Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.
Gli avvisi attivati nelle soluzioni di sicurezza Microsoft connesse a Microsoft Sentinel, ad esempio Microsoft Defender for Cloud Apps e Microsoft Defender per identità, non creano automaticamente eventi imprevisti in Microsoft Sentinel. Per impostazione predefinita, quando si connette una soluzione Microsoft a Microsoft Sentinel, tutti gli avvisi generati nel servizio verranno inseriti e archiviati nella tabella SecurityAlert nell'area di lavoro Microsoft Sentinel. È quindi possibile usare tali dati come tutti gli altri dati non elaborati inseriti in Microsoft Sentinel.
È possibile configurare facilmente Microsoft Sentinel per creare automaticamente eventi imprevisti ogni volta che viene attivato un avviso in una soluzione di sicurezza Microsoft connessa, seguendo le istruzioni riportate in questo articolo.
Importante
Questo articolo non si applica se si dispone di:
- Abilitato Microsoft Defender XDR l'integrazione degli eventi imprevisti oppure
- Onboarding di Microsoft Sentinel nel portale di Microsoft Defender.
In questi scenari, Microsoft Defender XDR crea eventi imprevisti dagli avvisi generati nei servizi Microsoft.
Se si usano regole di creazione di eventi imprevisti per altre soluzioni o prodotti di sicurezza Microsoft non integrati in Defender XDR, ad esempio Gestione dei rischi Insider Microsoft Purview, e si prevede di eseguire l'onboarding nel portale di Defender, sostituire le regole di creazione degli eventi imprevisti con le regole di analisi pianificata.
Prerequisiti
Connettere la soluzione di sicurezza installando la soluzione appropriata dall'hub contenuto in Microsoft Sentinel e configurando il connettore dati. Per altre informazioni, vedere Individuare e gestire Microsoft Sentinel contenuto predefinito e connettori dati Microsoft Sentinel.
Abilitare la generazione automatica di eventi imprevisti nel connettore dati
Il modo più diretto per creare automaticamente eventi imprevisti da avvisi generati da soluzioni di sicurezza Microsoft consiste nel configurare il connettore dati della soluzione per creare eventi imprevisti:
Connettere un'origine dati della soluzione di sicurezza Microsoft.
In Crea eventi imprevisti - Consigliato selezionare Abilita per abilitare la regola di analisi predefinita che crea automaticamente gli eventi imprevisti dagli avvisi generati nel servizio di sicurezza connesso. È quindi possibile modificare questa regola in Analytics e quindi in Regole attive.
Importante
Se questa sezione non viene visualizzata come illustrato, è molto probabile che sia stata abilitata l'integrazione degli eventi imprevisti nel connettore Microsoft Defender XDR o che sia stato caricato Microsoft Sentinel nel portale di Defender.
In entrambi i casi, questo articolo non si applica all'ambiente, poiché gli eventi imprevisti vengono creati dal motore di correlazione Microsoft Defender anziché da Microsoft Sentinel.
Creare regole di creazione di eventi imprevisti da un modello di sicurezza Microsoft
Microsoft Sentinel fornisce modelli di regole pronti per la creazione di regole di sicurezza Microsoft. Ogni soluzione di origine Microsoft ha un proprio modello. Ad esempio, ce n'è uno per Microsoft Defender per endpoint, uno per Microsoft Defender per cloud e così via. Creare una regola da ogni modello corrispondente alle soluzioni nell'ambiente, per cui si desidera creare automaticamente gli eventi imprevisti. Modificare le regole per definire opzioni più specifiche per filtrare gli avvisi che devono causare eventi imprevisti. Ad esempio, è possibile scegliere di creare automaticamente Microsoft Sentinel eventi imprevisti solo da avvisi con gravità elevata da Microsoft Defender per identità.
Nel menu di spostamento Microsoft Sentinel selezionare Analisi in Configurazione.
Selezionare la scheda Modelli di regola per visualizzare tutti i modelli di regola di analisi. Per trovare altri modelli di regola, passare all'hub contenuto in Microsoft Sentinel.
Filtrare l'elenco per il tipo di regola di sicurezza Microsoft per visualizzare i modelli di regola di analisi per la creazione di eventi imprevisti da avvisi Microsoft.
Selezionare il modello di regola per l'origine degli avvisi per cui si desidera creare eventi imprevisti. Quindi, nel riquadro dei dettagli selezionare Crea regola.
Modificare i dettagli della regola, filtrando gli avvisi che creeranno eventi imprevisti in base alla gravità dell'avviso o al testo contenuto nel nome dell'avviso.
Ad esempio, se si sceglie Microsoft Defender per identità nel campo Servizio di sicurezza Microsoft e si sceglie Alta nel campo Filtro per gravità, solo gli avvisi di sicurezza con gravità elevata creeranno automaticamente eventi imprevisti in Microsoft Sentinel.
Come per altri tipi di regole di analisi, selezionare la scheda Risposta automatica per definire le regole di automazione eseguite quando gli eventi imprevisti vengono creati da questa regola.
Creare regole di creazione degli eventi imprevisti da zero
È anche possibile creare una nuova regola di sicurezza Microsoft che filtra gli avvisi da diversi servizi di sicurezza Microsoft. Nella pagina Analisi selezionare Crea > regola di creazione degli eventi imprevisti Microsoft.
È possibile creare più di una regola di analisi della sicurezza Microsoft per ogni tipo di servizio di sicurezza Microsoft . Ciò non crea eventi imprevisti duplicati se si applicano filtri a ogni regola che si escludono a vicenda.
Passaggi successivi
- Per iniziare a usare Microsoft Sentinel, è necessaria una sottoscrizione a Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per una versione di valutazione gratuita.
- Informazioni su come eseguire l'onboarding dei dati per Microsoft Sentinel e ottenere visibilità sui dati e sulle potenziali minacce.