Portale di Microsoft Defender

Il portale di Microsoft Defender in https://security.microsoft.com combina protezione, rilevamento, indagine e risposta alle minacce nell'intera organizzazione e in tutti i relativi componenti, in una posizione centrale. Il portale di Defender enfatizza l'accesso rapido alle informazioni, i layout più semplici e l'unione delle informazioni correlate per facilitarne l'uso. Esso include:

  • Microsoft Defender per Office 365 consente alle organizzazioni di proteggere l'azienda con un set di funzionalità di prevenzione, rilevamento, indagine e ricerca per proteggere la posta elettronica e Office 365 risorse.
  • Microsoft Defender per endpoint offre protezione preventiva, rilevamento post-violazione, analisi automatizzata e risposta per i dispositivi dell'organizzazione.
  • Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali di Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni insider dannose dirette all'organizzazione.
  • Microsoft Defender for Cloud Apps è una soluzione completa tra SaaS e PaaS che offre visibilità approfondita, controlli dati avanzati e protezione avanzata dalle minacce per le app cloud.
  • Microsoft Sentinel è una soluzione SIEM (Security Information and Event Management) nativa del cloud che offre rilevamento, analisi e risposta proattivi delle minacce.

Importante

Microsoft Sentinel è ora disponibile a livello generale all'interno della piattaforma di operazioni di sicurezza unificata Microsoft nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Guardare questo breve video per informazioni sul portale di Defender.

Cosa aspettarsi

Il portale Microsoft Defender consente ai team di sicurezza di analizzare e rispondere agli attacchi inserendo segnali da carichi di lavoro diversi in un set di esperienze unificate per:

  • Incidenti e avvisi
  • Ricerca
  • Azioni & invii
  • Analisi delle minacce
  • Punteggio di sicurezza
  • Prove
  • Catalogo del partner

Il portale Microsoft Defender enfatizza l'unità, la chiarezza e gli obiettivi comuni.

Nota

Nel portale di Microsoft Defender i clienti visualizzano solo le funzionalità di sicurezza incluse nella sottoscrizione. Ad esempio, se sono presenti Defender per Office 365 ma non Defender per endpoint, vengono visualizzate le funzionalità e le funzionalità per Defender per Office 365, ma non per la protezione dei dispositivi.

Indagini su eventi imprevisti e avvisi

La centralizzazione delle informazioni di sicurezza crea un'unica posizione in cui analizzare gli eventi imprevisti di sicurezza nell'intera organizzazione e in tutti i relativi componenti, tra cui:

  • Identità ibride
  • Endpoint
  • App cloud
  • App aziendali
  • Email e documenti
  • Sacco
  • Rete
  • Applicazioni aziendali
  • Tecnologia operativa (OT)
  • Carichi di lavoro dell'infrastruttura e del cloud

Un esempio principale è Eventi imprevisti in Eventi imprevisti & avvisi.

Pagina Eventi imprevisti nel portale di Microsoft Defender.

Se si seleziona un nome di evento imprevisto, viene visualizzata una pagina che illustra il valore della centralizzazione delle informazioni di sicurezza man mano che si ottengono informazioni dettagliate migliori sull'estensione completa di una minaccia, dalla posta elettronica all'identità, agli endpoint.

Screenshot che mostra la pagina della storia dell'attacco per un evento imprevisto nel portale di Microsoft Defender.

Prendere il tempo necessario per esaminare gli eventi imprevisti nell'ambiente, eseguire il drill-down in ogni avviso e provare a comprendere come accedere alle informazioni e determinare i passaggi successivi nell'analisi.

Per altre informazioni, vedere Eventi imprevisti nel portale di Microsoft Defender.

Ricerca

È possibile creare regole di rilevamento personalizzate e cercare minacce specifiche nell'ambiente. La ricerca usa uno strumento di ricerca delle minacce basato su query che consente di controllare in modo proattivo gli eventi nell'organizzazione per individuare gli indicatori di minaccia e le entità. Queste regole vengono eseguite automaticamente per verificare e quindi rispondere a sospette attività di violazione, computer non configurati correttamente e altri risultati.

Per altre informazioni, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft Defender XDR.

Processi migliorati

I controlli e il contenuto comuni vengono visualizzati nella stessa posizione o sono condensati in un unico feed di dati che semplifica la ricerca. Ad esempio, trovare le impostazioni unificate in Impostazioni e autorizzazioni in Autorizzazioni.

Impostazioni unificate

Screenshot della pagina Impostazioni nel portale di Microsoft Defender

Autorizzazioni

Screenshot della pagina delle autorizzazioni nel portale di Microsoft Defender

L'accesso a Microsoft Defender XDR viene configurato con Microsoft Entra ruoli globali o usando ruoli personalizzati.

Per Microsoft Sentinel, dopo la connessione Microsoft Sentinel al portale di Defender, le autorizzazioni esistenti per il controllo degli accessi in base al ruolo di Azure consentono di usare le funzionalità di Microsoft Sentinel a cui si ha accesso. Continuare a gestire ruoli e autorizzazioni per gli utenti Microsoft Sentinel dal portale di Azure. Tutte le modifiche al controllo degli accessi in base al ruolo di Azure si riflettono nel portale di Defender. Per altre informazioni sulle autorizzazioni Microsoft Sentinel, vedere:

Report integrati

I report sono anche unificati in Microsoft Defender XDR. Gli amministratori possono iniziare con un report di sicurezza generale e creare report specifici sugli endpoint, la posta elettronica & la collaborazione. I collegamenti qui vengono generati in modo dinamico in base alla configurazione del carico di lavoro.

Visualizzare rapidamente l'ambiente Microsoft 365

La home page mostra molte delle schede comuni necessarie ai team di sicurezza. La composizione di schede e dati dipende dal ruolo utente. Poiché il portale di Defender usa il controllo degli accessi in base al ruolo, diversi ruoli visualizzano schede più significative per i processi quotidiani.

Queste informazioni a colpo d'occhio consentono di tenere il passo con le attività più recenti nell'organizzazione. Microsoft Defender XDR riunisce segnali provenienti da origini diverse per presentare una visione olistica dell'ambiente Microsoft 365.

È possibile aggiungere e rimuovere schede diverse a seconda delle esigenze.

La funzione di ricerca del portale Microsoft Defender si trova nella parte superiore della pagina. Durante la digitazione, vengono forniti suggerimenti in modo che sia più facile trovare le entità. La pagina dei risultati della ricerca avanzata centralizza i risultati di tutte le entità.

Screenshot della barra di ricerca nel portale di Microsoft Defender.

I risultati della ricerca vengono categorizzati in base alle sezioni correlate ai termini di ricerca. È possibile eseguire ricerche tra le entità seguenti nel portale di Microsoft Defender:

  • Dispositivi: supportati per Defender per endpoint, Defender per identità, Defender per cloud e Microsoft Sentinel.

  • Utenti: supportati per Defender per endpoint, Defender per identità, Defender for Cloud Apps e Microsoft Sentinel.

  • File, INDIRIZZI IP e URL: le stesse funzionalità di Defender per endpoint.

    Nota

    Le ricerche ip e URL corrispondono esattamente e non vengono visualizzate nella pagina dei risultati della ricerca, che conducono direttamente alla pagina dell'entità.

  • Gestione delle vulnerabilità di Microsoft Defender: le stesse funzionalità di Defender per endpoint (vulnerabilità, software e raccomandazioni).

La ricerca fornisce anche i risultati dei collegamenti pertinenti nel portale di Microsoft Tech Community, la documentazione pertinente in Microsoft Learn, gli elementi di spostamento all'interno del portale e un collegamento in cui è possibile fornire commenti e suggerimenti. La cronologia di ricerca viene archiviata nel browser ed è accessibile per i prossimi 30 giorni.

Notifiche

Le notifiche sono messaggi che informano l'utente su eventi o aggiornamenti importanti nel portale di Defender. Consentono di rimanere aggiornati sulle attività di sicurezza e sugli avvisi.

Screenshot dell'icona delle notifiche nel portale di Microsoft Defender.

Le notifiche si trovano nella barra superiore dell'interfaccia utente del portale. È possibile accedervi facendo clic sull'icona di notifica, che sembra un campanello. Un numero sull'icona indica che si dispone di quel numero di notifiche non lette.

Le notifiche possono indicare i vari tipi di eventi o aggiornamenti:

  • Operazione riuscita: quando un'azione o un'attività è stata completata correttamente, ad esempio l'analisi di un dispositivo o l'applicazione di un criterio.
  • In corso: quando è in corso un'azione.
  • Informazioni: quando sono presenti alcune informazioni che potrebbero risultare utili.
  • Avviso: quando si verifica un potenziale problema o un rischio di cui tenere conto, ad esempio un dispositivo non conforme o un criterio che deve essere aggiornato.
  • Errore: quando si verifica un errore o un errore che richiede attenzione, ad esempio l'eliminazione o l'unione di un evento imprevisto, un'analisi non riuscita o un criterio che non è stato possibile applicare.

Ogni notifica include un titolo e un contenuto che forniscono informazioni rilevanti sull'evento o l'aggiornamento. Ogni notifica ha anche un timestamp che mostra quando è stata generata la notifica.

È possibile nascondere le notifiche dalla visualizzazione. È possibile ignorare una singola notifica facendo clic sull'icona x sul lato destro della notifica. Puoi anche ignorare tutte le notifiche nell'elenco con un solo clic usando ignora tutte le notifiche nella parte superiore del pannello di notifica.

L'eliminazione di una notifica non viene eliminata dal portale. È sempre possibile visualizzare le notifiche ignorate selezionando Mostra ignorata nella parte inferiore del pannello di notifica.

Le notifiche vengono ordinate in base all'ora generata nel pannello di notifica, con quelle più recenti visualizzate per prime. È possibile scorrere l'elenco delle notifiche per visualizzare quelle precedenti.

Analisi delle minacce

Tenere traccia e rispondere alle minacce emergenti con le seguenti Microsoft Defender XDR analisi delle minacce: Analisi delle minacce è la soluzione di intelligence sulle minacce Microsoft Defender XDR di esperti ricercatori di sicurezza Microsoft. È progettata per aiutare i team di sicurezza a essere il più efficienti possibile e ad affrontare le minacce emergenti, ad esempio:

  • Attori di minaccia attivi e relative campagne
  • Tecniche di attacco popolari e nuove
  • Vulnerabilità critiche
  • Le superfici di attacco comuni
  • I malware prevalenti

Catalogo del partner

Microsoft Defender XDR supporta due tipi di partner:

  • Integrazioni di terze parti che consentono di proteggere gli utenti con protezione dalle minacce, rilevamento, analisi e risposta efficaci in vari campi della sicurezza di endpoint, gestione delle vulnerabilità, posta elettronica, identità e app cloud.
  • Servizi professionali in cui le organizzazioni possono migliorare le funzionalità di rilevamento, analisi e intelligence sulle minacce della piattaforma.

Inviaci i tuoi commenti e suggerimenti

Abbiamo bisogno del tuo feedback. Se vuoi vedere qualcosa, watch questo video per scoprire come puoi fidarti di noi per leggere il tuo feedback.

Esplorare l'offerta del portale di Defender

Continuare a esplorare le funzionalità e le funzionalità nel portale di Defender:

Per esplorare le funzionalità correlate all'integrazione Microsoft Sentinel con Microsoft Defender XDR nella piattaforma delle operazioni di sicurezza unificata, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Formazione per gli analisti della sicurezza

Con questo percorso di apprendimento di Microsoft Learn, è possibile comprendere Microsoft Defender XDR e come può aiutare a identificare, controllare e correggere le minacce alla sicurezza.

Formazione: Attenuare le minacce usando Microsoft Defender XDR
Microsoft Defender XDR icona di training. Analizzare i dati sulle minacce nei domini e correggere rapidamente le minacce con l'orchestrazione e l'automazione predefinite in Microsoft Defender XDR. Questo percorso di apprendimento è allineato all'esame SC-200: Microsoft Security Operations Analyst.

9 ore e 31 minuti - Percorso di apprendimento - 11 moduli

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.