Inserire avvisi Microsoft Defender per il cloud a Microsoft Sentinel
le protezioni integrate dei carichi di lavoro cloud di Microsoft Defender per il cloud consentono di rilevare e rispondere rapidamente alle minacce nei carichi di lavoro ibridi e multicloud. Il connettore Microsoft Defender per il cloud consente di inserire avvisi di sicurezza da Defender per il cloud in Microsoft Sentinel, in modo da poter visualizzare, analizzare e rispondere agli avvisi di Defender e gli eventi imprevisti generati, in un contesto di minaccia aziendale più ampio.
Microsoft Defender per il cloud i piani di Defender sono abilitati per ogni sottoscrizione. Anche se il connettore legacy di Microsoft Sentinel per Defender per il cloud Apps è configurato per sottoscrizione, il connettore di Microsoft Defender per il cloud basato su tenant, in anteprima, consente di raccogliere Defender per il cloud avvisi sull'intero tenant senza dover abilitare ogni sottoscrizione separatamente. Il connettore basato sul tenant funziona anche con l'integrazione di Defender per il cloud con Microsoft Defender XDR per garantire che tutti gli avvisi Defender per il cloud siano completamente inclusi in tutti gli eventi imprevisti ricevuti tramite l'integrazione degli eventi imprevisti di Microsoft Defender XDR.
Sincronizzazione degli avvisi:
Quando ci si connette Microsoft Defender per il cloud a Microsoft Sentinel, lo stato degli avvisi di sicurezza inseriti in Microsoft Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per il cloud, tale avviso viene visualizzato anche come chiuso in Microsoft Sentinel.
La modifica dello stato di un avviso in Defender per il cloud non influirà sullo stato di eventuali eventi imprevisti di Microsoft Sentinel che contengono l'avviso di Microsoft Sentinel, solo quello dell'avviso stesso.
Sincronizzazione degli avvisi bidirezionali: l'abilitazione della sincronizzazione bidirezionale sincronizza automaticamente lo stato degli avvisi di sicurezza originali con quelli degli eventi imprevisti di Microsoft Sentinel che contengono tali avvisi. Ad esempio, quando viene chiuso un evento imprevisto di Microsoft Sentinel contenente avvisi di sicurezza, l'avviso originale corrispondente viene chiuso automaticamente in Microsoft Defender per il cloud.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.
Nota
Il connettore non supporta la sincronizzazione degli avvisi dalle sottoscrizioni di proprietà di altri tenant, anche quando Lighthouse è abilitato per tali tenant.
Prerequisiti
È necessario usare Microsoft Sentinel nella portale di Azure. Se si esegue l'onboarding nella piattaforma delle operazioni di sicurezza unificata (SecOps) di Microsoft, Defender per il cloud gli avvisi vengono già inseriti in Microsoft Defender XDR e il connettore dati Microsoft Defender per il cloud basato sul tenant (anteprima) non è elencato nella pagina Connettori dati nel portale di Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Se si esegue l'onboarding nella piattaforma SecOps unificata di Microsoft, è comunque necessario installare la soluzione Microsoft Defender per il cloud per usare il contenuto di sicurezza predefinito con Microsoft Sentinel.
Se si usa Microsoft Sentinel nel portale di Defender senza Microsoft Defender XDR, questa procedura è ancora rilevante per l'utente.
È necessario disporre dei ruoli e delle autorizzazioni seguenti:
È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
È necessario avere il ruolo Collaboratore o Proprietario nella sottoscrizione che si vuole connettere a Microsoft Sentinel.
Per abilitare la sincronizzazione bidirezionale, è necessario avere il ruolo Collaboratore o Amministratore della sicurezza nella sottoscrizione pertinente.
Sarà necessario abilitare almeno un piano all'interno di Microsoft Defender per il cloud per ogni sottoscrizione in cui si vuole abilitare il connettore. Per abilitare i piani di Microsoft Defender in una sottoscrizione, è necessario avere il ruolo di amministratore della sicurezza per tale sottoscrizione.
È necessario che il
SecurityInsights
provider di risorse sia registrato per ogni sottoscrizione in cui si vuole abilitare il connettore. Esaminare le indicazioni sullo stato di registrazione del provider di risorse e sui modi per registrarla.
Connettersi a Microsoft Defender per il cloud
In Microsoft Sentinel installare la soluzione per Microsoft Defender per il cloud dall'hub del contenuto. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
Selezionare Connettori dati di configurazione>.
Nella pagina Connettori dati selezionare il connettore Microsoft Defender per il cloud basato su sottoscrizione (legacy) o il connettore Microsoft Defender per il cloud basato su tenant (anteprima) e quindi selezionare Apri pagina connettore.
In Configurazione verrà visualizzato un elenco delle sottoscrizioni nel tenant e lo stato della connessione a Microsoft Defender per il cloud. Selezionare l'interruttore Stato accanto a ogni sottoscrizione i cui avvisi si desidera trasmettere in Microsoft Sentinel. Per connettere più sottoscrizioni contemporaneamente, è possibile farlo contrassegnando le caselle di controllo accanto alle sottoscrizioni pertinenti e quindi selezionando il pulsante Connetti sulla barra sopra l'elenco.
- Le caselle di controllo e gli interruttori Connetti sono attivi solo nelle sottoscrizioni per le quali si dispone delle autorizzazioni necessarie.
- Il pulsante Connetti è attivo solo se la casella di controllo di almeno una sottoscrizione è stata contrassegnata.
Per abilitare la sincronizzazione bidirezionale in una sottoscrizione, individuare la sottoscrizione nell'elenco e scegliere Abilitato nell'elenco a discesa nella colonna Sincronizzazione bidirezionale . Per abilitare la sincronizzazione bidirezionale in più sottoscrizioni contemporaneamente, contrassegnare le caselle di controllo e selezionare il pulsante Abilita sincronizzazione bidirezionale sulla barra sopra l'elenco.
- Le caselle di controllo e gli elenchi a discesa sono attivi solo nelle sottoscrizioni per le quali si dispone delle autorizzazioni necessarie.
- Il pulsante Abilita sincronizzazione bidirezionale è attivo solo se è stata contrassegnata almeno una sottoscrizione.
Nella colonna Piani di Microsoft Defender dell'elenco è possibile vedere se i piani di Microsoft Defender sono abilitati nella sottoscrizione, che è un prerequisito per l'abilitazione del connettore.
Il valore per ogni sottoscrizione in questa colonna è vuoto, ovvero non sono abilitati piani di Defender, Tutti abilitati o Alcuni abilitati. Quelli che dicono che Alcuni abilitati hanno anche un collegamento Abilita tutto che è possibile selezionare, che consente di accedere al dashboard di configurazione Microsoft Defender per il cloud per tale sottoscrizione, in cui è possibile scegliere i piani di Defender da abilitare.
Il pulsante di collegamento Abilita Microsoft Defender per tutte le sottoscrizioni sulla barra sopra l'elenco consente di passare alla pagina introduttiva Microsoft Defender per il cloud, in cui è possibile scegliere le sottoscrizioni per abilitare completamente Microsoft Defender per il cloud. Ad esempio:
È possibile selezionare se si desidera che gli avvisi di Microsoft Defender per il cloud generino automaticamente eventi imprevisti in Microsoft Sentinel. In Crea eventi imprevisti selezionare Abilitato per attivare la regola di analisi predefinita che crea automaticamente eventi imprevisti dagli avvisi. È quindi possibile modificare questa regola in Analisi nella scheda Regole attive.
Suggerimento
Quando si configurano regole di analisi personalizzate per gli avvisi di Microsoft Defender per il cloud, prendere in considerazione la gravità dell'avviso per evitare di aprire eventi imprevisti per gli avvisi informativi.
Gli avvisi informativi in Microsoft Defender per il cloud non rappresentano autonomamente un rischio per la sicurezza e sono rilevanti solo nel contesto di un evento imprevisto aperto esistente. Per altre informazioni, vedere Avvisi di sicurezza e eventi imprevisti in Microsoft Defender per il cloud.
Trovare e analizzare i dati
Gli avvisi di sicurezza vengono archiviati nella tabella SecurityAlert nell'area di lavoro Log Analytics. Per eseguire query sugli avvisi di sicurezza in Log Analytics, copiare quanto segue nella finestra di query come punto di partenza:
SecurityAlert
| where ProductName == "Azure Security Center"
La sincronizzazione degli avvisi in entrambe le direzioni può richiedere alcuni minuti. Le modifiche apportate allo stato degli avvisi potrebbero non essere visualizzate immediatamente.
Vedere la scheda Passaggi successivi nella pagina del connettore per ottenere query di esempio più utili, modelli di regole di analisi e cartelle di lavoro consigliate.
Contenuto correlato
In questo documento si è appreso come connettersi Microsoft Defender per il cloud a Microsoft Sentinel e sincronizzare gli avvisi tra di essi. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Iniziare a rilevare minacce con Microsoft Sentinel.
- Scrivere regole personalizzate per rilevare le minacce.