Microsoft Sentinel nel portale di Microsoft Defender
Questo articolo descrive l'esperienza di Microsoft Sentinel nel portale di Microsoft Defender. Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender con Microsoft Defender XDR. Per altre informazioni, vedi:
- Post di blog: Disponibilità generale della piattaforma operativa di sicurezza unificata di Microsoft
- Post di blog: Domande frequenti sulla piattaforma unificata per le operazioni di sicurezza
- Connettere Microsoft Sentinel a Microsoft Defender XDR
- Supporto delle funzionalità di Microsoft Sentinel per cloud commerciali/altri cloud di Azure
Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5.
Funzionalità nuove e migliorate
La tabella seguente descrive le funzionalità nuove o migliorate disponibili nel portale di Defender con l'integrazione di Microsoft Sentinel. Microsoft continua a innovare in questa nuova esperienza con funzionalità che potrebbero essere esclusive del portale di Defender.
Funzionalità | Descrizione |
---|---|
Rilevazione avanzata | Eseguire query da un singolo portale in set di dati diversi per rendere più efficiente la ricerca e rimuovere la necessità di cambiare contesto. Usare Security Copilot per generare il KQL. Visualizzare ed eseguire query su tutti i dati, inclusi i dati dei servizi di sicurezza Microsoft e Microsoft Sentinel. Usare tutto il contenuto esistente dell'area di lavoro di Microsoft Sentinel, incluse query e funzioni. Per altre informazioni, vedere gli articoli seguenti: - Ricerca avanzata nel portale di Microsoft Defender - Copilot di sicurezza nella ricerca avanzata |
Ottimizzazioni SOC | Ottenere raccomandazioni di alta fedeltà e di utilità pratica per identificare le aree da: - Ridurre i costi - Aggiungere controlli di sicurezza - Aggiungere dati mancanti Le ottimizzazioni SOC sono disponibili nei portali di Defender e di Azure, sono personalizzate per l'ambiente in uso e si basano sulla copertura attuale e sul panorama delle minacce. Per altre informazioni, vedere gli articoli seguenti: - Ottimizzare le operazioni per la sicurezza - Usare le ottimizzazioni SOC a livello di codice - Riferimento dei consigli di ottimizzazione SOC |
Microsoft Copilot in Microsoft Defender | Quando si esaminano gli eventi imprevisti nel portale di Defender, - Riepilogare gli eventi imprevisti - Analizzare gli script - Analizzare i file - Creare report sugli eventi imprevisti Quando si ricercano minacce nella ricerca avanzata, creare query KQL pronte per l'esecuzione usando l'assistente query. Per altre informazioni, vedere Microsoft Security Copilot nella ricerca avanzata. |
La tabella seguente descrive le funzionalità aggiuntive disponibili nel portale di Defender con l'integrazione di Microsoft Sentinel e Microsoft Defender XDR come parte della piattaforma unificata per le operazioni di sicurezza di Microsoft.
Funzionalità | Descrizione |
---|---|
Attacco interrotto | Distribuire l'interruzione automatica degli attacchi per SAP con il portale di Defender e la soluzione Microsoft Sentinel per le applicazioni SAP. Ad esempio, contenere asset compromessi bloccando utenti SAP sospetti in caso di attacco di manipolazione del processo finanziario. Le funzionalità di interruzione degli attacchi per SAP sono disponibili solo nel portale di Defender. Per usare l'interruzione degli attacchi per SAP, aggiornare la versione dell'agente del connettore dati e assicurarsi che il ruolo di Azure pertinente sia assegnato all'identità dell'agente. Per altre informazioni, vedere Interruzione automatica degli attacchi per SAP. |
Entità unificate | Le pagine di entità per dispositivi, utenti, indirizzi IP e risorse di Azure nel portale di Defender visualizzano informazioni provenienti da Origini dati di Microsoft Sentinel e Defender. Queste pagine di entità offrono un contesto esteso per le indagini sugli eventi imprevisti e gli avvisi nel portale di Defender. Per altre informazioni, vedere Analizzare le entità con le pagine di entità in Microsoft Sentinel. |
Eventi imprevisti unificati | Gestire e analizzare gli eventi imprevisti di sicurezza in un'unica posizione e da una singola coda nel portale di Defender. Usare Security Copilot per riepilogare, rispondere e creare report. Gli eventi imprevisti includono: - Dati dall'ampiezza delle origini - Strumenti di analisi dell'intelligenza artificiale di informazioni sulla sicurezza e gestione degli eventi (SIEM) - Strumenti di contesto e mitigazione offerti dal rilevamento esteso e dalla risposta (XDR) Per altre informazioni, vedere gli articoli seguenti: - Risposta agli eventi imprevisti nel portale di Microsoft Defender - Analizzare gli incidenti di Microsoft Sentinel in Security Copilot |
Microsoft Copilot in Microsoft Defender | Quando si analizzano gli eventi imprevisti con Microsoft Sentinel integrato con Defender XDR, - Valutare e analizzare gli eventi imprevisti con risposte guidate - Riepilogare le informazioni sul dispositivo - Riepilogare le informazioni sull'identità Riepilogare le minacce rilevanti che influiscono sull'ambiente, classificare in ordine di priorità la risoluzione delle minacce in base ai livelli di esposizione o trovare attori di minacce destinati al settore usando Security Copilot nell'intelligence sulle minacce. Per altre informazioni, vedere Uso di Microsoft Security Copilot per l'intelligence sulle minacce. |
Differenze di funzionalità tra i portali
La maggior parte delle funzionalità di Microsoft Sentinel è disponibile sia nei portali di Azure che in Defender. Nel portale di Defender alcune esperienze di Microsoft Sentinel si aprono al portale di Azure per completare un'attività.
Questa sezione illustra le funzionalità o le integrazioni di Microsoft Sentinel disponibili solo nel portale di portale di Azure o defender o in altre differenze significative tra i portali. Esclude le esperienze di Microsoft Sentinel che aprono il portale di Azure dal portale di Defender.
Funzionalità | Disponibilità | Descrizione |
---|---|---|
Ricerca avanzata con segnalibri | Solo portale di Azure | I segnalibri non sono supportati nell'esperienza di ricerca avanzata nel portale di Microsoft Defender. Nel portale di Defender sono supportati in Microsoft Sentinel > Threat Management > Hunting. Per altre informazioni, vedere Tenere traccia dei dati durante la ricerca con Microsoft Sentinel. |
Interruzione degli attacchi per SAP | Portale di Defender solo con Defender XDR | Questa funzionalità non è disponibile nel portale di Azure. Per altre informazioni, vedere Interruzione automatica degli attacchi nel portale di Microsoft Defender. |
Automazione | Alcune procedure di automazione sono disponibili solo nel portale di Azure. Altre procedure di automazione sono le stesse in Defender e le portale di Azure, ma differiscono nella portale di Azure tra le aree di lavoro di cui è stato eseguito l'onboarding nel portale di Defender e le aree di lavoro che non lo sono. |
Per altre informazioni, vedere Automazione con la piattaforma unificata per le operazioni di sicurezza. |
Connettori dati: visibilità dei connettori usati dalla piattaforma unificata per le operazioni di sicurezza | Solo portale di Azure | Nel portale di Defender, dopo l'onboarding di Microsoft Sentinel, i connettori dati seguenti che fanno parte della piattaforma unificata per le operazioni di sicurezza non vengono visualizzati nella pagina Connettori dati: Nel portale di Azure questi connettori dati sono ancora elencati con i connettori dati installati in Microsoft Sentinel. |
Entità: aggiungere entità all'intelligence sulle minacce dagli eventi imprevisti | Solo portale di Azure | Questa funzionalità non è disponibile nel portale di Defender. Per altre informazioni, vedere Aggiungere un'entità agli indicatori di minaccia. |
Fusion: Rilevamento avanzato degli attacchi a più fasi | Solo portale di Azure | La regola di analisi Fusion, che crea eventi imprevisti in base alle correlazioni degli avvisi effettuate dal motore di correlazione Fusion, viene disabilitata quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender. Il portale di Defender usa le funzionalità di creazione e correlazione degli eventi imprevisti di Microsoft Defender XDR per sostituire quelle del motore Fusion. Per altre informazioni, vedere Rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel |
Eventi imprevisti: aggiunta di avvisi a eventi imprevisti / Rimozione di avvisi da eventi imprevisti |
Solo portale di Defender | Dopo l'onboarding di Microsoft Sentinel nel portale di Defender, non è più possibile aggiungere avvisi o rimuovere avvisi da eventi imprevisti nel portale di Azure. È possibile rimuovere un avviso da un evento imprevisto nel portale di Defender, ma solo collegando l'avviso a un altro evento imprevisto (esistente o nuovo). |
Eventi imprevisti: modifica dei commenti | Solo portale di Azure | Dopo l'onboarding di Microsoft Sentinel nel portale di Defender, è possibile aggiungere commenti a eventi imprevisti in entrambi i portali, ma non è possibile modificare i commenti esistenti. Le modifiche apportate ai commenti nel portale di Azure non vengono sincronizzate con il portale di Defender. |
Eventi imprevisti: creazione programmatica e manuale di eventi imprevisti | Solo portale di Azure | Gli eventi imprevisti creati in Microsoft Sentinel tramite l'API, da un playbook dell'app per la logica o manualmente dal portale di Azure, non vengono sincronizzati con il portale di Defender. Questi eventi imprevisti sono ancora supportati nel portale di Azure e nell'API. Vedere Creare manualmente eventi imprevisti in Microsoft Sentinel. |
Eventi imprevisti: riapertura di eventi imprevisti chiusi | Solo portale di Azure | Nel portale di Defender non è possibile impostare il raggruppamento di avvisi nelle regole di analisi di Microsoft Sentinel per riaprire gli eventi imprevisti chiusi se vengono aggiunti nuovi avvisi. Gli eventi imprevisti chiusi non vengono riaperti in questo caso e nuovi avvisi attivano nuovi eventi imprevisti. |
Eventi imprevisti: attività | Solo portale di Azure | Le attività non sono disponibili nel portale di Defender. Per altre informazioni, vedere Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel. |
Gestione di più aree di lavoro per Microsoft Sentinel | Portale Defender: Limite di un'area di lavoro Microsoft Sentinel per tenant Portale di Azure: Gestire centralmente più aree di lavoro Microsoft Sentinel per tenant |
Nel portale di Defender è attualmente supportata una sola area di lavoro di Microsoft Sentinel per tenant. Quindi, la gestione multi-tenant di Microsoft Defender supporta un'area di lavoro Microsoft Sentinel per tenant. Per altre informazioni, vedere gli articoli seguenti: - Portale di Defender: gestione multi-tenant di Microsoft Defender - portale di Azure: Gestire più aree di lavoro di Microsoft Sentinel con il gestore dell'area di lavoro |
Funzionalità limitate o non disponibili
Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender senza Defender XDR o altri servizi abilitati, le funzionalità seguenti mostrate nel portale di Defender sono attualmente limitate o non disponibili.
Funzionalità | Servizio richiesto |
---|---|
Gestione dell'esposizione | Gestione dell'esposizione alla sicurezza Microsoft |
Regole di rilevamento personalizzate | Microsoft Defender XDR |
Centro notifiche | Microsoft Defender XDR |
Le limitazioni seguenti si applicano anche a Microsoft Sentinel nel portale di Defender senza Defender XDR o altri servizi abilitati:
- I nuovi clienti di Microsoft Sentinel non sono idonei per eseguire l'onboarding di un'area di lavoro Log Analytics creata nell'area di Israele. Per eseguire l'onboarding nel portale di Defender, creare un'altra area di lavoro per Microsoft Sentinel in un'area diversa. Questa area di lavoro aggiuntiva non deve contenere dati.
- I clienti che usano l'analisi del comportamento dell'entità e dell'utente di Microsoft Sentinel vengono forniti con una versione limitata della tabella IdentityInfo.
Riferimento rapido
Alcune funzionalità di Microsoft Sentinel, come la coda unificata degli eventi imprevisti, sono integrate con Microsoft Defender XDR nella piattaforma unificata per le operazioni di sicurezza di Microsoft. Molte altre funzionalità di Microsoft Sentinel sono disponibili nella sezione Microsoft Sentinel del portale di Defender.
L'immagine seguente mostra il menu di Microsoft Sentinel nel portale di Defender:
Le sezioni seguenti descrivono dove trovare le funzionalità di Microsoft Sentinel nel portale di Defender. Le sezioni sono organizzate come Microsoft Sentinel si trova nel portale di Azure.
Generali
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Generale nel portale di Azure.
Azure portal | Portale di Defender |
---|---|
Panoramica | Panoramica |
Registri | Indagini e risposte > Ricerca > Ricerca avanzata |
Novità e guide | Non disponibile |
Ricerca | Microsoft Sentinel > Ricerca |
Gestione delle minacce
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Gestione delle minacce nel portale di Azure.
Azure portal | Portale di Defender |
---|---|
Incidenti | Indagine e risposta > Eventi imprevisti e avvisi > Eventi imprevisti |
Cartelle di lavoro | Microsoft Sentinel > Gestione delle minacce > Cartelle di lavoro |
Caccia | Microsoft Sentinel > Gestione delle minacce > Ricerca |
Notebook | Microsoft Sentinel > Gestione delle minacce > Notebooks |
Comportamento delle entità | Pagina Entità utente: Asset > Identità >{user}> Eventi Sentinel Pagina Entità dispositivo: Asset > Dispositivi >{device}> Eventi Sentinel Trovare anche le pagine di entità per i tipi di entità utente, dispositivo, IP e risorsa di Azure da eventi imprevisti e avvisi non appena vengono visualizzati. |
Intelligence per le minacce | Microsoft Sentinel > Gestione delle minacce > Threat Intelligence |
MITRE ATT&CK | Microsoft Sentinel > Threat management > MITRE ATT&CK |
Gestione dei contenuti
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Gestione contenuto nel portale di Azure.
Azure portal | Portale di Defender |
---|---|
Hub dei contenuti | Microsoft Sentinel > Gestione dei contenuti > Hub contenuto |
Repository | Microsoft Sentinel > Gestione dei contenuti > Repository |
Community | Microsoft Sentinel > Gestione dei contenuti > Community |
Impostazione
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Configurazione nel portale di Azure.
Azure portal | Portale di Defender |
---|---|
Manager dell’area di lavoro | Non disponibile |
Connettori di dati | Microsoft Sentinel > Configurazione > Connettori di dati |
Analisi | Microsoft Sentinel > Configurazione > Analytics |
Watchlist | Microsoft Sentinel > Configurazione > Watchlist |
Automazione | Microsoft Sentinel > Configurazione > Automazione |
Impostazione | Sistema > Impostazioni > Microsoft Sentinel |