Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft

Gli avvisi attivati nelle soluzioni di sicurezza Microsoft connesse a Microsoft Sentinel, ad esempio Microsoft Defender for Cloud Apps e Microsoft Defender per identità, non creano automaticamente eventi imprevisti in Microsoft Sentinel. Per impostazione predefinita, quando si connette una soluzione Microsoft a Microsoft Sentinel, qualsiasi avviso generato in tale servizio verrà archiviato come dati non elaborati in Microsoft Sentinel, nella tabella SecurityAlert nell'area di lavoro di Microsoft Sentinel. È quindi possibile usare tali dati come tutti gli altri dati non elaborati inseriti in Microsoft Sentinel.

È possibile configurare facilmente Microsoft Sentinel per creare automaticamente eventi imprevisti ogni volta che viene attivato un avviso in una soluzione di sicurezza Microsoft connessa seguendo le istruzioni riportate in questo articolo.

Prerequisiti

Connettere la soluzione di sicurezza installando la soluzione appropriata dall'hub del contenuto in Microsoft Sentinel e configurando il connettore dati. Per altre informazioni, vedere Individuare e gestire il contenuto predefinito di Microsoft Sentinel e i connettori dati di Microsoft Sentinel.

Uso delle regole di analisi per la creazione di eventi imprevisti di Microsoft Security

Usare i modelli di regola disponibili in Microsoft Sentinel per scegliere quali soluzioni di sicurezza Microsoft connesse devono creare automaticamente eventi imprevisti di Microsoft Sentinel. È anche possibile modificare le regole per definire opzioni più specifiche in modo da filtrare gli avvisi generati dalla soluzione di sicurezza Microsoft che devono creare eventi imprevisti in Microsoft Sentinel. Ad esempio, è possibile indicare che gli eventi imprevisti di Microsoft Sentinel devono essere creati automaticamente solo a partire da avvisi di Microsoft Defender for Cloud associati a un livello di gravità alto.

1. Nel portale di Azure in Microsoft Sentinel selezionare Analisi.

2. Selezionare la scheda Modelli di regola per visualizzare tutti i modelli di regola di analisi. Per trovare altri modelli di regola, passare all'hub del contenuto in Microsoft Sentinel.

   

3. Scegliere il modello di regola di Analisi della sicurezza Microsoft che si vuole usare e selezionare Crea regola.

   

4. È possibile modificare i dettagli della regola e scegliere di filtrare gli avvisi che creeranno gli eventi imprevisti in base alla gravità dell'avviso o al testo contenuto nel nome dell'avviso.

   Ad esempio, se si sceglie Microsoft Defender for Cloud nel campo Servizio di sicurezza Microsoft e si sceglie Alto nel campo Filtra per gravità, solo gli avvisi di sicurezza con gravità elevata creeranno automaticamente eventi imprevisti in Microsoft Sentinel.

   

5. È anche possibile creare una nuova regola di sicurezza Microsoft che filtra gli avvisi da diversi servizi di sicurezza Microsoft facendo clic su +Crea e selezionando regola di creazione degli eventi imprevisti Microsoft.

   

   È possibile creare più regole di analisi della sicurezza Microsoft per ogni tipo di servizio di sicurezza Microsoft . Non vengono creati eventi imprevisti duplicati perché ogni regola viene usata come filtro. Anche se un avviso corrisponde a più di una regola di analisi della sicurezza Microsoft , crea solo un evento imprevisto di Microsoft Sentinel.

Abilitare automaticamente la generazione di eventi imprevisti durante la connessione

Quando si connette una soluzione di sicurezza Microsoft, è possibile scegliere se gli avvisi di tale soluzione devono o meno generare automaticamente eventi imprevisti in Microsoft Sentinel.

1. Connettere un'origine dati della soluzione di sicurezza Microsoft.

   

2. In Crea eventi imprevisti selezionare Abilita per abilitare la regola di analisi predefinita che crea automaticamente eventi imprevisti dagli avvisi generati nel servizio di sicurezza connesso. È quindi possibile modificare questa regola in Analisi e quindi Active rules (Regole attive).

Passaggi successivi

• Per iniziare a usare Microsoft Sentinel, è necessaria una sottoscrizione a Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per una versione di valutazione gratuita.
• Informazioni su come eseguire l'onboarding dei dati in Microsoft Sentinel e ottenere visibilità sui dati e sulle potenziali minacce.