Microsoft Defender per il cloud nel portale di Microsoft Defender
Si applica a:
Microsoft Defender per cloud fa ora parte di Microsoft Defender XDR. I team di sicurezza possono ora accedere agli avvisi e agli eventi imprevisti di Defender for Cloud all'interno del portale di Microsoft Defender, offrendo un contesto più completo alle indagini che si estendono su risorse cloud, dispositivi e identità. Inoltre, i team di sicurezza possono ottenere l'immagine completa di un attacco, inclusi eventi sospetti e dannosi che si verificano nel proprio ambiente cloud, tramite correlazioni immediate di avvisi e eventi imprevisti.
Il portale di Microsoft Defender combina funzionalità di protezione, rilevamento, indagine e risposta per proteggere gli attacchi a dispositivi, posta elettronica, collaborazione, identità e app cloud. Le funzionalità di rilevamento e indagine del portale vengono ora estese alle entità cloud, offrendo ai team delle operazioni di sicurezza un unico riquadro di vetro per migliorare significativamente l'efficienza operativa.
Inoltre, gli eventi imprevisti e gli avvisi di Defender for Cloud fanno ora parte dell'API pubblica di Microsoft Defender XDR. Questa integrazione consente di esportare i dati degli avvisi di sicurezza in qualsiasi sistema usando una singola API.
Prerequisito
Per garantire l'accesso agli avvisi di Defender per cloud nel portale di Microsoft Defender, è necessario sottoscrivere uno dei piani elencati in Connettere le sottoscrizioni di Azure.
Autorizzazioni necessarie
Nota
L'autorizzazione per visualizzare gli avvisi e le correlazioni di Defender for Cloud è automatica per l'intero tenant. La visualizzazione per sottoscrizioni specifiche non è supportata. È possibile usare il filtro id sottoscrizione avvisi per visualizzare gli avvisi di Defender per cloud associati a una sottoscrizione di Defender for Cloud specifica nelle code degli avvisi e degli eventi imprevisti. Altre informazioni sui filtri.
L'integrazione è disponibile solo applicando il ruolo di controllo degli accessi in base al ruolo (RBAC) di Microsoft Defender XDR unificato appropriato per Defender per il cloud. Per visualizzare gli avvisi e le correlazioni di Defender per cloud senza controllo degli accessi in base al ruolo unificato di Defender XDR, è necessario essere un amministratore globale o un amministratore della sicurezza in Azure Active Directory.
Importante
Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari in cui non è possibile usare un ruolo esistente. Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione.
Esperienza di indagine nel portale di Microsoft Defender
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
La sezione seguente descrive l'esperienza di rilevamento e indagine nel portale di Microsoft Defender con gli avvisi di Defender per cloud.
Area | Descrizione |
---|---|
Eventi imprevisti | Tutti gli eventi imprevisti di Defender per cloud verranno integrati nel portale di Microsoft Defender.
- La ricerca di asset di risorse cloud nella coda degli eventi imprevisti è supportata. - Il grafico della storia dell'attacco mostrerà la risorsa cloud. - La scheda asset in una pagina degli eventi imprevisti mostrerà la risorsa cloud. - Ogni macchina virtuale ha una propria pagina del dispositivo contenente tutti gli avvisi e le attività correlati. Non si verificano duplicazioni di eventi imprevisti da altri carichi di lavoro di Defender. |
Avvisi | Tutti gli avvisi di Defender per cloud, inclusi gli avvisi di provider multi-cloud, interni ed esterni, verranno integrati nel portale di Microsoft Defender. Gli avvisi di Defender per cloud verranno visualizzati nella coda di avvisi del portale di Microsoft Defender.
L'asset della risorsa cloud verrà visualizzato nella scheda Asset di un avviso. Le risorse sono chiaramente identificate come risorsa di Azure, Amazon o Google Cloud. Gli avvisi di Defender for Cloud verranno associati automaticamente a un tenant. Non verrà eseguita alcuna duplicazione degli avvisi da altri carichi di lavoro di Defender. |
Correlazione di avvisi e eventi imprevisti | Gli avvisi e gli eventi imprevisti vengono automaticamente correlati, fornendo un contesto solido ai team delle operazioni di sicurezza per comprendere la storia completa degli attacchi nell'ambiente cloud. |
Rilevamento di minacce | Corrispondenza accurata delle entità virtuali con le entità del dispositivo per garantire la precisione e il rilevamento efficace delle minacce. |
API unificata | Gli avvisi e gli eventi imprevisti di Defender per cloud sono ora inclusi nell'API pubblica di Microsoft Defender XDR, consentendo ai clienti di esportare i dati degli avvisi di sicurezza in altri sistemi usando un'API. |
Ricerca avanzata (anteprima) | Le informazioni sugli eventi di controllo cloud per varie piattaforme cloud protette da Defender for Cloud dell'organizzazione sono disponibili tramite la tabella CloudAuditEvents nella ricerca avanzata. |
Nota
Gli avvisi informativi di Defender for Cloud non sono integrati nel portale di Microsoft Defender per consentire di concentrarsi sugli avvisi rilevanti e di gravità elevata. Questa strategia semplifica la gestione degli eventi imprevisti e riduce l'affaticamento degli avvisi.
Impatto sugli utenti di Microsoft Sentinel
I clienti di Microsoft Sentinel che integrano gli eventi imprevisti di Microsoft Defender XDRe inserino gli avvisi di Defender for Cloud sono necessari per apportare le modifiche di configurazione seguenti per garantire che non vengano creati avvisi e eventi imprevisti duplicati:
- Connettere il connettore Microsoft Defender for Cloud (anteprima) basato su tenant per sincronizzare la raccolta di avvisi da tutte le sottoscrizioni con gli eventi imprevisti di Defender for Cloud basati sul tenant che vengono trasmessi tramite il connettore Microsoft Defender XDR Incidents.
- Disconnettere il connettore di avvisi microsoft defender per cloud (legacy) basato su sottoscrizione per evitare duplicati degli avvisi.
- Disattivare tutte le regole di analisi, ovvero le regole pianificate (tipo di query normali) o le regole di sicurezza Microsoft (creazione di eventi imprevisti), usate per creare eventi imprevisti dagli avvisi di Defender per cloud. Gli eventi imprevisti di Defender per cloud vengono creati automaticamente nel portale di Defender e sincronizzati con Microsoft Sentinel.
- Se necessario, usare le regole di automazione per chiudere gli eventi imprevisti rumorosi o usare le funzionalità di ottimizzazione predefinite nel portale di Defender per eliminare determinati avvisi.
Si noti anche la modifica seguente:
- L'azione per correlare gli avvisi agli eventi imprevisti del portale di Microsoft Defender viene rimossa.
Per altre informazioni, vedere Ingest Microsoft Defender for Cloud incidents with Microsoft Defender XDR integration (Inserimento di eventi imprevisti di Microsoft Defender per cloud con l'integrazione di Microsoft Defender XDR).
Disattivare gli avvisi di Defender per cloud
Gli avvisi per Defender for Cloud sono attivati per impostazione predefinita. Per mantenere le impostazioni basate sulla sottoscrizione ed evitare la sincronizzazione basata su tenant o rifiutare esplicitamente l'esperienza, seguire questa procedura:
- Nel portale di Microsoft Defender passare a Impostazioni>Microsoft Defender XDR.
- In Impostazioni del servizio avvisi cercare gli avvisi di Microsoft Defender per cloud.
- Selezionare Nessun avviso per disattivare tutti gli avvisi di Defender per cloud. Se si seleziona questa opzione, viene arrestata l'inserimento di nuovi avvisi di Defender for Cloud nel portale. Gli avvisi inseriti in precedenza rimangono in una pagina di avviso o evento imprevisto.
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.