Inserire eventi imprevisti di Microsoft Defender per il cloud con l'integrazione di Microsoft Defender XDR

Microsoft Defender for Cloud è ora integrato con Microsoft Defender XDR, noto in precedenza come Microsoft 365 Defender. Questa integrazione consente a Defender XDR di raccogliere avvisi da Defender for Cloud e di creare eventi imprevisti XDR di Defender da essi.

Grazie a questa integrazione, i clienti di Microsoft Sentinel che abilitano l'integrazione degli eventi imprevisti XDR di Defender possono ora inserire e sincronizzare gli eventi imprevisti di Defender for Cloud tramite Microsoft Defender XDR.

Per supportare questa integrazione, è necessario configurare uno dei connettori dati di Microsoft Defender for Cloud seguenti. In caso contrario, gli eventi imprevisti per Microsoft Defender for Cloud provenienti dal connettore Microsoft Defender XDR non visualizzeranno gli avvisi e le entità associati:

  • Microsoft Sentinel ha un nuovo connettore Microsoft Defender for Cloud (anteprima) basato su tenant. Questo connettore consente ai clienti di Microsoft Sentinel di ricevere avvisi di Defender for Cloud per l'intero tenant, senza dover monitorare e gestire la registrazione del connettore a tutte le sottoscrizioni di Defender for Cloud. È consigliabile usare questo nuovo connettore, perché anche l'integrazione di Microsoft Defender XDR con Microsoft Defender for Cloud viene implementata a livello di tenant.

  • In alternativa, è possibile usare il connettore Microsoft Defender for Cloud (legacy) basato sulla sottoscrizione. Questo connettore non è consigliato, perché se sono presenti sottoscrizioni di Defender for Cloud non connesse a Microsoft Sentinel nel connettore, gli eventi imprevisti di tali sottoscrizioni non visualizzerà gli avvisi e le entità associati.

Entrambi i connettori indicati in precedenza possono essere usati per inserire avvisi di Defender for Cloud, indipendentemente dal fatto che sia abilitata l'integrazione degli eventi imprevisti XDR di Defender.

Importante

Scegliere come usare questa integrazione e il nuovo connettore

Il modo in cui si sceglie di usare questa integrazione e se si desidera inserire eventi imprevisti completi o semplicemente avvisi dipenderà in gran parte da ciò che si sta già facendo per quanto riguarda gli eventi imprevisti di Microsoft Defender XDR.

  • Se si stanno già ingerendo eventi imprevisti XDR di Defender o se si sceglie di iniziare a farlo ora, è consigliabile abilitare questo nuovo connettore basato su tenant. Gli eventi imprevisti XDR di Defender includeranno ora eventi imprevisti basati su Defender per cloud con avvisi completamente popolati da tutte le sottoscrizioni di Defender for Cloud nel tenant.

    Se, in questa situazione, si resta con il connettore legacy di Defender for Cloud e non si connette il nuovo connettore basato su tenant, si potrebbero ricevere eventi imprevisti di Defender for Cloud che contengono avvisi vuoti (nel caso di una sottoscrizione a cui il connettore non è registrato).

  • Se non si intende abilitare l'integrazione degli eventi imprevisti di Microsoft Defender XDR, è comunque possibile ricevere avvisi di Defender for Cloud, indipendentemente dalla versione del connettore abilitata. Tuttavia, il nuovo connettore basato su tenant offre comunque il vantaggio di non avere bisogno delle autorizzazioni per monitorare e mantenere l'elenco delle sottoscrizioni di Defender for Cloud nel connettore.

  • Se è abilitata l'integrazione XDR di Defender, ma si vuole ricevere solo gli avvisi di Defender for Cloud ma non eventi imprevisti, è possibile usare regole di automazione per chiudere immediatamente gli eventi imprevisti di Defender for Cloud non appena arrivano.

    Se non si tratta di una soluzione adeguata o se si vuole comunque raccogliere avvisi da Defender for Cloud per ogni sottoscrizione, è possibile rifiutare esplicitamente l'integrazione di Defender for Cloud nel portale di Microsoft Defender XDR e quindi usare la versione legacy basata su sottoscrizione del connettore Defender for Cloud per ricevere tali avvisi.

Configurare l'integrazione in Microsoft Sentinel

Se non è già stata abilitata l'integrazione degli eventi imprevisti nel connettore Microsoft 365 Defender, eseguire prima di tutto questa operazione.

Abilitare quindi il nuovo connettore Microsoft Defender for Cloud (anteprima) basato su tenant. Questo connettore è disponibile tramite la soluzione Microsoft Defender for Cloud, versione 3.0.0, nell'hub del contenuto. Se si ha una versione precedente di questa soluzione, è possibile aggiornarla nell'hub del contenuto.

Se in precedenza è stato abilitato il connettore legacy, basato su sottoscrizione di Defender for Cloud (che verrà visualizzato come Microsoft Defender for Cloud (legacy) basato su sottoscrizione), è consigliabile disabilitarlo per impedire la duplicazione degli avvisi nei log.

Se sono presenti regole pianificate o di analisi della sicurezza Microsoft che creano eventi imprevisti dagli avvisi di Defender for Cloud, è consigliabile disabilitare queste regole, perché si riceveranno eventi imprevisti pronti creati da—e sincronizzati con—Microsoft 365 Defender.

Se sono disponibili tipi specifici di avvisi di Defender for Cloud per cui non si vogliono creare eventi imprevisti, è possibile usare le regole di automazione per chiudere immediatamente questi eventi imprevisti oppure usare le funzionalità di ottimizzazione predefinite nel portale di Microsoft 365 Defender.

Passaggi successivi

In questo articolo si è appreso come usare l'integrazione di Microsoft Defender for Cloud con Microsoft Defender XDR per inserire eventi imprevisti e avvisi in Microsoft Sentinel.

Altre informazioni sull'integrazione di Microsoft Defender for Cloud con Microsoft Defender XDR.