Finalmente disponibile il support per Windows Virtual Desktop

Microsoft si impegna a estendere continuamente le funzionalità di Microsoft Defender for Endpoint ed è entusiasta di annunciare che Defender for Endpoint per Windows Virtual Desktop è ora disponibile a livello generale! In questo articolo esamineremo brevemente cosa significa e come appare l’esperienza nel Microsoft Defender Security Center.

Defender for Endpoint ora supporta Windows Virtual Desktop con un massimo di 50 connessioni utente simultanee per multisessione di Windows 10 Enterprise (elencate qui come “Microsoft Windows 10 Enterprise for Virtual Desktops”).

Gli scenari di sessione singola su Windows 10 Enterprise sono completamente supportati e l’onboarding delle macchine desktop virtuali Windows in Defender for Endpoint non è cambiato.

Ci sono diversi nuovi elementi nel Microsoft Defender Security Center che sono stati aggiunti per supportare Windows Virtual Desktop, in dettaglio nelle sezioni seguenti:

Device Inventory Page

Nella pagina Device Inventory, seleziona “filtri” per vedere le “Windows 10 WVD” in Piattaforma OS. Identifica le macchine cercando “Windows 10 WVD” nella colonna della piattaforma del sistema operativo della tabella.

Device Page

Nella pagina del dispositivo nel riquadro a comparsa di sinistra, vedrai anche che il desktop virtuale di Windows si riflette nella sezione dei dettagli del dispositivo. Sotto “OS” vedrai “Windows 10 WVD x64” che indica che si tratta di una Windows Virtual Desktop machine.

La pagina del dispositivo mostrerà anche il numero di utenti registrati negli ultimi 30 giorni nella scheda panoramica.

Selezionando il collegamento ” See all users ” potrai vedere l’elenco completo degli utenti. Avrai a disposizione una serie di colonne tra cui ” Logon Type “, che per Windows Virtual Desktop sarà ” logon type 10″ o “RemoteInteractive”.

Le modifiche fino ad ora sono disponibili per aiutarti a identificare le Windows Virtual Desktop machines nel Microsoft Defender Security Center. I dati raccolti e l’esperienza di indagine a cui sei abituato con tutti gli altri tipi di endpoint supportati rimangono per lo più invariati. Puoi aspettarti che la maggior parte delle funzionalità e capacità come la pagina del dispositivo, le azioni di risposta, la gestione delle minacce e delle vulnerabilità, il punteggio di sicurezza di Microsoft per i dispositivi, l’inventario del software, ecc. funzionino ancora allo stesso modo di Windows 10 e altri dispositivi supportati. Tuttavia, ci sono alcune cose da prendere in considerazione in alcune aree chiave del centro di sicurezza che esamineremo di seguito.

Cronologia della macchina

La sequenza temporale della macchina verrà popolata con telemetria informatica da tutte le sessioni utente attive sulla Windows Virtual Desktop machine. Ciò consente agli analisti di vedere tutti gli eventi che si verificano sulla macchina e offre anche la possibilità di esaminare gli eventi della sequenza temporale specifici per una particolare sessione utente. Nell’esempio, sono state contrassegnati un paio di eventi nella sequenza temporale avvenuti da cinque diversi utenti che si sono connessi contemporaneamente a una macchina:

Se vuoi vedere tutte le attività relative a un utente specifico, cerca semplicemente il nome utente per visualizzare tutta la telemetria informatica associata:

Tutte le funzionalità della sequenza temporale della macchina come ricerca, filtri, contrassegni, colonne, intervallo di tempo, ecc. funzionano ancora allo stesso modo degli altri dispositivi.

Ricerca avanzata

Tutti i dati di telemetria informatica riportati dalle macchine saranno disponibili nella ricerca avanzata. Ad esempio, potresti voler vedere eventi di processo o caricamenti di immagini relativi a una sessione utente specifica e questo può essere ottenuto utilizzando colonne che sono già presenti nello schema di ricerca avanzata:

Se invece vuoi controllare gli eventi di rete del browser dall’utente su un Windows Virtual Desktop host nelle ultime 24 ore:

Per l’ultimo esempio, potresti voler controllare gli utenti attualmente connessi tramite la tabella DeviceInfo: come puoi vedere qui al 1/13/2021 1:25:19 ci sono cinque utenti che hanno effettuato l’accesso simultaneo a questo specifico host Windows Virtual Desktop:

Questi sono solo alcuni esempi che prendono di mira tutte le sessioni utente, o solo alcune specifiche, per approfondimenti sui dati tramite la ricerca avanzata.

Incidenti e avvisi

Questa esperienza nel portale rimane invariata, ecco un avviso di esempio che viene attivato per un utente su una Windows Virtual Desktop machine:

Nota sulle licenze: quando si utilizza la multisessione di Windows 10 Enterprise, a seconda dei requisiti, è possibile scegliere di disporre di una licenza per tutti gli utenti tramite Microsoft Defender for Endpoint (per utente), Windows Enterprise E5, Microsoft 365 Security o Microsoft 365 E5, oppure disporre della licenza della macchina virtuale tramite Azure Defender.

Se non stai ancora sfruttando l’ottica di sicurezza di Microsoft e le funzionalità di rilevamento per gli endpoint, registrati per una prova gratuita di Microsoft Defender per Endpoint.


Le informazioni presenti in questo post, sono prese dall’articolo: https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/windows-virtual-desktop-support-is-now-generally-available/ba-p/2103712