Inserire Microsoft Defender per gli avvisi cloud per Microsoft Sentinel

Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Defender per le protezioni integrate del carico di lavoro cloud del cloud consentono di rilevare e rispondere rapidamente alle minacce nei carichi di lavoro ibridi e multicloud. Il connettore Microsoft Defender per cloud consente di inserire gli avvisi di sicurezza da Defender per cloud in Microsoft Sentinel, in modo da poter visualizzare, analizzare e rispondere agli avvisi di Defender e agli eventi imprevisti generati in un contesto di minaccia aziendale più ampio.

Microsoft Defender per i piani di Cloud Defender sono abilitati per ogni sottoscrizione. Anche se il connettore legacy di Microsoft Sentinel per Defender for Cloud Apps è configurato per ogni sottoscrizione, il Microsoft Defender basato su tenant per il connettore cloud, in anteprima, consente di raccogliere gli avvisi di Defender for Cloud sull'intero tenant senza dover abilitare ogni sottoscrizione separatamente. Il connettore basato su tenant funziona anche con l'integrazione di Defender per cloud con Microsoft Defender XDR per garantire che tutti gli avvisi di Defender for Cloud siano completamente inclusi in tutti gli eventi imprevisti ricevuti tramite l'integrazione degli eventi imprevisti Microsoft Defender XDR.

Sincronizzazione degli avvisi:
- Quando si connette Microsoft Defender per cloud a Microsoft Sentinel, lo stato degli avvisi di sicurezza che vengono inseriti in Microsoft Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per cloud, l'avviso viene visualizzato come chiuso anche in Microsoft Sentinel.
- La modifica dello stato di un avviso in Defender per cloud non influirà sullo stato di eventuali eventi imprevisti Microsoft Sentinel che contengono l'avviso Microsoft Sentinel, solo quello dell'avviso stesso.
Sincronizzazione degli avvisi bidirezionali: l'abilitazione della sincronizzazione bidirezionale sincronizza automaticamente lo stato degli avvisi di sicurezza originali con quello degli eventi imprevisti Microsoft Sentinel che contengono tali avvisi. Ad esempio, quando viene chiuso un evento imprevisto Microsoft Sentinel contenente avvisi di sicurezza, l'avviso originale corrispondente viene chiuso automaticamente in Microsoft Defender per cloud.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud del governo degli Stati Uniti, vedere le tabelle Microsoft Sentinel in Disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Nota

Il connettore non supporta la sincronizzazione degli avvisi dalle sottoscrizioni di proprietà di altri tenant, anche quando Lighthouse è abilitato per tali tenant.

Prerequisiti

È necessario usare Microsoft Sentinel nel portale di Azure. Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, gli avvisi di Defender for Cloud vengono già inseriti in Microsoft Defender XDR e il connettore dati Microsoft Defender basato su tenant per cloud (anteprima) non è elencato nella pagina Connettori dati del portale di Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Se è stato eseguito l'onboarding di Microsoft Sentinel nel portale di Defender, è comunque consigliabile installare la soluzione Microsoft Defender for Cloud per usare il contenuto di sicurezza predefinito con Microsoft Sentinel.

Se si usa Microsoft Sentinel nel portale di Defender senza Microsoft Defender XDR, questa procedura è ancora pertinente.
È necessario disporre dei ruoli e delle autorizzazioni seguenti:
- È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Microsoft Sentinel.
- È necessario avere il ruolo Collaboratore o Proprietario nella sottoscrizione a cui si vuole connettersi Microsoft Sentinel.
- Per abilitare la sincronizzazione bidirezionale, è necessario avere il ruolo Collaboratore o Sicurezza Amministrazione nella sottoscrizione pertinente.
È necessario abilitare almeno un piano all'interno di Microsoft Defender per cloud per ogni sottoscrizione in cui si vuole abilitare il connettore. Per abilitare Microsoft Defender piani in una sottoscrizione, è necessario disporre del ruolo Sicurezza Amministrazione per tale sottoscrizione.
È necessario che il SecurityInsights provider di risorse sia registrato per ogni sottoscrizione in cui si vuole abilitare il connettore. Esaminare le indicazioni sullo stato di registrazione del provider di risorse e sui modi per registrarlo.

Connettersi a Microsoft Defender per il cloud

In Microsoft Sentinel installare la soluzione per Microsoft Defender per il clouddall'hub contenuti. Per altre informazioni, vedere Individuare e gestire Microsoft Sentinel contenuto predefinito.
Selezionare Connettori dati di configurazione>.
Nella pagina Connettori dati selezionare il Microsoft Defender basato su sottoscrizione per cloud (legacy) o il connettore Microsoft Defender basato su tenant per cloud (anteprima) e quindi selezionare Apri pagina connettore.
In Configurazione verrà visualizzato un elenco delle sottoscrizioni nel tenant e lo stato della connessione a Microsoft Defender per cloud. Selezionare l'interruttore Stato accanto a ogni sottoscrizione di cui si vuole eseguire lo streaming degli avvisi in Microsoft Sentinel. Per connettere più sottoscrizioni contemporaneamente, è possibile contrassegnare le caselle di controllo accanto alle sottoscrizioni pertinenti e quindi selezionare il pulsante Connetti sulla barra sopra l'elenco.
- Le caselle di controllo e Gli interruttori Connetti sono attivi solo nelle sottoscrizioni per le quali si dispone delle autorizzazioni necessarie.
- Il pulsante Connetti è attivo solo se è stata contrassegnata almeno una casella di controllo della sottoscrizione.
Per abilitare la sincronizzazione bidirezionale in una sottoscrizione, individuare la sottoscrizione nell'elenco e scegliere Abilitato dall'elenco a discesa nella colonna Sincronizzazione bidirezionale . Per abilitare la sincronizzazione bidirezionale in più sottoscrizioni contemporaneamente, contrassegnarne le caselle di controllo e selezionare il pulsante Abilita sincronizzazione bidirezionale sulla barra sopra l'elenco.
- Le caselle di controllo e gli elenchi a discesa sono attivi solo nelle sottoscrizioni per le quali si dispone delle autorizzazioni necessarie.
- Il pulsante Abilita sincronizzazione bidirezionale è attivo solo se è stata contrassegnata almeno una casella di controllo della sottoscrizione.
Nella colonna Microsoft Defender piani dell'elenco è possibile verificare se Microsoft Defender piani sono abilitati nella sottoscrizione, che è un prerequisito per l'abilitazione del connettore.

Il valore per ogni sottoscrizione in questa colonna è vuoto, ovvero non sono abilitati piani di Defender, Tutti abilitati o Alcuni abilitati. Quelli che dicono Alcuni abilitati hanno anche un collegamento Abilita tutto che è possibile selezionare, che consente di accedere al Microsoft Defender per il dashboard di configurazione cloud per la sottoscrizione, in cui è possibile scegliere i piani di Defender da abilitare.

Il pulsante di collegamento Abilita Microsoft Defender per tutte le sottoscrizioni sulla barra sopra l'elenco consente di accedere alla pagina Microsoft Defender per Cloud Introduzione, in cui è possibile scegliere le sottoscrizioni da abilitare completamente Microsoft Defender per cloud. Ad esempio:
È possibile selezionare se si desidera che gli avvisi di Microsoft Defender per Cloud generino automaticamente eventi imprevisti in Microsoft Sentinel. In Crea eventi imprevisti selezionare Abilitato per attivare la regola di analisi predefinita che crea automaticamente eventi imprevisti dagli avvisi. È quindi possibile modificare questa regola in Analisi nella scheda Regole attive .

Consiglio

Quando si configurano regole di analisi personalizzate per gli avvisi da Microsoft Defender per cloud, considerare la gravità dell'avviso per evitare l'apertura di eventi imprevisti per gli avvisi informativi.

Gli avvisi informativi in Microsoft Defender per il cloud non rappresentano da soli un rischio per la sicurezza e sono rilevanti solo nel contesto di un evento imprevisto aperto esistente. Per altre informazioni, vedere Avvisi di sicurezza e eventi imprevisti in Microsoft Defender per il cloud.

Trovare e analizzare i dati

Gli avvisi di sicurezza vengono archiviati nella tabella SecurityAlert nell'area di lavoro Log Analytics. Per eseguire query sugli avvisi di sicurezza in Log Analytics, copiare quanto segue nella finestra di query come punto di partenza:

SecurityAlert 
| where ProductName == "Azure Security Center"

La sincronizzazione degli avvisi in entrambe le direzioni può richiedere alcuni minuti. Le modifiche apportate allo stato degli avvisi potrebbero non essere visualizzate immediatamente.

Per altre utili query di esempio, modelli di regole di analisi e cartelle di lavoro consigliate, vedere la scheda Passaggi successivi nella pagina del connettore.

In questo documento si è appreso come connettere Microsoft Defender per Cloud per Microsoft Sentinel e sincronizzare gli avvisi tra di essi. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
Introduzione al rilevamento delle minacce con Microsoft Sentinel.
Scrivere regole personalizzate per rilevare le minacce.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-23