete mantenendo al tempo stesso la connettività al servizio Defender per endpoint, che continua a monitorare il dispositivo. In Windows 10 versione 1709 o successiva è possibile usare l'isolamento selettivo per un maggiore controllo sul livello di isolamento della rete. È anche possibile scegliere di abilitare la connettività di Outlook e Microsoft Teams.
Nota
Sarà possibile riconnettere il dispositivo alla rete in qualsiasi momento. Il pulsante nella pagina del dispositivo cambia per dire Rilascio dall'isolamento e quindi si esegue la stessa procedura dell'isolamento del dispositivo.
Dopo aver selezionato Isola dispositivo nella pagina del dispositivo, digitare un commento e selezionare Conferma. Il Centro notifiche mostra le informazioni di analisi e la sequenza temporale del dispositivo include un nuovo evento.
Nota
Il dispositivo rimarrà connesso al servizio Defender per endpoint anche se è isolato dalla rete. Se si è scelto di abilitare Outlook e Skype for Business comunicazione, sarà possibile comunicare all'utente mentre il dispositivo è isolato. L'isolamento selettivo funziona solo nelle versioni classiche di Outlook e Microsoft Teams.
Rilasciare forzatamente il dispositivo dall'isolamento
La funzionalità di isolamento del dispositivo è uno strumento prezioso per proteggere i dispositivi dalle minacce esterne. Tuttavia, esistono istanze in cui i dispositivi isolati non rispondono.
È disponibile uno script scaricabile per queste istanze che è possibile eseguire per rilasciare forzatamente i dispositivi dall'isolamento. Lo script è disponibile tramite un collegamento nell'interfaccia utente.
Nota
- Gli amministratori e gestire le impostazioni di sicurezza nelle autorizzazioni del Centro sicurezza possono rilasciare forzatamente i dispositivi dall'isolamento.
- Lo script è valido solo per il dispositivo specifico.
- Lo script scadrà tra tre giorni.
Per rilasciare forzatamente il dispositivo dall'isolamento:
Nella pagina del dispositivo selezionare Scarica script per forzare il rilascio di un dispositivo dall'isolamento dal menu azione.
Nel riquadro a destra selezionare Scarica script.
Requisiti minimi per la versione forzata del dispositivo
Per rilasciare forzatamente un dispositivo dall'isolamento, il dispositivo deve eseguire Windows. Sono supportate le versioni seguenti:
- Windows 10 21H2 e 22H2 con kb KB5023773.
- Windows 11 versione 21H2, tutte le edizioni con KB5023774.
- Windows 11 versione 22H2, tutte le edizioni con KB5023778.
Notifica sull'utente del dispositivo
Quando un dispositivo viene isolato, viene visualizzata la notifica seguente per informare l'utente che il dispositivo è isolato dalla rete:
Nota
La notifica non è disponibile nelle piattaforme non Windows.
Contenere i dispositivi dalla rete
Dopo aver identificato un dispositivo non gestito compromesso o potenzialmente compromesso, è possibile che si voglia contenere tale dispositivo dalla rete per evitare che il potenziale attacco si sposti lateralmente attraverso la rete. Quando si contiene un dispositivo qualsiasi Microsoft Defender per endpoint dispositivo di cui è stato eseguito l'onboarding blocca le comunicazioni in ingresso e in uscita con tale dispositivo. Questa azione consente di evitare che i dispositivi adiacenti vengano compromessi mentre l'analista delle operazioni di sicurezza individua, identifica e corregge la minaccia nel dispositivo compromesso.
Nota
Il blocco delle comunicazioni in ingresso e in uscita con un dispositivo "indipendente" è supportato nei dispositivi di Microsoft Defender per endpoint Windows 10 e Windows Server 2019+.
Una volta contenuti i dispositivi, è consigliabile analizzare e correggere la minaccia nei dispositivi contenuti il prima possibile. Dopo la correzione, è necessario rimuovere i dispositivi dal contenimento.
Come contenere un dispositivo
Passare alla pagina Inventario dispositivi e selezionare il dispositivo da contenere.
Selezionare Contenere il dispositivo dal menu azioni nel riquadro a comparsa del dispositivo.
Nella finestra popup del dispositivo di contenimento digitare un commento e selezionare Conferma.
Importante
L'uso di un numero elevato di dispositivi potrebbe causare problemi di prestazioni nei dispositivi con onboarding di Defender per endpoint. Per evitare problemi, Microsoft consiglia di contenere fino a 100 dispositivi in qualsiasi momento.
Contenere un dispositivo dalla pagina del dispositivo
Un dispositivo può essere contenuto anche dalla pagina del dispositivo selezionando Contain device dalla barra delle azioni:
Nota
I dettagli su un dispositivo appena contenuto possono richiedere fino a 5 minuti per raggiungere Microsoft Defender per endpoint dispositivi caricati.
Importante
- Se un dispositivo indipendente cambia l'indirizzo IP, tutti i dispositivi Microsoft Defender per endpoint caricati lo riconosceranno e inizieranno a bloccare le comunicazioni con il nuovo indirizzo IP. L'indirizzo IP originale non verrà più bloccato (potrebbero essere necessari fino a 5 minuti per visualizzare queste modifiche).
- Nei casi in cui l'IP del dispositivo contenuto viene usato da un altro dispositivo in rete, verrà visualizzato un avviso durante la memorizzazione del dispositivo, con un collegamento alla ricerca avanzata (con una query prepopolato). Ciò fornirà visibilità agli altri dispositivi che usano lo stesso IP per prendere una decisione consapevole se si vuole continuare a contenere il dispositivo.
- Nei casi in cui il dispositivo indipendente è un dispositivo di rete, verrà visualizzato un avviso con un messaggio che indica che ciò potrebbe causare problemi di connettività di rete, ad esempio contenente un router che funge da gateway predefinito. A questo punto, sarà possibile scegliere se contenere o meno il dispositivo.
Dopo aver contenuto un dispositivo, se il comportamento non è quello previsto, verificare che il servizio BFE (Base Filtering Engine) sia abilitato nei dispositivi di onboarding di Defender per endpoint.
Arrestare il contenitore di un dispositivo
Sarà possibile interrompere il contenitore di un dispositivo in qualsiasi momento.
Selezionare il dispositivo dall'inventario del dispositivo o aprire la pagina del dispositivo.
Selezionare Release from containment (Rilascia da contenimento) dal menu azione. Questa azione consente di ripristinare la connessione del dispositivo alla rete.
Contenere l'utente dalla rete
Quando un'identità nella rete potrebbe essere compromessa, è necessario impedire a tale identità di accedere alla rete e a endpoint diversi. Defender per endpoint può contenere un'identità, impedendo l'accesso e contribuendo a prevenire gli attacchi, in particolare ransomware. Quando un'identità è contenuta, qualsiasi dispositivo supportato Microsoft Defender per endpoint onboarding bloccherà il traffico in ingresso in protocolli specifici correlati agli attacchi (accessi di rete, RPC, SMB, RDP), terminerà le sessioni remote in corso e logocherà le connessioni RDP esistenti (termina la sessione stessa includendo tutti i relativi processi correlati), abilitando al tempo stesso il traffico legittimo. Questa azione può contribuire in modo significativo a ridurre l'impatto di un attacco. Quando un'identità è contenuta, gli analisti delle operazioni di sicurezza hanno tempo aggiuntivo per individuare, identificare e correggere la minaccia all'identità compromessa.
Nota
Il blocco delle comunicazioni in ingresso con un utente "indipendente" è supportato nei dispositivi Microsoft Defender per endpoint Windows 10 e 11 caricati (Sense versione 8740 e successive), Windows Server dispositivi 2019+ e Windows Server 2012R2 e 2016 con l'agente moderno.
Importante
Dopo l'applicazione di un'azione Contain user su un controller di dominio, viene avviato un aggiornamento dell'oggetto Criteri di gruppo nei criteri controller di dominio predefiniti. Una modifica di un oggetto Criteri di gruppo avvia una sincronizzazione tra i controller di dominio nell'ambiente. Si tratta di un comportamento previsto e se si monitora l'ambiente per le modifiche dell'oggetto Criteri di gruppo di Active Directory, è possibile ricevere una notifica di tali modifiche. Annullando l'azione Conterni utente, le modifiche dell'oggetto Criteri di gruppo vengono ripristinate allo stato precedente, che avvierà quindi un'altra sincronizzazione dell'oggetto Criteri di gruppo di Active Directory nell'ambiente. Altre informazioni sull'unione dei criteri di sicurezza nei controller di dominio.
Come contenere un utente
Attualmente, gli utenti che contengono sono disponibili solo automaticamente usando l'interruzione automatica degli attacchi. Quando Microsoft rileva che un utente viene compromesso, viene impostato automaticamente un criterio "Contain User".
Visualizzare l'oggetto contenente le azioni dell'utente
Dopo aver contenuto un utente, è possibile visualizzare l'azione in questa visualizzazione Cronologia del Centro notifiche. Qui è possibile vedere quando si è verificata l'azione e quali utenti dell'organizzazione sono contenuti:
Inoltre, dopo che un'identità è considerata "contenuta", tale utente verrà bloccato da Defender per endpoint e non potrà eseguire alcun movimento laterale dannoso o crittografia remota su o su qualsiasi dispositivo di onboarding supportato di Defender for Endpoint. Questi blocchi verranno visualizzati come avvisi per consentire di visualizzare rapidamente i dispositivi a cui l'utente compromesso ha tentato l'accesso e le potenziali tecniche di attacco:
Annulla contengono azioni utente
È possibile rilasciare i blocchi e il contenimento di un utente in qualsiasi momento:
Selezionare l'azione Conteri utente nel Centro notifiche. Nel riquadro laterale selezionare Annulla.
Selezionare l'utente dall'inventario utente, dal riquadro laterale della pagina Eventi imprevisti o dal riquadro lato avviso e selezionare Annulla.
Questa azione ripristina la connessione dell'utente alla rete.
Funzionalità di indagine con Contain User
Dopo aver contenuto un utente, è possibile analizzare la potenziale minaccia visualizzando le azioni bloccate dall'utente compromesso. Nella visualizzazione sequenza temporale del dispositivo è possibile visualizzare informazioni su eventi specifici, tra cui la granularità del protocollo e dell'interfaccia e la tecnica MITRE pertinente associata.
Inoltre, è possibile espandere l'indagine usando la ricerca avanzata. Cercare qualsiasi tipo di azione che inizia con contain nella DeviceEvents
tabella. È quindi possibile visualizzare tutti i diversi singoli eventi di blocco in relazione a Contain User nel tenant, approfondire il contesto di ogni blocco ed estrarre le diverse entità e tecniche associate a tali eventi.
Consultare un esperto di minacce
È possibile consultare un esperto di minacce Microsoft per altre informazioni dettagliate su un dispositivo potenzialmente compromesso o già compromesso. Microsoft Threat Experts può essere attivata direttamente dall'interno del Microsoft Defender XDR per una risposta tempestiva e accurata. Gli esperti forniscono informazioni dettagliate non solo su un dispositivo potenzialmente compromesso, ma anche per comprendere meglio le minacce complesse, le notifiche di attacco mirate che si ottengono o se sono necessarie altre informazioni sugli avvisi o un contesto di intelligence sulle minacce visualizzato nel dashboard del portale.
Per informazioni dettagliate, vedere Configurare e gestire le notifiche di attacco degli endpoint .
Controllare i dettagli delle attività nel Centro operativo
Il Centro notifiche (https://security.microsoft.com/action-center) fornisce informazioni sulle azioni eseguite in un dispositivo o in un file. Sarà possibile visualizzare i dettagli seguenti:
- Raccolta di pacchetti di analisi
- Analisi antivirus
- Restrizione dell'app
- Isolamento del dispositivo
Vengono visualizzati anche tutti gli altri dettagli correlati, ad esempio la data/ora di invio, l'invio dell'utente e se l'azione ha avuto esito positivo o negativo.
Vedere anche
- Intraprendere azioni di risposta su un file
- Azioni di risposta manuale nel piano 1 Microsoft Defender per endpoint
- Imprecisione del report
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.