Connettere Microsoft Sentinel al portale di Microsoft Defender

• Si applica a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma SecOps (Unified Security Operations) di Microsoft nel portale di Microsoft Defender. Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender con Microsoft Defender XDR, si unificano funzionalità come la gestione degli eventi imprevisti e la ricerca avanzata. Ridurre il cambio di strumento e creare un'indagine più incentrata sul contesto che accelera la risposta agli eventi imprevisti e interrompe le violazioni più velocemente. Per altre informazioni, vedere:

• Post di blog: Disponibilità generale della piattaforma di operazioni di sicurezza unificata di Microsoft
• Post di blog: Domande frequenti sulla piattaforma delle operazioni di sicurezza unificata
• Microsoft Sentinel nel portale di Microsoft Defender
• integrazione Microsoft Defender XDR con Microsoft Sentinel

Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5.

Prerequisiti

Prima di iniziare, esaminare la documentazione delle funzionalità per comprendere le modifiche e le limitazioni del prodotto.

• Microsoft Sentinel nel portale di Microsoft Defender
• Ricerca avanzata nel portale di Microsoft Defender
• Avvisi, eventi imprevisti e correlazione in Microsoft Defender XDR
• Automazione con la piattaforma delle operazioni di sicurezza unificata

Il portale Microsoft Defender supporta un singolo tenant Microsoft Entra e la connessione a un'area di lavoro alla volta. Nel contesto di questo articolo, un'area di lavoro è un'area di lavoro Log Analytics con Microsoft Sentinel abilitata.

prerequisiti Microsoft Sentinel

Per eseguire l'onboarding e l'uso di Microsoft Sentinel nel portale di Defender, è necessario disporre delle risorse e dell'accesso seguenti:

• Un'area di lavoro Log Analytics con Microsoft Sentinel abilitata

• Il connettore dati per Microsoft Defender XDR abilitato in Microsoft Sentinel per eventi imprevisti e avvisi. Installare la soluzione Defender XDR e configurare il connettore dati per la connessione Microsoft Sentinel al portale di Defender. Per altre informazioni, vedere Individuare e gestire Microsoft Sentinel contenuto predefinito.

• Un account Azure con i ruoli appropriati per l'onboarding, l'uso e la creazione di richieste di supporto per Microsoft Sentinel nel portale di Defender. La tabella seguente evidenzia alcuni dei ruoli chiave necessari.

  Attività	Microsoft Entra o il ruolo predefinito di Azure richiesto	Ambito
  Eseguire l'onboarding Microsoft Sentinel nel portale di Defender	amministratore globale o amministratore della sicurezza in Microsoft Entra ID	Tenant
  Connettere o disconnettere un'area di lavoro con Microsoft Sentinel abilitata	Proprietario o amministratore dell'accesso utente e collaboratore Microsoft Sentinel	- Sottoscrizione per i ruoli Amministratore accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per Microsoft Sentinel Collaboratore
  Visualizzare Microsoft Sentinel nel portale di Defender	lettore Microsoft Sentinel	Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro
  Eseguire query Sentinel tabelle dati o visualizzare eventi imprevisti	Microsoft Sentinel Lettore o un ruolo con le azioni seguenti: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro
  Intraprendere azioni investigative sugli eventi imprevisti	Microsoft Sentinel Collaboratore o un ruolo con le azioni seguenti: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro
  Creare una richiesta di supporto	Proprietario o collaboratore o collaboratore della richiesta di supporto o un ruolo personalizzato con Microsoft.Support/*	Abbonamento

  Dopo aver connesso Microsoft Sentinel al portale di Defender, le autorizzazioni esistenti per il controllo degli accessi in base al ruolo di Azure consentono di usare le funzionalità di Microsoft Sentinel a cui si ha accesso. Continuare a gestire ruoli e autorizzazioni per gli utenti Microsoft Sentinel dal portale di Azure. Tutte le modifiche al controllo degli accessi in base al ruolo di Azure si riflettono nel portale di Defender. Per altre informazioni sulle autorizzazioni Microsoft Sentinel, vedere Ruoli e autorizzazioni in Microsoft Sentinel | Microsoft Learn e gestire l'accesso ai dati Microsoft Sentinel per risorsa | Microsoft Learn.

Prerequisiti della piattaforma SecOps unificata di Microsoft

Per unificare le funzionalità con Defender XDR nella piattaforma SecOps unificata di Microsoft, è necessario disporre delle risorse e dell'accesso seguenti:

• Licenze per Defender XDR, come descritto in Microsoft Defender XDR prerequisiti
• Account per Defender XDR è un membro dello stesso tenant Microsoft Entra a cui è associato Microsoft Sentinel
• Accesso a Microsoft Defender XDR nel portale di Defender, come descritto in Microsoft Defender XDR prerequisiti

Eseguire l'onboarding di Microsoft Sentinel

Per connettere un'area di lavoro Microsoft Sentinel al portale di Defender, seguire questa procedura. Se si esegue l'onboarding di Microsoft Sentinel senza Defender XDR (anteprima) è disponibile un passaggio aggiuntivo per attivare la connessione con Microsoft Sentinel e il portale di Defender.

1. Passare al portale di Microsoft Defender ed eseguire l'accesso.

2. Per eseguire l'onboarding di Microsoft Sentinel senza Defender XDR nel portale di Defender:

   1. Per attivare la connessione con Microsoft Sentinel, selezionare Eventiimprevistidi indagine & risposta>.
   2. Attendere alcuni minuti per il completamento della connessione.

3. Nel portale di Defender selezionare Panoramica.

4. Selezionare Connetti un'area di lavoro.

5. Scegliere l'area di lavoro da connettere e selezionare Avanti.

6. Leggere e comprendere le modifiche del prodotto associate alla connessione dell'area di lavoro. Queste modifiche includono:

   • Le tabelle di log, le query e le funzioni nell'area di lavoro Microsoft Sentinel sono disponibili anche nella ricerca avanzata all'interno del portale di Defender.
   • Il ruolo Collaboratore Microsoft Sentinel viene assegnato alle app Microsoft Threat Protection e WindowsDefenderATP all'interno della sottoscrizione.
   • Le regole di creazione degli eventi imprevisti di sicurezza Microsoft attive vengono disattivate per evitare incidenti duplicati. Questa modifica si applica solo alle regole di creazione degli eventi imprevisti per gli avvisi Microsoft e non ad altre regole di analisi.
   • Tutti gli avvisi correlati ai prodotti Defender XDR vengono trasmessi direttamente dal connettore dati Defender XDR principale per garantire la coerenza. Assicurarsi che gli eventi imprevisti e gli avvisi di questo connettore siano attivati nell'area di lavoro.

7. Selezionare Connetti.

Dopo aver connesso l'area di lavoro, il banner nella pagina Panoramica mostra che l'ambiente è pronto. La pagina Panoramica viene aggiornata con nuove sezioni che includono metriche di Microsoft Sentinel come il numero di connettori dati e le regole di automazione.

Esplorare Microsoft Sentinel funzionalità nel portale di Defender

Dopo aver connesso l'area di lavoro al portale di Defender, Microsoft Sentinel si trova nel riquadro di spostamento a sinistra. Se è stato abilitato Defender XDR, in pagine come Panoramica, Eventi imprevisti e Ricerca avanzata sono disponibili dati unificati da Microsoft Sentinel e Defender XDR. Se non è Defender XDR abilitato, queste pagine includono solo i dati di Microsoft Sentinel (anteprima). Per altre informazioni sulle funzionalità unificate e sulle differenze tra i portali, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Molte delle funzionalità di Microsoft Sentinel esistenti sono integrate nel portale di Defender. Per queste funzionalità, si noti che l'esperienza tra Microsoft Sentinel nel portale di Azure e nel portale di Defender è simile. Usare gli articoli seguenti per iniziare a usare Microsoft Sentinel nel portale di Defender. Quando si usano questi articoli, tenere presente che il punto di partenza in questo contesto è il portale di Defender anziché il portale di Azure.

• Ricerca
  • Eseguire ricerche in intervalli di tempo lunghi in set di dati di grandi dimensioni
  • Ripristinare i log archiviati dalla ricerca
• Gestione dei rischi
  • Visualizzare e monitorare i dati usando cartelle di lavoro
  • Eseguire la ricerca end-to-end delle minacce con Hunts
  • Usare segnalibri di ricerca per le indagini sui dati
  • Usare la ricerca di Livestream in Microsoft Sentinel per rilevare le minacce
  • Cercare le minacce alla sicurezza con i notebook di Jupyter
  • Aggiungere indicatori in blocco per Microsoft Sentinel intelligence sulle minacce da un file CSV o JSON
  • Usare gli indicatori di minaccia in Microsoft Sentinel
  • Informazioni sulla copertura della sicurezza da parte del framework MITRE ATT&CK
• Gestione del contenuto
  • Individuare e gestire Microsoft Sentinel contenuto predefinito
  • Microsoft Sentinel catalogo dell'hub di contenuto
  • Distribuire contenuto personalizzato dal repository
• Configurazione
  • Trovare il connettore dati Microsoft Sentinel
  • Creare regole di analisi personalizzate per rilevare le minacce
  • Usare le regole di analisi del rilevamento quasi in tempo reale (NRT) in Microsoft Sentinel
  • Creare elenchi di controllo
  • Gestire le watchlist in Microsoft Sentinel
  • Creare regole di automazione
  • Creare e personalizzare Microsoft Sentinel playbook dai modelli di contenuto

Trovare Microsoft Sentinel impostazioni nel portale di Defender inImpostazioni> di sistema>Microsoft Sentinel.

Offboard Microsoft Sentinel

È possibile avere una sola area di lavoro connessa al portale di Defender alla volta. Se si vuole connettersi a un'area di lavoro diversa con Microsoft Sentinel abilitata, disconnettere l'area di lavoro corrente e connettere l'altra area di lavoro.

1. Passare al portale di Microsoft Defender ed eseguire l'accesso.

2. Nel portale di Defender, in Sistema, selezionare Impostazioni>Microsoft Sentinel.

3. Nella pagina Aree di lavoro selezionare l'area di lavoro connessa e l'area di lavoro Disconnetti.

4. Specificare un motivo per cui si sta disconnettendo l'area di lavoro.

5. Confermare la selezione.

   Quando l'area di lavoro è disconnessa, la sezione Microsoft Sentinel viene rimossa dal riquadro di spostamento a sinistra del portale di Defender. I dati di Microsoft Sentinel non sono più inclusi nella pagina Panoramica.

Se si vuole connettersi a un'area di lavoro diversa, nella pagina Aree di lavoro selezionare l'area di lavoro e Connettere un'area di lavoro.

Contenuto correlato

• Microsoft Sentinel nel portale di Microsoft Defender
• Ricerca avanzata nel portale di Microsoft Defender
• Interruzione automatica degli attacchi in Microsoft Defender XDR
• Analizzare gli eventi imprevisti nel portale di Microsoft Defender
• Ottimizzare le operazioni di sicurezza