Condividi tramite


Integrazione di Microsoft Defender XDR con Microsoft Sentinel

Integrare Microsoft Defender XDR con Microsoft Sentinel per trasmettere tutti gli eventi imprevisti di Defender XDR e la ricerca avanzata in Microsoft Sentinel e mantenere sincronizzati gli eventi e gli eventi imprevisti tra i portali Azure e Microsoft Defender. Gli eventi imprevisti di Defender XDR includono tutti gli avvisi, le entità e le informazioni pertinenti associati, fornendo un contesto sufficiente per eseguire la valutazione e l'analisi preliminare in Microsoft Sentinel. Una volta in Microsoft Sentinel, gli eventi imprevisti rimangono sincronizzati in modo bidirezionale con Defender XDR, consentendo di sfruttare i vantaggi di entrambi i portali nell'indagine sugli eventi imprevisti.

In alternativa, eseguire l'onboarding di Microsoft Sentinel con Defender XDR nella piattaforma delle operazioni di sicurezza unificata (SecOps) di Microsoft nel portale di Defender. La piattaforma SecOps unificata di Microsoft riunisce le funzionalità complete di Microsoft Sentinel, Defender XDR e intelligenza artificiale generativa creata appositamente per la cybersecurity. Per ulteriori informazioni, vedi le seguenti risorse:

Microsoft Sentinel e Defender XDR

Usare uno dei metodi seguenti per integrare Microsoft Sentinel con i servizi Microsoft Defender XDR:

  • Inserire i dati del servizio Microsoft Defender XDR in Microsoft Sentinel e visualizzare i dati di Microsoft Sentinel nel portale di Azure. Abilitare il connettore Defender XDR in Microsoft Sentinel.

  • Integrare Microsoft Sentinel e Defender XDR in una singola piattaforma operativa di sicurezza unificata nel portale di Microsoft Defender. In questo caso, visualizzare i dati di Microsoft Sentinel direttamente nel portale di Microsoft Defender con il resto degli eventi imprevisti, avvisi, vulnerabilità e altri dati di sicurezza di Defender. Abilitare il connettore Defender XDR in Microsoft Sentinel ed eseguire l'onboarding di Microsoft Sentinel nella piattaforma SecOps unificata di Microsoft nel portale di Defender.

Selezionare la scheda appropriata per visualizzare l'aspetto dell'integrazione di Microsoft Sentinel con Defender XDR a seconda del metodo di integrazione usato.

La figura seguente illustra come la soluzione XDR di Microsoft si integra perfettamente con Microsoft Sentinel.

Diagramma dell'integrazione di Microsoft Sentinel e Microsoft XDR.

In questo diagramma:

  • Informazioni dettagliate dai feed dell'intera organizzazione in Microsoft Defender XDR e Microsoft Defender per il cloud.
  • Microsoft Defender XDR e Microsoft Defender per il cloud inviano dati di log SIEM tramite i connettori di Microsoft Sentinel.
  • I team SecOps possono quindi analizzare e rispondere alle minacce identificate in Microsoft Sentinel e Microsoft Defender XDR.
  • Microsoft Sentinel offre supporto per ambienti multi-cloud e si integra con app e partner di terze parti.

Correlazione e avvisi degli eventi imprevisti

Con l'integrazione di Defender XDR con Microsoft Sentinel, gli eventi imprevisti di Defender XDR sono visibili e gestibili da Microsoft Sentinel. In questo modo si ottiene una coda di eventi imprevisti principali nell'intera organizzazione. Visualizzare e correlare gli eventi imprevisti di Defender XDR insieme agli eventi imprevisti di tutti gli altri sistemi cloud e locali. Allo stesso tempo, questa integrazione consente di sfruttare i punti di forza e le funzionalità unici di Defender XDR per indagini approfondite e un'esperienza specifica di Defender nell'ecosistema di Microsoft 365.

Defender XDR arricchisce e raggruppa gli avvisi di più prodotti Microsoft Defender, riducendo le dimensioni della coda degli eventi imprevisti del SOC e riducendo il tempo necessario per la risoluzione. Gli avvisi dei prodotti e dei servizi di Microsoft Defender seguenti sono inclusi anche nell'integrazione di Defender XDR a Microsoft Sentinel:

  • Microsoft Defender for Endpoint
  • Microsoft Defender per identità
  • Microsoft Defender per Office 365
  • Microsoft Defender for Cloud Apps
  • Gestione delle vulnerabilità di Microsoft Defender

Altri servizi i cui avvisi vengono raccolti da Defender XDR includono:

Il connettore Defender XDR genera anche eventi imprevisti da Microsoft Defender per il cloud. Per sincronizzare anche avvisi ed entità da questi eventi imprevisti, è necessario abilitare il connettore Defender per il cloud in Microsoft Sentinel. In caso contrario, gli eventi imprevisti di Defender per il cloud vengono visualizzati vuoti. Per altre informazioni, vedere Inserire eventi imprevisti di Microsoft Defender per il cloud con l'integrazione di Microsoft Defender XDR.

Oltre a raccogliere avvisi da questi componenti e altri servizi, Defender XDR genera avvisi propri. Crea eventi imprevisti da tutti questi avvisi e li invia a Microsoft Sentinel.

Casi d'uso e scenari comuni

Prendere in considerazione l'integrazione di Defender XDR con Microsoft Sentinel per i casi d'uso e gli scenari seguenti:

  • Eseguire l'onboarding di Microsoft Sentinel nella piattaforma SecOps unificata di Microsoft nel portale di Microsoft Defender. L'abilitazione del connettore Defender XDR è un prerequisito.

  • Abilitare una connessione con un clic degli eventi imprevisti di Defender XDR, inclusi tutti gli avvisi e le entità dai componenti di Defender XDR, in Microsoft Sentinel.

  • Consentire la sincronizzazione bidirezionale tra eventi imprevisti di Microsoft Sentinel e Defender XDR sullo stato, il proprietario e il motivo di chiusura.

  • Applicare le funzionalità di raggruppamento e arricchimento degli avvisi di Defender XDR in Microsoft Sentinel, riducendo così il tempo necessario per la risoluzione.

  • Facilitare le indagini in entrambi i portali con collegamenti diretti nel contesto tra un evento imprevisto di Microsoft Sentinel e il relativo evento imprevisto parallelo di Defender XDR.

Per altre informazioni sulle funzionalità dell'integrazione di Microsoft Sentinel con Defender XDR nella piattaforma SecOps unificata di Microsoft, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Connessione a Microsoft Defender XDR

Abilitare il connettore Microsoft Defender XDR in Microsoft Sentinel per inviare tutte le informazioni sugli eventi imprevisti e gli avvisi di Defender XDR a Microsoft Sentinel e mantenere sincronizzati gli eventi imprevisti.

  • Innanzitutto, installare la soluzione di Microsoft Defender XDR per Microsoft Sentinel dall'hub del contenuto. Abilitare quindi il connettore dati di Microsoft Defender XDR per raccogliere eventi imprevisti e avvisi. Per altre informazioni, vedere Connettere i dati da Microsoft Defender XDR a Microsoft Sentinel.

  • Dopo aver abilitato la raccolta di avvisi e eventi imprevisti nel connettore dati di Defender XDR, gli eventi imprevisti di Defender XDR vengono visualizzati nella coda degli eventi imprevisti di Microsoft Sentinel poco dopo che sono stati generati in Defender XDR. Possono essere necessari fino a 10 minuti dal momento in cui viene generato un evento imprevisto in Defender XDR fino al momento in cui viene visualizzato in Microsoft Sentinel. In questi eventi imprevisti, il campo Nome prodotto avviso contiene Microsoft Defender XDR o uno dei nomi dei servizi di Defender componenti.

  • Per eseguire l'onboarding dell'area di lavoro di Microsoft Sentinel nella piattaforma SecOps unificata di Microsoft nel portale di Defender, vedere Connettere Microsoft Sentinel a Microsoft Defender XDR.

Costi di inserimento

Gli avvisi e gli eventi imprevisti di Defender XDR, inclusi gli elementi che popolano le tabelle SecurityAlert e SecurityIncident, vengono inseriti e sincronizzati con Microsoft Sentinel senza costi aggiuntivi. Per tutti gli altri tipi di dati di singoli componenti di Defender, ad esempio le tabelle di ricerca avanzata DeviceInfo, DeviceFileEvents, EmailEvents e così via, l'inserimento viene addebitato. Per altre informazioni, vedere Pianificare i costi e comprendere i prezzi e la fatturazione di Microsoft Sentinel.

Comportamento di inserimento dati

Quando il connettore Defender XDR è abilitato, gli avvisi creati dai prodotti integrati con Defender XDR vengono inviati a Defender XDR e raggruppati in eventi imprevisti. Sia gli avvisi che gli eventi imprevisti passano a Microsoft Sentinel tramite il connettore Defender XDR. L'eccezione a questo processo è Defender per il cloud. È possibile abilitare gli avvisi di Defender per il cloud basati su tenant per ricevere tutti gli avvisi e gli eventi imprevisti tramite Defender XDR oppure mantenere gli avvisi basati su sottoscrizione e promuoverli a eventi imprevisti all'interno di Microsoft Sentinel nel portale di Azure. Per le opzioni disponibili e altre informazioni, vedere gli articoli seguenti:

Regole di creazione di eventi imprevisti di Microsoft

Per evitare di creare eventi imprevisti duplicati per gli stessi avvisi, l’impostazione regole di creazione degli eventi imprevisti Microsoft è disattivata per i prodotti integrati con Defender XDR durante la connessione di Defender XDR. I prodotti integrati con Defender XDR includono Microsoft Defender per identità, Microsoft Defender per Office 365 e altro ancora. Inoltre, le regole di creazione degli eventi imprevisti Microsoft non sono supportate nella piattaforma SecOps unificata di Microsoft. Defender XDR ha le proprie regole di creazione degli eventi imprevisti. Questa modifica ha i potenziali effetti seguenti:

  • Le regole di creazione degli eventi imprevisti di Microsoft Sentinel consentono di filtrare gli avvisi che verrebbero usati per creare eventi imprevisti. Con queste regole disabilitate, è possibile mantenere la funzionalità di filtro degli avvisi configurando l'ottimizzazione degli avvisi nel portale di Microsoft Defender o usando le regole di automazione per eliminare o chiudere gli eventi imprevisti non desiderati.

  • Dopo aver abilitato il connettore Defender XDR, non è più possibile predeterminare i titoli degli eventi imprevisti. Il motore di correlazione Defender XDR controlla la creazione degli eventi imprevisti e assegna automaticamente un nome agli eventi imprevisti creati. Questa modifica può influire sulle regole di automazione create che usano il nome dell'evento imprevisto come condizione. Per evitare questo problema, usare criteri diversi dal nome dell'evento imprevisto come condizioni per l'attivazione delle regole di automazione. È consigliabile usare i tag.

  • Se si usano le regole di creazione degli eventi imprevisti di Microsoft Sentinel per altre soluzioni di sicurezza Microsoft o prodotti non integrati in Defender XDR, ad esempio Gestione dei rischi Insider Microsoft Purview, e si prevede di eseguire l'onboarding nella piattaforma SecOps unificata di Microsoft nel portale di Defender, sostituire le regole di creazione degli eventi imprevisti con regole di analisi pianificate.

Uso di eventi imprevisti di Microsoft Defender XDR in Microsoft Sentinel e sincronizzazione bidirezionale

Gli eventi imprevisti di Defender XDR vengono visualizzati nella coda degli eventi imprevisti di Microsoft Sentinel con il nome del prodotto Microsoft Defender XDR e con dettagli e funzionalità simili a qualsiasi altro evento imprevisto di Microsoft Sentinel. Ogni evento imprevisto contiene un collegamento all'evento imprevisto parallelo nel portale di Microsoft Defender.

Man mano che l'evento imprevisto si evolve in Defender XDR e vengono aggiunti altri avvisi o entità, l'evento imprevisto di Microsoft Sentinel viene aggiornato di conseguenza.

Modifiche apportate allo stato, al motivo di chiusura o all'assegnazione di un evento imprevisto di Defender XDR, in Defender XDR o Microsoft Sentinel, allo stesso modo aggiornare di conseguenza nella coda degli eventi imprevisti dell'altro. La sincronizzazione avviene in entrambi i portali immediatamente dopo l'applicazione della modifica all'evento imprevisto, senza ritardi. Potrebbe essere necessario un aggiornamento per visualizzare le modifiche più recenti.

In Defender XDR tutti gli avvisi di un evento imprevisto possono essere trasferiti a un altro, causando l'unione degli eventi imprevisti. Quando si verifica l'unione, gli eventi imprevisti di Microsoft Sentinel riflettono le modifiche. Un evento imprevisto contiene tutti gli avvisi di entrambi gli eventi imprevisti originali e l'altro evento imprevisto viene chiuso automaticamente, con un tag "reindirizzato" aggiunto.

Nota

Gli eventi imprevisti in Microsoft Sentinel possono contenere un massimo di 150 avvisi. Gli eventi imprevisti di Defender XDR possono avere più di questo. Se un evento imprevisto di Defender XDR con più di 150 avvisi viene sincronizzato con Microsoft Sentinel, l'evento imprevisto di Microsoft Sentinel viene visualizzato come con avvisi "150+" e fornisce un collegamento all'evento imprevisto parallelo in Defender XDR in cui viene visualizzato il set completo di avvisi.

Raccolta di eventi di ricerca avanzata

Il connettore Defender XDR consente anche di trasmettere eventi di ricerca avanzata, un tipo di dati di evento non elaborati, da Defender XDR e dai relativi servizi componenti in Microsoft Sentinel. Raccogliere eventi di ricerca avanzata da tutti i componenti di Defender XDR e trasmetterli direttamente in tabelle predefinite nell'area di lavoro di Microsoft Sentinel. Queste tabelle sono basate sullo stesso schema usato nel portale di Defender per consentire l'accesso completo al set completo di eventi di ricerca avanzata e consentendo le attività seguenti:

  • Copiare facilmente le query di ricerca avanzate di Microsoft Defender per endpoint/Office 365/Identity/Cloud Apps in Microsoft Sentinel.

  • Usare i log eventi non elaborati per fornire ulteriori informazioni dettagliate per gli avvisi, la ricerca e l'analisi e correlare questi eventi con gli eventi di altre origini dati in Microsoft Sentinel.

  • Archiviare i log con maggiore conservazione, oltre alla conservazione predefinita di Defender XDR o dei relativi componenti di 30 giorni. A questo scopo, è possibile configurare il periodo di conservazione dell'area di lavoro oppure di ogni singola tabella di Log Analytics.

In questo documento sono stati illustrati i vantaggi dell'abilitazione del connettore Defender XDR in Microsoft Sentinel.