Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel è disponibile nel portale di Microsoft Defender con Microsoft Defender XDR o autonomamente. Offre un'esperienza unificata in SIEM e XDR per un rilevamento e una risposta più rapidi e accurati delle minacce, flussi di lavoro più semplici e una migliore efficienza operativa.
Questo articolo illustra come eseguire la transizione dell'esperienza di Microsoft Sentinel dal portale di Azure al portale di Defender. Se si usa Microsoft Sentinel nel portale di Azure, passare a Microsoft Defender per le operazioni di sicurezza unificate e le funzionalità più recenti. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender o guardare la playlist YouTube.
Annotazioni
La transizione al portale di Defender, anche per i clienti non E5, non prevede costi aggiuntivi per il cliente. Il cliente continua a essere fatturato come di consueto solo per il consumo in Sentinel.
Prerequisiti
Prima di iniziare, prendere nota:
Questo articolo è destinato ai clienti con un'area di lavoro esistente abilitata per Microsoft Sentinel che vogliono eseguire la transizione dell'esperienza di Microsoft Sentinel al portale di Defender. Se sei un nuovo cliente che ha eseguito l'onboarding con le autorizzazioni di una sottoscrizione Owner o un amministratore dell'accesso utente, le tue aree di lavoro sono registrate automaticamente nel portale di Defender.
Alcune funzionalità di Microsoft Sentinel hanno nuove posizioni nel portale di Defender. Per altre informazioni, vedere Guida di riferimento rapido.
Se pertinente, i prerequisiti dettagliati sono disponibili negli articoli collegati per ogni passaggio.
Pianificare e configurare l'ambiente di transizione
Destinatari: Architetti della sicurezza
Video:
- Integrazione di un'area di lavoro Microsoft Sentinel in Microsoft Defender
- Gestione del RBAC unificato in Microsoft Defender
Esaminare le indicazioni sulla pianificazione, completare i prerequisiti e eseguire l'onboarding
Esaminare tutte le indicazioni sulla pianificazione e completare tutti i prerequisiti prima di eseguire l'onboarding dell'area di lavoro nel portale di Defender. Per altre informazioni, vedere gli articoli seguenti:
Plan per le operazioni di sicurezza unificata nel portale di Defender. Dopo l'onboarding nel Defender portal, il ruolo Microsoft Sentinel Contributor viene assegnato alle app Microsoft Threat Protection e WindowsDefenderATP nella sottoscrizione.
Gestire le autorizzazioni di Microsoft Sentinel e Defender XDR nel portale di Microsoft Defender. Questo post di blog illustra come funzionano le autorizzazioni Microsoft Sentinel e Defender XDR nel portale di Defender unificato, cosa aspettarsi durante la transizione, nonché un'introduzione al nuovo controllo degli accessi in base al ruolo unificato. Per maggiori informazioni su URBAC, vedere Associa le autorizzazioni RBAC unificate di Microsoft Defender XDR alle autorizzazioni RBAC esistenti.
Distribuire per operazioni di sicurezza integrata nel portale Defender. Anche se questo articolo è destinato ai nuovi clienti che non hanno ancora un'area di lavoro per Microsoft Sentinel o altri servizi di cui è stato eseguito l'onboarding nel portale di Defender, usarlo come riferimento se si passa al portale di Defender.
Connettere Microsoft Sentinel al portale di Defender. Questo articolo elenca i prerequisiti per l'onboarding dell'area di lavoro nel portale di Defender. Se si prevede di usare Microsoft Sentinel senza Defender XDR, è necessario eseguire un passaggio aggiuntivo per attivare la connessione tra Microsoft Sentinel e il portale di Defender.
Esaminare le differenze per l'archiviazione dei dati e la privacy
Quando si usa il portale di Azure, si applicano i criteri Microsoft Sentinel per l'archiviazione, il processo, la conservazione e la condivisione dei dati. Quando si usa il portale di Defender, i criteri Microsoft Defender XDR si applicano anche quando si usano dati Microsoft Sentinel.
La tabella seguente fornisce dettagli e collegamenti aggiuntivi in modo da poter confrontare le esperienze tra i portali di Azure e Defender.
| Area di supporto | portale di Azure | portale di Defender |
|---|---|---|
| BCDR | I clienti sono responsabili della replica dei dati | Microsoft Defender usa l'automazione per BCDR nei riquadri di controllo. |
| Elaborazione ed archiviazione dati |
-
Posizione di archiviazione dei dati - Regioni supportate |
Posizione di archiviazione dei dati |
| Conservazione dei dati | Conservazione dei dati | Conservazione dei dati |
| Condivisioni dati | Condivisioni dati | Condivisioni dati |
Per altre informazioni, vedere:
- Disponibilità geografica e localizzazione dei dati in Microsoft Sentinel
- Sicurezza e conservazione dei dati in Microsoft Defender XDR
Onboarding nel portale di Defender con chiavi gestite dal cliente
Se CMK è stata abilitata prima dell'onboarding, quando si esegue l'onboarding dell'area di lavoro abilitata per Microsoft Sentinel nel portale di Defender, tutti i dati di log nell'area di lavoro continuano a essere crittografati con CMK, inclusi i dati inseriti in precedenza e quelli appena inseriti.
Anche le regole analitiche e altri contenuti di Sentinel, ad esempio le regole di automazione, continuano a essere crittografati tramite cmk. Tuttavia, gli avvisi e gli incidenti non saranno più crittografati con chiave gestita dal cliente dopo l'onboarding.
Per ulteriori informazioni sulla chiave gestita dal cliente, consultare Configurare Microsoft Sentinel con la chiave gestita dal cliente.
Importante
La crittografia CMK (chiave gestita dal cliente) non è completamente supportata per i dati archiviati nel data lake di Microsoft Sentinel. Tutti i dati inseriti nel data lake, ad esempio tabelle personalizzate o dati trasformati, vengono crittografati usando chiavi gestite Microsoft.
Configurare la gestione multi-area di lavoro e multi-tenant
Defender supporta una o più aree di lavoro in più tenant tramite il portale multitenant, che funge da posizione centrale per gestire eventi imprevisti e avvisi, cercare minacce tra i tenant e consentire ai partner del servizio di sicurezza gestito (MSSP) di vedere tra i clienti.
Negli scenari con più aree di lavoro, il portale multi-tenant consente di connettere un'area di lavoro primaria e più aree di lavoro secondarie per tenant. Eseguire l'onboarding di ciascuna area di lavoro nel portale di Defender separatamente per ogni tenant, come si fa per un singolo tenant.
Per altre informazioni, vedere:
Documentazione di Azure Lighthouse. Azure Lighthouse consente di usare i dati di Microsoft Sentinel di altri tenant nelle aree di lavoro integrate. Ad esempio, è possibile eseguire query tra aree di lavoro con l'operatore
workspace()in Regole avanzate di ricerca e analisi.Microsoft Entra B2B. Microsoft Entra B2B consente di accedere ai dati tra tenant. GDAP per Microsoft Sentinel è in anteprima.
Configurare ed esaminare le impostazioni e il contenuto
Destinatari: tecnici della sicurezza
Video: Gestione dei connettori in Microsoft Defender
Confermare e configurare la raccolta dati
Quando Microsoft Sentinel è integrato con Microsoft Defender, l'architettura fondamentale della raccolta dei dati e del flusso di telemetria rimane intatta. I connettori esistenti configurati in Microsoft Sentinel, sia per i prodotti Microsoft Defender che per altre origini dati, continuano a funzionare senza interruzioni.
Dal punto di vista Log Analytics, l'integrazione di Microsoft Sentinel in Microsoft Defender non introduce alcuna modifica alla pipeline di inserimento o allo schema di dati sottostante. Nonostante l'unificazione front-end, il back-end Microsoft Sentinel rimane completamente integrato con Log Analytics per l'archiviazione, la ricerca e la correlazione dei dati.
Gli avvisi relativi ai prodotti Defender vengono trasmessi direttamente dal connettore Microsoft Defender XDR per garantire la coerenza. Assicurarsi di avere eventi imprevisti e avvisi da questo connettore attivati nell'area di lavoro. Dopo aver configurato questo connettore dati nell'area di lavoro, la dismissione dell'area di lavoro da Microsoft Defender disconnette anche il connettore XDR di Microsoft Defender.
Annotazioni
Questa modifica nei connettori comporta differenze di schema per alcuni avvisi. Per un confronto dettagliato, vedere Differenze dello schema degli avvisi: connettore autonomo e XDR.
Per altre informazioni, vedere Connettere i dati da Microsoft Defender XDR a Microsoft Sentinel.
Eseguire l'integrazione con Microsoft Defender per il cloud
- Se si usa il connettore dati basato sul tenant per Defender per il cloud, assicurarsi di intervenire per evitare eventi e avvisi duplicati.
- Se invece si usa il connettore legacy basato su sottoscrizione, assicurarsi di evitare di sincronizzare incidenti e avvisi per Microsoft Defender.
Per altre informazioni, vedere Avvisi e incidenti in Microsoft Defender.
Visibilità del connettore dati nel portale di Defender
Dopo l'onboarding dell'area di lavoro in Defender, i seguenti connettori di dati vengono utilizzati per le operazioni di sicurezza unificata e non vengono visualizzati nella pagina Data connectors nel portale di Defender.
- Microsoft Defender for Cloud Apps per la sicurezza delle app cloud
- Microsoft Defender per i punti finali
- Microsoft Defender per identità
- Microsoft Defender per Office 365 (anteprima)
- Microsoft Defender XDR
- Microsoft Defender per il cloud basata su sottoscrizione (legacy)
- Microsoft Defender per il cloud su tenant (anteprima)
Questi connettori dati continuano a essere elencati in Microsoft Sentinel nel portale di Azure.
Configurare l'ecosistema
Anche se Microsoft Sentinel Workspace Manager non è disponibile nel portale di Defender, usare una delle funzionalità alternative seguenti per distribuire il contenuto come codice nelle aree di lavoro:
Distribuire il contenuto come codice dal repository (anteprima pubblica). Usare file YAML o JSON in GitHub o Azure DevOps per gestire e distribuire configurazioni tra Microsoft Sentinel e Defender usando flussi di lavoro ci/CD unificati.
Portale multiutente Il portale multi-tenant Microsoft Defender supporta la gestione e la distribuzione del contenuto tra più tenant.
In caso contrario, continuare a distribuire pacchetti di soluzioni che includono vari tipi di contenuto di sicurezza dall'hub contenuto nel portale di Defender. Per ulteriori informazioni, vedere Scopri e gestisci i contenuti preconfigurati di Microsoft Sentinel.
Configurare le regole di analisi
Le regole di analisi di Microsoft Sentinel sono disponibili nel portale di Defender per il rilevamento, la configurazione e la gestione. Le funzionalità delle regole di analisi rimangono invariate, incluse la creazione, l'aggiornamento e la gestione tramite la procedura guidata, i repository e l'API Microsoft Sentinel. La correlazione degli eventi imprevisti e il rilevamento degli attacchi a più fasi continuano a funzionare anche nel portale di Defender. La funzionalità di correlazione degli avvisi gestita dalla regola di analisi Fusion nel portale di Azure viene gestita dal motore di Defender XDR nel portale di Defender, che consolida tutti i segnali in un'unica posizione.
Quando si passa al portale di Defender, è importante notare le modifiche seguenti:
| Caratteristica / Funzionalità | Descrizione |
|---|---|
| Regole di rilevamento personalizzate | Se sono presenti casi d'uso di rilevamento che coinvolgono sia Defender XDR che dati Microsoft Sentinel, in cui non è necessario conservare i dati di Defender XDR per più di 30 giorni, è consigliabile creare regole di rilevamento custom che eseguono query sui dati di Microsoft Sentinel e Defender XDR tabelle. Questa opzione è supportata senza dover inserire Defender XDR dati in Microsoft Sentinel. Per altre informazioni, vedere Uso delle funzioni personalizzate di Microsoft Sentinel nella ricerca avanzata in Microsoft Defender. |
| Correlazione degli avvisi | Nel portale di Defender le correlazioni vengono applicate automaticamente agli avvisi relativi sia ai dati Microsoft Defender che ai dati di terze parti inseriti da Microsoft Sentinel, indipendentemente dagli scenari di avviso. I criteri usati per correlare gli avvisi in un singolo evento imprevisto fanno parte della logica di correlazione interna e proprietaria del portale di Defender. Per ulteriori informazioni, vedere della correlazione degli avvisi e unione degli incidenti nel portale Defender. |
| Raggruppamento di avvisi e unione degli eventi imprevisti | Sebbene sia ancora visualizzata la configurazione del raggruppamento di avvisi nelle regole di Analisi, il motore di correlazione Defender XDR controlla completamente il raggruppamento di avvisi e l'unione degli eventi imprevisti quando necessario nel portale di Defender. In questo modo si garantisce una visione completa della storia completa degli attacchi combinando gli avvisi pertinenti per gli attacchi a più fasi. Ad esempio, più regole di analisi individuali configurate per generare un incidente per ogni avviso possono portare a incidenti fusi se corrispondono alla logica di correlazione di Defender XDR. |
| Visibilità degli avvisi | Se le regole di analisi di Microsoft Sentinel sono state configurate solo per attivare gli avvisi, con la creazione di incidenti disattivata, tali avvisi non saranno visibili nel portale di Defender. |
| Ottimizzazione degli avvisi | Dopo che l'area di lavoro Microsoft Sentinel è stata integrata con Defender, tutti gli incidenti, inclusi quelli derivanti dalle regole di analisi di Microsoft Sentinel, vengono generati dal motore XDR di Defender. Di conseguenza, le funzionalità di ottimizzazione alert nel portale di Defender, disponibili in precedenza solo per gli avvisi di Defender XDR, ora possono essere applicate agli avvisi di Microsoft Sentinel. Questa funzionalità consente di semplificare la risposta agli eventi imprevisti automatizzando la risoluzione degli avvisi comuni, riducendo i falsi positivi e riducendo al minimo il rumore, in modo che gli analisti possano classificare in ordine di priorità eventi imprevisti di sicurezza significativi. |
| Fusion: Rilevamento avanzato degli attacchi multifase | La regola di analisi Fusion, che nel portale di Azure crea eventi imprevisti in base alle correlazioni degli avvisi effettuate dal motore di correlazione Fusion, viene disabilitata quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender. Non si perde la funzionalità di correlazione degli avvisi perché il portale di Defender usa le funzionalità di creazione e correlazione degli eventi imprevisti di Microsoft Defender XDR per sostituire quelle del motore Fusion. Per altre informazioni, vedere Advanced multistage attack detection in Microsoft Sentinel |
Configurare regole e playbook di automazione
In Microsoft Sentinel, i playbook sono basati su flussi di lavoro incorporati in App per la logica di Azure, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi aziendali.
Le limitazioni seguenti si applicano alle regole di automazione Microsoft Sentinel e ai playbook quando si lavora nel portale di Defender. Potrebbe essere necessario apportare alcune modifiche nell'ambiente durante la transizione.
| Funzionalità | Descrizione |
|---|---|
| Regole di automazione con trigger di avviso | Nel portale di Defender le regole di automazione con trigger di avviso agiscono solo sugli avvisi Microsoft Sentinel. Per altre informazioni, vedere Trigger di creazione di avvisi. |
| Regole di automazione con trigger per eventi imprevisti | Sia nel portale di Azure che nel portale di Defender, la proprietà della condizione Incident provider viene rimossa, poiché tutti gli incidenti hanno Microsoft XDR come provider degli incidenti (il valore nel campo ProviderName). A questo punto, tutte le regole di automazione esistenti vengono eseguite sia in Microsoft Sentinel che su incidenti di Microsoft Defender XDR, inclusi quelli in cui la condizione di Incident provider è impostata solo su Microsoft Sentinel o Microsoft 365 Defender. Tuttavia, le regole di automazione che specificano un nome specifico della regola di analisi vengono eseguite solo in caso di eventi imprevisti che contengono avvisi creati dalla regola di analisi specificata. Ciò significa che è possibile definire la proprietà della condizione Nome regolaanalytic a una regola di analisi esistente solo in Microsoft Sentinel per limitare l'esecuzione della regola agli eventi imprevisti solo in Microsoft Sentinel. Inoltre, dopo l'onboarding nel portale di Defender, la tabella SecurityIncident non include più un campo Description. Therefore: - Se si usa questo campo Description come condizione per una regola di automazione con un trigger di creazione di eventi imprevisti, tale regola di automazione non funzionerà dopo l'onboarding nel portale di Defender. In questi casi, assicurarsi di aggiornare la configurazione in modo appropriato. Per altre informazioni, vedere Condizioni di tigger per eventi imprevisti. - Se si dispone di un'integrazione configurata con un sistema di ticket esterno, ad esempio ServiceNow, la descrizione dell'evento imprevisto non sarà presente. |
| Latenza nei trigger del playbook | Potrebbe essere necessario attendere fino a 5 minuti affinché gli eventi imprevisti Microsoft Defender vengano visualizzati in Microsoft Sentinel. Se questo ritardo è presente, anche l'attivazione del playbook viene ritardata. |
| Modifiche ai nomi degli eventi imprevisti esistenti | Il portale di Defender usa un motore univoco per correlare eventi imprevisti e avvisi. Quando si esegue l'onboarding dell'area di lavoro nel portale di Defender, i nomi degli incidenti esistenti potrebbero essere modificati se viene applicata la correlazione. Per garantire che le regole di automazione vengano sempre eseguite correttamente, è quindi consigliabile evitare di usare i titoli degli eventi imprevisti come criteri di condizione nelle regole di automazione e suggerire invece di usare il nome di qualsiasi regola di analisi che ha creato avvisi inclusi nell'evento imprevisto e tag se è necessaria una maggiore specificità. |
| Aggiornato in base al campo | Per altre informazioni, vedere Trigger di aggiornamento degli eventi imprevisti. |
| Creazione di regole di automazione direttamente da un evento imprevisto | Creare regole di automazione direttamente da un evento imprevisto è supportato solo nel portale di Azure. Se si lavora nel portale di Defender, creare le regole di automazione da zero dalla pagina Automation. |
| Microsoft regole di creazione degli eventi imprevisti | Le regole di creazione degli incidenti di Microsoft non sono supportate nel portale Defender. Per altre informazioni, vedere Microsoft Defender XDR incidenti e regole di creazione degli incidenti Microsoft. |
| Esecuzione delle regole di automazione nel Portale di Defender | Potrebbero essere necessari fino a 10 minuti dal momento in cui viene attivato un avviso e un incidente viene creato o aggiornato nel portale Defender a quando viene eseguita una regola di automazione. Questo intervallo di tempo è dovuto al fatto che l'evento imprevisto viene creato nel portale di Defender e quindi inoltrato a Microsoft Sentinel per la regola di automazione. |
| Scheda playbook attivi | Dopo l'onboarding nel portale di Defender, per impostazione predefinita la scheda playbook Active mostra un filtro predefinito con la sottoscrizione dell'area di lavoro di cui è stato eseguito l'onboarding. Nel portale di Azure aggiungere dati per altre sottoscrizioni usando il filtro della sottoscrizione. Per altre informazioni, vedere Creare e personalizzare i playbook Microsoft Sentinel dai modelli. |
| Esecuzione manuale di playbook su richiesta | Le procedure seguenti non sono attualmente supportate nel portale di Defender: |
| Eseguire i playbook sugli incidenti richiede la sincronizzazione con Microsoft Sentinel | Se si tenta di eseguire un playbook su un incidente dal portale di Defender e viene visualizzato il messaggio "Non è possibile accedere ai dati correlati a questa azione. Aggiornate la schermata tra pochi minuti.", significa che l'incidente non è ancora sincronizzato con Microsoft Sentinel. Aggiornare la pagina dell'evento imprevisto dopo la sincronizzazione per eseguire correttamente il playbook. |
|
Eventi imprevisti: aggiunta di avvisi a eventi imprevisti / Rimozione degli avvisi dagli eventi imprevisti |
Poiché l'aggiunta di avvisi a o la rimozione di avvisi da incidenti non è supportata dopo l'onboarding dell'area di lavoro nel portale di Defender, queste azioni non sono supportate neanche nei playbook. Per altre informazioni, vedere Informazioni sulla correlazione degli avvisi e l'unione degli eventi imprevisti nel portale di Defender. |
| integrazione Microsoft Defender XDR in più aree di lavoro | Se i dati XDR sono stati integrati con più aree di lavoro in un singolo tenant, i dati verranno inseriti solo nell'area di lavoro primaria nel portale di Defender. Trasferire le regole di automazione all'area di lavoro pertinente per mantenerle in esecuzione. |
| Automazione e motore di correlazione | Il motore di correlazione può combinare avvisi provenienti da più segnali in un singolo incidente, il che potrebbe comportare la ricezione automatica di dati non previsti. È consigliabile esaminare le regole di automazione per assicurarsi di visualizzare i risultati previsti. |
Configurare le API
L'esperienza unificata nel portale di Defender introduce modifiche significative agli eventi imprevisti e agli avvisi delle API. Supporta le chiamate API basate sull'API Microsoft Graph API REST v1.0, che può essere usata per l'automazione correlata ad avvisi, eventi imprevisti, ricerca avanzata e altro ancora.
L'API Microsoft Sentinel continua a supportare azioni su risorse Microsoft Sentinel, ad esempio regole di analisi, regole di automazione e altro ancora. Per interagire con eventi imprevisti e avvisi unificati, è consigliabile usare l'API REST Microsoft Graph.
Se si usa l'API Microsoft Sentinel SecurityInsights per interagire con gli eventi imprevisti Microsoft Sentinel, potrebbe essere necessario aggiornare le condizioni di automazione e attivare i criteri a causa di modifiche nel corpo della risposta.
La tabella seguente elenca i campi importanti nei frammenti di risposta e li confronta tra i portali Azure e Defender:
| Funzionalità | portale di Azure | portale di Defender |
|---|---|---|
| Collegamento all'evento imprevisto |
incidentUrl: URL diretto dell'incidente nel portale Microsoft Sentinel |
providerIncidentUrl : questo campo aggiuntivo fornisce un collegamento diretto all'evento imprevisto, che può essere usato per sincronizzare queste informazioni con un sistema di ticket di terze parti come ServiceNow. incidentUrl è ancora disponibile, ma punta al portale di Microsoft Sentinel. |
| Origini che hanno attivato il rilevamento e pubblicato l'avviso | alertProductNames |
alertProductNames: richiede l'aggiunta ?$expand=alerts a GET. Ad esempio, https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| Nome del provider di avvisi |
providerName = "Azure Sentinel" |
providerName = "Microsoft XDR" |
| Servizio o prodotto che ha creato l'avviso | Non esiste nel portale di Azure | serviceSource Ad esempio, "microsoftDefenderForCloudApps" |
| La tecnologia di rilevamento o il sensore che ha identificato il componente o l'attività rilevanti | Non esiste nel portale di Azure |
detectionSource Ad esempio, "cloudAppSecurity" |
| Nome del prodotto che ha pubblicato l'avviso | Non esiste nel portale di Azure |
productName, ad esempio "Microsoft Defender for Cloud Apps" |
Eseguire operazioni nel portale di Defender
Destinatari: analisti della sicurezza
Video:
- Scoprire e gestire i contenuti di Microsoft Sentinel e le informazioni sulle minacce in Microsoft Defender
- Creare automazione e cartelle di lavoro in Microsoft Defender
- Correlazione Avvisi in Microsoft Defender
- Indagine sugli incidenti in Microsoft Defender
- Gestione dei casi in Microsoft Defender
- Ricerca avanzata in Microsoft Defender
- Ottimizzazioni del SOC in Microsoft Defender
Aggiornare i processi di valutazione degli eventi imprevisti per il portale di Defender
Se è stata usata Microsoft Sentinel nel portale di Azure, si noteranno miglioramenti significativi dell'esperienza utente nel portale di Defender. Anche se potrebbe essere necessario aggiornare i processi SOC e ripetere il training degli analisti, la progettazione consolida tutte le informazioni pertinenti in un'unica posizione per offrire flussi di lavoro più semplificati ed efficienti.
La coda unificata degli incidenti nel portale di Defender consolida tutti gli incidenti tra i prodotti in un'unica visualizzazione, influenzando il modo in cui gli analisti gestiscono gli incidenti che ora contengono più avvisi provenienti da più domini di sicurezza. Per esempio:
- Tradizionalmente, gli analisti valutano gli eventi imprevisti in base a domini di sicurezza o competenze specifici, spesso gestendo i ticket per entità, ad esempio un utente o un host. Questo approccio può creare punti ciechi, che l'esperienza unificata mira a risolvere.
- Quando un utente malintenzionato si sposta lateralmente, gli avvisi correlati potrebbero finire in incidenti separati a causa di ambiti di sicurezza diversi. L'esperienza unificata elimina questo problema fornendo una visualizzazione completa, assicurandosi che tutti gli avvisi correlati siano correlati e gestiti in modo coesivo.
Gli analisti possono anche visualizzare le origini di rilevamento e i nomi dei prodotti nel portale di Defender e applicare e condividere filtri per valutare gli eventi imprevisti e gli avvisi più efficienti.
Il processo di valutazione unificato può aiutare a ridurre i carichi di lavoro analista e anche potenzialmente combinare i ruoli degli analisti di livello 1 e di livello 2. Tuttavia, il processo di valutazione unificato può anche richiedere una conoscenza più ampia e più approfondita dell'analista. È consigliabile eseguire il training sulla nuova interfaccia del portale per garantire una transizione uniforme.
Per altre informazioni, vedere Incidents and alerts in the Microsoft Defender portal.
Informazioni su come vengono correlati gli avvisi e gli incidenti vengono uniti nel portale di Defender
Il motore di correlazione di Defender unisce gli incidenti quando riconosce elementi comuni tra gli avvisi in incidenti separati. Quando un nuovo avviso soddisfa i criteri di correlazione, Microsoft Defender aggrega e lo correla con altri avvisi correlati da tutte le origini di rilevamento in un nuovo evento imprevisto. Dopo l'onboarding di Microsoft Sentinel sul portale di Defender, la coda unificata degli incidenti rivela un attacco più completo, rendendo gli analisti più efficienti e fornendo una storia completa dell'attacco.
Negli scenari con più aree di lavoro, solo gli avvisi di un'area di lavoro primaria sono correlati ai dati di Microsoft Defender XDR. Esistono anche scenari specifici in cui gli incidenti non sono combinati.
Dopo l'onboarding Microsoft Sentinel nel portale di Defender, le modifiche seguenti si applicano a eventi imprevisti e avvisi:
| Caratteristica / Funzionalità | Descrizione |
|---|---|
| Ritardare subito dopo l'onboarding dell'area di lavoro | Possono essere necessari fino a 5 minuti prima che gli incidenti di Microsoft Defender si integrino completamente con Microsoft Sentinel. Ciò non influisce sulle funzionalità fornite direttamente da Microsoft Defender, ad esempio l'interruzione automatica degli attacchi. |
| Regole di creazione degli eventi imprevisti di sicurezza | Tutte le regole di creazione degli eventi imprevisti di sicurezza attive Microsoft vengono disattivate per evitare la creazione di eventi imprevisti duplicati. Le impostazioni di creazione degli eventi imprevisti in altri tipi di regole di analisi rimangono invariate e sono configurabili nel portale di Defender. |
| Nome del provider di eventi imprevisti | Nel portale di Defender il nome del provider Incident è sempre Microsoft XDR. |
| Aggiunta/rimozione di avvisi da eventi imprevisti | L'aggiunta o la rimozione di avvisi Microsoft Sentinel da eventi imprevisti è supportata solo nel portale di Defender. Per rimuovere un avviso da un evento imprevisto nel portale di Defender, è necessario aggiungere l'avviso a un altro evento imprevisto. |
| Modifica dei commenti | È possibile aggiungere commenti agli incidenti nel portale di Defender o Azure, ma la modifica dei commenti esistenti non è supportata nel portale di Defender. Le modifiche apportate ai commenti nel portale di Azure non vengono sincronizzate con il portale di Defender. |
| Creazione programmatica e manuale di incidenti | Gli incidenti creati in Microsoft Sentinel tramite l'API, da un playbook di Logic App o manualmente dal portale Azure, non vengono sincronizzati con il portale Defender. Questi eventi imprevisti sono ancora supportati nel portale di Azure e nell'API. Vedi Crea i tuoi incidenti manualmente in Microsoft Sentinel. |
| Riaprire gli incidenti chiusi | Nel portale di Defender, non è possibile impostare il raggruppamento di avvisi nelle regole di analisi di Microsoft Sentinel per riaprire incidenti chiusi se vengono aggiunti nuovi avvisi. Gli eventi imprevisti chiusi non vengono riaperti in questo caso e nuovi avvisi attivano nuovi eventi imprevisti. |
Per altre informazioni, vedere Incidenti e avvisi nel portale di Microsoft Defender e Correlazione degli avvisi e fusione degli incidenti nel portale di Microsoft Defender.
Note modifiche per le indagini con ricerca avanzata
Dopo aver eseguito l'onboarding di Microsoft Sentinel nel portale di Defender, è possibile accedere e utilizzare tutte le tabelle di log esistenti, le query KQL (Kusto Query Language) e le funzioni nella pagina Advanced hunting. Tutti gli avvisi Microsoft Sentinel associati agli eventi imprevisti vengono inseriti nella tabella AlertInfo, accessibile dalla pagina Advanced hunting.
Esistono alcune differenze, ad esempio i segnalibri, non sono supportati nella ricerca avanzata. I segnalibri sono invece supportati nel portale di Defender in Microsoft Sentinel > Threat Management > Hunting.
Per altre informazioni, vedere Caccia avanzata con i dati Microsoft Sentinel in Microsoft Defender, specialmente l'elenco dei problemi noti e Tieni traccia dei dati durante la caccia con Microsoft Sentinel.
Indagare sulle entità nel portale di Defender
Nel portale di Microsoft Defender le entità sono in genere assets, ad esempio account, host o cassette postali o evidence, ad esempio indirizzi IP, file o URL.
Dopo l'onboarding di Microsoft Sentinel nel portale di Defender, le pagine delle entità per utenti, dispositivi e indirizzi IP vengono consolidate in un'unica visualizzazione con una visione completa delle attività, del contesto e dei dati dell'entità sia da Microsoft Sentinel che da Microsoft Defender XDR.
Il portale Defender fornisce anche una barra di ricerca globale che centralizza i risultati di tutte le entità in modo da poter eseguire ricerche in SIEM e XDR.
Per altre informazioni, vedere pagine Entity in Microsoft Sentinel.
Indagare con UEBA nel portale di Defender
La maggior parte delle funzionalità di User and Entity Behavior Analytics (UEBA) rimane invariata nel portale di Defender nel portale di Azure, con le eccezioni seguenti:
L'aggiunta di entità all'intelligence sulle minacce dagli incidenti è supportata solo nel portale di Azure. Per altre informazioni, vedere Aggiungere un'entità agli indicatori di minaccia.
Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Microsoft Defender, la tabella
IdentityInfoè disponibile sia nell'esperienza Microsoft Defender Advanced Hunting che nell'area di lavoro Sentinel Log Analytics. La tabellaIdentityInfousata in Ricerca avanzata include campi unificati di Defender XDR e Microsoft Sentinel. Alcuni campi presenti nella tabella dell'area di lavoro di Sentinel Log Analytics sono stati rinominati o non sono supportati nella Tabella Ricerca Avanzata. Assicurarsi di esaminare e aggiornare le query eseguite in Microsoft Defender, ad esempio query di ricerca avanzata o rilevamenti personalizzati. Microsoft Sentinel, regole di analisi, cartelle di lavoro e altre query di Sentinel continuano a utilizzare la tabellaIdentityInfonell'area di lavoro di Log Analytics e non sono interessate. Per ulteriori informazioni e un confronto degli schemi di tabella nell'esperienza di ((Advanced Hunting)) e di Log Analytics, vedere la tabella IdentityInfo.
Importante
Quando si passa al portale di Defender, la tabella IdentityInfo diventa una tabella nativa Defender che non supporta il controllo degli accessi in base al ruolo a livello di tabella. Se l'organizzazione usa il controllo degli accessi in base al ruolo a livello di tabella per limitare l'accesso alla tabella IdentityInfo nel portale di Azure, questo controllo di accesso non sarà più disponibile dopo la transizione al portale di Defender.
Aggiornare i processi di indagine per usare l'intelligence delle minacce di Microsoft Defender
Per Microsoft Sentinel clienti che passano dal portale di Azure al portale di Defender, le funzionalità di intelligence sulle minacce note vengono mantenute nel portale di Defender in Intel management e migliorate con altre funzionalità di intelligence sulle minacce disponibili nel portale di Defender. Le funzionalità supportate dipendono dalle licenze disponibili, ad esempio:
| Caratteristica / Funzionalità | Descrizione |
|---|---|
| Analisi delle minacce | Supportato per i clienti Microsoft Defender XDR. Una soluzione in-product fornita da Microsoft ricercatori di sicurezza, progettata per aiutare i team di sicurezza offrendo informazioni dettagliate sulle minacce emergenti, sulle minacce attive e sui loro impatti. I dati vengono presentati in un dashboard intuitivo con schede, righe di dati, filtri e altro ancora. |
| Profili Intel | Supportato per i clienti Microsoft Defender Threat Intelligence. Classificare le minacce e i comportamenti in base a un profilo attore di minaccia, semplificando il rilevamento e la correlazione. Questi profili includono qualsiasi indicatore di compromissione (IoC) correlato a tattiche, tecniche e strumenti usati negli attacchi. |
| Intel Explorer | Supportato per i clienti Microsoft Defender Threat Intelligence. Consolida gli IoC disponibili e fornisce articoli correlati alle minacce man mano che vengono pubblicati, consentendo ai team di sicurezza di rimanere aggiornati sulle minacce emergenti. |
| Progetti Intel | Supportato per i clienti Microsoft Defender Threat Intelligence. Consente ai team di consolidare l'intelligence sulle minacce in un "progetto" per esaminare tutti gli artefatti correlati a uno scenario specifico di interesse. |
Nel portale di Defender, usa il ThreatIntelOjbects e il ThreatIntelIndicators insieme agli indicatori di compromissione per la ricerca di minacce, la risposta agli incidenti, Copilot, la creazione di report e per creare grafici relazionali che mostrano le connessioni tra indicatori ed entità.
Per i clienti che usano il feed Microsoft Defender Threat Intelligence (MDTI), una versione gratuita è disponibile tramite il connettore dati di Microsoft Sentinel per MDTI. Gli utenti con licenze MDTI possono anche inserire dati MDTI e usare Security Copilot per l'analisi delle minacce, la revisione attiva delle minacce e la ricerca degli attori delle minacce.
Per altre informazioni, vedere:
- Gestione delle minacce
- Analisi delle minacce in Microsoft Defender XDR
- Uso di progetti
- Intelligenza sulle minacce in Microsoft Sentinel
Usare le cartelle di lavoro per visualizzare e creare report sui dati di Microsoft Defender
Cartelle di lavoro di Azure continuano a essere lo strumento principale per la visualizzazione e l'interazione con i dati nel portale di Microsoft Defender, funzionando come nel portale di Azure.
Per usare cartelle di lavoro con i dati della ricerca avanzata, assicurarsi di inserire i log in Microsoft Sentinel.
Per altre informazioni, vedere Visualizza e monitora i tuoi dati utilizzando i workbook in Microsoft Sentinel.
Gli eventi imprevisti simili (anteprima) non sono supportati nel portale di Defender
La funzionalità Microsoft Sentinel incidenti simili è in anteprima, non è supportata nel portale di Defender. Ciò significa che quando si visualizza una pagina dei dettagli dell'evento imprevisto nel portale di Defender, la scheda Similar incidents non è disponibile.
Contenuti correlati
- The Best of Microsoft Sentinel - now in Microsoft Defender (blog)
- Guardare il webinar: Transizione alla piattaforma SOC unificata: approfondimento e domande interattive per professionisti SOC.
- Vedere le domande frequenti nel blog TechCommunity o Microsoft Community Hub.
- Esaminare le differenze dello schema degli avvisi tra i connettori autonomi e XDR