• Cloud, Guide, Microsoft 365, Sicurezza
• 30 Giugno 2026

Predictive Shielding (Preview) è una strategia di difesa proattiva progettata per anticipare e attenuare le minacce come parte di un attacco in corso.

Questa funzionalità estende le capacità di attack disruption con misure preventive. Questa guida è volta proprio a farvi capire come poter sfruttare questa nuova misura di sicurezza introdotta da Microsoft, possa espandere la vostra protezione dai sempre più sofisticati informatici.

Come funziona Predictive Shielding in caso di attack disruption?

Il panorama delle minacce in continua evoluzione crea uno squilibrio; i teams di sicurezza devono proteggere ogni asset, mentre gli attaccanti hanno bisogno di un’unica apertura. Le difese tradizionali sono reattive e rispondono dopo l’avvio di attività dannose.

Questo approccio però lascia i Team di sicurezza “inseguire” gli attaccanti, che spesso agiscono troppo rapidamente o “nell’ombra” per non essere rilevati in tempo reale. Anche se alcuni comportamenti degli attaccanti devono essere bloccati in modo definitivo, la prevenzione statica interrompe la produttività e aggiunge un sovraccarico operativo.

Per affrontare queste sfide, questa funzionalità migliora lo stack di protezione autonoma di Defender, espandendo la funzionalità già esistente di Attack Disruption per includere misure proattive durante un attacco, anticipando i rischi e applicando protezioni mirate solo dove necessario.

Questo approccio proattivo riduce riduce il tempo di “inseguimento” degli attaccanti ed il carico operativo dei Team di sicurezza.

Mentre l’interruzione degli attacchi identifica e contiene asset compromessi, questa nuova funzionalità, anticipa la potenziale progressione degli attacchi e limita in modo proattivo gli asset o i percorsi vulerabili. Poiché Predictive Shielding fa parte dello stesso stack di protezione autonoma, i principi del modello di attendibilità e AI descritti per l’interruzione degli attacchi si applicano anche a questa nuova funzionalità Automatic attack disruption in Microsoft Defender – Microsoft Defender XDR | Microsoft Learn

Funzionamento

Questa funzionalità usa l’analisi predittiva e le informazioni dettagliate in tempo reale per identificare dinamicamente i rischi emergenti e applicare protezioni mirate.

Predictive Shielding integra il contest di postura, attività e scenario per identificare potenziali percorsi e destinazioni di attacco, rafforzare in modo selettivo gli asset critici o vincolare i percorsi di attacco appena in tempo.

Questo approcio riduce al minimo il sovraccarico operativo e offre ai SOC più tempo per rispondere.

Predictive Shielding si basa principalmente su due pilastri:

• Previsione
  
  • Implica l’analisi dell’intelligence sulle minacce, del comportamento degli utenti malintenzionati, degli eventi imprevisti passati e dell’esposizione dell’organizzazione
  • Defender usa questi dati di stima per identificare i rischi emergenti, comprendere la probabile progressione degli attacchi e dedurre il rischio sugli asset non compromessi
• L’imposizione applica controlli protettivi preventivi per interrompere i percorsi di attacco potenziali in tempo reale

Sostanzialmente questo approccio garantisce che la protezione sia precisa e tempestiva.

Logica di Prediction

Consente alle organizzazioni di identificare gli asset a rischio e applicare protezioni personalizzate in tempo reale. La logica di Prediction è incentrata sui rischio emergenti anziché sulla prevenzione statica, che riduce al minimo l’attrito operativo e garantisce che le misure di sicurezza vengano applicate esattamente dove necessario.

Defender usa più livelli di informazioni dettagliate per effettuare stime accurate:

• Intelligence sulle minacce allinea l’attività osservata con strumenti e tattiche di attacco noti
• Le conoscenze degli eventi imprevisti passati vengono usate per riconoscere i modelli statistici ed estrapolare i passaggi successivi più probabili
• I dati di esposizione dell’organizzazione vengono usati per eseguire il mapping del odo in cui l’ambiente è strutturato, ovvero quali asset e identità sono connessi, quali autorizzazioni hanno queste identità, quali vulnerabilità o configurazioni errate esistono e come il rischio più propagarsi tra di essi.

Logica Graph-Base

Pre previsione di logica basata su graph colma il divario tra i sistemi di pre-violazione e post-violazione, fornendo una visione unificata delle attività degli utenti malintenzionati nella “topologia” aziendale.

Questa visualizzazione unificata include asset, le connessioni e le vulnerabilità dell’organizzazione. La logica basata su grafico combina i dati delle attività dinamiche con la mappa strutturale dell’ambiente.

Questa integrazione consente a Defender di regolare dinamicamente le protezioni in base alle vulnerabilità più critiche, abilitando la definizione delle priorità in tempo reale delle difese e bloccando gli utenti malintenzionati prima che raggiungano gli asset critici.

Il processo prevede tre fasi principali:

1. Defender sovrappone l’attività di post-violazione al grafico di esposizione dell’organizzazione, creando una visualizzazione completa dei potenziali percorsi di attacco
2. Defender identifica il raggio di “esplosione”, ovvero gli asset correlati che potrebbero interessare l’attività identificata
3. I modelli di ragionamento stimano i percorsi che gli utenti malintenzionati sono più propensi a prendere, considerando i comportamenti passati, le caratteristiche degli asset e le vulnerabilità ambientali

Quali sono le azioni di Predictive shielding?

Le azioni utilizzate sono basate su Defender fo Endpoint, per queste attività è necessaria una licenza di Microsoft Defender for Endpoint o suite che lo contenga.

• Protezione avanzata Safeboot (Preview): protegge il dispositivo all’avvio in modalità provvisoria. L’avvio in modalità provvisoria è una tattica comune usata da attaccanti per ignorare i controlli di sicurezza e mantenere la persistenza nei sistemi compromessi
• GPO hardening (Preview): rafforza le GPO per impedire agli attaccanti di sfruttare configurazioni errate o punti deboli nelle impostazioni delle Group Policy per sfruttare tecniche di escalate privileges o Lateral Movement
• Proactive user containment (contain user): infonde I dati dell’attività con i dati di esposizione per identificare le credenziali esposte a rischio di essere compromesse e riutilizzate per condurre attività dannose. Limita in modo proattivo l’attività degli utenti associati a tali credenziali

Figura 1: Spiegazione come da documentazione ufficiale della funzionalità di contenimento

In questo articolo vi darò evidenza di come queste funzionalità agiscono in caso di attacco e come sono le configurazioni all’interno del tenant.

Come primo passaggio è necessario, essendo funzionalità in Preview, abilitarle all’interno del portale di Microsoft Defender

Figura 2: Setting relative al portale di Microsoft Defender

Figura 3: Abilitazione di tutte le funzionalità in Preview relative a Microsoft Defender XDR

La prima funzionalità di cui vi darò evidenza è Protezione avanzata Safeboot (Preview) funzionalità che viene abilitata attraverso le Attack Surface Reduction (ASR) di Defender for Endpoint, se volete approfondire le funzionalità ASR vi rimando all’articolo scritto per la community Microsoft Defender XDR: Attack Surface Reduction Manager – ICT Power, questa funzionalità è stata configurata manualmente, ma lo Shield la attiverebbe in automatico insieme ad Attack Distruption, ma il consiglio è quello di abilitarlo comunque a livello di Policy ASR, cosa di cui vi darò evidenza nei passaggi successivi

Rechiamoci all’interno del portale di Microsoft Defender

Figura 4: Device che utilizzerò come demo per la componente di Safeboot

Figura 5: Verifichiamo la policy di ASR applicata all’Endpoint che configurazione presenta

Figura 6: Accediamo in modalità edit per vedere il contenuto della policy

Figura 7: Overview di nome e descrizione della policy

Figura 8: Policy ASR che impedisce al dispositivo di riavviarsi in modalità provvisoria

Figura 9: Policy correttamente applicata all’Endpoint di demo

Ora il pc in questione è ICTPOWERPC01 una macchina virtuale, che proveremo a riavviare in modalità provvisoria, ma l’operazione non sarà permessa come da policy (BLOCK)

Apriamo il cmd e proviamo ad eseguire questo comando “bcdedit /set {current} safeboot minimal”

Figura 10: Esecuzione comando per simulare il riavvio in modalità provvisoria

Figura 11: Azione correttamente bloccata

Figura 12: Dettaglio dell’azione bloccata come da policy configurata

Come avete potuto notare, il riavvio del dispositivo in modalità provvisoria non è possibile, questo aumento in modo considerevole la protezione del dispositivo.

Ora procederò a darvi evidenza della nuova funzionalità GPO hardening (Preview) anch’essa in Preview, questa sezione vi darà evidenza anche della terza funzionalità quella relativa a Proactive user containment

Nel mio ambiente di demo ho una Group Policy che applica un’immagine di sfondo ai desktop

Figura 13: GPO che configura un’immagine di sfondo

Figura 14: GPO applicata alla OU “ictpower users”

Figura 15: GPO applicata correttamente all’Endpoint di demo

Figura 16: Utente standard che viene delegato per eseguire editing della presente gpo per la simulazione della demo

Ora dal pc a dominio chiamato ICTPOWERPC01 eseguirò un codice AMSI (benigno) che renderà il pc ad alto rischio in quanto rilevata come azione malevola da Microsoft Defender for Endpoint

Figura 17: Esecuzione script amsi sul dispositivo dell’utente che non è amministratore di dominio

Figura 18: Script che viene giustamente bloccato da Microsoft Defender for Endpoint

Figura 19: Notifica di Microsoft Defender sull’Endpoint

Figura 20: Dettaglio del blocco sull’Endpoint

Figura 21: Dettaglio dell’alert all’interno del portale di Microsoft Defender

Figura 22: Device che dopo la simulazione di attacchi risulta giustamente a rischio alto

Figura 23: La funzionalità di Attack Distruption ha disabilitato ed eseguito il contain dell’utente

Figura 24: Eseguendo la login in RDP il sistema mi dice appunto che l’utente è disabilitato

Dopo aver riabilitato l’utente, accedo al dispositivo e con utente delegato per editare le GPO lo faccio dal dispositivo computer

Figura 25: Cambio configurazione della GPO con utente delegato direttamente dal dispositivo e non dal domain controller per simulare ancora in modo più marcato un alert GPO Hardening

Nell’incident vediamo il dettaglio della GPO Hardening

Figura 26: GPO Hardening visibile direttamente nell’Incident questo significa che la modifica della gpo non verrà applicata

Come vedete dalla schermata nella tag è presente “Predective Shielding” in questo caso siete certi che sia “intervenuta” la nuova funzionalità in preview

Conclusioni

Predictive Shielding introduce un approccio proattivo alla sicurezza, permettendo di anticipare e mitigare le minacce prima che possano compromettere gli asset critici. Grazie all’analisi predittiva, alla threat intelligence e alla logica basata su grafici, Microsoft Defender è in grado di identificare i potenziali percorsi di attacco e applicare automaticamente misure di protezione mirate. Le funzionalità illustrate, come SafeBoot Protection, GPO Hardening e Proactive User Containment, dimostrano l’efficacia di questo approccio nel ridurre la superficie di attacco e supportare i team di sicurezza nella gestione degli incidenti. Anche se attualmente in Preview, Predictive Shielding rappresenta un’evoluzione significativa verso una sicurezza più intelligente, automatizzata e proattiva.