Punti chiave
- Protezione completa degli endpoint: Microsoft Defender for Business offre strumenti antivirus, EDR e di ripristino automatizzati integrati, che lo rendono ideale per le PMI e gli MSP che gestiscono ambienti multi-tenant.
- Opzioni di distribuzione semplici: I dispositivi Windows vengono integrati tramite script PowerShell, oggetti dei criteri di gruppo (GPO) o integrazione RMM per una protezione scalabile e uniforme.
- Gestione centralizzata: Configura e monitora tutti i client attraverso il portale Microsoft 365 Defender o Microsoft Lighthouse per una visibilità in tempo reale e una risposta agli incidenti.
- Personalizzazione dei criteri e controlli di sicurezza: Regole ASR, criteri firewall, protezione dal ransomware e protezione contro le manomissioni per client o gruppi di dispositivi.
- Automazione e reporting: Utilizza Advanced Hunting con KQL per l’analisi delle minacce, abilita la notifica degli avvisi e integra con strumenti SIEM come Microsoft Sentinel.
- Integrazione migliorata con NinjaOne: Combina Microsoft Defender con la piattaforma di gestione unificata degli endpoint di NinjaOne per una supervisione completa, il patching e la correzione automatica su più client.
Questa guida spiega come configurare Microsoft Defender for Business in ambienti MSP, comprese l’implementazione, la configurazione e la gestione. Include istruzioni per l’onboarding dei dispositivi tramite PowerShell o gli oggetti dei criteri di gruppo (GPO), oltre a consigli su come configurare i criteri di sicurezza ed eseguire il monitoraggio continuo e la reportistica su tutti gli endpoint.
La comprensione di Microsoft Defender for Business è fondamentale per gli amministratori IT interni e per gli MSP che gestiscono più clienti. I suoi strumenti antivirus, di rilevamento e risposta degli endpoint (EDR), di gestione dei firewall e di indagine e bonifica automatizzate offrono una protezione potente e possono essere integrati con la piattaforma MSP o con la soluzione di monitoraggio e gestione remota (RMM) per una maggiore visibilità e tempi di risoluzione più rapidi.
Che cos’è MS Defender for Business? Cosa c’è da sapere
Microsoft Defender for Business protegge i dispositivi da minacce quali malware e hacking ed è incluso negli abbonamenti Microsoft 365 Premium destinati alle piccole e medie imprese.
Microsoft Defender può essere distribuito dai team IT interni o dai provider di servizi gestiti (MSP)e amministrato attraverso il tenant di Microsoft 365 (utilizzando PowerShell o l’interfaccia web), oppure utilizzando Microsoft Lighthouse per più client. Le principali piattaforme RMM possono anche integrarsi con MS Defender for Business per una supervisione e una gestione centralizzate.
Quando distribuisci Microsoft Defender for Business, progetti e implementi i criteri di sicurezza, gli obiettivi devono essere i seguenti:
- Onboarding scalabile dei dispositivi client
- Personalizzazione dei criteri per client o gruppo di dispositivi
- Rilevamento e risposta in tempo reale
- Correzione automatica delle minacce
- Reportistica e avvisi coerenti tra gli inquilini
Configurazione iniziale in Microsoft 365 e Defender Security Portal
Microsoft Defender for Business è incluso negli abbonamenti a Microsoft 365 Business Premium o può essere acquistato come abbonamento indipendente. Una volta ottenuta una licenza valida per i propri utenti, puoi configurarla seguendo i passaggi riportati qui sotto:
- Accedi a Microsoft 365 Admin Center
- Vai a Impostazioni > Microsoft Defender for Business
- Scegli Inizia per configurare i criteri di sicurezza di base
- Accedi al portale Microsoft Defender all’indirizzo security.microsoft.com, quindi vai a Impostazioni > Endpoint > Onboarding
- Seleziona Windows 10 e 11 > Scaricare il pacchetto di onboarding
- Assegna i dispositivi ai gruppi di sicurezza appropriati per l’applicazione dei criteri
I pacchetti di onboarding possono essere distribuiti tramite script locale, Criteri di gruppo (GPO) o utilizzando il tuo RMM.
Onboarding dei dispositivi con PowerShell
Per i dispositivi non gestiti da Intune o GPO, puoi utilizzare PowerShell come alternativa per integrare i dispositivi in Microsoft Defender for Business:
- Scarica il pacchetto di onboarding (selezionando lo script Local come metodo di distribuzione) dal portale Defender ed estrarlo
- Esegui lo script di onboarding estratto localmente o distribuirlo tramite RMM eseguendo WindowsDefenderATPOnboardingScript.cmd
- Verifica l’onboarding eseguendo Get-MpComputerStatus | Selezionare AMServiceEnabled, OnboardingState, e verifica che OnboardingState sia impostato su 1 (onboarded) o 2 (onboarding in corso).
Onboarding dei dispositivi tramite Criteri di gruppo
I Criteri di gruppo possono anche essere utilizzati per collegare i dispositivi a un dominio Windows:
- Scarica il pacchetto di onboarding dal portale (selezionando Criteri di gruppo come metodo di distribuzione) ed estrailo in una condivisione di rete disponibile per i dispositivi di destinazione
- Apri la Console di gestione dei Criteri di gruppo
- Accedi a Configurazione del computer > Modelli amministrativi > Componenti di Windows > Microsoft Defender Antivirus > Onboarding
- Abilita l’impostazione Gestisci onboarding utilizzando uno script locale e imposta lo script di avvio su WindowsDefenderATPOnboardingScript.cmd
Applicazione di CMD per ambienti avanzati o legacy
Se Microsoft Defender non è in esecuzione, puoi verificare che Defender sia abilitato (e non sia disabilitato da un antivirus di terze parti) avviando il servizio Defender dal prompt dei comandi con i seguenti comandi:
Servizio antivirus di base: Inserisci i seguenti comandi in un prompt CMD elevato.
sc config WinDefend start= auto
net start WinDefend
Se lavori con Defender for Business, inserisci il seguente comando in un prompt CMD elevato per raccogliere la telemetria della sicurezza e abilitare il rilevamento e la risposta alle minacce avanzate:
sc config Sense start= auto
net start Sense
Controlla lo stato local o enterprise di Defender inserendo i seguenti comandi come amministratore:
sc query WinDefend
sc query Sense
In alternativa,puoi verificare se Defender è in esecuzione eseguendo il comando PowerShell che trovi qui sotto:
Get-MpComputerStatus | Select OnboardingState
Monitoraggio e reportistica
Il portale Microsoft Defender può essere utilizzato per monitorare i rilevamenti delle minacce, visualizzare il livello di rischio di un dispositivo, controllare gli incidenti e gli avvisi attivi e rivedere le azioni di ripristino automatiche.
Potrai utilizzare Advanced Hunting e il linguaggio per la query KQL per trovare eventi, ad esempio:
DeviceEvents | where ActionType contains “Antivirus” or ActionType contains “Remediation”
Quando configuri Microsoft Defender for Business, assicurati che le notifiche per gli avvisi ad alta gravità siano abilitate e vengano ricevute dai tecnici giusti, e considera l’inoltro dei dati di log a Microsoft Sentinel o agli strumenti SIEM di terze parti.
Configurazione dei criteri di sicurezza per i client e risoluzione dei problemi di configurazione di Microsoft Defender for Business
Dopo aver configurato Microsoft Defender for Business e aver inserito i dispositivi, puoi utilizzare il portale Microsoft 365 Defender per la configurazione:
- Regole di riduzione della superficie di attacco (ASR)
- Protezione da ransomware
- Protezione anti-manomissione
- Applicazione del firewall
- Scansione antivirus ed esclusioni
Nel definire i criteri di Microsoft Defender for Business e nell’integrarlo con gli strumenti ITSM, è necessario considerare come gestire più tenant (particolarmente importante per gli MSP) e come garantire che tutti i dispositivi endpoint siano correttamente integrati. Assicurati, inoltre, che Microsoft Defender non entri in conflitto con altri prodotti per la sicurezza degli endpoint eventualmente già distribuiti, come CrowdStrike o Bitdefender.
Per ridurre la possibilità di problemi di distribuzione, è bene testare i criteri prima di distribuirli. Se qualcosa va storto, inizia a controllare questo aspetto:
- A tutti gli utenti viene applicata una licenza valida di Microsoft Defender for Business
- Le regole del firewall e la connettività agli endpoint *.wdatp.com funzionano
- Il servizio Defender è abilitato e l’AV di terze parti è disinstallato
- I dispositivi appaiono nel portale Defender
- Gli script di automazione o le GPO sono configurati correttamente
Migliora la visibilità, l’applicazione dei criteri e l’automazione della risposta di Microsoft Defender for Business
Sebbene gli strumenti di sicurezza forniti da Microsoft Defender for Business siano solidi e si integrino bene con l’ecosistema Microsoft, lasciano ancora delle lacune di visibilità nelle implementazioni complesse.
NinjaOne si integra con Microsoft Defender for Business per fornire una gestione unificata degli endpoint, il patch management e software, il backup e la protezione degli endpoint per tutti i dispositivi. Supporta Microsoft Defender e piattaforme di cybersecurity di terze parti e fornisce una supervisione completa dell’intera infrastruttura IT e persino dell’infrastruttura di più clienti MSP.
NinjaOne include il supporto per la distribuzione di script, l’auditing, la conformità, la correzione automatica e l’inoltro di avvisi da Microsoft Defender, in modo da garantire che gli incidenti vengano risolti il più rapidamente possibile.
