Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=mdr-ops-actions

Le azioni che possono essere svolte dal team MDR Operations

Questa pagina descrive le azioni che il nostro team MDR Operations è in grado di intraprendere, se viene autorizzato a rispondere alle minacce per conto dell’organizzazione.

Interveniamo solo quando è necessario. Tuttavia, se durante la configurazione di MDR si seleziona la modalità di risposta alle minacce Autorizza, il nostro team risponderà alle minacce attive senza prima consultare i contatti indicati.

Se si preferisce non permettere al team MDR Operations di agire senza prima rivolgersi ai contatti, scegliere invece la modalità di risposta alle minacce Collabora. Per farlo, vedere Impostare la risposta alle minacce.

Per maggiori informazioni sulle diverse impostazioni di risposta alle minacce, vedere None.

Azioni con Live Response

Il team MDR Ops è in grado di utilizzare Live Response per connettersi ai dispositivi e intraprendere azioni. Per permetterci di farlo, occorre che Live Response sia attiva. Vedere Impostazione e avvio di Live Response.

Ecco alcune azioni che il team è in grado di intraprendere:

  • Disattivare utenti
  • Eliminare utenti
  • Terminare la sessione
  • Terminare processi malevoli
  • Eliminare file
  • Sfogliare cartelle
  • Rimuovere operazioni pianificate
  • Rimuovere processi

Azioni con Sophos Central

Dalle Impostazioni generali in Sophos Central, il team è in grado di:

  • Isolare dispositivi
  • Bloccare applicazioni
  • Bloccare indirizzi IP

Azioni con Microsoft 365

Se è stata configurata l’apposita integrazione, il team MDR Operations è in grado di utilizzare Microsoft 365 Response Actions.

Il team può:

  • Bloccare o attivare accessi utente. Questo aiuta a impedire l’accesso non autorizzato.
  • Disconnettere o revocare tutte le sessioni in corso. Questo contribuisce a isolare gli account compromessi.
  • Disattivare regole della casella di posta in arrivo per gli utenti. Aiuta a bloccare gli inoltri pericolosi di e-mail di natura sensibile, nonché a evitare le tattiche di elusione della sicurezza, l’eliminazione di prove e molto di più.

Per configurare Microsoft 365 Response Actions, vedere Azioni di risposta di Microsoft 365.

Attività con Sophos Firewall

Se si utilizza Sophos Firewall, possiamo interagire con i feed sulle minacce di XG Firewall. Per esempio, in caso di incidente critico, possiamo terminare le sessioni VPN degli utenti compromessi.