Connettere Microsoft Sentinel a Microsoft Defender XDR
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma di operazioni di sicurezza unificata Microsoft nel portale di Microsoft Defender. Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, si unificano le funzionalità con Microsoft Defender XDR, ad esempio la gestione degli eventi imprevisti e la ricerca avanzata. Ridurre il cambio di strumento e creare un'indagine più incentrata sul contesto che accelera la risposta agli eventi imprevisti e interrompe le violazioni più velocemente. Per altre informazioni, vedere:
- Post di blog: Disponibilità generale della piattaforma di operazioni di sicurezza unificata Microsoft
- Post di blog: Domande frequenti sulla piattaforma delle operazioni di sicurezza unificata
- Microsoft Sentinel nel portale di Microsoft Defender
- Integrazione di Microsoft Defender XDR con Microsoft Sentinel
Prerequisiti
Prima di iniziare, esaminare la documentazione delle funzionalità per comprendere le modifiche e le limitazioni del prodotto:
- Microsoft Sentinel nel portale di Microsoft Defender
- Ricerca avanzata nel portale di Microsoft Defender
- Avvisi, eventi imprevisti e correlazione in Microsoft Defender XDR
- Automazione con la piattaforma delle operazioni di sicurezza unificata
Il portale di Microsoft Defender supporta un singolo tenant di Microsoft Entra e la connessione a un'area di lavoro alla volta. Nel contesto di questo articolo, un'area di lavoro è un'area di lavoro Log Analitica con Microsoft Sentinel abilitato.
Per eseguire l'onboarding e l'uso di Microsoft Sentinel nel portale di Microsoft Defender, è necessario disporre delle risorse e dell'accesso seguenti:
Un'area di lavoro Log Analitica con Microsoft Sentinel abilitato
Connettore dati per Microsoft Defender XDR (precedentemente denominato Microsoft 365 Defender) abilitato in Microsoft Sentinel per eventi imprevisti e avvisi. Per altre informazioni, vedere Connettere i dati da Microsoft Defender XDR a Microsoft Sentinel.
Accesso a Microsoft Defender XDR nel portale di Defender
Microsoft Defender XDR sottoposto a onboarding nel tenant di Microsoft Entra
Un account Azure con i ruoli appropriati per eseguire l'onboarding, l'uso e la creazione di richieste di supporto per Microsoft Sentinel nel portale di Defender. La tabella seguente evidenzia alcuni dei ruoli chiave necessari.
Attività Ruolo predefinito di Azure richiesto Ambito Connettere o disconnettere un'area di lavoro con Microsoft Sentinel abilitato Proprietario o
amministratore dell'accesso utente e collaboratore di Microsoft Sentinel- Sottoscrizione per i ruoli
amministratore dell'accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per il collaboratore di Microsoft SentinelVisualizzare Microsoft Sentinel nel portale di Defender Lettore di Microsoft Sentinel Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro Eseguire query sulle tabelle dati di Sentinel o visualizzare gli eventi imprevisti Lettore di Microsoft Sentinel o un ruolo con le azioni seguenti:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readSottoscrizione, gruppo di risorse o risorsa dell'area di lavoro Intraprendere azioni investigative sugli eventi imprevisti Collaboratore di Microsoft Sentinel o ruolo con le azioni seguenti:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeSottoscrizione, gruppo di risorse o risorsa dell'area di lavoro Creare una richiesta di supporto Proprietario o
collaboratore o
collaboratore della richiesta di supporto o un ruolo personalizzato con Microsoft.Support/*Abbonamento Dopo aver connesso Microsoft Sentinel al portale di Defender, le autorizzazioni esistenti per il controllo degli accessi in base al ruolo di Azure consentono di usare le funzionalità di Microsoft Sentinel a cui si ha accesso. Continuare a gestire ruoli e autorizzazioni per gli utenti di Microsoft Sentinel dal portale di Azure. Tutte le modifiche al controllo degli accessi in base al ruolo di Azure si riflettono nel portale di Defender. Per altre informazioni sulle autorizzazioni di Microsoft Sentinel, vedere Ruoli e autorizzazioni in Microsoft Sentinel | Microsoft Learn e gestire l'accesso ai dati di Microsoft Sentinel per risorsa | Microsoft Learn.
Eseguire l'onboarding di Microsoft Sentinel
Per connettere un'area di lavoro in cui Microsoft Sentinel è abilitato a Defender XDR, seguire questa procedura:
Passare al portale di Microsoft Defender e accedere.
In Microsoft Defender XDR selezionare Panoramica.
Selezionare Connetti un'area di lavoro.
Scegliere l'area di lavoro da connettere e selezionare Avanti.
Leggere e comprendere le modifiche del prodotto associate alla connessione dell'area di lavoro. Queste modifiche includono:
- Le tabelle di log, le query e le funzioni nell'area di lavoro di Microsoft Sentinel sono disponibili anche nella ricerca avanzata all'interno di Defender XDR.
- Il ruolo Collaboratore di Microsoft Sentinel viene assegnato alle app Microsoft Threat Protection e WindowsDefenderATP all'interno della sottoscrizione.
- Le regole di creazione degli eventi imprevisti di sicurezza Microsoft attive vengono disattivate per evitare incidenti duplicati. Questa modifica si applica solo alle regole di creazione degli eventi imprevisti per gli avvisi Microsoft e non ad altre regole di analitica.
- Tutti gli avvisi correlati ai prodotti Defender XDR vengono trasmessi direttamente dal connettore dati XDR principale di Defender per garantire la coerenza. Assicurarsi che gli eventi imprevisti e gli avvisi di questo connettore siano attivati nell'area di lavoro.
Selezionare Connetti.
Dopo la connessione all'area di lavoro, il banner nella pagina Panoramica mostra che le informazioni di sicurezza unificata e la gestione degli eventi (SIEM) e il rilevamento e la risposta estesi (XDR) sono pronti. La pagina Panoramica viene aggiornata con nuove sezioni che includono metriche di Microsoft Sentinel, ad esempio il numero di connettori dati e regole di automazione.
Esplorare le funzionalità di Microsoft Sentinel nel portale di Defender
Dopo aver connesso l'area di lavoro al portale di Defender, Microsoft Sentinel si trova nel riquadro di spostamento a sinistra. Pagine come Panoramica, Eventi imprevisti e Ricerca avanzata includono dati unificati da Microsoft Sentinel e Defender XDR. Per altre informazioni sulle funzionalità unificate e sulle differenze tra i portali, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Molte delle funzionalità di Microsoft Sentinel esistenti sono integrate nel portale di Defender. Per queste funzionalità, si noti che l'esperienza tra Microsoft Sentinel nel portale di Azure e il portale di Defender è simile. Usare gli articoli seguenti per iniziare a usare Microsoft Sentinel nel portale di Defender. Quando si usano questi articoli, tenere presente che il punto di partenza in questo contesto è il portale di Defender anziché il portale di Azure.
- Ricerca
- Gestione dei rischi
- Visualizzare e monitorare i dati usando cartelle di lavoro
- Eseguire la ricerca end-to-end delle minacce con Hunts
- Usare segnalibri di ricerca per le indagini sui dati
- Usare la ricerca di Livestream in Microsoft Sentinel per rilevare le minacce
- Cercare le minacce alla sicurezza con i notebook di Jupyter
- Aggiungere indicatori in blocco all'intelligence sulle minacce di Microsoft Sentinel da un file CSV o JSON
- Usare gli indicatori di minaccia in Microsoft Sentinel
- Informazioni sulla copertura della sicurezza da parte del framework MITRE ATT&CK
- Gestione del contenuto
- Configurazione
- Trovare il connettore dati di Microsoft Sentinel
- Creare regole di analitica personalizzate per rilevare le minacce
- Usare le regole di rilevamento quasi in tempo reale (NRT) analitica in Microsoft Sentinel
- Creare elenchi di controllo
- Gestire le watchlist in Microsoft Sentinel
- Creare regole di automazione
- Creare e personalizzare playbook di Microsoft Sentinel da modelli di contenuto
Trovare le impostazioni di Microsoft Sentinel nel portale di Defender inImpostazioni>di sistema>Microsoft Sentinel.
Offboard Microsoft Sentinel
È possibile avere una sola area di lavoro connessa al portale di Defender alla volta. Se si vuole connettersi a un'altra area di lavoro in cui è abilitato Microsoft Sentinel, disconnettere l'area di lavoro corrente e connettere l'altra area di lavoro.
Passare al portale di Microsoft Defender e accedere.
Nel portale di Defender, in Sistema, selezionare Impostazioni>Microsoft Sentinel.
Nella pagina Aree di lavoro selezionare l'area di lavoro connessa e l'area di lavoro Disconnetti.
Specificare un motivo per cui si sta disconnettendo l'area di lavoro.
Confermare la selezione.
Quando l'area di lavoro è disconnessa, la sezione Microsoft Sentinel viene rimossa dal riquadro di spostamento a sinistra del portale di Defender. I dati di Microsoft Sentinel non sono più inclusi nella pagina Panoramica.
Se si vuole connettersi a un'area di lavoro diversa, nella pagina Aree di lavoro selezionare l'area di lavoro e Connettere un'area di lavoro.