Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel è disponibile nel portale di Microsoft Defender con Microsoft Defender XDR o autonomamente. Offre un'esperienza unificata in SIEM e XDR per un rilevamento e una risposta più rapidi e accurati delle minacce, flussi di lavoro più semplici e una migliore efficienza operativa.
Questo articolo illustra come eseguire la transizione dell'esperienza di Microsoft Sentinel dal portale di Azure al portale di Defender. Se si usa Microsoft Sentinel nel portale di Azure, passare a Microsoft Defender per le operazioni di sicurezza unificate e le funzionalità più recenti. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender o guardare la playlist di YouTube.
Prerequisiti
Prima di iniziare, prendere nota:
- Questo articolo è destinato ai clienti con un'area di lavoro esistente abilitata per Microsoft Sentinel che vogliono eseguire la transizione dell'esperienza di Microsoft Sentinel al portale di Defender. Se si è un nuovo cliente, vedere Distribuire per le operazioni di sicurezza unificata nel portale di Defender per informazioni su come creare una nuova area di lavoro per Microsoft Sentinel nel portale di Defender.
- Se pertinente, i prerequisiti dettagliati sono disponibili negli articoli collegati per ogni passaggio.
- Alcune funzionalità di Microsoft Sentinel hanno nuove posizioni nel portale di Defender. Per altre informazioni, vedere Guida di riferimento rapido.
Pianificare e configurare l'ambiente di transizione
Destinatari: Architetti della sicurezza
Video:
- Onboarding di un'area di lavoro di Microsoft Sentinel in Microsoft Defender
- Gestione del RBAC unificato in Microsoft Defender
Esaminare le indicazioni sulla pianificazione, completare i prerequisiti e eseguire l'onboarding
Esaminare tutte le indicazioni sulla pianificazione e completare tutti i prerequisiti prima di eseguire l'onboarding dell'area di lavoro nel portale di Defender. Per altre informazioni, vedere gli articoli seguenti:
Pianificare operazioni di sicurezza unificate nel portale di Defender
Distribuire nel portale di Defender per operazioni di sicurezza unificate. Anche se questo articolo è destinato ai nuovi clienti che non hanno ancora un'area di lavoro per Microsoft Sentinel o altri servizi di cui è stato eseguito l'onboarding nel portale di Defender, usarlo come riferimento se si passa al portale di Defender.
Connettere Microsoft Sentinel al portale di Defender. Questo articolo elenca i prerequisiti per l'onboarding dell'area di lavoro nel portale di Defender. Se si prevede di usare Microsoft Sentinel senza Defender XDR, è necessario eseguire un passaggio aggiuntivo per attivare la connessione tra Microsoft Sentinel e il portale di Defender.
Esaminare le differenze per l'archiviazione dei dati e la privacy
Quando si usa il portale di Azure, si applicano i criteri di Microsoft Sentinel per l'archiviazione, il processo, la conservazione e la condivisione dei dati. Quando si usa il portale di Defender, i criteri di Microsoft Defender XDR vengono applicati anche quando si usano i dati di Microsoft Sentinel.
La tabella seguente fornisce dettagli e collegamenti aggiuntivi in modo da poter confrontare le esperienze nei portali di Azure e Defender.
| Area di supporto | Portale di Azure | Portale di Defender |
|---|---|---|
| BCDR | I clienti sono responsabili della replica dei dati | Microsoft Defender usa l'automazione per BCDR nei riquadri di controllo. |
| Trattamento e archiviazione dei dati |
-
Posizione di archiviazione dei dati - Regioni supportate |
Posizione di archiviazione dei dati |
| Conservazione dei dati | Conservazione dei dati | Conservazione dei dati |
| Condivisione dati | Condivisione dati | Condivisione dati |
Per altre informazioni, vedere:
- Disponibilità geografica e residenza dei dati in Microsoft Sentinel
- Sicurezza e conservazione dei dati in Microsoft Defender XDR
Configurare la gestione multi-spazio di lavoro e multitenant
Defender supporta una o più aree di lavoro in più tenant tramite il portale multi-tenant, che funge da posizione centrale per gestire eventi imprevisti e avvisi, cercare minacce tra i tenant e consentire ai partner del servizio di sicurezza gestito (MSSP) di visualizzare i clienti.
Negli scenari con più aree di lavoro, il portale multi-tenant consente di connettere un'area di lavoro primaria e più aree di lavoro secondarie per tenant. Effettuare l'onboarding di ciascuna area di lavoro nel portale di Defender separatamente per ogni tenant, come si fa per un singolo tenant.
Per altre informazioni, vedere:
Documentazione di Azure Lighthouse. Azure Lighthouse consente di usare i dati di Microsoft Sentinel di altri tenant tra aree di lavoro di cui è stato eseguito l'onboarding. Ad esempio, è possibile eseguire query tra aree di lavoro con l'operatore
workspace()in Regole avanzate di ricerca e analisi.Microsoft Entra B2B. Microsoft Entra B2B consente di accedere ai dati tra tenant. GDAP non è supportato per i dati di Microsoft Sentinel.
Configurare ed esaminare le impostazioni e il contenuto
Destinatari: tecnici della sicurezza
Video: Gestione dei connettori in Microsoft Defender
Confermare e configurare la raccolta dati
Quando Microsoft Sentinel è integrato con Microsoft Defender, l'architettura fondamentale del flusso di raccolta e telemetria dei dati rimane intatta. I connettori esistenti configurati in Microsoft Sentinel, sia per i prodotti Microsoft Defender che per altre origini dati, continuano a funzionare senza interruzioni.
Dal punto di vista di Log Analytics, l'integrazione di Microsoft Sentinel in Microsoft Defender non introduce alcuna modifica alla pipeline di inserimento o allo schema di dati sottostante. Nonostante l'unificazione front-end, il back-end di Microsoft Sentinel rimane completamente integrato con Log Analytics per l'archiviazione, la ricerca e la correlazione dei dati.
Integrazione con Microsoft Defender for Cloud
- Se si usa il connettore dati basato su tenant per Defender for Cloud, assicurarsi di intervenire per evitare eventi e avvisi duplicati.
- Se invece si usa il connettore legacy basato su sottoscrizione, assicurarsi di rifiutare esplicitamente la sincronizzazione di eventi imprevisti e avvisi a Microsoft Defender.
Per altre informazioni, vedere Avvisi e eventi imprevisti in Microsoft Defender.
Visibilità del connettore dati nel portale di Defender
Dopo l'onboarding dell'area di lavoro in Defender, i connettori dati seguenti vengono usati per le operazioni di sicurezza unificate e non vengono visualizzati nella pagina Connettori dati nel portale di Defender:
- Microsoft Defender for Cloud Apps per la sicurezza delle app cloud
- Microsoft Defender per i punti finali
- Microsoft Defender per l'identità
- Microsoft Defender per Office 365 (anteprima)
- Microsoft Defender XDR
- Microsoft Defender per il cloud a sottoscrizione (Legacy)
- Microsoft Defender per il cloud basato su tenant (Anteprima)
Questi connettori dati continuano a essere elencati in Microsoft Sentinel nel portale di Azure.
Configurare l'ecosistema
Anche se Gestione aree di lavoro di Microsoft Sentinel non è disponibile nel portale di Defender, usare una delle funzionalità alternative seguenti per distribuire il contenuto come codice nelle aree di lavoro:
Distribuire il contenuto come codice dal repository (anteprima pubblica). Usare file YAML o JSON in GitHub o Azure DevOps per gestire e distribuire configurazioni in Microsoft Sentinel e Defender usando flussi di lavoro ci/CD unificati.
Portale multiutente Il portale multi-tenant di Microsoft Defender supporta la gestione e la distribuzione del contenuto tra più tenant.
In caso contrario, continuare a distribuire pacchetti di soluzioni che includono vari tipi di contenuto di sicurezza dall'hub contenuto nel portale di Defender. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
Configurare le regole di analisi
Le regole di analisi di Microsoft Sentinel sono disponibili nel portale di Defender per il rilevamento, la configurazione e la gestione. Le funzionalità delle regole di analisi rimangono invariate, incluse la creazione, l'aggiornamento e la gestione tramite la procedura guidata, i repository e l'API di Microsoft Sentinel. Anche la correlazione degli eventi imprevisti e il rilevamento degli attacchi a più fasi continuano a funzionare nel portale di Defender. La funzionalità di correlazione degli avvisi gestita dalla regola di analisi Fusion nel portale di Azure viene gestita dal motore XDR di Defender nel portale di Defender, che consolida tutti i segnali in un'unica posizione.
Quando si passa al portale di Defender, è importante notare le modifiche seguenti:
| Caratteristica / Funzionalità | Descrizione |
|---|---|
| Regole di rilevamento personalizzate | Se sono presenti casi d'uso di rilevamento che coinvolgono sia i dati di Defender XDR che di Microsoft Sentinel, in cui non è necessario conservare i dati XDR di Defender per più di 30 giorni, è consigliabile creare regole di rilevamento personalizzate che eseguono query sui dati delle tabelle di Microsoft Sentinel e Defender XDR. Questa funzionalità è supportata senza la necessità di inserire dati XDR di Defender in Microsoft Sentinel. Per altre informazioni, vedere Usare funzioni personalizzate di Microsoft Sentinel nella ricerca avanzata in Microsoft Defender. |
| Correlazione degli avvisi | Nel portale di Defender le correlazioni vengono applicate automaticamente agli avvisi relativi sia ai dati di Microsoft Defender che ai dati di terze parti inseriti da Microsoft Sentinel, indipendentemente dagli scenari di avviso. I criteri usati per correlare gli avvisi in un singolo evento imprevisto fanno parte della logica di correlazione interna e proprietaria del portale di Defender. Per altre informazioni, vedere Correlazione degli avvisi e unione degli eventi imprevisti nel portale di Defender. |
| Raggruppamento di avvisi e unione degli eventi imprevisti | Anche se la configurazione del raggruppamento di avvisi viene ancora visualizzata nelle regole di Analisi, il motore di correlazione XDR di Defender controlla completamente il raggruppamento di avvisi e l'unione degli eventi imprevisti quando necessario nel portale di Defender. In questo modo si garantisce una visione completa della storia completa degli attacchi combinando gli avvisi pertinenti per gli attacchi a più fasi. Ad esempio, più regole di analisi singole configurate per generare un evento imprevisto per ogni avviso possono causare eventi imprevisti uniti se corrispondono alla logica di correlazione XDR di Defender. |
| Visibilità degli avvisi | Se le regole di analisi di Microsoft Sentinel sono configurate solo per attivare gli avvisi, con la creazione di eventi imprevisti disattivata, questi avvisi non sono visibili nel portale di Defender. Tuttavia, mentre l'editor di query di ricerca avanzata non riconosce lo schema della SecurityAlerts tabella, è comunque possibile usare la tabella nelle query e nelle regole di analisi. |
| Ottimizzazione degli avvisi | Dopo l'onboarding dell'area di lavoro di Microsoft Sentinel in Defender, tutti gli eventi imprevisti, inclusi quelli delle regole di analisi di Microsoft Sentinel, vengono generati dal motore Defender XDR. Di conseguenza, le funzionalità di ottimizzazione degli avvisi nel portale di Defender, disponibili in precedenza solo per gli avvisi XDR di Defender, ora possono essere applicate agli avvisi di Microsoft Sentinel. Questa funzionalità consente di semplificare la risposta agli eventi imprevisti automatizzando la risoluzione degli avvisi comuni, riducendo i falsi positivi e riducendo al minimo il rumore, in modo che gli analisti possano classificare in ordine di priorità eventi imprevisti di sicurezza significativi. |
| Fusion: Rilevamento avanzato degli attacchi multifase | La regola di analisi Fusion, che nel portale di Azure crea eventi imprevisti in base alle correlazioni degli avvisi effettuate dal motore di correlazione Fusion, viene disabilitata quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender. Non si perde la funzionalità di correlazione degli avvisi perché il portale di Defender usa le funzionalità di creazione e correlazione degli eventi imprevisti di Microsoft Defender XDR per sostituire quelle del motore Fusion. Per altre informazioni, vedere Rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel |
Configurare le regole di automazione e i playbook
In Microsoft Sentinel, i runbook sono basati su flussi di lavoro creati in App Logic di Azure, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi dell'impresa.
Le limitazioni seguenti si applicano alle regole di automazione e ai playbook di Microsoft Sentinel quando si lavora nel portale di Defender. Potrebbe essere necessario apportare alcune modifiche nell'ambiente durante la transizione.
| Funzionalità | Descrizione |
|---|---|
| Regole di automazione con trigger di avviso | Nel portale di Defender le regole di automazione con trigger di avviso agiscono solo sugli avvisi di Microsoft Sentinel. Per altre informazioni, vedere Trigger di creazione di avvisi. |
| Regole di automazione con trigger di eventi imprevisti | Sia nel portale di Azure che nel portale di Defender, la proprietà condizione provider di eventi imprevisti viene rimossa, perché tutti gli eventi imprevisti hanno Microsoft XDR come provider di eventi imprevisti (il valore nel campo ProviderName ). A questo punto, tutte le regole di automazione esistenti vengono eseguite su eventi imprevisti di Microsoft Sentinel e Microsoft Defender XDR, inclusi quelli in cui la condizione del provider di eventi imprevisti è impostata solo su Microsoft Sentinel o Microsoft 365 Defender. Tuttavia, le regole di automazione che specificano un nome specifico della regola di analisi vengono eseguite solo in caso di eventi imprevisti che contengono avvisi creati dalla regola di analisi specificata. Ciò significa che è possibile definire la proprietà della condizione del nome della regola analitica su una regola di analisi esistente solo in Microsoft Sentinel per limitare l'esecuzione della regola agli eventi imprevisti solo in Microsoft Sentinel. Per ulteriori informazioni, vedere Condizioni di attivazione degli incidenti. |
| Latenza negli attivatori del playbook | Potrebbero essere necessari fino a 5 minuti prima che gli eventi imprevisti di Microsoft Defender vengano visualizzati in Microsoft Sentinel. Se questo ritardo è presente, anche l'attivazione del playbook viene ritardata. |
| Modifiche ai nomi degli eventi imprevisti esistenti | Il portale di Defender usa un motore univoco per correlare eventi imprevisti e avvisi. Quando si esegue l'onboarding dell'area di lavoro nel portale di Defender, è possibile modificare i nomi degli eventi imprevisti esistenti se viene applicata la correlazione. Per garantire che le regole di automazione vengano sempre eseguite correttamente, è quindi consigliabile evitare di usare i titoli degli eventi imprevisti come criteri di condizione nelle regole di automazione e suggerire invece di usare il nome di qualsiasi regola di analisi che ha creato avvisi inclusi nell'evento imprevisto e tag se è necessaria una maggiore specificità. |
| Aggiornato in base al campo | Per altre informazioni, vedere Trigger di aggiornamento degli eventi imprevisti. |
| Regole di automazione che aggiungono attività impreviste | Se una regola di automazione aggiunge un'attività di evento imprevisto, l'attività viene visualizzata solo nel portale di Azure. |
| Creazione di regole di automazione direttamente da un evento imprevisto | La creazione di regole di automazione direttamente da un evento imprevisto è supportata solo nel portale di Azure. Se stai lavorando nel portale di Defender, crea le regole di automazione da zero dalla pagina di Automazione. |
| Regole di creazione degli incidenti Microsoft | Le regole di creazione degli eventi imprevisti Microsoft non sono supportate nel portale di Defender. Per ulteriori informazioni, vedere Incidenti XDR di Microsoft Defender e regole di creazione degli incidenti Microsoft. |
| Esecuzione di regole di automazione dal portale di Defender | Potrebbero essere necessari fino a 10 minuti dal momento in cui viene attivato un avviso e in cui viene creato o aggiornato un evento imprevisto nel portale di Defender a quando viene eseguita una regola di automazione. Questo intervallo di tempo è dovuto al fatto che l'evento imprevisto viene creato nel portale di Defender e quindi inoltrato a Microsoft Sentinel per la regola di automazione. |
| Scheda Playbook attiva | Dopo l'onboarding nel portale di Defender, per impostazione predefinita la scheda Playbook attivi mostra un filtro predefinito con la sottoscrizione dell'area di lavoro onboardata. Nel portale di Azure aggiungere dati per altre sottoscrizioni usando il filtro della sottoscrizione. Per altre informazioni, vedere Creare e personalizzare playbook di Microsoft Sentinel dai modelli. |
| Esecuzione manuale di playbook su richiesta | Le procedure seguenti non sono attualmente supportate nel portale di Defender: |
| L'esecuzione di playbook su incidenti richiede la sincronizzazione con Microsoft Sentinel | Se si tenta di eseguire un playbook su un incidente dal portale di Defender e viene visualizzato il messaggio "Non è possibile accedere ai dati correlati a questa azione. Aggiornare la schermata in pochi minuti", significa che l'incidente non è ancora sincronizzato con Microsoft Sentinel. Aggiornare la pagina dell'evento imprevisto dopo la sincronizzazione per eseguire correttamente il playbook. |
|
Eventi imprevisti: aggiunta di avvisi agli eventi imprevisti / Rimozione degli avvisi dagli eventi imprevisti |
Poiché l'aggiunta di avvisi a o la rimozione di avvisi dagli eventi imprevisti non è supportata dopo l'onboarding dell'area di lavoro nel portale di Defender, queste azioni non sono supportate anche dai playbook. Per altre informazioni, vedere Informazioni sulla correlazione degli avvisi e l'unione degli eventi imprevisti nel portale di Defender. |
| Integrazione di Microsoft Defender XDR in più aree di lavoro | Se i dati XDR sono stati integrati con più di un'area di lavoro in un singolo tenant, i dati verranno inseriti solo nell'area di lavoro primaria nel portale di Defender. Trasferire le regole di automazione all'area di lavoro pertinente per mantenerle in esecuzione. |
| Automazione e motore di correlazione | Il motore di correlazione può combinare avvisi provenienti da più segnali in un singolo incidente, il che potrebbe comportare la ricezione automatica di dati non previsti. È consigliabile esaminare le regole di automazione per assicurarsi di visualizzare i risultati previsti. |
Configurare le API
L'esperienza unificata nel portale di Defender introduce modifiche rilevanti a eventi imprevisti e avvisi dalle API. Supporta le chiamate API basate sull'API REST di Microsoft Graph v1.0, che può essere usata per l'automazione relativa ad avvisi, eventi imprevisti, ricerca avanzata e altro ancora.
L'API di Microsoft Sentinel continua a supportare le azioni sulle risorse di Microsoft Sentinel, ad esempio regole di analisi, regole di automazione e altro ancora. Per interagire con eventi imprevisti e avvisi unificati, è consigliabile usare l'API REST Di Microsoft Graph.
Se si usa l'API di Microsoft Sentinel SecurityInsights per interagire con gli eventi imprevisti di Microsoft Sentinel, potrebbe essere necessario aggiornare le condizioni di automazione e attivare i criteri a causa di modifiche nel corpo della risposta.
La tabella seguente elenca i campi importanti nei frammenti di risposta e li confronta tra i portali di Azure e Defender:
| Funzionalità | Portale di Azure | Portale di Defender |
|---|---|---|
| Collegamento all'evento imprevisto |
incidentUrl: l'URL diretto all'incidente nel portale di Microsoft Sentinel |
providerIncidentUrl : questo campo aggiuntivo fornisce un collegamento diretto all'evento imprevisto, che può essere usato per sincronizzare queste informazioni con un sistema di ticket di terze parti come ServiceNow. incidentUrl è ancora disponibile, ma punta al portale di Microsoft Sentinel. |
| Origini che hanno attivato il rilevamento e pubblicato l'avviso | alertProductNames |
alertProductNames: richiede l'aggiunta ?$expand=alerts a GET. Ad esempio, https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| Nome del provider di avvisi |
providerName = "Azure Sentinel" |
providerName = "Microsoft XDR" |
| Servizio o prodotto che ha creato l'avviso | Non esiste nel portale di Azure | serviceSource Ad esempio, "microsoftDefenderForCloudApps" |
| La tecnologia di rilevamento o il sensore che ha identificato il componente o l'attività rilevanti | Non esiste nel portale di Azure |
detectionSource Ad esempio, "cloudAppSecurity" |
| Nome del prodotto che ha pubblicato l'avviso | Non esiste nel portale di Azure |
productName Ad esempio, "Microsoft Defender for Cloud Apps" |
Eseguire operazioni nel portale di Defender
Destinatari: analisti della sicurezza
Video:
- Individuare e gestire contenuti e intelligence sulle minacce di Microsoft Sentinel in Microsoft Defender
- Creare automazione e cartelle di lavoro in Microsoft Defender
- Correlazione degli avvisi in Microsoft Defender
- Indagine sugli eventi imprevisti in Microsoft Defender
- Gestione dei casi in Microsft Defender
- Ricerca avanzata in Microsoft Defender
- Ottimizzazioni SOC in Microsoft Defender
Aggiornare i processi di valutazione degli eventi imprevisti per il portale di Defender
Se è stato usato Microsoft Sentinel nel portale di Azure, si noteranno miglioramenti significativi dell'esperienza utente nel portale di Defender. Anche se potrebbe essere necessario aggiornare i processi SOC e ripetere il training degli analisti, la progettazione consolida tutte le informazioni pertinenti in un'unica posizione per offrire flussi di lavoro più semplificati ed efficienti.
La coda unificata degli incidenti nel portale di Defender consolida tutti gli incidenti tra i prodotti in un'unica visualizzazione, influenzando il modo in cui gli analisti gestiscono gli incidenti che ora contengono avvisi di più domini di sicurezza. Per esempio:
- Tradizionalmente, gli analisti valutano gli eventi imprevisti in base a domini di sicurezza o competenze specifici, spesso gestendo i ticket per entità, ad esempio un utente o un host. Questo approccio può creare punti ciechi, che l'esperienza unificata mira a risolvere.
- Quando un utente malintenzionato si sposta lateralmente, gli avvisi correlati potrebbero finire in incidenti separati a causa di ambiti di sicurezza diversi. L'esperienza unificata elimina questo problema fornendo una visualizzazione completa, assicurandosi che tutti gli avvisi correlati siano correlati e gestiti in modo coesivo.
Gli analisti possono anche visualizzare le origini di rilevamento e i nomi dei prodotti nel portale di Defender e applicare e condividere filtri per valutare eventi imprevisti e avvisi più efficienti.
Il processo di valutazione unificato può aiutare a ridurre i carichi di lavoro analista e anche potenzialmente combinare i ruoli degli analisti di livello 1 e di livello 2. Tuttavia, il processo di valutazione unificato può anche richiedere una conoscenza più ampia e più approfondita dell'analista. È consigliabile eseguire il training sulla nuova interfaccia del portale per garantire una transizione uniforme.
Per altre informazioni, vedere Eventi imprevisti e avvisi nel portale di Microsoft Defender.
Informazioni sulla correlazione degli avvisi e sull'unione degli eventi imprevisti nel portale di Defender
Il motore di correlazione di Defender unisce gli eventi imprevisti quando riconosce gli elementi comuni tra gli avvisi in eventi imprevisti separati. Quando un nuovo avviso soddisfa i criteri di correlazione, Microsoft Defender lo aggrega e lo correla ad altri avvisi correlati da tutte le origini di rilevamento in un nuovo evento imprevisto. Dopo l'integrazione di Microsoft Sentinel nel portale di Defender, la coda unificata degli incidenti fornisce una visione più chiara di un attacco, rendendo gli analisti più efficienti e offrendo una narrazione completa di un attacco.
Negli scenari con più aree di lavoro, solo gli avvisi di un'area di lavoro primaria sono correlati ai dati XDR di Microsoft Defender. Esistono anche scenari specifici in cui gli incidenti non sono combinati.
Dopo l'onboarding di Microsoft Sentinel nel portale di Defender, le modifiche seguenti si applicano a eventi imprevisti e avvisi:
| Caratteristica / Funzionalità | Descrizione |
|---|---|
| Ritardare subito dopo l'onboarding dell'area di lavoro | Potrebbero essere necessari fino a 5 minuti per integrare completamente gli incidenti di Microsoft Defender con Microsoft Sentinel. Ciò non influisce sulle funzionalità fornite direttamente da Microsoft Defender, ad esempio l'interruzione automatica degli attacchi. |
| Regole di creazione degli eventi imprevisti di sicurezza | Tutte le regole di creazione degli eventi imprevisti di sicurezza Microsoft attive vengono disattivate per evitare la creazione di eventi imprevisti duplicati. Le impostazioni di creazione degli eventi imprevisti in altri tipi di regole di analisi rimangono così come sono e sono configurabili nel portale di Defender. |
| Nome del fornitore di incidenti | Nel portale di Defender il nome del provider di eventi imprevisti è sempre Microsoft XDR. |
| Aggiunta/rimozione di avvisi da eventi imprevisti | L'aggiunta o la rimozione di avvisi di Microsoft Sentinel da o verso eventi imprevisti è supportata solo nel portale di Defender. Per rimuovere un avviso da un evento imprevisto nel portale di Defender, è necessario aggiungere l'avviso a un altro evento imprevisto. |
| Modifica dei commenti | Aggiungere commenti agli incidenti nel portale Defender o nel portale di Azure, ma la modifica dei commenti esistenti non è supportata nel portale Defender. Le modifiche apportate ai commenti nel portale di Azure non vengono sincronizzate con il portale di Defender. |
| Creazione programmatica e manuale di incidenti | Gli incidenti creati in Microsoft Sentinel tramite l'API, da un playbook di Logic Apps, o manualmente dal portale di Azure, non vengono sincronizzati con il portale di Defender. Questi eventi imprevisti sono ancora supportati nel portale di Azure e nell'API. Vedere Creare manualmente eventi imprevisti in Microsoft Sentinel. |
| Riaprire gli incidenti chiusi | Nel portale di Defender non è possibile impostare il raggruppamento di avvisi nelle regole di analisi di Microsoft Sentinel per riaprire gli eventi imprevisti chiusi se vengono aggiunti dei nuovi avvisi. Gli eventi imprevisti chiusi non vengono riaperti in questo caso e nuovi avvisi attivano nuovi eventi imprevisti. |
| Attività | Le attività degli eventi imprevisti non sono disponibili nel portale di Defender. Per altre informazioni, vedere Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel. |
Per altre informazioni, vedere Eventi imprevisti e avvisi nel portale di Microsoft Defender e Correlazione degli avvisi e unione degli eventi imprevisti nel portale di Microsoft Defender.
Nota sulle modifiche per le investigazioni con ricerca avanzata
Dopo aver eseguito l'onboarding di Microsoft Sentinel al portale di Microsoft Defender, accedi e utilizza tutte le query e le funzioni esistenti in KQL (Kusto Query Language) nella pagina Ricerca avanzata.
Esistono alcune differenze, ad esempio:
- I segnalibri non sono supportati nella ricerca avanzata. I segnalibri sono supportati invece nel portale di Defender sotto Microsoft Sentinel > Gestione delle minacce > Ricerca.
- Anche se la tabella SecurityAlert non viene visualizzata nell'elencoSchema di > avanzata delle tabelle, è ancora supportata nelle query.
Per altre informazioni, vedere Ricerca avanzata con i dati di Microsoft Sentinel in Microsoft Defender, in particolare l'elenco dei problemi noti e Tenere traccia dei dati durante la ricerca con Microsoft Sentinel.
Indagare le entità nel portale di Defender
Nel portale di Microsoft Defender le entità sono in genere asset, ad esempio account, host o cassette postali o prove, ad esempio indirizzi IP, file o URL.
Dopo l'onboarding di Microsoft Sentinel nel portale di Defender, le pagine di entità per utenti, dispositivi e indirizzi IP vengono consolidate in un'unica visualizzazione con una visualizzazione completa dell'attività e del contesto e dei dati dell'entità da Microsoft Sentinel e Da Microsoft Defender XDR.
Il portale di Defender fornisce anche una barra di ricerca globale che centralizza i risultati di tutte le entità in modo da poter eseguire ricerche in SIEM e XDR.
Per altre informazioni, vedere Pagine di entità in Microsoft Sentinel.
Indagare con UEBA nel portale Microsoft Defender
La maggior parte delle funzionalità di User and Entity Behavior Analytics (UEBA) rimane invariata nel portale di Defender nel portale di Azure, con le eccezioni seguenti:
L'aggiunta di entità all'intelligence sulle minacce da incidenti è supportata solo nel portale di Azure. Per altre informazioni, vedere Aggiungere un'entità agli indicatori di minaccia.
Dopo l'onboarding di Microsoft Sentinel nel portale di Defender, la
IdentityInfotabella utilizzata nel portale di Defender include campi unificati sia da Defender XDR che da Microsoft Sentinel. Alcuni campi esistenti quando usati nel portale di Azure vengono rinominati nel portale di Defender o non sono supportati affatto. È consigliabile controllare le query per individuare eventuali riferimenti a questi campi e aggiornarli in base alle esigenze. Per altre informazioni, vedere Tabella IdentityInfo.
Aggiornare i processi di indagine per l'uso dell'intelligence sulle minacce di Microsoft Defender
Per i clienti di Microsoft Sentinel che passano dal portale di Azure al portale di Defender, le funzionalità di intelligence sulle minacce familiari vengono mantenute nel portale di Defender in Gestione Intel e migliorate con altre funzionalità di intelligence sulle minacce disponibili nel portale di Defender. Le funzionalità supportate dipendono dalle licenze disponibili, ad esempio:
| Caratteristica / Funzionalità | Descrizione |
|---|---|
| Analisi delle minacce | Supportato per i clienti di Microsoft Defender XDR . Una soluzione in-product fornita dai ricercatori della sicurezza Microsoft, progettata per aiutare i team di sicurezza offrendo informazioni dettagliate sulle minacce emergenti, sulle minacce attive e sui relativi impatti. I dati vengono presentati in un dashboard intuitivo con schede, righe di dati, filtri e altro ancora. |
| Profili Intel | Supportato per i clienti di Microsoft Defender Threat Intelligence . Classificare le minacce e i comportamenti in base a un profilo attore di minaccia, semplificando il rilevamento e la correlazione. Questi profili includono qualsiasi indicatore di compromissione (IoC) correlato a tattiche, tecniche e strumenti usati negli attacchi. |
| Intel Explorer | Supportato per i clienti di Microsoft Defender Threat Intelligence . Consolida gli IoC disponibili e fornisce articoli correlati alle minacce man mano che vengono pubblicati, consentendo ai team di sicurezza di rimanere aggiornati sulle minacce emergenti. |
| Progetti Intel | Supportato per i clienti di Microsoft Defender Threat Intelligence . Consente ai team di consolidare l'intelligence sulle minacce in un "progetto" per esaminare tutti gli artefatti correlati a uno scenario specifico di interesse. |
Nel portale di Defender usare ThreatIntelOjbects e ThreatIntelIndicators insieme a Indicatori per la compromissione per la ricerca di minacce, la risposta agli eventi imprevisti, Copilot, la creazione di report e per creare grafici relazionali che mostrano le connessioni tra indicatori ed entità.
Per i clienti che usano il feed Microsoft Defender Threat Intelligence (MDTI), una versione gratuita è disponibile tramite il connettore dati di Microsoft Sentinel per MDTI. Gli utenti con licenze MDTI possono anche inserire dati MDTI e usare Security Copilot per l'analisi delle minacce, la revisione attiva delle minacce e la ricerca degli attori delle minacce.
Per altre informazioni, vedere:
- Gestione dei rischi
- Analisi delle minacce in Microsoft Defender XDR
- Uso di progetti
- Intelligence sulle minacce in Microsoft Sentinel
Usare le cartelle di lavoro per visualizzare e creare report sui dati di Microsoft Defender
Le cartelle di lavoro di Azure continuano a essere lo strumento principale per la visualizzazione e l'interazione dei dati nel portale di Defender, funzionando come nel portale di Azure.
Per usare cartelle di lavoro con i dati della ricerca avanzata, assicurarsi di inserire i log in Microsoft Sentinel. Mentre le cartelle di lavoro stesse mantengono l'utente nel portale di Defender, i pulsanti o i collegamenti programmati per aprire pagine o risorse nel portale di Azure continuano ad aprire una scheda separata per il portale di Azure.
Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.
Contenuti correlati
- The Best of Microsoft Sentinel - now in Microsoft Defender (blog)
- Guardare il webinar: Transizione alla piattaforma SOC unificata: approfondimento e domande interattive per professionisti SOC.
- Vedere le domande frequenti nel blog techCommunity o nell'hub della community Microsoft.