Microsoft Defender per identità nel portale di Microsoft Defender

Si applica a:

Microsoft Defender per identità fa ora parte del portale di Microsoft Defender, la home page per il monitoraggio e la gestione della sicurezza in identità, dati, dispositivi, app e infrastruttura Microsoft. Il portale Microsoft Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione, semplificando i flussi di lavoro e integrando le funzionalità di altri servizi Microsoft Defender XDR.

Microsoft Defender per identità fornisce informazioni incentrate sull'identità negli eventi imprevisti e negli avvisi che il portale di Microsoft Defender presenta. Queste informazioni sono fondamentali per fornire il contesto e correlare gli avvisi dagli altri prodotti all'interno di Microsoft Defender XDR.

Esperienze convergenti nel portale di Microsoft Defender

Il portale di Microsoft Defender combina le funzionalità di sicurezza che proteggono, rilevano, analizzano e rispondono alle minacce di posta elettronica, collaborazione, identità e dispositivo e ora includono tutte le funzionalità fornite nel portale legacy di Defender per identità classico.

Anche se il posizionamento dei dati potrebbe differire dal portale di Defender per le identità classico, i dati sono ora integrati nelle pagine del portale di Microsoft Defender in modo da poter visualizzare i dati in tutte le entità monitorate.

Le sezioni seguenti descrivono le funzionalità avanzate di Defender per identità disponibili nel portale di Microsoft Defender.

Nota

I clienti che usano il portale di Defender per identità classico vengono reindirizzati automaticamente al portale di Microsoft Defender, senza possibilità di ripristinare il portale classico.

Configurazione e postura

Area Descrizione
Esclusioni globali Le esclusioni globali consentono di definire determinate entità, ad esempio indirizzi IP, dispositivi o domini, da escludere in tutti i rilevamenti di Defender per identità. Ad esempio, se si esclude solo un dispositivo, l'esclusione si applica solo ai rilevamenti con un'identificazione del dispositivo come parte del rilevamento.

Per altre informazioni, vedere Entità escluse globali.
Gestire gli account del servizio di azione e directory È possibile rispondere agli utenti compromessi disabilitando gli account o reimpostando la password. Quando si esegue una di queste azioni, il portale di Microsoft Defender è configurato per impostazione predefinita per l'uso dell'account di sistema locale. Pertanto, sarà necessario configurare le impostazioni dell'azione e dell'account del servizio directory solo se si vuole avere un maggiore controllo e definire un account utente diverso per eseguire azioni di correzione utente.

Per altre informazioni, vedere Microsoft Defender per identità account azione.
Ruoli di autorizzazione personalizzati Il portale Microsoft Defender supporta ruoli di autorizzazione personalizzati.

Per altre informazioni, vedere Microsoft Defender XDR controllo degli accessi in base al ruolo
Microsoft Secure Score Le valutazioni del comportamento di sicurezza di Defender per identità sono disponibili in Microsoft Secure Score. Ogni valutazione è un report scaricabile con istruzioni per l'uso e strumenti per creare un piano d'azione per correggere o risolvere il problema. Filtrare Microsoft Secure Score in base all'identità per visualizzare le valutazioni di Defender per identità.

Per altre informazioni, vedere valutazioni del comportamento di sicurezza di Microsoft Defender per identità.
API Usare una delle API di Microsoft Defender XDR seguenti con Defender per identità:

- Eseguire query sulle attività tramite API
- Gestire gli avvisi di sicurezza tramite API
- Stream avvisi e attività di sicurezza a Microsoft Sentinel

Suggerimento: il portale di Microsoft Defender archivia solo i dati di ricerca avanzati per 30 giorni. Se sono necessari periodi di conservazione più lunghi, trasmettere le attività a Microsoft Sentinel o a un altro sistema SIEM (Security Information and Event Management) di un altro partner.
Onboarding L'onboarding di Defender per identità è ora automatico per i nuovi clienti, senza la necessità di configurare un'area di lavoro.

Se è necessario eliminare l'istanza, aprire un caso di supporto Microsoft.

Indagine

Area Descrizione
Area Identità Nel portale di Microsoft Defender espandere l'area Identità per visualizzare un dashboard di grafici e widget con dati di uso comune, una pagina Problemi di integrità, elencare tutti i problemi di integrità per la distribuzione di Defender per identità e una pagina Strumenti, con collegamenti a strumenti e documentazione di uso comune.

Per altre informazioni, vedere Visualizzare il dashboard ITDR e Problemi di integrità di Defender per identità.
Pagina Identità La pagina dei dettagli dell'identità del portale Microsoft Defender fornisce dati inclusivi su ogni identità, ad esempio:

- Tutti gli avvisi associati
- Controllo account Active Directory
- Percorsi di spostamento laterale rischiosi
- Sequenza temporale di attività e avvisi
- Dettagli su posizioni, dispositivi e gruppi osservati.

Per altre informazioni, vedere Analizzare gli utenti nel portale di Microsoft Defender.
Pagina Dispositivo L'evidenza degli avvisi del portale Microsoft Defender elenca tutti i dispositivi e gli utenti connessi a ogni attività sospetta. Esaminare ulteriormente selezionando un dispositivo specifico in un avviso per accedere a una pagina dei dettagli del dispositivo.

Per altre informazioni, vedere Analizzare i dispositivi nell'elenco Microsoft Defender per endpoint Dispositivi.
Rilevazione avanzata Il portale Microsoft Defender consente di cercare in modo proattivo le minacce e le attività dannose usando query di ricerca avanzate. Queste potenti query possono essere usate per individuare ed esaminare gli indicatori di minaccia e le entità per le minacce note e potenziali.

Creare regole di rilevamento personalizzate da query di ricerca avanzate per watch in modo proattivo per gli eventi che potrebbero essere indicativi di attività di violazione e dispositivi non configurati correttamente.

Per altre informazioni, vedere Ricerca proattiva delle minacce con ricerca avanzata nel portale di Microsoft Defender.
Ricerca globale Usare la barra di ricerca nella parte superiore della pagina del portale di Microsoft Defender per cercare qualsiasi entità monitorata da Microsoft Defender XDR, incluse identità, endpoint, dati Office 365, gruppi di Active Directory (anteprima) e altro ancora.

Selezionare i risultati direttamente dall'elenco a discesa della ricerca oppure selezionare Tutti gli utenti o Tutti i dispositivi per visualizzare tutte le entità associate a un determinato termine di ricerca.
Percorsi di spostamento laterale Il portale Microsoft Defender fornisce i dati del percorso di spostamento laterale nella pagina Ricerca avanzata e la valutazione della sicurezza dei percorsi di spostamento laterale, oltre alla scheda Percorsi di spostamento laterale nella pagina dei dettagli dell'utente.

Per altre informazioni, vedere Comprendere e analizzare i percorsi di spostamento laterale con Microsoft Defender per identità.

Rilevamento e risposta

Area Descrizione
Correlazione di avvisi e eventi imprevisti Gli avvisi di Defender per identità sono ora inclusi nella coda di avvisi del portale di Microsoft Defender, rendendoli disponibili per la funzionalità di correlazione automatica degli eventi imprevisti.

Visualizzare tutti gli avvisi in un'unica posizione e determinare l'ambito della violazione ancora più velocemente di prima.

Per altre informazioni, vedere Analizzare gli avvisi di Defender per identità nel portale di Microsoft Defender.
Esclusioni di avvisi L'interfaccia di avviso del portale di Microsoft Defender è più intuitiva e include una funzione di ricerca e esclusioni globali, ovvero è possibile escludere qualsiasi entità da tutti gli avvisi generati da Defender per identità.

Per altre informazioni, vedere Configurare le esclusioni di rilevamento di Defender per identità in Microsoft Defender XDR.
Ottimizzazione degli avvisi L'ottimizzazione degli avvisi, nota in precedenza come eliminazione degli avvisi, consente di modificare e ottimizzare gli avvisi. L'ottimizzazione degli avvisi riduce i falsi positivi, consentendo ai team soc di concentrarsi sugli avvisi ad alta priorità e migliora la copertura del rilevamento delle minacce in tutto il sistema.

In Microsoft Defender XDR creare condizioni delle regole in base ai tipi di evidenza e quindi applicare la regola a qualsiasi tipo di regola corrispondente alle condizioni. Per altre informazioni, vedere Ottimizzare un avviso.
Azioni correttive Le azioni di correzione di Defender per identità, ad esempio la disabilitazione degli account o la richiesta di reimpostazione della password, sono disponibili nella pagina dei dettagli dell'utente del portale Microsoft Defender.

Per altre informazioni, vedere Azioni di correzione in Microsoft Defender per identità.

Riferimento rapido

Nella tabella seguente sono elencate le modifiche apportate alla navigazione tra Microsoft Defender per identità e il portale di Microsoft Defender.

Defender per Identità Portale Microsoft Defender
Sequenza temporale - Microsoft Defender coda avvisi/eventi imprevisti del portale
Report I tipi di report seguenti sono disponibili nella pagina digestione reportidentità>report> nel portale di Microsoft Defender, per il download immediato o per un recapito periodico di posta elettronica:

- Un report di riepilogo degli avvisi e dei problemi di integrità di cui è necessario occuparsi.
- Elenco di ogni volta che viene apportata una modifica ai gruppi sensibili.
- Elenco di password del computer e dell'account di origine rilevate come inviate in testo non crittografati.
- Elenco degli account sensibili esposti nei percorsi di spostamento laterale.

Per altre informazioni, vedere Gestione dei report.
Pagina Identità Microsoft Defender pagina dei dettagli utente del portale
Pagina Dispositivo Microsoft Defender pagina dei dettagli del dispositivo del portale
Pagina Gruppo Microsoft Defender riquadro laterale Gruppi del portale
Pagina avviso Microsoft Defender pagina dei dettagli dell'avviso del portale

Suggerimento: usare l'ottimizzazione degli avvisi per ottimizzare gli avvisi visualizzati nel portale di Microsoft Defender.
Ricerca Microsoft Defender portale ricerca globale
Problemi di integrità problemi di integrità delle identità > del portale di Microsoft Defender
Attività dell'entità - Ricerca avanzata
- Sequenza temporale della pagina > del dispositivo
- Scheda Sequenza temporale della pagina > Identità
- Scheda Sequenza temporale del riquadro di gruppo>
Impostazioni Impostazioni ->Identità
Utenti e account Asset ->Identità
Comportamento di sicurezza dell'identità valutazioni del comportamento di sicurezza di Microsoft Defender per identità
Onboarding di una nuova area di lavoro Impostazioni ->Identità (automaticamente)
Informazioni Impostazioni > identità > su

Passaggi successivi

Per ulteriori informazioni, vedere:

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.