Inserire Microsoft Defender per il cloud eventi imprevisti con l'integrazione di Microsoft Defender XDR
Microsoft Defender per il cloud è ora integrato con Microsoft Defender XDR, noto in precedenza come Microsoft 365 Defender. Questa integrazione consente a Defender XDR di raccogliere avvisi da Defender per il cloud e creare eventi imprevisti XDR di Defender da essi.
Grazie a questa integrazione, i clienti di Microsoft Sentinel che abilitano l'integrazione degli eventi imprevisti XDR di Defender possono ora inserire e sincronizzare Defender per il cloud eventi imprevisti tramite Microsoft Defender XDR.
Per supportare questa integrazione, è necessario configurare uno dei connettori dati di Microsoft Defender per il cloud seguenti; in caso contrario, gli eventi imprevisti per Microsoft Defender per il cloud provenienti dal connettore Microsoft Defender XDR non visualizzerà gli avvisi e le entità associati:
Microsoft Sentinel ha un nuovo connettore di Microsoft Defender per il cloud basato su tenant (anteprima). Questo connettore consente ai clienti di Microsoft Sentinel di ricevere avvisi Defender per il cloud per l'intero tenant, senza dover monitorare e gestire la registrazione del connettore a tutte le sottoscrizioni Defender per il cloud. È consigliabile usare questo nuovo connettore, perché anche l'integrazione di Microsoft Defender XDR con Microsoft Defender per il cloud viene implementata a livello di tenant.
In alternativa, è possibile usare il connettore Microsoft Defender per il cloud (legacy) basato su sottoscrizione. Questo connettore non è consigliato perché se sono presenti sottoscrizioni Defender per il cloud non connesse a Microsoft Sentinel nel connettore, gli eventi imprevisti di tali sottoscrizioni non visualizzerà gli avvisi e le entità associati.
Entrambi i connettori indicati in precedenza possono essere usati per inserire avvisi Defender per il cloud, indipendentemente dal fatto che sia abilitata l'integrazione degli eventi imprevisti XDR di Defender.
Importante
L'integrazione Defender per il cloud con Defender XDR è ora disponibile a livello generale.
Il connettore di Microsoft Defender per il cloud basato sul tenant è attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Scegliere come usare questa integrazione e il nuovo connettore
Il modo in cui si sceglie di usare questa integrazione e se si desidera inserire eventi imprevisti completi o semplicemente avvisi dipenderà in gran parte da ciò che si sta già facendo per quanto riguarda gli eventi imprevisti di Microsoft Defender XDR.
Se si stanno già inseriscendo eventi imprevisti XDR di Defender o se si sceglie di iniziare a farlo ora, è consigliabile abilitare questo nuovo connettore basato su tenant. Gli eventi imprevisti XDR di Defender includeranno ora eventi imprevisti basati su Defender per il cloud con avvisi completamente popolati da tutte le sottoscrizioni Defender per il cloud nel tenant.
Se, in questa situazione, si rimane con il connettore di Defender per il cloud basato su sottoscrizione legacy e non si connette il nuovo connettore basato su tenant, è possibile ricevere Defender per il cloud eventi imprevisti che contengono avvisi vuoti (nel caso di una sottoscrizione a cui il connettore non è registrato).
Se non si intende abilitare l'integrazione degli eventi imprevisti di Microsoft Defender XDR, è comunque possibile ricevere avvisi Defender per il cloud, indipendentemente dalla versione del connettore abilitata. Tuttavia, il nuovo connettore basato su tenant offre comunque il vantaggio di non avere bisogno delle autorizzazioni per monitorare e gestire l'elenco di sottoscrizioni Defender per il cloud nel connettore.
Se è stata abilitata l'integrazione XDR di Defender, ma si vogliono ricevere solo avvisi Defender per il cloud ma non eventi imprevisti, è possibile usare le regole di automazione per chiudere immediatamente Defender per il cloud eventi imprevisti non appena arrivano.
Se non si tratta di una soluzione adeguata o se si desidera comunque raccogliere avvisi da Defender per il cloud per sottoscrizione, è possibile rifiutare esplicitamente l'integrazione Defender per il cloud nel portale di Microsoft Defender XDR e quindi usare la versione legacy basata sulla sottoscrizione del Defender per il cloud connettore per ricevere tali avvisi.
Configurare l'integrazione in Microsoft Sentinel
Se non è già stata abilitata l'integrazione degli eventi imprevisti nel connettore Microsoft 365 Defender, eseguire prima di tutto questa operazione.
Abilitare quindi il nuovo connettore Microsoft Defender per il cloud basato su tenant (anteprima). Questo connettore è disponibile tramite la soluzione Microsoft Defender per il cloud, versione 3.0.0, nell'hub del contenuto. Se si ha una versione precedente di questa soluzione, è possibile aggiornarla nell'hub del contenuto.
Se in precedenza è stato abilitato il connettore di Defender per il cloud legacy basato su sottoscrizione (che verrà visualizzato come Microsoft Defender per il cloud basata su sottoscrizione (legacy), è consigliabile disabilitarlo per impedire la duplicazione degli avvisi nei log.
Se sono presenti regole pianificate o di analisi della sicurezza Microsoft che creano eventi imprevisti da avvisi Defender per il cloud, è consigliabile disabilitare queste regole, perché si riceveranno eventi imprevisti pronti creati da e sincronizzati con Microsoft 365 Defender.
Se sono presenti tipi specifici di avvisi Defender per il cloud per cui non si desidera creare eventi imprevisti, è possibile usare le regole di automazione per chiudere immediatamente questi eventi imprevisti oppure usare le funzionalità di ottimizzazione predefinite nel portale di Microsoft 365 Defender.
Passaggi successivi
In questo articolo si è appreso come usare l'integrazione di Microsoft Defender per il cloud con Microsoft Defender XDR per inserire eventi imprevisti e avvisi in Microsoft Sentinel.
Altre informazioni sull'integrazione Microsoft Defender per il cloud con Microsoft Defender XDR.
- Vedere Microsoft Defender per il cloud in Microsoft Defender XDR e in particolare la sezione Impatto per gli utenti di Microsoft Sentinel nella documentazione di Microsoft Defender XDR.
- Vedere Avvisi e eventi imprevisti in Microsoft 365 Defender (anteprima) nella documentazione di Microsoft Defender per il cloud.