Microsoft Defender per il cloud nel portale di Microsoft Defender
Si applica a:
I team di sicurezza che usano Microsoft Defender per il cloud possono ora visualizzare gli avvisi e gli eventi imprevisti di Defender for Cloud nel portale di Microsoft Defender. Ciò consente ai team di sicurezza di ottenere un contesto più completo per le indagini che includono carichi di lavoro cloud. Inoltre, i team di sicurezza possono ottenere l'immagine completa di un attacco, inclusi eventi sospetti e dannosi che si verificano nel proprio ambiente cloud, tramite correlazioni immediate di avvisi e eventi imprevisti.
Il portale di Microsoft Defender combina funzionalità di protezione, rilevamento, indagine e risposta per proteggere gli attacchi a dispositivi, posta elettronica, collaborazione, identità e app cloud. Le funzionalità di rilevamento e indagine del portale vengono ora estese alle entità cloud, offrendo ai team delle operazioni di sicurezza un unico riquadro di vetro per migliorare significativamente l'efficienza operativa.
Inoltre, gli eventi imprevisti e gli avvisi di Defender for Cloud fanno ora parte dell'API pubblica di Microsoft Defender XDR. Questa integrazione consente di esportare i dati degli avvisi di sicurezza in qualsiasi sistema usando una singola API.
Prerequisito
Per garantire l'accesso agli avvisi di Defender for Cloud nel portale di Microsoft Defender, è necessario essere iscritti a uno dei piani elencati in Connettere le sottoscrizioni di Azure.
Autorizzazioni necessarie
Nota
L'autorizzazione per visualizzare gli avvisi e le correlazioni di Defender for Cloud è automatica per l'intero tenant. La visualizzazione per sottoscrizioni specifiche non è supportata. È possibile usare il filtro id sottoscrizione avvisi per visualizzare gli avvisi di Defender per cloud associati a una sottoscrizione di Defender for Cloud specifica nelle code degli avvisi e degli eventi imprevisti. Altre informazioni sui filtri.
L'integrazione è disponibile solo applicando il ruolo di controllo degli accessi in base al ruolo (RBAC) appropriato Microsoft Defender XDR per Defender for Cloud. Per visualizzare gli avvisi e le correlazioni di Defender per cloud senza Defender XDR controllo degli accessi in base al ruolo unificato, è necessario essere un amministratore globale o un amministratore della sicurezza in Azure Active Directory.
Importante
Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari in cui non è possibile usare un ruolo esistente. Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione.
Esperienza di indagine nel portale di Microsoft Defender
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
La sezione seguente descrive l'esperienza di rilevamento e indagine nel portale di Microsoft Defender con gli avvisi di Defender per cloud.
| Area | Descrizione |
|---|---|
| Eventi imprevisti | Tutti gli eventi imprevisti di Defender for Cloud verranno integrati nel portale di Microsoft Defender.
- La ricerca di asset di risorse cloud nella coda degli eventi imprevisti è supportata. - Il grafico della storia dell'attacco mostrerà la risorsa cloud. - La scheda asset in una pagina degli eventi imprevisti mostrerà la risorsa cloud. - Ogni macchina virtuale ha una propria pagina del dispositivo contenente tutti gli avvisi e le attività correlati. Non si verificano duplicazioni di eventi imprevisti da altri carichi di lavoro di Defender. |
| Avvisi | Tutti gli avvisi di Defender for Cloud, inclusi gli avvisi di provider multi-cloud, interni ed esterni, verranno integrati nel portale di Microsoft Defender. Gli avvisi di Defender for Cloud verranno visualizzati nella coda di avvisi del portale di Microsoft Defender.
L'asset della risorsa cloud verrà visualizzato nella scheda Asset di un avviso. Le risorse sono chiaramente identificate come risorsa di Azure, Amazon o Google Cloud. Gli avvisi di Defender for Cloud verranno associati automaticamente a un tenant. Non verrà eseguita alcuna duplicazione degli avvisi da altri carichi di lavoro di Defender. |
| Correlazione di avvisi e eventi imprevisti | Gli avvisi e gli eventi imprevisti vengono automaticamente correlati, fornendo un contesto solido ai team delle operazioni di sicurezza per comprendere la storia completa degli attacchi nell'ambiente cloud. |
| Rilevamento di minacce | Corrispondenza accurata delle entità virtuali con le entità del dispositivo per garantire la precisione e il rilevamento efficace delle minacce. |
| API unificata | Gli avvisi e gli eventi imprevisti di Defender for Cloud sono ora inclusi nell'API pubblica di Microsoft Defender XDR, consentendo ai clienti di esportare i dati degli avvisi di sicurezza in altri sistemi usando un'API. |
| Ricerca avanzata (anteprima) | Le informazioni sugli eventi di controllo cloud per varie piattaforme cloud protette da Defender for Cloud dell'organizzazione sono disponibili tramite la tabella CloudAuditEvents nella ricerca avanzata. |
Nota
Gli avvisi informativi di Defender for Cloud non sono integrati nel portale di Microsoft Defender per concentrarsi sugli avvisi rilevanti e di gravità elevata. Questa strategia semplifica la gestione degli eventi imprevisti e riduce l'affaticamento degli avvisi.
Impatto sugli utenti Microsoft Sentinel
Microsoft Sentinel clienti che integrano Microsoft Defender XDR eventi imprevistie inserino gli avvisi di Defender for Cloud sono necessari per apportare le modifiche di configurazione seguenti per garantire che non vengano creati avvisi e eventi imprevisti duplicati:
- Connettere il connettore Microsoft Defender basato su tenant per cloud (anteprima) per sincronizzare la raccolta di avvisi da tutte le sottoscrizioni con gli eventi imprevisti di Defender for Cloud basati sul tenant che vengono trasmessi tramite il connettore eventi imprevisti Microsoft Defender XDR.
- Disconnettere il connettore di avvisi Microsoft Defender basato su sottoscrizione per il cloud (legacy) per evitare duplicati degli avvisi.
- Disattivare tutte le regole di analisi, ovvero le regole pianificate (tipo di query normali) o le regole di sicurezza Microsoft (creazione di eventi imprevisti), usate per creare eventi imprevisti dagli avvisi di Defender per cloud. Gli eventi imprevisti di Defender per cloud vengono creati automaticamente nel portale di Defender e sincronizzati con Microsoft Sentinel.
- Se necessario, usare le regole di automazione per chiudere gli eventi imprevisti rumorosi o usare le funzionalità di ottimizzazione predefinite nel portale di Defender per eliminare determinati avvisi.
Si noti anche la modifica seguente:
- L'azione per correlare gli avvisi agli eventi imprevisti del portale Microsoft Defender viene rimossa.
Per altre informazioni, vedere Ingest Microsoft Defender for Cloud incidents with Microsoft Defender XDR integration (Ingest Microsoft Defender for Cloud incidents with Microsoft Defender XDR integration).
Disattivare gli avvisi di Defender per cloud
Gli avvisi per Defender for Cloud sono attivati per impostazione predefinita. Per mantenere le impostazioni basate sulla sottoscrizione ed evitare la sincronizzazione basata su tenant o rifiutare esplicitamente l'esperienza, seguire questa procedura:
- Nel portale di Microsoft Defender passare a Impostazioni>Microsoft Defender XDR.
- In Impostazioni del servizio avvisi cercare Microsoft Defender per gli avvisi cloud.
- Selezionare Nessun avviso per disattivare tutti gli avvisi di Defender per cloud. Se si seleziona questa opzione, viene arrestata l'inserimento di nuovi avvisi di Defender for Cloud nel portale. Gli avvisi inseriti in precedenza rimangono in una pagina di avviso o evento imprevisto.
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.