Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il portale di Defender consente di connettersi a un'area di lavoro primaria e a più aree di lavoro secondarie per Microsoft Sentinel. Nel contesto di questo articolo, un'area di lavoro è un'area di lavoro Log Analytics con Microsoft Sentinel abilitata.
Questo articolo si applica principalmente allo scenario in cui si esegue l'onboarding di Microsoft Sentinel nel portale di Defender insieme a Microsoft Defender XDR per le operazioni di sicurezza unificate. Se si prevede di usare Microsoft Sentinel nel portale di Defender senza Microsoft Defender XDR, è comunque possibile gestire più aree di lavoro. Tuttavia, poiché non si dispone di Defender XDR, l'area di lavoro primaria non avrà dati Defender XDR e non si avrà accesso alle funzionalità Defender XDR.
Aree di lavoro primarie e secondarie
Selezionare l'area di lavoro principale quando si esegue l'onboarding Microsoft Sentinel nel portale di Defender. Tutte le altre aree di lavoro di cui si esegue l'onboarding nel portale di Defender vengono considerate aree di lavoro secondarie. Il portale di Defender supporta un'area di lavoro primaria e un numero illimitato di aree di lavoro secondarie per tenant per Microsoft Sentinel.
Quando si dispone anche di Microsoft Defender XDR, gli avvisi dell'area di lavoro primaria sono correlati ai dati Defender XDR e gli eventi imprevisti includono avvisi provenienti dall'area di lavoro primaria e Defender XDR in una coda unificata. Quando si seleziona un'area di lavoro primaria, il connettore dati Defender XDR per eventi imprevisti e avvisi è connesso solo all'area di lavoro primaria.
In questi casi:
| Area | Descrizione |
|---|---|
| Altre aree di lavoro precedentemente connesse a Defender XDR | Tutte le altre aree di lavoro precedentemente connesse al connettore Defender XDR vengono disconnesse e funzionano come aree di lavoro secondarie. Le regole di analisi e l'automazione configurate in precedenza in base ai dati Defender XDR non funzionano più fino a quando non si configura l'inserimento di tabelle. |
| Avvisi basati su tenant e connettori dati autonomi | Gli avvisi di altri servizi Microsoft, inclusi altri servizi Defender, sono avvisi basati su tenant e si riferiscono all'intero tenant anziché a un'area di lavoro specifica. Per evitare la duplicazione tra aree di lavoro, tutti i connettori dati autonomi diretti per questi servizi devono essere disconnessi da Microsoft Sentinel nelle aree di lavoro secondarie. In questo modo vengono visualizzati avvisi basati su tenant solo nell'area di lavoro primaria. Al momento dell'onboarding, connettori dati autonomi per Microsoft Defender per Office 365, protezione Microsoft Entra ID, Microsoft Defender for Cloud Apps, Microsoft Defender per endpoint e Microsoft Defender per identità vengono disconnessi automaticamente. Se sono presenti altri connettori dati Microsoft autonomi con avvisi nelle aree di lavoro, assicurarsi di disconnetterli prima di eseguire l'onboarding nel portale di Defender. |
| Defender XDR avvisi ed eventi imprevisti | Tutti gli avvisi e gli eventi imprevisti Defender XDR vengono sincronizzati solo con l'area di lavoro primaria. Tuttavia, le aree di lavoro secondarie possono inserire i dati delle tabelle di Defender se configurate nel connettore Microsoft XDR nel portale di Sentinel in Azure o in Microsoft Sentinel>Tabella di configurazione> nel portale di Defender. |
| Creazione di eventi imprevisti e correlazione degli avvisi | Il portale di Defender mantiene separate la creazione di eventi imprevisti e la correlazione degli avvisi tra le aree di lavoro Microsoft Sentinel. Gli eventi imprevisti nelle aree di lavoro secondarie non includono dati provenienti da altre aree di lavoro o da Defender XDR. |
| Un'area di lavoro primaria necessaria | Un'area di lavoro primaria deve essere sempre connessa al portale di Defender. |
Ad esempio, si potrebbe lavorare su un team soc globale in un'azienda con più aree di lavoro autonome. In questi casi, potrebbe non essere necessario visualizzare eventi imprevisti e avvisi da ognuna di queste aree di lavoro nella coda soc globale nel portale di Defender. Poiché queste aree di lavoro vengono sottoposte a onboarding nel portale di Defender come aree di lavoro secondarie, vengono visualizzate nel portale di Defender solo come Microsoft Sentinel, senza eventi imprevisti e avvisi di Defender e continuano a funzionare in modo autonomo. Quando si esamina l'area di lavoro SOC globale, non verranno visualizzati i dati di queste aree di lavoro secondarie.
Se sono presenti più aree di lavoro Microsoft Sentinel all'interno di un tenant Microsoft Entra ID, è consigliabile usare l'area di lavoro primaria per il centro operativo di sicurezza globale.
Autorizzazioni per gestire le aree di lavoro e visualizzare i dati dell'area di lavoro
Usare uno dei ruoli o delle combinazioni di ruoli seguenti per gestire le aree di lavoro primaria e secondaria:
| Attività | Microsoft Entra o Azure ruolo predefinito necessario | Ambito |
|---|---|---|
| Eseguire l'onboarding Microsoft Sentinel nel portale di Defender | Almeno un amministratore della sicurezza in Microsoft Entra ID Proprietario o amministratore accesso utente E collaboratore Microsoft Sentinel |
Tenant - Sottoscrizione per i ruoli Amministratore accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per Microsoft Sentinel Collaboratore |
| Connettere o disconnettere un'area di lavoro secondaria | Almeno un amministratore della sicurezza in Microsoft Entra ID Proprietario o amministratore accesso utente E collaboratore Microsoft Sentinel |
Tenant - Sottoscrizione per i ruoli Amministratore accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per Microsoft Sentinel Collaboratore |
| Modificare l'area di lavoro primaria | Almeno un amministratore della sicurezza in Microsoft Entra ID Proprietario o amministratore accesso utente E collaboratore Microsoft Sentinel |
Tenant - Sottoscrizione per i ruoli Amministratore accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per Microsoft Sentinel Collaboratore |
| Attivare o disattivare un'area di lavoro Sentinel in Controllo degli accessi in base al ruolo unificato | Almeno un amministratore della sicurezza in Microsoft Entra ID Proprietario o amministratore accesso utente E collaboratore Microsoft Sentinel |
Tenant - Sottoscrizione per i ruoli Amministratore accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per Microsoft Sentinel Collaboratore |
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione.
Dopo aver connesso Microsoft Sentinel al portale di Defender, le autorizzazioni Azure di controllo degli accessi in base al ruolo esistenti consentono di visualizzare e usare le funzionalità e le aree di lavoro Microsoft Sentinel a cui si ha accesso.
| Area di lavoro | Access |
|---|---|
| Principale | Se si ha accesso all'area di lavoro primaria, è possibile leggere e gestire i dati dall'area di lavoro e Defender XDR. |
| Secondario | Se si ha accesso a un'area di lavoro secondaria, è possibile leggere e gestire solo i dati dall'area di lavoro. Gli eventi imprevisti e gli avvisi di Defender non sono sincronizzati con le aree di lavoro secondarie, ma le aree di lavoro secondarie possono comunque inserire i dati delle tabelle di Defender. Per altre informazioni, vedere Aree di lavoro primarie e secondarie. |
Eccezione: Se è già stato eseguito l'onboarding di un'area di lavoro nel portale di Defender, tutti gli avvisi creati usando rilevamenti personalizzati nelle AlertInfo tabelle e AlertEvidence prima della metà di gennaio 2025 sono visibili a tutti gli utenti.
Per altre informazioni, vedere Ruoli e autorizzazioni in Microsoft Sentinel.
Modifiche all'area di lavoro primaria
Dopo aver eseguito l'onboarding Microsoft Sentinel nel portale di Defender, è possibile modificare l'area di lavoro primaria. Quando si passa all'area di lavoro primaria per Microsoft Sentinel, il connettore Defender XDR viene connesso al nuovo primario e disconnesso automaticamente da quello precedente.
Modificare l'area di lavoro primaria nel portale di Defender passando aImpostazioni>di>sistema> Microsoft Sentinel Workspaces.
Ambito dei dati dell'area di lavoro in visualizzazioni diverse
Se si dispone delle autorizzazioni appropriate per visualizzare i dati dalle aree di lavoro primarie e secondarie per Microsoft Sentinel, l'ambito dell'area di lavoro nella tabella seguente si applica per ogni funzionalità.
| Funzionalità | Ambito dell'area di lavoro |
|---|---|
| Ricerca | I risultati della ricerca globale nella parte superiore della pagina del browser nel portale di Defender forniscono una visualizzazione aggregata di tutti i dati rilevanti dell'area di lavoro che si dispone delle autorizzazioni per la visualizzazione. |
| Indagini & risposta > Eventi imprevisti & avvisi Eventi imprevisti> | Visualizzare gli eventi imprevisti da aree di lavoro diverse in una coda unificata o filtrare la visualizzazione in base all'area di lavoro. |
| Avvisi di eventi imprevisti & di risposta > & di> indagine | Visualizzare gli avvisi da aree di lavoro diverse in una coda unificata o filtrare la visualizzazione in base all'area di lavoro. Il portale di Defender segmenta la correlazione degli avvisi in base all'area di lavoro. |
| Entità: da un evento imprevisto o da un avviso > selezionare un dispositivo, un utente o un altro asset di entità | Visualizzare tutti i dati delle entità rilevanti da più aree di lavoro in una singola pagina di entità. Le pagine di entità aggregano avvisi, eventi imprevisti ed eventi della sequenza temporale da tutte le aree di lavoro per fornire informazioni più approfondite sul comportamento delle entità. Filtrare in base all'area di lavoro nelle schede Eventi imprevisti e avvisi, Sequenza temporale e Informazioni dettagliate . Nella scheda Panoramica vengono visualizzati i metadati delle entità aggregati da tutte le aree di lavoro. |
| Indagine & risposta > Ricerca ricerca avanzata> | Selezionare un'area di lavoro in alto a destra nel browser. In alternativa, eseguire query su più aree di lavoro usando l'operatore dell'area di lavoro nella query. Vedere Eseguire query su più aree di lavoro. I risultati della query non mostrano un nome o un ID dell'area di lavoro. Accedere a tutti i dati di log dell'area di lavoro, incluse le query e le funzioni, in sola lettura. Per altre informazioni, vedere Ricerca avanzata con dati Microsoft Sentinel nel portale di Microsoft Defender. Alcune funzionalità sono limitate all'area di lavoro primaria: - Creazione di rilevamenti personalizzati - Query tramite API Le query tra aree di lavoro per i dati di Log Analytics rimangono soggette alle limitazioni di Log Analytics. |
| esperienze Microsoft Sentinel | Visualizzare i dati da un'area di lavoro per ogni pagina nella sezione Microsoft Sentinel del portale di Defender. Passare da un'area di lavoro all'altra selezionando Seleziona un'area di lavoro dal lato superiore destro del browser per la maggior parte delle pagine. - La pagina Cartelle di lavoro mostra solo i dati associati all'area di lavoro primaria. Le regole di analisi tra aree di lavoro rimangono soggette alle limitazioni e alle raccomandazioni delle regole di analisi tra aree di lavoro. |
| Ottimizzazione SOC | I dati e le raccomandazioni vengono aggregati da più aree di lavoro. |
Sincronizzazione bidirezionale per le aree di lavoro
La sincronizzazione delle modifiche agli eventi imprevisti tra il portale di Azure e il portale di Defender dipende dal fatto che si tratti di un'area di lavoro primaria o secondaria.
| Area di lavoro | Comportamento di sincronizzazione |
|---|---|
| Principale | Per Microsoft Sentinel nel portale di Azure, Defender XDR eventi imprevisti vengono visualizzati inEventi imprevisti di gestione> delle minacce con il nome del provider di eventi imprevisti Microsoft XDR. Tutte le modifiche apportate allo stato, al motivo di chiusura o all'assegnazione di un evento imprevisto Defender XDR nel portale di Azure o Defender, vengono aggiornate nella coda degli eventi imprevisti dell'altro. Per altre informazioni, vedere Uso di eventi imprevisti Microsoft Defender XDR in Microsoft Sentinel e sincronizzazione bidirezionale. |
| Secondario | Tutti gli avvisi e gli eventi imprevisti creati per un'area di lavoro secondaria vengono sincronizzati tra tale area di lavoro nei portali Azure e Defender. I dati in un'area di lavoro vengono sincronizzati solo con l'area di lavoro nell'altro portale. |
Supporto di Insider Risk Management (IRM)
Gestione dei rischi Insider Microsoft Purview gli avvisi (IRM) sono correlati solo all'area di lavoro primaria. Se sono presenti avvisi IRM con Microsoft Defender XDR, è necessario connettere IRM al connettore Microsoft Defender XDR nell'area di lavoro primaria prima di eseguire l'onboarding dell'area di lavoro nel portale di Defender. Ciò è necessario per garantire che gli avvisi e gli eventi imprevisti IRM siano disponibili nell'area di lavoro primaria. Se non si vogliono visualizzare gli avvisi IRM nell'area di lavoro primaria, è invece possibile rifiutare esplicitamente l'integrazione con Microsoft Defender XDR.
Inoltre, se il connettore diretto microsoft 365 Insider Risk Management per Microsoft Sentinel connettore dati è connesso a una qualsiasi delle aree di lavoro secondarie, è necessario disconnetterlo prima di eseguire l'onboarding dell'area di lavoro nel portale di Defender.