Connettere Microsoft Sentinel a Microsoft Defender XDR

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma di operazioni di sicurezza unificata Microsoft nel portale di Microsoft Defender. Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, si unificano le funzionalità con Microsoft Defender XDR, ad esempio la gestione degli eventi imprevisti e la ricerca avanzata. Ridurre il cambio di strumento e creare un'indagine più incentrata sul contesto che accelera la risposta agli eventi imprevisti e interrompe le violazioni più velocemente. Per altre informazioni, vedere:

Prerequisiti

Prima di iniziare, esaminare la documentazione delle funzionalità per comprendere le modifiche e le limitazioni del prodotto:

Il portale di Microsoft Defender supporta un singolo tenant di Microsoft Entra e la connessione a un'area di lavoro alla volta. Nel contesto di questo articolo, un'area di lavoro è un'area di lavoro Log Analitica con Microsoft Sentinel abilitato.

Per eseguire l'onboarding e l'uso di Microsoft Sentinel nel portale di Microsoft Defender, è necessario disporre delle risorse e dell'accesso seguenti:

  • Un'area di lavoro Log Analitica con Microsoft Sentinel abilitato

  • Connettore dati per Microsoft Defender XDR (precedentemente denominato Microsoft 365 Defender) abilitato in Microsoft Sentinel per eventi imprevisti e avvisi. Per altre informazioni, vedere Connettere i dati da Microsoft Defender XDR a Microsoft Sentinel.

  • Accesso a Microsoft Defender XDR nel portale di Defender

  • Microsoft Defender XDR sottoposto a onboarding nel tenant di Microsoft Entra

  • Un account Azure con i ruoli appropriati per eseguire l'onboarding, l'uso e la creazione di richieste di supporto per Microsoft Sentinel nel portale di Defender. La tabella seguente evidenzia alcuni dei ruoli chiave necessari.

    Attività Ruolo predefinito di Azure richiesto Ambito
    Connettere o disconnettere un'area di lavoro con Microsoft Sentinel abilitato Proprietario o
    amministratore dell'accesso utente e collaboratore di Microsoft Sentinel
    - Sottoscrizione per i ruoli

    amministratore dell'accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per il collaboratore di Microsoft Sentinel
    Visualizzare Microsoft Sentinel nel portale di Defender Lettore di Microsoft Sentinel Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro
    Eseguire query sulle tabelle dati di Sentinel o visualizzare gli eventi imprevisti Lettore di Microsoft Sentinel o un ruolo con le azioni seguenti:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro
    Intraprendere azioni investigative sugli eventi imprevisti Collaboratore di Microsoft Sentinel o ruolo con le azioni seguenti:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro
    Creare una richiesta di supporto Proprietario o
    collaboratore o
    collaboratore della richiesta di supporto o un ruolo personalizzato con Microsoft.Support/*
    Abbonamento

    Dopo aver connesso Microsoft Sentinel al portale di Defender, le autorizzazioni esistenti per il controllo degli accessi in base al ruolo di Azure consentono di usare le funzionalità di Microsoft Sentinel a cui si ha accesso. Continuare a gestire ruoli e autorizzazioni per gli utenti di Microsoft Sentinel dal portale di Azure. Tutte le modifiche al controllo degli accessi in base al ruolo di Azure si riflettono nel portale di Defender. Per altre informazioni sulle autorizzazioni di Microsoft Sentinel, vedere Ruoli e autorizzazioni in Microsoft Sentinel | Microsoft Learn e gestire l'accesso ai dati di Microsoft Sentinel per risorsa | Microsoft Learn.

Eseguire l'onboarding di Microsoft Sentinel

Per connettere un'area di lavoro in cui Microsoft Sentinel è abilitato a Defender XDR, seguire questa procedura:

  1. Passare al portale di Microsoft Defender e accedere.

  2. In Microsoft Defender XDR selezionare Panoramica.

  3. Selezionare Connetti un'area di lavoro.

  4. Scegliere l'area di lavoro da connettere e selezionare Avanti.

  5. Leggere e comprendere le modifiche del prodotto associate alla connessione dell'area di lavoro. Queste modifiche includono:

    • Le tabelle di log, le query e le funzioni nell'area di lavoro di Microsoft Sentinel sono disponibili anche nella ricerca avanzata all'interno di Defender XDR.
    • Il ruolo Collaboratore di Microsoft Sentinel viene assegnato alle app Microsoft Threat Protection e WindowsDefenderATP all'interno della sottoscrizione.
    • Le regole di creazione degli eventi imprevisti di sicurezza Microsoft attive vengono disattivate per evitare incidenti duplicati. Questa modifica si applica solo alle regole di creazione degli eventi imprevisti per gli avvisi Microsoft e non ad altre regole di analitica.
    • Tutti gli avvisi correlati ai prodotti Defender XDR vengono trasmessi direttamente dal connettore dati XDR principale di Defender per garantire la coerenza. Assicurarsi che gli eventi imprevisti e gli avvisi di questo connettore siano attivati nell'area di lavoro.
  6. Selezionare Connetti.

Dopo la connessione all'area di lavoro, il banner nella pagina Panoramica mostra che le informazioni di sicurezza unificata e la gestione degli eventi (SIEM) e il rilevamento e la risposta estesi (XDR) sono pronti. La pagina Panoramica viene aggiornata con nuove sezioni che includono metriche di Microsoft Sentinel, ad esempio il numero di connettori dati e regole di automazione.

Esplorare le funzionalità di Microsoft Sentinel nel portale di Defender

Dopo aver connesso l'area di lavoro al portale di Defender, Microsoft Sentinel si trova nel riquadro di spostamento a sinistra. Pagine come Panoramica, Eventi imprevisti e Ricerca avanzata includono dati unificati da Microsoft Sentinel e Defender XDR. Per altre informazioni sulle funzionalità unificate e sulle differenze tra i portali, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Molte delle funzionalità di Microsoft Sentinel esistenti sono integrate nel portale di Defender. Per queste funzionalità, si noti che l'esperienza tra Microsoft Sentinel nel portale di Azure e il portale di Defender è simile. Usare gli articoli seguenti per iniziare a usare Microsoft Sentinel nel portale di Defender. Quando si usano questi articoli, tenere presente che il punto di partenza in questo contesto è il portale di Defender anziché il portale di Azure.

Trovare le impostazioni di Microsoft Sentinel nel portale di Defender inImpostazioni>di sistema>Microsoft Sentinel.

Offboard Microsoft Sentinel

È possibile avere una sola area di lavoro connessa al portale di Defender alla volta. Se si vuole connettersi a un'altra area di lavoro in cui è abilitato Microsoft Sentinel, disconnettere l'area di lavoro corrente e connettere l'altra area di lavoro.

  1. Passare al portale di Microsoft Defender e accedere.

  2. Nel portale di Defender, in Sistema, selezionare Impostazioni>Microsoft Sentinel.

  3. Nella pagina Aree di lavoro selezionare l'area di lavoro connessa e l'area di lavoro Disconnetti.

  4. Specificare un motivo per cui si sta disconnettendo l'area di lavoro.

  5. Confermare la selezione.

    Quando l'area di lavoro è disconnessa, la sezione Microsoft Sentinel viene rimossa dal riquadro di spostamento a sinistra del portale di Defender. I dati di Microsoft Sentinel non sono più inclusi nella pagina Panoramica.

Se si vuole connettersi a un'area di lavoro diversa, nella pagina Aree di lavoro selezionare l'area di lavoro e Connettere un'area di lavoro.