Distribuire la piattaforma SecOps unificata di Microsoft

La piattaforma di operazioni di sicurezza unificata di Microsoft combina le funzionalità di Microsoft Defender portale, Microsoft Sentinel e altri servizi Microsoft Defender. Questa piattaforma offre una panoramica completa del comportamento di sicurezza dell'organizzazione e consente di rilevare, analizzare e rispondere alle minacce all'interno dell'organizzazione.

Gestione dell'esposizione in Microsoft Security e Microsoft Threat Intelligence sono disponibili in qualsiasi ambiente che soddisfi i prerequisiti per gli utenti configurati con le autorizzazioni necessarie.

Prerequisiti

• Prima di distribuire la piattaforma per le operazioni di sicurezza unificata di Microsoft, assicurarsi di disporre di un piano, tra cui una progettazione dell'area di lavoro e una comprensione dei costi e della fatturazione Microsoft Sentinel.

  Per altre informazioni, vedere Panoramica della pianificazione della piattaforma unificato per le operazioni di sicurezza.

Distribuire Microsoft Defender XDR servizi

Microsoft Defender XDR unifica la risposta agli eventi imprevisti integrando le funzionalità chiave tra i servizi, tra cui Microsoft Defender per endpoint, Microsoft Defender per Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender per identità. Questa esperienza unificata aggiunge potenti funzionalità a cui è possibile accedere nel portale di Microsoft Defender.

1. Microsoft Defender XDR si attiva automaticamente quando i clienti idonei con le autorizzazioni necessarie visitano Microsoft Defender portale. Per altre informazioni, vedere Attivare Microsoft Defender XDR.

2. Continuare distribuendo Microsoft Defender XDR servizi. È consigliabile usare l'ordine seguente:

   1. Distribuire Microsoft Defender per identità.

   2. Distribuire Microsoft Defender per Office 365.

   3. Distribuire Microsoft Defender per endpoint. Aggiungere Gestione delle vulnerabilità di Microsoft Defender e/o il monitoraggio aziendale per i dispositivi IoT, in base all'ambiente in uso.

   4. Distribuire Microsoft Defender for Cloud Apps.

Configurare Microsoft Entra ID Protection

Microsoft Defender XDR può inserire e includere segnali provenienti da Microsoft Entra ID Protection, che valuta i dati di rischio da miliardi di tentativi di accesso e valuta il rischio di ogni accesso all'ambiente. Microsoft Entra ID Protection dati vengono usati da Microsoft Entra ID per consentire o impedire l'accesso all'account, a seconda della configurazione dei criteri di accesso condizionale.

Configurare Microsoft Entra ID Protection per migliorare il comportamento di sicurezza e aggiungere segnali Microsoft Entra alle operazioni di sicurezza unificate. Per altre informazioni, vedere Configurare i criteri di Microsoft Entra ID Protection.

Distribuire Microsoft Defender per il cloud

Microsoft Defender per il cloud offre un'esperienza di gestione unificata della sicurezza per le risorse cloud e può anche inviare segnali a Microsoft Defender XDR. Ad esempio, è possibile iniziare connettendo le sottoscrizioni di Azure a Microsoft Defender per il cloud e quindi passando ad altri ambienti cloud.

Per altre informazioni, vedere Connettere le sottoscrizioni di Azure.

Eseguire l'onboarding in Microsoft Security Copilot

Eseguire l'onboarding per Microsoft Security Copilot per migliorare le operazioni di sicurezza sfruttando funzionalità di intelligenza artificiale avanzate. Security Copilot aiuta nel rilevamento, nell'analisi e nella risposta delle minacce, fornendo informazioni dettagliate e consigli utili per rimanere al passo con le potenziali minacce. Usare Security Copilot per automatizzare le attività di routine, ridurre il tempo necessario per rilevare e rispondere agli eventi imprevisti e migliorare l'efficienza complessiva del team di sicurezza.

Per altre informazioni, vedere Introduzione a Security Copilot.

Progettare l'area di lavoro ed eseguire l'onboarding in Microsoft Sentinel

Il primo passaggio per l'uso di Microsoft Sentinel consiste nel creare un'area di lavoro Log Analytics, se non è già disponibile. Una singola area di lavoro Log Analytics potrebbe essere sufficiente per molti ambienti, ma molte organizzazioni creano più aree di lavoro per ottimizzare i costi e soddisfare meglio i diversi requisiti aziendali. La piattaforma di operazioni di sicurezza unificata di Microsoft supporta solo una singola area di lavoro.

1. Creare un gruppo di risorse di sicurezza a scopo di governance, che consente di isolare le risorse Microsoft Sentinel e l'accesso in base al ruolo alla raccolta.
2. Creare un'area di lavoro Log Analytics nel gruppo di risorse Sicurezza ed eseguirne l'onboarding Microsoft Sentinel.

Per altre informazioni, vedere Onboarding Microsoft Sentinel.For more information, see Onboard Microsoft Sentinel.

Configurare ruoli e autorizzazioni

Effettuare il provisioning degli utenti in base al piano di accesso preparato in precedenza. Per rispettare Zero Trust principi, è consigliabile usare il controllo degli accessi in base al ruolo per fornire l'accesso utente solo alle risorse consentite e rilevanti per ogni utente, anziché fornire l'accesso all'intero ambiente.

Per altre informazioni, vedere:

• Attivare Microsoft Defender XDR controllo degli accessi in base al ruolo unificato
• Assegnare ruoli di Microsoft Entra ID agli utenti
• Concedere a un utente l'accesso ai ruoli di Azure

Eseguire l'onboarding in secOps unificati

Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, si unificano le funzionalità con Microsoft Defender XDR come la gestione degli eventi imprevisti e la ricerca avanzata, creando una piattaforma SecOps unificata.

1. Installare la soluzione Microsoft Defender XDR per Microsoft Sentinel dall'hub contenuto. Per altre informazioni, vedere Distribuire e gestire il contenuto predefinito.
2. Abilitare il connettore dati Microsoft Defender XDR per raccogliere eventi imprevisti e avvisi. Per altre informazioni, vedere Connettere dati da Microsoft Defender XDR a Microsoft Sentinel.
3. Eseguire l'onboarding nella piattaforma SecOps unificata di Microsoft. Per altre informazioni, vedere Connettere Microsoft Sentinel a Microsoft Defender.

Ottimizzare le configurazioni di sistema

Usare le opzioni di configurazione Microsoft Sentinel seguenti per ottimizzare la distribuzione:

Abilitare l'integrità e il controllo

Monitorare l'integrità e controllare l'integrità delle risorse di Microsoft Sentinel supportate attivando la funzionalità di controllo e monitoraggio dell'integrità nella pagina Impostazioni di Microsoft Sentinel. Ottenere informazioni dettagliate sulle deviazioni di integrità, ad esempio gli eventi di errore più recenti o le modifiche dagli stati di esito positivo a quello di errore e sulle azioni non autorizzate, e usare queste informazioni per creare notifiche e altre azioni automatizzate.

Per altre informazioni, vedereAttivare il controllo e il monitoraggio dell'integrità per Microsoft Sentinel.

Configurare Microsoft Sentinel contenuto

In base alle origini dati selezionate durante la pianificazione della distribuzione, installare Microsoft Sentinel soluzioni e configurare i connettori dati. Microsoft Sentinel offre un'ampia gamma di soluzioni predefinite e connettori dati, ma è anche possibile creare connettori personalizzati e configurare i connettori per inserire i log CEF o Syslog.

Per altre informazioni, vedere:

• Configurare il contenuto
• Individuare e gestire Microsoft Sentinel contenuto predefinito
• Trovare il connettore dati

Abilitare User and Entity Behavior Analytics (UEBA)

Dopo aver configurato i connettori dati in Microsoft Sentinel, assicurarsi di abilitare l'analisi del comportamento delle entità utente per identificare comportamenti sospetti che potrebbero causare exploit di phishing e, infine, attacchi come ransomware. Per altre informazioni, vedere Abilitare UEBA in Microsoft Sentinel.

Configurare la conservazione dei dati interattiva e a lungo termine

Configurare la conservazione dei dati interattiva e a lungo termine per assicurarsi che l'organizzazione conservi i dati importanti a lungo termine. Per altre informazioni, vedere Configurare la conservazione dei dati interattiva e a lungo termine.

Abilitare le regole di analisi

Le regole di analisi indicano a Microsoft Sentinel di inviare avvisi agli eventi usando un set di condizioni che si ritiene importanti. Le decisioni predefinite Microsoft Sentinel prendono si basano sull'analisi del comportamento dell'entità utente (UEBA) e sulle correlazioni dei dati tra più origini dati. Quando si attivano le regole di analisi per Microsoft Sentinel, assegnare priorità all'abilitazione tramite origini dati connesse, rischi dell'organizzazione e tattica MITRE.

Per altre informazioni, vedere Rilevamento delle minacce in Microsoft Sentinel.

Esaminare le regole di anomalia

Microsoft Sentinel regole di anomalie sono disponibili predefinite e abilitate per impostazione predefinita. Le regole di anomalie si basano su modelli di Machine Learning e UEBA che eseguono il training dei dati nell'area di lavoro per contrassegnare il comportamento anomalo tra utenti, host e altri. Esaminare le regole di anomalia e la soglia del punteggio anomalie per ognuna di esse. Se si osservano falsi positivi, ad esempio, è consigliabile duplicare la regola e modificare la soglia.

Per altre informazioni, vedere Usare le regole di analisi del rilevamento anomalie.

Usare la regola di analisi di Microsoft Threat Intelligence

Abilitare la regola predefinita di analisi di Microsoft Threat Intelligence e verificare che questa regola corrisponda ai dati di log con l'intelligence sulle minacce generata da Microsoft. Microsoft dispone di un vasto repository di dati di intelligence sulle minacce e questa regola analitica ne usa un subset per generare avvisi e eventi imprevisti ad alta fedeltà per i team SOC (security operations center) da valutare.

Evitare eventi imprevisti duplicati

Dopo aver connesso Microsoft Sentinel a Microsoft Defender, viene stabilita automaticamente una sincronizzazione bidirezionale tra eventi imprevisti Microsoft Defender XDR e Microsoft Sentinel. Per evitare la creazione di eventi imprevisti duplicati per gli stessi avvisi, è consigliabile disattivare tutte le regole di creazione di eventi imprevisti Microsoft per i prodotti integrati Microsoft Defender XDR, tra cui Defender per endpoint, Defender per identità, Defender per Office 365, Defender for Cloud Apps e Microsoft Entra ID Protection.

Per altre informazioni, vedere Creazione di eventi imprevisti Microsoft .

Condurre un crosswalk mitre ATT&CK

Con le regole di analisi di fusion, anomalie e intelligence sulle minacce abilitate, eseguire un mitre Att&crosswalk ck per decidere quali regole analitica rimanenti abilitare e completare l'implementazione di un processo XDR (rilevamento e risposta estesi) maturo. Ciò consente di rilevare e rispondere per tutto il ciclo di vita di un attacco.

Per altre informazioni, vedere Informazioni sulla copertura della sicurezza.