Inserire avvisi Microsoft Defender per il cloud a Microsoft Sentinel

le protezioni integrate dei carichi di lavoro cloud di Microsoft Defender per il cloud consentono di rilevare e rispondere rapidamente alle minacce nei carichi di lavoro ibridi e multicloud. Il connettore Microsoft Defender per il cloud consente di inserire avvisi di sicurezza da Defender per il cloud in Microsoft Sentinel, in modo da poter visualizzare, analizzare e rispondere agli avvisi di Defender e gli eventi imprevisti generati, in un contesto di minaccia aziendale più ampio.

Microsoft Defender per il cloud i piani di Defender sono abilitati per ogni sottoscrizione. Anche se il connettore legacy di Microsoft Sentinel per Defender per il cloud Apps è configurato per sottoscrizione, il connettore di Microsoft Defender per il cloud basato su tenant, in anteprima, consente di raccogliere Defender per il cloud avvisi sull'intero tenant senza dover abilitare ogni sottoscrizione separatamente. Il connettore basato sul tenant funziona anche con l'integrazione di Defender per il cloud con Microsoft Defender XDR per garantire che tutti gli avvisi Defender per il cloud siano completamente inclusi in tutti gli eventi imprevisti ricevuti tramite l'integrazione degli eventi imprevisti di Microsoft Defender XDR.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Sincronizzazione degli avvisi

  • Quando ci si connette Microsoft Defender per il cloud a Microsoft Sentinel, lo stato degli avvisi di sicurezza inseriti in Microsoft Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per il cloud, tale avviso verrà visualizzato anche come chiuso in Microsoft Sentinel.

  • La modifica dello stato di un avviso in Defender per il cloud non influirà sullo stato di eventuali eventi imprevisti di Microsoft Sentinel che contengono l'avviso di Microsoft Sentinel, solo quello dell'avviso stesso.

Sincronizzazione degli avvisi bidirezionali

L'abilitazione della sincronizzazione bidirezionale sincronizza automaticamente lo stato degli avvisi di sicurezza originali con quello degli eventi imprevisti di Microsoft Sentinel che contengono tali avvisi. Ad esempio, quando viene chiuso un evento imprevisto di Microsoft Sentinel contenente avvisi di sicurezza, l'avviso originale corrispondente verrà chiuso automaticamente in Microsoft Defender per il cloud.

Prerequisiti

  • È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.

  • È necessario avere il ruolo Collaboratore o Proprietario nella sottoscrizione che si vuole connettere a Microsoft Sentinel.

  • Sarà necessario abilitare almeno un piano all'interno di Microsoft Defender per il cloud per ogni sottoscrizione in cui si vuole abilitare il connettore. Per abilitare i piani di Microsoft Defender in una sottoscrizione, è necessario avere il ruolo di amministratore della sicurezza per tale sottoscrizione.

  • Sarà necessario che il SecurityInsights provider di risorse sia registrato per ogni sottoscrizione in cui si vuole abilitare il connettore. Esaminare le indicazioni sullo stato di registrazione del provider di risorse e sui modi per registrarla.

  • Per abilitare la sincronizzazione bidirezionale, è necessario avere il ruolo Collaboratore o Amministratore della sicurezza nella sottoscrizione pertinente.

  • Installare la soluzione per Microsoft Defender per il cloud dall'hub contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Connettersi a Microsoft Defender per il cloud

  1. Dopo aver installato la soluzione, in Microsoft Sentinel selezionare Connettori dati di configurazione>.

  2. Nella pagina Connettori dati selezionare il connettore Microsoft Defender per il cloud basato su sottoscrizione (legacy) o il connettore Microsoft Defender per il cloud basato su tenant (anteprima) e quindi selezionare Apri connettore.

  3. In Configurazione verrà visualizzato un elenco delle sottoscrizioni nel tenant e lo stato della connessione a Microsoft Defender per il cloud. Selezionare l'interruttore Stato accanto a ogni sottoscrizione i cui avvisi si desidera trasmettere in Microsoft Sentinel. Per connettere più sottoscrizioni contemporaneamente, è possibile farlo contrassegnando le caselle di controllo accanto alle sottoscrizioni pertinenti e quindi selezionando il pulsante Connetti sulla barra sopra l'elenco.

    • Le caselle di controllo e gli interruttori Connetti sono attivi solo nelle sottoscrizioni per le quali si dispone delle autorizzazioni necessarie.
    • Il pulsante Connetti è attivo solo se la casella di controllo di almeno una sottoscrizione è stata contrassegnata.
  4. Per abilitare la sincronizzazione bidirezionale in una sottoscrizione, individuare la sottoscrizione nell'elenco e scegliere Abilitato nell'elenco a discesa nella colonna Sincronizzazione bidirezionale . Per abilitare la sincronizzazione bidirezionale in più sottoscrizioni contemporaneamente, contrassegnare le caselle di controllo e selezionare il pulsante Abilita sincronizzazione bidirezionale sulla barra sopra l'elenco.

    • Le caselle di controllo e gli elenchi a discesa saranno attivi solo nelle sottoscrizioni per le quali si dispone delle autorizzazioni necessarie.
    • Il pulsante Abilita sincronizzazione bidirezionale sarà attivo solo se è stata contrassegnata almeno una sottoscrizione.
  5. Nella colonna Piani di Microsoft Defender dell'elenco è possibile vedere se i piani di Microsoft Defender sono abilitati nella sottoscrizione (un prerequisito per l'abilitazione del connettore).

    Il valore per ogni sottoscrizione in questa colonna è vuoto (ovvero non sono abilitati piani di Defender), Tutti abilitati o Alcuni abilitati. Quelli che dicono che Alcuni abilitati hanno anche un collegamento Abilita tutto che è possibile selezionare, che consente di passare al dashboard di configurazione Microsoft Defender per il cloud per tale sottoscrizione, in cui è possibile scegliere i piani di Defender da abilitare.

    Il pulsante di collegamento Abilita Microsoft Defender per tutte le sottoscrizioni sulla barra sopra l'elenco consente di passare alla pagina introduttiva Microsoft Defender per il cloud, in cui è possibile scegliere le sottoscrizioni per abilitare completamente Microsoft Defender per il cloud. Ad esempio:

    Screenshot della configurazione del connettore Microsoft Defender per il cloud.

  6. È possibile selezionare se si desidera che gli avvisi di Microsoft Defender per il cloud generino automaticamente eventi imprevisti in Microsoft Sentinel. In Crea eventi imprevisti selezionare Abilitato per attivare la regola di analisi predefinita che crea automaticamente eventi imprevisti dagli avvisi. È quindi possibile modificare questa regola in Analisi nella scheda Regole attive.

    Suggerimento

    Quando si configurano regole di analisi personalizzate per gli avvisi di Microsoft Defender per il cloud, prendere in considerazione la gravità dell'avviso per evitare di aprire eventi imprevisti per gli avvisi informativi.

    Gli avvisi informativi in Microsoft Defender per il cloud non rappresentano autonomamente un rischio per la sicurezza e sono rilevanti solo nel contesto di un evento imprevisto aperto esistente. Per altre informazioni, vedere Avvisi di sicurezza e eventi imprevisti in Microsoft Defender per il cloud.

Trovare e analizzare i dati

Nota

La sincronizzazione degli avvisi in entrambe le direzioni può richiedere alcuni minuti. Le modifiche apportate allo stato degli avvisi potrebbero non essere visualizzate immediatamente.

  • Gli avvisi di sicurezza vengono archiviati nella tabella SecurityAlert nell'area di lavoro Log Analytics.

  • Per eseguire query sugli avvisi di sicurezza in Log Analytics, copiare quanto segue nella finestra di query come punto di partenza:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • Vedere la scheda Passaggi successivi nella pagina connettore per altre query di esempio utili, modelli di regole di analisi e cartelle di lavoro consigliate.

Passaggi successivi

In questo documento si è appreso come connettersi Microsoft Defender per il cloud a Microsoft Sentinel e sincronizzare gli avvisi tra di essi. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: