Descrivere il portale di Microsoft Defender

  • 6 minuti

Una piattaforma operativa di sicurezza unificata è un set di strumenti completamente integrato che consente ai team di sicurezza di prevenire, rilevare, analizzare e rispondere alle minacce nell'intero ambiente. Per Microsoft, questo significa offrire il meglio di SIEM, XDR, gestione del comportamento e intelligence sulle minacce con intelligenza artificiale generativa avanzata come una singola piattaforma.

Tramite il portale Microsoft Defender, Microsoft mantiene la promessa di una piattaforma operativa di sicurezza unificata che consenta di visualizzare l'integrità della sicurezza dell'organizzazione. Il portale Microsoft Defender combina le funzionalità di protezione, rilevamento, indagine e risposta alle minacce nell'intera organizzazione e in tutti i relativi componenti in un'unica posizione centralizzata.

Per accedere al portale è necessario avere un ruolo appropriato, ad esempio Amministratore globale, Amministratore della sicurezza, Operatore della sicurezza o un ruolo con autorizzazioni di lettura per la sicurezza in Microsoft Entra ID per accedere al portale di Microsoft Defender.

Il portale Defender offre diversi vantaggi, tra cui accesso rapido alle informazioni, layout più semplici e raggruppamento di informazioni correlate per semplificarne l'utilizzo.

Screenshot della home page del portale Microsoft Defender.

Nella home page del portale Microsoft Defender sono disponibili molte delle schede comuni necessarie per i team di sicurezza. La composizione di schede e dati dipende dal ruolo dell'utente. Poiché il portale Microsoft Defender usa il controllo degli accessi in base al ruolo, i vari ruoli vedono le schede più significative per le loro specifiche attività quotidiane.

Il portale Microsoft Defender consente di personalizzare la barra di spostamento per soddisfare le esigenze operative quotidiane. È possibile personalizzare la barra di spostamento per mostrare o nascondere funzioni e servizi in base alle preferenze specifiche. La personalizzazione è specifica per l'utente, quindi gli altri amministratori non vedranno queste modifiche.

Il riquadro di spostamento a sinistra consente di accedere facilmente alla suite di servizi di Microsoft Defender XDR. Si ottiene anche l'accesso a Microsoft Sentinel e molte altre funzionalità. Le sezioni che seguono forniscono una breve descrizione delle funzionalità accessibili dalla barra di spostamento a sinistra nel portale Microsoft Defender.

Gestione dell'esposizione

Microsoft Security Exposure Management è una soluzione di sicurezza che offre una visualizzazione unificata del comportamento di sicurezza tra asset e carichi di lavoro aziendali. Security Exposure Management arricchisce le informazioni sugli asset con il contesto di protezione che consente di gestire in modo proattivo le superfici di attacco, proteggere gli asset critici ed esplorare e attenuare i rischi di esposizione.

Con Gestione dell'esposizione in Security è possibile individuare e monitorare gli asset, ottenere informazioni dettagliate sulla sicurezza, analizzare aree di rischio specifiche con iniziative di sicurezza e tenere traccia delle metriche nell'organizzazione per migliorare la postura di sicurezza.

Superficie di attacco

Security Exposure Management genera automaticamente percorsi di attacco in base ai dati raccolti tra asset e carichi di lavoro. Simula scenari di attacco e identifica vulnerabilità e punti deboli che un utente malintenzionato potrebbe sfruttare.

Informazioni dettagliate sulla sicurezza

Le informazioni dettagliate sull'esposizione in Gestione dell'esposizione in Microsoft Security aggregano continuamente informazioni dettagliate e dati sulla postura di sicurezza di carichi di lavoro e risorse, in una singola pipeline.

  • Le iniziative offrono un modo semplice per valutare la preparazione a livello di sicurezza per un'area di sicurezza o un carico di lavoro specifico, oltre che per monitorare e misurare costantemente il rischio di esposizione per tale area o carico di lavoro nel tempo.
  • Le metriche in Gestione dell'esposizione in Microsoft Security misurano l'esposizione ai rischi per un ambito specifico di asset o risorse all'interno di un'iniziativa di sicurezza.
  • Le raccomandazioni consentono di comprendere lo stato di conformità per una specifica iniziativa di sicurezza.
  • Gli eventi consentono di monitorare le modifiche delle iniziative.

Punteggio di sicurezza

Microsoft Secure Score, uno degli strumenti del portale Microsoft Defender, è una rappresentazione della postura di sicurezza di un'azienda. Maggiore è il punteggio, migliore è la protezione. Da un dashboard centralizzato nel portale di Microsoft Defender, le organizzazioni possono monitorare e lavorare sulla sicurezza delle identità, delle app e dei dispositivi Microsoft 365.

Punteggio di sicurezza fornisce una suddivisione del punteggio, le azioni di miglioramento che possono aumentare il punteggio dell'organizzazione e il livello di confronto tra il punteggio di sicurezza dell'organizzazione e altre organizzazioni simili.

Connettori dati

Usando i connettori dati è possibile connettere origini dati per ottenere un'esperienza di gestione dell'esposizione più completa e centralizzata.

Indagine e reazione

La scheda Indagine e reazione include l'accesso a eventi imprevisti e avvisi, ricerca, azioni e invii e un catalogo dei partner.

Screenshot del portale Microsoft Defender che mostra le selezioni disponibili per Indagine e reazione. Si tratta di eventi imprevisti e avvisi, ricerca, azioni e invii e catalogo dei partner.

Eventi imprevisti e avvisi

Un evento imprevisto nel portale Microsoft Defender è una raccolta di avvisi, asset, indagini e prove correlati per offrire un'analisi completa dell'intera portata di un attacco. Funge da file del caso che il SOC può usare per analizzare l'attacco e gestire, implementare e documentare la risposta. Poiché il portale Microsoft Defender è basato su una piattaforma operativa di sicurezza unificata, è possibile visualizzare tutti gli eventi imprevisti, inclusi quelli generati dalla suite di soluzioni Microsoft Defender XDR, Microsoft Sentinel e altre soluzioni.

All'interno di un evento imprevisto è possibile analizzare gli avvisi che interessano sulla rete, comprenderne il significato e raccogliere le prove, in modo da poter definire un piano di correzione efficace. Le informazioni fornite per un evento imprevisto includono:

  • La storia completa dell'attacco, inclusi tutti gli avvisi, gli asset e le azioni correttive eseguite.
  • Tutti gli avvisi relativi all'evento imprevisto.
  • Tutti gli asset (dispositivi, utenti, caselle di posta e app) che sono stati identificati come parte di un evento imprevisto o correlati ad esso.
  • Tutte le indagini automatizzate attivate dagli avvisi nell'evento imprevisto.
  • Tutte le prove e le risposte supportate.

Se l'organizzazione ha eseguito l'onboarding di Microsoft Security Copilot, è anche possibile visualizzare un riepilogo degli eventi imprevisti, risposte guidate e altro ancora.

Caccia

La ricerca avanzata è uno strumento di ricerca delle minacce basato su query che consente di esplorare fino a 30 giorni di dati non elaborati, da Microsoft Defender XDR e Microsoft Sentinel. È possibile analizzare in modo proattivo gli eventi nella rete per individuare entità e indicatori di minaccia, mediante query di ricerca. Le query di ricerca possono essere create tramite l'editor di query, se si ha familiarità con il linguaggio di query Kusto (KQL), usando un generatore di query o tramite Security Copilot. Per gli utenti di cui è stato eseguito l'onboarding in Microsoft Security Copilot, è possibile effettuare una richiesta o porre una domanda in linguaggio naturale e Security Copilot genera una query KQL che corrisponde alla richiesta.

È possibile usare le stesse query di ricerca delle minacce per creare regole di rilevamento personalizzate. Queste regole vengono eseguite automaticamente per verificare e quindi rispondere all'attività di violazione sospetta, ai computer configurati in modo errato e ad altri risultati.

Screenshot della pagina ricerca avanzata nel portale Microsoft Defender.

Azioni e invii

Il centro notifiche unificato riunisce le azioni di correzione di Microsoft Defender per endpoint e Microsoft Defender per Office 365. Elenca le azioni di correzione in sospeso e completate per i dispositivi, i contenuti di posta elettronica e collaborazione e le identità in un'unica posizione.

Nelle organizzazioni Microsoft 365 con cassette postali di Exchange Online, gli amministratori possono usare la pagina Invii nel portale Microsoft Defender per inviare messaggi, URL e allegati a Microsoft per farli esaminare.

Catalogo del partner

Il catalogo dei partner elenca i partner tecnologici e i servizi professionali supportati che consentono all'organizzazione di migliorare le funzionalità di rilevamento, indagine e intelligence sulle minacce della piattaforma.

Intelligence per le minacce

Dalla scheda Intelligence sulle minacce gli utenti accedono a Microsoft Defender Threat Intelligence. Per altre informazioni, vedere l'unità "Descrivere Microsoft Defender Threat Intelligence".

Asset

La scheda Asset consente di visualizzare e gestire l'inventario dell'organizzazione di asset protetti e individuati (dispositivi e identità).

L'inventario dei dispositivi mostra un elenco dei dispositivi nella rete in cui sono stati generati avvisi. Per impostazione predefinita, la coda mostra i dispositivi visualizzati negli ultimi 30 giorni. A colpo d'occhio si possono esaminare informazioni quali dominio, livello di rischio, piattaforma del sistema operativo e altri dettagli, per identificare facilmente i dispositivi più a rischio.

L'inventario delle identità offre una visualizzazione completa di tutte le identità aziendali, sia cloud che locali.

Microsoft Sentinel

Alcune funzionalità di Microsoft Sentinel, come la coda unificata degli eventi imprevisti, sono accessibili tramite la pagina degli eventi imprevisti e degli avvisi del portale Defender, insieme agli eventi imprevisti di altri servizi di Microsoft Defender. Molte altre funzionalità di Microsoft Sentinel sono disponibili nella sezione Microsoft Sentinel del portale di Defender.

Per altre informazioni, vedere il modulo "Descrivere le funzionalità in Microsoft Sentinel", il cui collegamento è incluso nell'unità Riepilogo e risorse.

Screenshot del nodo Microsoft Sentinel nel pannello di spostamento del portale Microsoft Defender.

Identità

Il nodo Identità nel pannello di spostamento sinistro del portale Defender è collegato alle funzionalità associate a Microsoft Defender per identità. Per altre informazioni, vedere l'unità "Descrivere Microsoft Defender per identità".

Screenshot del nodo Identità nel pannello di spostamento sinistro del portale Microsoft Defender.

Endpoint

Il nodo Endpoint nel pannello di spostamento sinistro del portale Defender è collegato alle funzionalità associate a Microsoft Defender per identità. Per altre informazioni, vedere l'unità "Descrivere Microsoft Defender per endpoint".

Screenshot del nodo endpoint nel pannello di spostamento sinistro del portale Microsoft Defender.

Posta elettronica e collaborazione

Il nodo Posta elettronica e collaborazione nel pannello di spostamento a sinistra è la posizione in cui sono disponibili le funzionalità di Microsoft Defender per Office 365 che consentono di monitorare e analizzare le minacce alla posta elettronica degli utenti, monitorare le campagne e altro ancora. Per altre informazioni, vedere l'unità "Descrivere Microsoft Defender per Office 365".

Screenshot del nodo di Posta elettronica e collaborazione nel pannello di spostamento del portale Microsoft Defender.

App cloud

Il nodo App cloud nel pannello di spostamento a sinistra è la posizione in cui sono disponibili le funzionalità di Microsoft Defender for Cloud Apps. Per altre informazioni, vedere l'unità "Descrivere Microsoft Defender for Cloud Apps".

Screenshot del nodo App cloud nel pannello di spostamento del portale Microsoft Defender.

Ottimizzazione SOC

I team del Centro operazioni per la sicurezza (SOC) cercano attivamente opportunità per ottimizzare sia i processi che i risultati.

L'ottimizzazione SOC illustra i modi in cui è possibile ottimizzare i controlli di sicurezza, ottenendo più valore dai servizi Microsoft Security man mano che il tempo va avanti.

Screenshot della pagina Ottimizzazione SOC nel portale Microsoft Defender.

Report

I report sono unificati nel portale Microsoft Defender. Gli amministratori possono iniziare con un report della sicurezza generale e passare a report specifici sugli endpoint, la posta elettronica e la collaborazione, le app cloud, l'infrastruttura e le identità. I collegamenti disponibili qui vengono generati dinamicamente in base alla configurazione del carico di lavoro.

Screenshot della pagina dei report nel portale Microsoft Defender.

Hub di apprendimento

L'hub di apprendimento collega a Microsoft Learn in cui è possibile accedere a corsi di formazione, esercitazioni, documentazione e altro materiale pertinente.

Sistema

L'opzione Sistema nel portale Defender include selezioni per configurare le autorizzazioni, visualizzare l'integrità dei servizi e le impostazioni generali.