Condividi tramite


Microsoft Sentinel nel portale di Microsoft Defender

Questo articolo descrive l'esperienza di Microsoft Sentinel nel portale di Microsoft Defender. Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedi:

Funzionalità nuove e migliorate

La tabella seguente descrive le funzionalità nuove o migliorate disponibili nel portale di Defender con l'integrazione di Microsoft Sentinel e Defender XDR.

Funzionalità Descrizione
Rilevazione avanzata Eseguire query da un singolo portale in set di dati diversi per rendere più efficiente la ricerca e rimuovere la necessità di cambiare contesto. Usare Copilot per la sicurezza per generare KQL. Visualizzare ed eseguire query su tutti i dati, inclusi i dati dei servizi di sicurezza Microsoft e Microsoft Sentinel. Usare tutto il contenuto esistente dell'area di lavoro di Microsoft Sentinel, incluse query e funzioni.

Per altre informazioni, vedere gli articoli seguenti:
- Ricerca avanzata nel portale di Microsoft Defender
- Copilot per la sicurezza nella ricerca avanzata
Attacco interrotto Distribuire l'interruzione automatica degli attacchi per SAP con la piattaforma unificata per le operazioni di sicurezza e la soluzione Microsoft Sentinel per le applicazioni SAP. Ad esempio, contenere asset compromessi bloccando utenti SAP sospetti in caso di attacco di manipolazione del processo finanziario.

Le funzionalità di interruzione degli attacchi per SAP sono disponibili solo nel portale di Defender. Per usare l'interruzione degli attacchi per SAP, aggiornare la versione dell'agente del connettore dati e assicurarsi che il ruolo di Azure pertinente sia assegnato all'identità dell'agente.

Per altre informazioni, vedere Interruzione automatica degli attacchi per SAP.
Ottimizzazioni SOC Ottenere raccomandazioni di alta fedeltà e di utilità pratica per identificare le aree da:
- Ridurre i costi
- Aggiungere controlli di sicurezza
- Aggiungere dati mancanti
Le ottimizzazioni SOC sono disponibili nei portali di Defender e di Azure, sono personalizzate per l'ambiente in uso e si basano sulla copertura attuale e sul panorama delle minacce.

Per altre informazioni, vedere gli articoli seguenti:
- Ottimizzare le operazioni per la sicurezza
- Riferimento dei consigli di ottimizzazione SOC
Entità unificate Le pagine di entità per dispositivi, utenti, indirizzi IP e risorse di Azure nel portale di Defender visualizzano informazioni provenienti da Origini dati di Microsoft Sentinel e Defender. Queste pagine di entità offrono un contesto esteso per le indagini sugli eventi imprevisti e gli avvisi nel portale di Defender.

Per altre informazioni, vedere Analizzare le entità con le pagine di entità in Microsoft Sentinel.
Eventi imprevisti unificati Gestire e analizzare gli eventi imprevisti di sicurezza in un'unica posizione e da una singola coda nel portale di Defender. Usare Copilot per la sicurezza per riepilogare, rispondere e creare report. Gli eventi imprevisti includono:
- Dati dall'ampiezza delle origini
- Strumenti di analisi dell'intelligenza artificiale di informazioni sulla sicurezza e gestione degli eventi (SIEM)
- Strumenti di contesto e mitigazione offerti dal rilevamento esteso e dalla risposta (XDR)

Per altre informazioni, vedere gli articoli seguenti:
- Risposta agli eventi imprevisti nel portale di Microsoft Defender
- Analizzare gli eventi imprevisti di Microsoft Sentinel in Copilot per la sicurezza

Differenze di funzionalità tra i portali

La maggior parte delle funzionalità di Microsoft Sentinel è disponibile sia nei portali di Azure che in Defender. Nel portale di Defender alcune esperienze di Microsoft Sentinel si aprono al portale di Azure per completare un'attività.

Questa sezione illustra le funzionalità o le integrazioni di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza disponibili solo nel portale di Azure o nel portale di Defender o in altre differenze significative tra i portali. Esclude le esperienze di Microsoft Sentinel che aprono il portale di Azure dal portale di Defender.

Funzionalità Disponibilità Descrizione
Ricerca avanzata con segnalibri Solo portale di Azure I segnalibri non sono supportati nell'esperienza di ricerca avanzata nel portale di Microsoft Defender. Nel portale di Defender sono supportati in Microsoft Sentinel > Threat Management > Hunting.

Per altre informazioni, vedere Tenere traccia dei dati durante la ricerca con Microsoft Sentinel.
Interruzione degli attacchi per SAP Solo portale di Defender Questa funzionalità non è disponibile nel portale di Azure.

Per altre informazioni, vedere Interruzione automatica degli attacchi nel portale di Microsoft Defender.
Automazione Alcune procedure di automazione sono disponibili solo nel portale di Azure.

Altre procedure di automazione sono le stesse nei portali di Defender e Azure, ma differiscono nel portale di Azure tra le aree di lavoro di cui è stato eseguito l'onboarding nella piattaforma unificata per le operazioni di sicurezza e le aree di lavoro che non lo sono.


Per altre informazioni, vedere Automazione con la piattaforma unificata per le operazioni di sicurezza.
Connettori dati: visibilità dei connettori usati dalla piattaforma unificata per le operazioni di sicurezza Solo portale di Azure Nel portale di Defender, dopo l'onboarding di Microsoft Sentinel, i connettori dati seguenti che fanno parte della piattaforma unificata per le operazioni di sicurezza non vengono visualizzati nella pagina Connettori dati:
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender per identità
  • Microsoft Defender per Office 365 (anteprima)
  • Microsoft Defender XDR
  • Microsoft Defender per il cloud basato su sottoscrizione (legacy)
  • Microsoft Defender per il cloud basato su tenant (anteprima)

    Nel portale di Azure questi connettori dati sono ancora elencati con i connettori dati installati in Microsoft Sentinel.
  • Entità: aggiungere entità all'intelligence sulle minacce dagli eventi imprevisti Solo portale di Azure Questa funzionalità non è disponibile nella piattaforma unificata per le operazioni di sicurezza.

    Per altre informazioni, vedere Aggiungere un'entità agli indicatori di minaccia.
    Fusion: Rilevamento avanzato degli attacchi a più fasi Solo portale di Azure La regola di analisi Fusion, che crea eventi imprevisti in base alle correlazioni degli avvisi effettuate dal motore di correlazione Fusion, viene disabilitata quando si esegue l'onboarding di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza.

    La piattaforma unificata per le operazioni di sicurezza usa le funzionalità di creazione e correlazione degli eventi imprevisti di Microsoft Defender XDR per sostituire quelle del motore Fusion.

    Per altre informazioni, vedere Rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel
    Eventi imprevisti: aggiunta di avvisi a eventi imprevisti /
    Rimozione di avvisi da eventi imprevisti
    Solo portale di Defender Dopo l'onboarding di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, non è più possibile aggiungere avvisi o rimuovere avvisi da eventi imprevisti nel portale di Azure.

    È possibile rimuovere un avviso da un evento imprevisto nel portale di Defender, ma solo collegando l'avviso a un altro evento imprevisto (esistente o nuovo).
    Eventi imprevisti: modifica dei commenti Solo portale di Azure Dopo l'onboarding di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, è possibile aggiungere commenti a eventi imprevisti in entrambi i portali, ma non è possibile modificare i commenti esistenti.

    Le modifiche apportate ai commenti nel portale di Azure non vengono sincronizzate con la piattaforma unificata per le operazioni di sicurezza.
    Eventi imprevisti: creazione programmatica e manuale di eventi imprevisti Solo portale di Azure Gli eventi imprevisti creati in Microsoft Sentinel tramite l'API, da un playbook dell'app per la logica o manualmente dal portale di Azure, non vengono sincronizzati con la piattaforma unificata per le operazioni di sicurezza. Questi eventi imprevisti sono ancora supportati nel portale di Azure e nell'API. Vedere Creare manualmente eventi imprevisti in Microsoft Sentinel.
    Eventi imprevisti: riapertura di eventi imprevisti chiusi Solo portale di Azure Nella piattaforma unificata per le operazioni di sicurezza non è possibile impostare il raggruppamento di avvisi nelle regole di analisi di Microsoft Sentinel per riaprire gli eventi imprevisti chiusi se vengono aggiunti nuovi avvisi.
    Gli eventi imprevisti chiusi non vengono riaperti in questo caso e nuovi avvisi attivano nuovi eventi imprevisti.
    Eventi imprevisti: attività Solo portale di Azure Le attività non sono disponibili nella piattaforma unificata per le operazioni di sicurezza.

    Per altre informazioni, vedere Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel.
    Gestione di più aree di lavoro per Microsoft Sentinel Portale di Defender: limitato a un'area di lavoro di Microsoft Sentinel per tenant

    portale di Azure: gestire centralmente più aree di lavoro di Microsoft Sentinel per i tenant
    Una sola area di lavoro di Microsoft Sentinel per tenant è attualmente supportata nella piattaforma unificata per le operazioni di sicurezza. La gestione multi-tenant di Microsoft Defender supporta quindi un'area di lavoro di Microsoft Sentinel per tenant.

    Per altre informazioni, vedere gli articoli seguenti:
    - Portale di Defender: gestione multi-tenant di Microsoft Defender
    - portale di Azure: Gestire più aree di lavoro di Microsoft Sentinel con il gestore dell'area di lavoro

    Riferimento rapido

    Alcune funzionalità di Microsoft Sentinel, come la coda unificata degli eventi imprevisti, sono integrate con Microsoft Defender XDR nella piattaforma unificata per le operazioni di sicurezza. Molte altre funzionalità di Microsoft Sentinel sono disponibili nella sezione Microsoft Sentinel del portale di Defender.

    L'immagine seguente mostra il menu di Microsoft Sentinel nel portale di Defender:

    Screenshot del riquadro di spostamento sinistro del portale di Defender con la sezione Microsoft Sentinel.

    Le sezioni seguenti descrivono dove trovare le funzionalità di Microsoft Sentinel nel portale di Defender. Le sezioni sono organizzate come Microsoft Sentinel si trova nel portale di Azure.

    Generali

    La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Generale nel portale di Azure.

    Azure portal Portale di Defender
    Panoramica Panoramica
    Registri Indagini e risposte > Ricerca > Ricerca avanzata
    Novità e guide Non disponibile
    Ricerca Microsoft Sentinel > Ricerca

    Gestione delle minacce

    La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Gestione delle minacce nel portale di Azure.

    Azure portal Portale di Defender
    Incidenti Indagine e risposta > Eventi imprevisti e avvisi > Eventi imprevisti
    Cartelle di lavoro Microsoft Sentinel > Gestione delle minacce > Cartelle di lavoro
    Caccia Microsoft Sentinel > Gestione delle minacce > Ricerca
    Notebook Microsoft Sentinel > Gestione delle minacce > Notebooks
    Comportamento delle entità Pagina Entità utente: Asset > Identità >{user}> Eventi Sentinel
    Pagina Entità dispositivo: Asset > Dispositivi >{device}> Eventi Sentinel

    Trovare anche le pagine di entità per i tipi di entità utente, dispositivo, IP e risorsa di Azure da eventi imprevisti e avvisi non appena vengono visualizzati.
    Intelligence per le minacce Microsoft Sentinel > Gestione delle minacce > Threat Intelligence
    MITRE ATT&CK Microsoft Sentinel > Threat management > MITRE ATT&CK

    Gestione dei contenuti

    La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Gestione contenuto nel portale di Azure.

    Azure portal Portale di Defender
    Hub dei contenuti Microsoft Sentinel > Gestione dei contenuti > Hub contenuto
    Repository Microsoft Sentinel > Gestione dei contenuti > Repository
    Community Microsoft Sentinel > Gestione dei contenuti > Community

    Impostazione

    La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Configurazione nel portale di Azure.

    Azure portal Portale di Defender
    Manager dell’area di lavoro Non disponibile
    Connettori di dati Microsoft Sentinel > Configurazione > Connettori di dati
    Analisi Microsoft Sentinel > Configurazione > Analytics
    Watchlist Microsoft Sentinel > Configurazione > Watchlist
    Automazione Microsoft Sentinel > Configurazione > Automazione
    Impostazione Sistema > Impostazioni > Microsoft Sentinel