Passaggio 1: Configurare gli strumenti XDR

Questo articolo illustra gli approcci migliori per configurare Microsoft Defender 365 e altri strumenti di Microsoft XDR, il primo passaggio per configurare un ambiente integrato con Microsoft Sentinel.

I prodotti Microsoft Defender sono la migliore classe per una suite di sicurezza. Le organizzazioni mature unificano le piattaforme di sicurezza per garantire che le soluzioni consedano le informazioni tra loro per un rilevamento delle minacce più granulare. Gli strumenti Microsoft XDR hanno impostazioni che consentono alle utilità di inoltrare le informazioni tra loro. Inoltre, ogni strumento è progettato per arricchire i dati tra loro.

Distribuzione pilota e distribuzione di Microsoft Defender XDR

Microsoft fornisce indicazioni utili per configurare e iniziare a usare i componenti XDR di Microsoft Defender. I servizi componenti che fanno parte dello stack XDR di Microsoft Defender sono:

Microsoft consiglia di abilitare i componenti di Microsoft 365 Defender nell'ordine seguente.

Diagramma che mostra il processo pilota e di distribuzione per Microsoft Defender XDR.

Questo ordine è progettato per applicare rapidamente il valore delle funzionalità in base alla quantità di lavoro in genere necessaria per distribuire e configurare le funzionalità. Ad esempio, Defender per Office 365 può essere configurato in meno tempo rispetto alla necessità di registrare i dispositivi in Defender per endpoint. Classificare in ordine di priorità i componenti per soddisfare le esigenze aziendali.

Portale di Microsoft Defender

Il portale di Microsoft Defender combina la protezione, il rilevamento, l'indagine e la risposta alle minacce tramite posta elettronica, collaborazione, identità, dispositivo e app cloud, in una posizione centrale. Il portale unificato di Microsoft Defender XDR evidenzia l'accesso rapido alle informazioni, ai layout più semplici e alla creazione di informazioni correlate per un uso più semplice.

Per impostazione predefinita, il portale di Defender include:

  • Microsoft Defender per Office 365 Microsoft Defender per Office 365 consente alle organizzazioni di proteggere l'azienda con un set di funzionalità di prevenzione, rilevamento, indagine e ricerca per proteggere la posta elettronica e le risorse di Office 365.
  • Microsoft Defender per endpoint offre protezione preventiva, rilevamento post-violazione, indagine automatizzata e risposta per i dispositivi nell'organizzazione.
  • Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette all'organizzazione.
  • app Microsoft Defender per il cloud è una soluzione Multi-SaaS e PaaS completa che offre visibilità approfondita, controlli dati avanzati e protezione avanzata dalle minacce per le app cloud.

Successivamente, quando si configura l'area di lavoro di Microsoft Sentinel, è anche possibile aggiungere Microsoft Sentinel al portale di Defender.

Guardare questo breve video per informazioni sul portale di Microsoft Defender.

Abilitare Microsoft Entra ID Protection

Microsoft Defender XDR inserisce e include anche i segnali di Microsoft Entra ID Protection, come illustrato di seguito.

Diagramma che mostra l'integrazione di Microsoft Entra ID Protection con Microsoft Defender XDR.

Microsoft Entra ID Protection è separato da Microsoft Defender XDR ed è incluso nelle licenze microsoft Entra ID P2.

Microsoft Entra ID Protection valuta i dati sui rischi provenienti da miliardi di tentativi di accesso e usa questi dati per valutare il rischio di ogni accesso all'ambiente. Questi dati vengono usati da Microsoft Entra ID per consentire o impedire l'accesso all'account, a seconda della configurazione dei criteri di accesso condizionale.

Se non si intende eseguire l'onboarding dell'area di lavoro di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, è consigliabile inserire anche i segnali da Microsoft Entra ID Protection in Microsoft Sentinel. Per abilitare Microsoft Entra ID Protection, vedere Microsoft Entra ID Protection.

Abilitare Microsoft Defender for Cloud

È possibile completare la distribuzione degli strumenti Microsoft XDR abilitando Microsoft Defender per il cloud e quindi includere Defender per il cloud segnali nell'area di lavoro di Microsoft Sentinel.

Usare le indicazioni seguenti per abilitare Defender per il cloud e integrarne le funzionalità.

Attività Descrizione Vedere . . .
Configurare Defender per il cloud Procedura consigliata per abilitare Microsoft Defender per il cloud e le funzionalità di sicurezza avanzate Guida introduttiva: Configurare Microsoft Defender per il cloud
Proteggere le risorse del server Con Microsoft Defender per server (incluso in Defender per il cloud), si ottiene l'accesso a e si può distribuire Microsoft Defender per endpoint alle risorse server. Proteggere gli endpoint con la soluzione EDR integrata di Defender for Cloud: Microsoft Defender per endpoint

Esplorare le soluzioni di sicurezza in Microsoft Defender XDR

Formazione Esplorare le soluzioni di sicurezza in Microsoft Defender XDR
Questo modulo presenta diverse funzionalità di Microsoft 365 che consentono di proteggere l'organizzazione da attacchi informatici, di rilevare quando un utente o un computer è stato compromesso e di monitorare l'organizzazione per individuare le attività sospette.

Abilitare e gestire Microsoft Defender per il cloud

Formazione Abilitare e gestire Microsoft Defender per il cloud
Usare Microsoft Defender per il cloud per rafforzare il comportamento di sicurezza e proteggere i carichi di lavoro dalle minacce moderne.

Passaggi successivi

Continuare con il passaggio 2 per progettare un'area di lavoro di Microsoft Sentinel.

Immagine dei passaggi della soluzione Microsoft Sentinel e XDR con il passaggio 2 evidenziato