Esplorare le differenze in materia di funzionalità tra i portali Microsoft Defender XDR e Microsoft Sentinel

  • 15 minuti

La maggior parte delle funzionalità di Microsoft Sentinel è disponibile sia nei portali di Azure che in Defender. Nel portale di Defender alcune esperienze di Microsoft Sentinel si aprono al portale di Azure per completare un'attività.

Questa sezione illustra le funzionalità o le integrazioni di Microsoft Sentinel in Microsoft Defender disponibili solo nel portale di Azure o nel portale di Defender o in altre differenze significative tra i portali. Esclude le esperienze di Microsoft Sentinel che aprono il portale di Azure dal portale di Defender.

Differenze di funzionalità tra i portali

Funzionalità Disponibilità Descrizione
Ricerca avanzata con segnalibri Solo portale di Azure I segnalibri non sono supportati nell'esperienza di ricerca avanzata nel portale di Microsoft Defender. Nel portale di Defender sono supportati in Microsoft Sentinel > Threat Management > Hunting.
Interruzione degli attacchi per SAP Solo portale di Defender Questa funzionalità non è disponibile nel portale di Azure.
Automazione Alcune procedure di automazione sono disponibili solo nel portale di Azure. Le altre procedure automatiche sono uguali nei portali Defender e Azure. Le differenze nel portale di Azure sono tra le aree di lavoro di cui è stato eseguito l'onboarding nel portale di Microsoft Defender e le aree di lavoro che non lo sono.
Connettori dati: visibilità dei connettori usati da Microsoft Defender Solo portale di Azure Nel portale di Defender, dopo l'onboarding di Microsoft Sentinel, i connettori dati seguenti che fanno parte di Microsoft Defender non vengono visualizzati nella pagina Connettori dati :
  • Microsoft Defender for Cloud Apps per la sicurezza delle app cloud
  • Microsoft Defender per i punti finali
  • Microsoft Defender per identità
  • Microsoft Defender per Office 365 (anteprima)
  • Microsoft Defender XDR
  • Microsoft Defender per il cloud basato su sottoscrizione (legacy)
  • Microsoft Defender per il cloud basato su tenant (anteprima)

    Nel portale di Azure questi connettori dati sono ancora elencati con i connettori dati installati in Microsoft Sentinel.
    		•
    Entità: aggiungere entità all'intelligence sulle minacce dagli eventi imprevisti Solo portale di Azure Questa funzionalità non è disponibile nel portale di Microsoft Defender.

    Fusion: Rilevamento avanzato degli attacchi a più fasi Solo portale di Azure La regola di analisi Fusion, che crea eventi imprevisti in base alle correlazioni degli avvisi effettuate dal motore di correlazione Fusion, viene disabilitata quando si esegue l'onboarding di Microsoft Sentinel in Microsoft Defender.

    Microsoft Defender usa le funzionalità di creazione e correlazione degli eventi imprevisti di Microsoft Defender XDR per sostituire quelle del motore Fusion.

    Eventi imprevisti: aggiunta di avvisi a eventi imprevisti /
    Rimozione di avvisi da eventi imprevisti    		 Solo portale di Defender Dopo l'onboarding di Microsoft Sentinel nel portale di Microsoft Defender, non è più possibile aggiungere avvisi o rimuovere avvisi dal portale di Azure.

    È possibile rimuovere un avviso da un evento imprevisto nel portale di Defender, ma solo collegando l'avviso a un altro evento imprevisto (esistente o nuovo).
    Eventi imprevisti: modifica dei commenti Solo portale di Azure Dopo l'onboarding di Microsoft Sentinel nel portale di Microsoft Defender, è possibile aggiungere commenti a eventi imprevisti in entrambi i portali, ma non è possibile modificare i commenti esistenti.

    Le modifiche apportate ai commenti nel portale di Azure non vengono sincronizzate con il portale di Microsoft Defender.
    Eventi imprevisti: creazione programmatica e manuale di eventi imprevisti Solo portale di Azure Gli incidenti creati in Microsoft Sentinel tramite API, da un playbook di Logic App o manualmente dal portale di Azure, non vengono sincronizzati con il portale di Microsoft Defender. Questi eventi imprevisti sono ancora supportati nel portale di Azure e nell'API.
    Eventi imprevisti: riapertura di eventi imprevisti chiusi Solo portale di Azure Nel portale di Microsoft Defender non è possibile impostare il raggruppamento di avvisi nelle regole di analisi di Microsoft Sentinel per riaprire gli eventi imprevisti chiusi se vengono aggiunti nuovi avvisi.
    Gli eventi imprevisti chiusi non vengono riaperti in questo caso e nuovi avvisi attivano nuovi eventi imprevisti.
    Eventi imprevisti: attività Solo portale di Azure Le attività non sono disponibili nel portale di Microsoft Defender.

    Gestione di più aree di lavoro per Microsoft Sentinel Portale di Defender: limitato a un'area di lavoro principale di Microsoft Sentinel

    Portale di Azure: Gestire centralmente più aree di lavoro Microsoft Sentinel per tenant    		 Nel portale di Microsoft Defender può essere connessa una sola area di lavoro primaria di Microsoft Sentinel. La gestione multi-tenant di Microsoft Defender supporta quindi un'area di lavoro principale di Microsoft Sentinel per tenant.

    Per altre informazioni, vedere Differenze di funzionalità tra i portali