Panoramica di rilevamento e reazione dagli endpoint

Si applica a:

• Microsoft Defender per endpoint piani 1 e 2
• Microsoft Defender XDR

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Le funzionalità di rilevamento e risposta degli endpoint in Defender per endpoint offrono rilevamenti avanzati degli attacchi quasi in tempo reale e interattivi. I responsabili della sicurezza possono assegnare priorità agli avvisi in modo efficace, ottenere una visibilità completa su una violazione e adottare azioni di risposta per correggere le minacce.

Quando viene rilevata una minaccia, il sistema genera un avviso e un analista avvia le indagini. Gli avvisi che presentano tecniche di attacco simili o che possono essere attribuiti alla stessa persona vengono aggregati in un'entità chiamata incidente. L'aggregazione di avvisi consente di analizzare e rispondere in modo completo alle minacce.

Ispirato dalla mentalità "presupporre una violazione", Defender per endpoint raccoglie continuamente i dati di telemetria informatica comportamentali. Tali dati includono le informazioni sui processi, le attività di rete, l’analisi approfondita del kernel e della gestione della memoria, le attività di accesso degli utenti, le modifiche apportate al registro di sistema e altro ancora. Queste informazioni vengono archiviate per sei mesi, consentendo ai responsabili della sicurezza di identificare l'inizio di un attacco indietro nel tempo. In questo modo è possibile eseguire un’analisi da varie angolazioni e iniziare un'indagine attraverso più vettori.

Le funzionalità di risposta consentono di correggere tempestivamente le minacce agendo sulle entità interessate.

Vedere anche

• Coda incidenti
• Coda di avvisi
• Elenco dispositivi