Abilitare la funzionalità Endpoint Detection and Response (EDR)

È possibile abilitare EDR in qualsiasi piano di protezione.

Per abilitare EDR

  1. Nella console di Cyber Protect, passare a Gestione > Piani di protezione.
  2. Selezionare il piano di protezione pertinente dall'elenco visualizzato e, nella barra laterale destra, fare clic su Modifica.

    In alternativa, è possibile creare un nuovo piano di protezione e procedere al passaggio successivo. Per ulteriori informazioni sul funzionamento dei piani di protezione, consultare Piani e moduli di protezione.

  3. Nella barra laterale del piano di protezione, abilitare il modulo Endpoint Detection and Response (EDR) facendo clic sull'opzione accanto al nome del modulo.

  4. Nella finestra di dialogo visualizzata, fare clic su Abilita. È possibile abilitare EDR e disabilitare comunque una delle funzionalità Antivirus e Anti-malware, Active Protection e Filtro URL nel piano di protezione.

    Se non si dispone della licenza richiesta, l'icona di avviso di licensing () appare accanto all'interruttore. L'icona Detection and Response, come mostrato di seguito, viene aggiunta all'elenco dei pacchetti di protezione richiesti per l'implementazione del piano di protezione.

    Se non si risolve il problema di licensing, la funzionalità EDR verrà disabilitata quando il piano viene applicato ai workload.

  5. Per raccogliere dati per eventi EDR continuamente, anche quando non ci sono rilevamenti particolari, abilitare il Monitoraggio esteso.

    Il monitoraggio esteso consuma risorse CPU aggiuntive sul workload protetto, quindi è consigliabile verificare le sue prestazioni dopo aver abilitato la funzionalità. A seconda del numero di eventi raccolti, potrebbe anche aumentare la larghezza di banda utilizzata per la comunicazione con il data center.

    I dati raccolti sugli eventi di sicurezza sono conservati per 180 giorni nel data center.

Quando si attiva Microsoft Defender Antivirus per la protezione in tempo reale, il modulo Protezione in tempo reale viene disattivato automaticamente per evitare conflitti. Le rilevazioni di virus/malware e la quarantena vengono gestite da Microsoft Defender Antivirus e qualsiasi problema EDR relativo alle rilevazioni di virus/malware viene creato dalle informazioni fornite da Microsoft Defender Antivirus. EDR include altri motori di rilevazione che possono creare altri tipi di problemi senza il coinvolgimento di Microsoft Defender Antivirus.

Allo stesso modo, quando si attiva la Protezione in tempo reale, il modulo Microsoft Defender Antivirus viene disattivato automaticamente.

Le impostazioni di protezione da manomissioni in Windows devono essere disattivate per garantire il corretto funzionamento di Microsoft Defender Antivirus in Cyber Protect Cloud. Per ulteriori informazioni, consultare questo articolo della Knowledge Base.

Inoltre, se le funzionalità Motore comportamentale o Protezione antivirus e anti-malware non sono attive nel piano di protezione quando EDR è attivo, anche Endpoint Detection and Response (EDR) è disattivato.