L’implementazione del rilevamento e del contenimento dei malware e è uno dei modi migliori per proteggere gli endpoint. L’integrazione di queste strategie nelle piattaforme di monitoraggio e gestione da remoto (RMM) consente inoltre ai provider di servizi gestiti (MSP) di ottimizzare le attività automatizzando le risposte per ridurre i tempi di reazione. Questo aumenta anche la visibilità su tutti gli endpoint client, riducendo al minimo la superficie di attacco.
Per questo motivo è essenziale capire come configurare le integrazioni RMM per fare in modo che rilevino e mettano in quarantena i malware. Con un’adeguata integrazione, gli MSP possono identificare le minacce e isolare automaticamente le macchine infette, dare priorità agli avvisi e mantenere la conformità attraverso logging e reportistica. In questa guida illustreremo le strategie per integrare l’RMM nel tuo sistema tramite PowerShell, CMD, il monitoraggio del registro di sistema, gli oggetti dei criteri di gruppo (GPO) e i log eventi per combattere gli attacchi malware. Questo dovrebbe aiutare gli MSP a identificare le minacce.
In sintesi
| Attività | Scopo | Ruolo dello strumento RMM |
| Attività 1: Utilizzo di PowerShell per rilevare e mettere in quarantena i malware | Rilevare e mettere in quarantena i malware tramite i cmdlet di Defender | Distribuisce gli script, pianifica le scansioni, automatizza le azioni di quarantena |
| Attività 2: Utilizzo di CMD per la scansione antivirus e la quarantena | Rilevare e mettere in quarantena i malware utilizzando MpCmdRun.exe | Distribuisce script batch agli endpoint |
| Attività 3: Monitoraggio dei log eventi alla ricerca di attività di malware | Rileva l’attività del malware monitorando i log di Defender | Monitoraggio degli ID eventi, attivazione di avvisi o script |
| Attività 4: Utilizzo degli indicatori di registro per l’isolamento e l’hardening | Rilevare le manomissioni AV e applicare le modifiche di hardening | Controlla le chiavi di registro, applica o ripristina le impostazioni |
| Attività 5: Applicazione delle impostazioni antivirus tramite Criteri di gruppo | Applicare i criteri AV senza rilevare le minacce | Mantiene lo standard dei criteri, supporta il comportamento degli script RMM |
| Attività 6: Quarantena degli endpoint attraverso l’isolamento della rete e dei servizi | Isolare le macchine infette dalla rete | Esegue script di isolamento reattivi basati su trigger di minaccia |
Prerequisiti per la risposta ai malware basata su RMM
Prima di procedere alla configurazione della risposta ai malware basata su RMM, assicurati che l’ambiente soddisfi i seguenti requisiti:
- Una piattaforma RMM con funzionalità di scripting, avvisi e automazione (per esempio, NinjaOne)
- Software antivirus attivo sugli endpoint, come Microsoft Defender o strumenti di terze parti come SentinelOne o Bitdefender
- PowerShell 5.1 o versioni successive, oppure accesso a CMD per lo scripting di comandi AV
- Accesso ai log delle scansioni antivirus o ai log degli eventi di sicurezza di Windows per il monitoraggio delle minacce
- Configurazioni GPO opzionali per applicare le impostazioni antivirus e abilitare la protezione in tempo reale
Attività 1: Utilizzo di PowerShell per rilevare e mettere in quarantena i malware
📌 Caso d’uso:
PowerShell consente agli amministratori IT di eseguire script tramite RMM per scansionare le minacce, registrare gli eventi di rilevamento e agire. È funzionalmente integrato con Microsoft Defender, e consente la gestione delle minacce sia manuale che automatizzata.
Di seguito sono riportate le attività consigliate che puoi eseguire con PowerShell per prevenire o rispondere in modo proattivo alle minacce malware attraverso uno strumento RMM.
- Apri PowerShell come amministratore. Premi il tasto Windows, digita PowerShell, quindi clicca con il pulsante destro del mouse su Windows PowerShell e seleziona Esegui come amministratore.
- Esegui i seguenti comandi:
- Per avviare una scansione rapida:
Start-MpScan -ScanType QuickScan
- Per esaminare le minacce rilevate:
Get-MpThreatDetection | Format-List
- Per mettere in quarantena le minacce:
Remove-MpThreat -ThreatID <ID> -Quarantine
- Per essere certo che la protezione in tempo reale sia abilitata:
Set-MpPreference -DisableRealtimeMonitoring $false
💡Ruolo dello strumento RMM: L’RMM è uno strumento efficace per aiutare gli amministratori di sistema a pianificare le scansioni giornaliere, registrare le minacce e mettere in quarantena le infezioni sugli endpoint.
Attività 2: Utilizzo di CMD per la scansione antivirus e la quarantena
📌 Caso d’uso:
I dispositivi più vecchi possono beneficiare della scansione da riga di comando tramite MpCmdRun.exe. Questa attività è utile anche quando l’accesso a PowerShell è limitato e il sistema richiede un’esecuzione semplificata degli script tramite i file batch di RMM.
Di seguito sono riportate le attività consigliate utilizzando lo strumento a riga di comando di Microsoft Defender (MpCmdRun.exe) che puoi eseguire con Prompt dei comandi per prevenire o rispondere in modo proattivo alle minacce malware attraverso uno strumento RMM.
- Premi la combinazione di tasti Windows + X, quindi seleziona Prompt dei comandi (esegui come amministratore) o Terminale di Windows (esegui come amministratore). Se utilizzi il Terminale Windows, assicurati di essere in una scheda del Prompt dei comandi e non di PowerShell.
- Esegui i seguenti comandi:
- Per eseguire una scansione rapida:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1
- Per eseguire una scansione completa:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
- Per visualizzare la cronologia delle minacce in quarantena:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -GetFiles
💡 Ruolo dello strumento RMM: Utilizza l’automazione RMM per distribuire script CMD per la scansione pianificata o condizionale, soprattutto sui dispositivi con ambienti di scripting limitati.
Attività 3: Monitoraggio dei log degli eventi alla ricerca di attività di malware
📌 Caso d’uso:
Gli amministratori IT possono sfruttare la capacità dei log di Microsoft Defender di tenere traccia di tutte le principali azioni del sistema. Possono utilizzarlo come fonte per monitorare l’attività delle minacce.
- Apri il Visualizzatore eventi premendo la combinazione di tasti Windows + R, digitando eventvwr.msc e premendo Invio.
- Vai su:
Registri di applicazioni e servizi > Microsoft > Windows > Windows Defender > Operativo - Cerca gli ID evento pertinenti:
- 1116: Rilevato malware
- 1117: Azione intrapresa
- 2001: Minaccia rimossa
- 5007: Registro di sistema modificato (forse da un malware)
- A questo punto puoi utilizzare PowerShell per monitorare questi log eseguendo il seguente comando:
Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" | Where-Object {$_.Id -eq 1116}
💡 Ruolo dello strumento RMM: I criteri RMM possono essere configurati per rilevare questi eventi e attivare la correzione automatica. Queste azioni possono includere la messa in quarantena dell’endpoint o la generazione di un ticket di assistenza.
Attività 4: Utilizzo degli indicatori di registro, DisableAntiSpyware e DisableAntiVirus, per l’isolamento e l’hardening
📌 Caso d’uso:
Gli amministratori IT possono utilizzare le impostazioni del registro per un rapido rafforzamento del sistema. Gli indicatori di registro forniscono inoltre informazioni sullo stato della protezione antivirus e aiutano a identificare gli endpoint che devono essere isolati.
- Apri PowerShell come amministratore. Premi il tasto Windows, digita PowerShell, quindi clicca con il pulsante destro del mouse su Windows PowerShell e seleziona Esegui come amministratore.
- Esegui i seguenti comandi:
- Per verificare se Defender è disabilitato:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "DisableAntiSpyware","DisableAntiVirus"
- Per riabilitare Defender:
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 0
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Value 0
- Per abilitare la protezione della rete:
Set-MpPreference -EnableNetworkProtection Enabled
💡 Ruolo dello strumento RMM: Il monitoraggio delle chiavi di registro tramite RMM consente di rilevare le modifiche dannose e supporta azioni rapide di ripristino o rollback.
Attività 5: Applicazione delle impostazioni antivirus tramite Criteri di gruppo
📌 Caso d’uso:
Gli oggetti dei Criteri di gruppo (GPO) possono imporre una linea di base stabile tra i dispositivi, garantendo che le impostazioni di protezione e scansione in tempo reale rimangano attive.
- Apri i Criteri di gruppo come amministratore. Premi il tasto Windows, digita gpedit.msc, quindi premi la combinazione di tasti Ctrl + Maiusc + Invio per eseguire come amministratore.
- Vai su: Configurazione del computer > Modelli amministrativi > Windows Componenti > Microsoft Defender Antivirus
- Controlla le seguenti impostazioni e verifica che siano configurate correttamente:
| Impostazione | Stato consigliato |
| “Disattiva Microsoft Defender Antivirus” | Disabilitato |
| “Consenti al servizio antimalware di rimanere sempre in funzione” | Abilitato |
| “Disattiva la protezione in tempo reale” | Disabilitato |
| “Attiva il monitoraggio del comportamento” | Abilitato |
💡 Ruolo dello strumento RMM: La combinazione di GPO e RMM garantisce che gli endpoint siano conformi ai criteri di sicurezza e siano sempre pronti a rispondere ai malware.
Attività 6: Quarantena degli endpoint attraverso l’isolamento della rete e dei servizi
📌 Caso d’uso:
Questa attività è fondamentale quando i malware sono classificati come ad alto rischio. Gli amministratori IT possono utilizzare PowerShell per disabilitare la connettività e i servizi a rischio.
- Apri PowerShell come amministratore. Premi il tasto Windows, digita PowerShell, quindi clicca con il pulsante destro del mouse su Windows PowerShell e seleziona Esegui come amministratore.
- Esegui i seguenti comandi:
- Per disabilitare la scheda di rete:
Disable-NetAdapter -Name "Ethernet" -Confirm:$false
- Per arrestare i servizi chiave:
Stop-Service -Name "RemoteRegistry" -Force
Stop-Service -Name "WinRM" -Force
- Per bloccare il traffico in uscita:
New-NetFirewallRule -DisplayName "BlockOutbound" -Direction Outbound -Action Block -Enabled True
💡 Ruolo dello strumento RMM: Gli amministratori di sistema possono lanciare questi script in modo condizionale attraverso uno strumento RMM quando viene rilevato un malware. Questo riduce al minimo gli spostamenti laterali e l’esfiltrazione dei dati.
⚠️ Cose da tenere d’occhio
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| La scansione non viene eseguita | I malware potrebbero passare inosservati, lasciando esposti gli endpoint | Verifica che Microsoft Defender sia abilitato e che PowerShell abbia le autorizzazioni corrette. Esegui gli script come amministratore o utilizza un sistema di logging per verificare l’esecuzione. |
| Nessuna minaccia registrata | I rilevamenti mancati possono impedire l’emissione di avvisi e segnalazioni, riducendo la visibilità | Assicurati che la telemetria e il logging di Defender siano abilitati. Utilizza Get-MpComputerStatus per verificare lo stato del logging e della protezione. |
| La messa in quarantena non riesce | Le minacce possono persistere sul dispositivo e diffondersi lateralmente attraverso la rete | Riavvia in modalità provvisoria per eseguire la rimozione o isolare il dispositivo da remoto utilizzando gli script RMM. |
| Gli script di disabilitazione NIC non funzionano in modo corretto | I dispositivi infetti rimangono online, compromettendo gli sforzi di contenimento | Aggiungi -Verbose per aggiungere una trascrizione dei risultati allo script. Testa in un ambiente controllato prima della distribuzione. |
Ulteriori considerazioni per la risposta ai malware tramite RMM
- Integrazione di AV di terze parti: Alcuni AV offrono opzioni CLI/API per la scansione e l’isolamento.
- Falsi positivi: Conserva sempre i log di tutti gli eventi e supporta il rollback manuale per evitare interruzioni.
- Procedure di escalation: Gli amministratori IT possono scegliere tra diverse soluzioni RMM che offrono anche strumenti PSA integrati. Questo aiuta a semplificare i servizi di reporting e ticketing.
- Licenze: Verifica che le funzioni di Defender o AV siano dotate di licenza completa e non siano disabilitate da restrizioni OEM.
Servizi NinjaOne per il rilevamento e la messa in quarantena dei malware tramite RMM
NinjaOne e i suoi strumenti possono contribuire a migliorare il rilevamento e la risposta proattiva alle minacce malware.
| Servizio NinjaOne | Di cosa si tratta | Come aiuta il rilevamento e la risposta ai malware |
| Distribuzione degli script | Ti permette di distribuire script di scansione e correzione dei malware basati su PowerShell o CMD | Automatizza le scansioni regolari e consente una rapida correzione delle minacce su più dispositivi |
| Monitoraggio dei log eventi | Monitora i log eventi di Windows Defender (per esempio l’ID evento 1116 per il rilevamento di malware) | Rileva le minacce in tempo reale e attiva flussi di lavoro di risposta automatizzati |
| Quarantena automatizzata | Esegue script preconfigurati per isolare i dispositivi infetti dalla rete | Limita la diffusione dei malware tagliando fuori rapidamente gli endpoint compromessi |
| Gestione dei criteri | Applica e fa rispettare le configurazioni AV, come la protezione in tempo reale di Defender e le impostazioni di scansione | Mantiene una linea di base di sicurezza coerente su tutti gli endpoint |
| Integrazione di ticketing | Genera ticket PSA quando vengono rilevati eventi di malware | Assicura che gli incidenti siano documentati, assegnati e affrontati entro le finestre SLA |
| Audit e reporting | Permettono di registrare tutte le attività relative ai malware, comprese le azioni di rilevamento, quarantena e correzione | Supportano la conformità, la revisione degli incidenti e la trasparenza operativa |
Sfruttare l’RMM per rispondere alle minacce malware
L’integrazione dei flussi di lavoro di rilevamento e quarantena dei malware nelle piattaforme RMM trasforma gli strumenti AV reattivi in soluzioni di cybersecurity proattive. Con l’aiuto di PowerShell, del Prompt dei comandi e dei log eventi, i Managed Service Provider e gli amministratori di sistema possono automatizzare il rilevamento e la risposta ai malware. Nel frattempo, l’applicazione del registro e delle GPO aiuta a implementare le strategie per stabilizzare la postura di sicurezza.
Strumenti RMM come NinjaOne possono integrare tutte le fasi descritte per renderle scalabili. Integrando questi flussi di lavoro nella gestione degli endpoint, le organizzazioni possono ridurre drasticamente i tempi di risposta e rafforzare la protezione complessiva.
Argomenti correlati:
- Che cosa sono i malware? Tipi, rilevamento e prevenzione
- Che cos’è la quarantena nella sicurezza informatica?
- Come utilizzare Windows Defender per la scansione dei malware
- Come leggere i log eventi di Windows: Arresto e riavvio
- Come eseguire la scansione manuale di file, cartelle e unità alla ricerca di malware in Windows 10
