Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il portale di Defender consente di connettersi a un'area di lavoro primaria e a più aree di lavoro secondarie per Microsoft Sentinel. Nel contesto di questo articolo, un'area di lavoro è un'area di lavoro Log Analytics con Microsoft Sentinel abilitata.
Questo articolo si applica principalmente allo scenario in cui si esegue l'onboarding di Microsoft Sentinel nel portale di Defender insieme a Microsoft Defender XDR per le operazioni di sicurezza unificate. Se si prevede di usare Microsoft Sentinel nel portale di Defender senza Microsoft Defender XDR, è comunque possibile gestire più aree di lavoro. Tuttavia, poiché non si dispone di Defender XDR, l'area di lavoro primaria non avrà dati XDR di Defender e non si avrà accesso alle funzionalità di Defender XDR.
Aree di lavoro primarie e secondarie
Selezionare l'area di lavoro primaria quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender. Tutte le altre aree di lavoro di cui si esegue l'onboarding nel portale di Defender vengono considerate come aree di lavoro secondarie. Il portale di Defender supporta un'area di lavoro primaria e fino a 99 aree di lavoro secondarie per tenant per Microsoft Sentinel.
Quando si dispone anche di Microsoft Defender XDR, gli avvisi dell'area di lavoro primaria vengono correlati ai dati XDR di Defender e gli eventi imprevisti includono avvisi provenienti sia dall'area di lavoro primaria che da Defender XDR in una coda unificata. Quando si seleziona un'area di lavoro primaria, il connettore dati XDR di Defender per eventi imprevisti e avvisi è connesso solo all'area di lavoro primaria.
In questi casi:
| Zona | Descrizione |
|---|---|
| Altre aree di lavoro precedentemente connesse a Defender XDR | Tutte le altre aree di lavoro precedentemente connesse al connettore Defender XDR vengono disconnesse e funzionano come aree di lavoro secondarie. I dati XDR di Defender non sono disponibili in un'area di lavoro secondaria e le regole di analisi e l'automazione configurati in precedenza in base ai dati XDR di Defender non funzionano più. |
| Avvisi basati su tenant e connettori dati autonomi | Gli avvisi di altri servizi Microsoft, inclusi altri servizi di Defender, sono avvisi basati su tenant e sono correlati all'intero tenant anziché a un'area di lavoro specifica. Per evitare la duplicazione tra aree di lavoro, tutti i connettori dati autonomi diretti per questi servizi devono essere disconnessi da Microsoft Sentinel nelle aree di lavoro secondarie. Ciò comporta la visualizzazione degli avvisi basati su tenant solo nell'area di lavoro primaria. Al momento dell'onboarding, i connettori dati autonomi per Microsoft Defender per Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps, Microsoft Defender per endpoint e Microsoft Defender per identità vengono disconnessi automaticamente. Se sono presenti altri connettori dati Microsoft autonomi con avvisi nelle aree di lavoro, assicurarsi di disconnetterli prima dell'onboarding nel portale di Defender. |
| Avvisi e eventi imprevisti di Defender XDR | Tutti gli avvisi e gli eventi imprevisti di Defender XDR vengono sincronizzati solo con l'area di lavoro primaria. |
| Creazione di eventi imprevisti e correlazione degli avvisi | Il portale di Defender mantiene separate la creazione di eventi imprevisti e la correlazione degli avvisi tra le aree di lavoro Microsoft Sentinel. Gli eventi imprevisti nelle aree di lavoro secondarie non includono dati provenienti da altre aree di lavoro o da Defender XDR. |
| Un'area di lavoro primaria obbligatoria | Un'area di lavoro primaria deve essere sempre connessa al portale di Defender. |
Ad esempio, si potrebbe lavorare su un team SOC globale in un'azienda con più aree di lavoro autonome. In questi casi, potrebbe non essere necessario visualizzare eventi imprevisti e avvisi da ognuna di queste aree di lavoro nella coda SOC globale nel portale di Defender. Poiché queste aree di lavoro vengono caricate nel portale di Defender come aree di lavoro secondarie, vengono visualizzate nel portale di Defender solo come Microsoft Sentinel, senza dati di Defender e continuano a funzionare in modo autonomo. Quando si esamina l'area di lavoro SOC globale, i dati di queste aree di lavoro secondarie non verranno visualizzati.
Se sono presenti più aree di lavoro di Microsoft Sentinel all'interno di un tenant di Microsoft Entra ID, è consigliabile usare l'area di lavoro primaria per il centro operazioni di sicurezza globale.
Autorizzazioni per gestire le aree di lavoro e visualizzare i dati dell'area di lavoro
Usare una delle combinazioni di ruoli o ruoli seguenti per gestire le aree di lavoro primarie e secondarie:
| Attività | Combinazioni di ruoli o ruoli obbligatori |
|---|---|
| Connettere un'area di lavoro primaria | Uno dei seguenti: - Amministratore globale E proprietario della sottoscrizione - Amministratore della sicurezza E proprietario della sottoscrizione - Amministratore globale E Amministratore accesso utenti E Collaboratore Sentinel - Amministratore della Sicurezza E Amministratore degli Accessi Utente E Collaboratore Sentinel |
| Modificare l'area di lavoro primaria | Uno dei seguenti: - Amministratore globale - Amministratore della sicurezza |
| Integrare o rimuovere gli spazi di lavoro secondari | Uno dei seguenti: - Amministratore globale E proprietario della sottoscrizione - Amministratore della sicurezza E proprietario della sottoscrizione - Amministratore globale E Amministratore accesso utenti E Collaboratore Sentinel - Amministratore della Sicurezza E Amministratore Accesso Utenti E Collaboratore Sentinel - Proprietario della sottoscrizione - Amministratore accesso utente E Collaboratore Sentinel |
Importante
Microsoft consiglia di usare i ruoli con minori autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Dopo aver connesso Microsoft Sentinel al portale di Defender, le autorizzazioni esistenti di controllo degli accessi in base al ruolo di Azure consentono di visualizzare e usare le funzionalità e le aree di lavoro di Microsoft Sentinel a cui si ha accesso.
| Spazio di lavoro | Accesso |
|---|---|
| Primario | Se si ha accesso all'area di lavoro primaria, è possibile leggere e gestire i dati dall'area di lavoro e da Defender XDR. |
| Secondario | Se si ha accesso a un'area di lavoro secondaria, è possibile leggere e gestire i dati solo dall'area di lavoro. Le aree di lavoro secondarie non includono i dati XDR di Defender. |
Eccezione: Se è già stata eseguita l'onboarding di un'area di lavoro nel portale di Defender, tutti gli avvisi creati usando rilevamenti personalizzati nelle AlertInfo tabelle e AlertEvidence prima della metà di gennaio 2025 sono visibili a tutti gli utenti.
Per altre informazioni, vedere Ruoli e autorizzazioni in Microsoft Sentinel.
Modifiche all'area di lavoro primaria
Dopo aver eseguito l'onboarding di Microsoft Sentinel nel portale di Defender, è possibile modificare l'area di lavoro primaria. Quando si passa all'area di lavoro primaria per Microsoft Sentinel, il connettore Defender XDR viene connesso al nuovo primario e disconnesso automaticamente da quello precedente.
Modificare l'area di lavoro primaria nel portale di Defender passando a Impostazioni>di sistema>Microsoft Sentinel>Aree di lavoro.
Ambito dei dati dell'area di lavoro in visualizzazioni diverse
Se si dispone delle autorizzazioni appropriate per visualizzare i dati dalle aree di lavoro primarie e secondarie per Microsoft Sentinel, l'ambito dell'area di lavoro nella tabella seguente si applica per ogni funzionalità.
| Capacità | Ambito dell'area di lavoro |
|---|---|
| Ricerca | I risultati della ricerca globale nella parte superiore della pagina del browser nel portale di Defender offrono una visualizzazione aggregata di tutti i dati dell'area di lavoro pertinenti che si dispone delle autorizzazioni per la visualizzazione. |
| Indagine e risposta > Incidenti e avvisi >Incidenti | Visualizzare gli incidenti di aree di lavoro diverse in una coda unificata o filtrare la visualizzazione in base all'area di lavoro. |
| Indagine e risposta > Incidenti e avvisi >Avvisi | Visualizzare gli avvisi di aree di lavoro diverse in una coda unificata o filtrare la visualizzazione in base all'area di lavoro. Il portale di Defender segmenta la correlazione degli avvisi in base all'area di lavoro. |
| Entità: selezionare un dispositivo, un utente o un altro asset di entità da un incidente o da un avviso > | Visualizzare tutti i dati di entità pertinenti da più aree di lavoro in una singola pagina di entità. Le pagine di entità aggregano avvisi, eventi imprevisti ed eventi della sequenza temporale di tutte le aree di lavoro per fornire informazioni più approfondite sul comportamento delle entità. Filtrare in base all'area di lavoro nelle schede Eventi imprevisti e avvisi, Sequenza temporale e Informazioni dettagliate . Nella scheda Panoramica vengono visualizzati i metadati delle entità aggregati da tutte le aree di lavoro. |
| Indagini e risposte > Caccia >Caccia avanzata | Selezionare un'area di lavoro nella parte superiore destra del browser. In alternativa, eseguire una query in più aree di lavoro usando l'operatore dell'area di lavoro nella query. Vedere Eseguire query su più aree di lavoro. I risultati della query non mostrano un nome o un ID dell'area di lavoro. Accedere in modalità sola lettura a tutti i dati di log dell'area di lavoro, incluse le query e le funzioni. Per altre informazioni, vedere Ricerca avanzata con i dati di Microsoft Sentinel nel portale di Microsoft Defender. Alcune funzionalità sono limitate all'area di lavoro primaria: - Creazione di rilevamenti personalizzati - Query tramite API |
| Esperienze di Microsoft Sentinel | Visualizzare i dati da un'area di lavoro per ogni pagina nella sezione Microsoft Sentinel del portale di Defender. Passare da un'area di lavoro all'altra selezionando Selezionare un'area di lavoro dal lato superiore destro del browser per la maggior parte delle pagine. La pagina Cartelle di lavoro mostra solo i dati associati all'area di lavoro primaria. |
| Ottimizzazione SOC | I dati e le raccomandazioni vengono aggregati da più aree di lavoro. |
Sincronizzazione bidirezionale per le aree di lavoro
La sincronizzazione delle modifiche agli eventi imprevisti tra il portale di Azure e il portale di Defender dipende dal fatto che si tratti di un'area di lavoro primaria o secondaria.
| Spazio di lavoro | Comportamento di sincronizzazione |
|---|---|
| Primario | Per Microsoft Sentinel nel portale di Azure, gli incidenti di Defender XDR vengono visualizzati in Gestione>Incidenti con il nome del provider di incidenti Microsoft XDR. Eventuali modifiche apportate allo stato, al motivo di chiusura o all'assegnazione di un incidente di Defender XDR nel portale di Azure o Defender si aggiornano nella coda degli incidenti dell'altro portale. Per altre informazioni, vedere Uso degli eventi imprevisti di Microsoft Defender XDR in Microsoft Sentinel e sincronizzazione bidirezionale. |
| Secondario | Tutti gli avvisi e gli eventi imprevisti creati per un'area di lavoro secondaria vengono sincronizzati tra tale area di lavoro nei portali di Azure e Defender. I dati in un'area di lavoro vengono sincronizzati solo con l'area di lavoro nell'altro portale. |
Supporto per la gestione dei rischi Insider (IRM)
Gli avvisi di Microsoft Purview Insider Risk Management (IRM) sono correlati solo all'area di lavoro primaria. Se sono presenti avvisi IRM con Microsoft Defender XDR, è necessario connettere IRM al connettore Microsoft Defender XDR nell'area di lavoro primaria prima di eseguire l'onboarding dell'area di lavoro nel portale di Defender. Questa operazione è necessaria per assicurarsi che gli avvisi e gli eventi imprevisti IRM siano disponibili nell'area di lavoro primaria. Se non si vogliono visualizzare gli avvisi IRM nell'area di lavoro primaria, è possibile rifiutare esplicitamente l'integrazione con Microsoft Defender XDR.
Inoltre, se il connettore diretto di Microsoft 365 Insider Risk Management per Microsoft Sentinel è connesso a una delle aree di lavoro secondarie, è necessario disconnetterlo prima di effettuare l'onboarding dell'area di lavoro nel portale di Defender.