Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo è progettato per comprendere come Microsoft Defender per identità funzionalità è rappresentata nel portale di Microsoft Defender for Cloud Apps.
Sfruttando i rilevamenti locali esistenti e l'analisi del comportamento anomalo, l'accesso a Defender per identità tramite il portale di Microsoft Defender for Cloud Apps consente di rilevare e inviare avvisi sull'esfiltrazione di dati sensibili nell'intera azienda. Questa offerta ibrida analizza le attività e gli avvisi in base a User and Entity Behavior Analytics (UEBA) per determinare i comportamenti rischiosi e fornisce un punteggio di priorità di indagine per semplificare la risposta agli eventi imprevisti per le identità compromesse.
In questo articolo si apprenderà:
- Panoramica del servizio
- Nuovi modi per accedere a Defender for Identity
- Prerequisiti di licenza
- Dove trovare le attività monitorate da Defender per Identità in Defender for Cloud Apps
Panoramica del servizio
Integrandosi con Defender for Identity, il portale di Defender for Cloud Apps fornisce avvisi e informazioni dettagliate da:
- Microsoft Defender for Cloud Apps, che identifica gli attacchi all'interno di una sessione cloud, che copre non solo Microsoft prodotti, ma anche applicazioni di terze parti
- Microsoft Defender per identità, che usa l'apprendimento automatico e l'analisi comportamentale per identificare gli attacchi nella rete locale
- Azure Active Directory Identity Protection, che rileva e impedisce in modo proattivo rischi per l'utente e l'accesso alle identità nel cloud
Prerequisiti
Per completare le funzionalità di analisi degli utenti nell'ambiente ibrido, è necessario disporre di:
- Una licenza valida per Microsoft Defender for Cloud Apps
- Una licenza valida per Microsoft Defender per identità connessa all'istanza di Active Directory
Note
- Se non si ha una sottoscrizione per Defender for Cloud Apps, sarà comunque possibile usare il portale di Defender for Cloud Apps per analizzare Defender per gli avvisi di identità e approfondire le attività degli utenti e delle attività gestite locali, ma non si riceveranno informazioni dettagliate correlate dalle applicazioni cloud.
- Defender per gli amministratori di identità potrebbe richiedere nuove autorizzazioni per accedere alle Defender for Cloud Apps. Per informazioni su come assegnare autorizzazioni a Defender for Cloud Apps, vedere Gestisci l'accesso amministratore.
Vedere Defender per l'integrazione delle identità per informazioni su come abilitare rapidamente Defender per l'identità in Defender for Cloud Apps.
Defender per l'identità in Defender for Cloud Apps
Vedere la guida introduttiva Defender for Cloud Apps per acquisire familiarità con le nozioni di base sull'uso del portale di Defender for Cloud Apps.
Alerts
Gli avvisi di Defender for Identity vengono visualizzati nella coda Alerts di Defender for Cloud Apps. Le opzioni di filtro degli avvisi aggiuntive sono disponibili solo quando si visualizzano gli avvisi usando Defender for Cloud Apps. Gli avvisi di Defender for Identity vengono filtrati usando il filtro dell'applicazione per Active Directory.
Gestione degli avvisi
Quando si usa Defender per Identità con Defender for Cloud Apps, la chiusura degli avvisi in un servizio non verrà chiusa automaticamente nell'altro servizio. In particolare, la chiusura degli avvisi in Defender for Cloud Apps non chiuderà gli avvisi in Defender for Identity, ma la chiusura degli avvisi in Defender for Identity sincronizzerà la chiusura in Defender for Cloud Apps. Decidere dove gestire e correggere gli avvisi per evitare attività duplicate.
Notifica SIEM
Se entrambi i servizi (Defender per Identità e Defender for Cloud Apps) sono attualmente configurati per inviare notifiche di avviso a un sistema SIEM, dopo aver abilitato Defender per l'integrazione delle identità in Defender for Cloud Apps, si inizierà a ricevere notifiche SIEM duplicate per lo stesso avviso. Un avviso verrà generato da ogni servizio e avrà ID avviso diversi. Per evitare duplicazioni e confusione, decidere dove si intende eseguire la gestione degli avvisi e quindi arrestare l'invio delle notifiche SIEM dall'altro servizio.
Attività
Gli avvisi di Defender per Identità vengono visualizzati all'interno del log delle attività di Defender for Cloud Apps. Opzioni e funzionalità aggiuntive di filtro delle attività sono disponibili solo quando si visualizzano gli avvisi tramite Defender for Cloud Apps. Vedere Defender per le attività relative all'identità utilizzando Microsoft Defender per le app cloud per informazioni su come filtrare e creare nuovi criteri di attività.
Pagine utente
Le pagine utente contengono il punteggio di priorità di indagine di ogni utente e un log attività di tutte le azioni.
Per accedere a una pagina utente di un utente di sistema:
- Aprire Avvisi dal menu principale.
- Selezionare e filtrare la coda degli avvisi per un utente specifico usando il campo Nome utente .
o
Dal menu Analizza selezionare Log attività.
Filtrare la coda del log delle attività in base all'utente.
Partecipa alla comunità
Hai altre domande o un interesse a discutere di Defender per identità e sicurezza correlata con altri utenti? Partecipa al Defender per Identity Community oggi!