Microsoft Sentinel nel portale di Microsoft Defender (anteprima)
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedi:
- Piattaforma unificata per le operazioni di sicurezza con Microsoft Sentinel e Defender XDR
- Connessione Microsoft Sentinel a Microsoft Defender XDR
Questo articolo descrive l'esperienza di Microsoft Sentinel nel portale di Microsoft Defender.
Importante
Le informazioni contenute in questo articolo si riferiscono a un prodotto in versione preliminare che può essere modificato in modo sostanziale prima che venga rilasciato commercialmente. Microsoft non riconosce alcuna garanzia, espressa o implicita, in merito alle informazioni qui fornite.
Funzionalità nuove e migliorate
La tabella seguente descrive le funzionalità nuove o migliorate disponibili nel portale di Defender con l'integrazione di Microsoft Sentinel e Defender XDR.
| Funzionalità | Descrizione |
|---|---|
| Rilevazione avanzata | Eseguire query da un singolo portale in set di dati diversi per rendere più efficiente la ricerca e rimuovere la necessità di cambiare contesto. Visualizzare ed eseguire query su tutti i dati, inclusi i dati dei servizi di sicurezza Microsoft e Microsoft Sentinel. Usare tutto il contenuto esistente dell'area di lavoro di Microsoft Sentinel, incluse query e funzioni. Per altre informazioni, vedere Ricerca avanzata nel portale di Microsoft Defender. |
| Attacco interrotto | Distribuire l'interruzione automatica degli attacchi per SAP con la piattaforma unificata per le operazioni di sicurezza e la soluzione Microsoft Sentinel per le applicazioni SAP. Ad esempio, contenere asset compromessi bloccando utenti SAP sospetti in caso di attacco di manipolazione del processo finanziario. Le funzionalità di interruzione degli attacchi per SAP sono disponibili solo nel portale di Defender. Per usare l'interruzione degli attacchi per SAP, aggiornare la versione dell'agente del connettore dati e assicurarsi che il ruolo di Azure pertinente sia assegnato all'identità dell'agente. Per altre informazioni, vedere Interruzione automatica degli attacchi per SAP (anteprima). |
| Entità unificate | Le pagine di entità per dispositivi, utenti, indirizzi IP e risorse di Azure nel portale di Defender visualizzano informazioni provenienti da Origini dati di Microsoft Sentinel e Defender. Queste pagine di entità offrono un contesto esteso per le indagini sugli eventi imprevisti e gli avvisi nel portale di Defender. Per altre informazioni, vedere Analizzare le entità con le pagine di entità in Microsoft Sentinel. |
| Eventi imprevisti unificati | Gestire e analizzare gli eventi imprevisti di sicurezza in un'unica posizione e da una singola coda nel portale di Defender. Gli eventi imprevisti includono: - Dati dall'ampiezza delle origini - Strumenti di analisi dell'intelligenza artificiale di informazioni sulla sicurezza e gestione degli eventi (SIEM) - Strumenti di contesto e mitigazione offerti dal rilevamento esteso e dalla risposta (XDR) Per altre informazioni, vedere Risposta agli eventi imprevisti nel portale di Microsoft Defender. |
Differenze di funzionalità tra i portali
La maggior parte delle funzionalità di Microsoft Sentinel è disponibile sia nei portali di Azure che in Defender. Nel portale di Defender alcune esperienze di Microsoft Sentinel si aprono al portale di Azure per completare un'attività.
Questa sezione illustra le funzionalità o le integrazioni di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza disponibili solo nel portale di portale di Azure o defender o in altre differenze significative tra i portali. Esclude le esperienze di Microsoft Sentinel che aprono il portale di Azure dal portale di Defender.
| Funzionalità | Disponibilità | Descrizione |
|---|---|---|
| Ricerca avanzata con segnalibri | Solo portale di Azure | I segnalibri non sono supportati nell'esperienza di ricerca avanzata nel portale di Microsoft Defender. Nel portale di Defender sono supportati nella ricerca della gestione > delle minacce di Microsoft Sentinel>. Per altre informazioni, vedere Tenere traccia dei dati durante la ricerca con Microsoft Sentinel. |
| Interruzione degli attacchi per SAP | Solo portale di Defender | Questa funzionalità non è disponibile nella portale di Azure. Per altre informazioni, vedere Interruzione automatica degli attacchi nel portale di Microsoft Defender. |
| Automazione | Alcune procedure di automazione sono disponibili solo nella portale di Azure. Altre procedure di automazione sono le stesse in Defender e le portale di Azure, ma differiscono nella portale di Azure tra le aree di lavoro di cui viene eseguito l'onboarding nella piattaforma unificata per le operazioni di sicurezza e le aree di lavoro che non lo sono. |
Per altre informazioni, vedere Automazione con la piattaforma unificata per le operazioni di sicurezza. |
| Connettori dati: visibilità dei connettori usati dalla piattaforma unificata per le operazioni di sicurezza | Solo portale di Azure | Nel portale di Defender, dopo l'onboarding di Microsoft Sentinel, i connettori dati seguenti che fanno parte della piattaforma unificata per le operazioni di sicurezza non vengono visualizzati nella pagina Connettori dati: Nella portale di Azure questi connettori dati sono ancora elencati con i connettori dati installati in Microsoft Sentinel. |
| Entità: aggiungere entità all'intelligence sulle minacce dagli eventi imprevisti | Solo portale di Azure | Questa funzionalità non è disponibile nella piattaforma unificata per le operazioni di sicurezza. Per altre informazioni, vedere Aggiungere un'entità agli indicatori di minaccia. |
| Fusion: Rilevamento avanzato degli attacchi a più fasi | Solo portale di Azure | La regola di analisi Fusion, che crea eventi imprevisti in base alle correlazioni degli avvisi effettuate dal motore di correlazione Fusion, viene disabilitata quando si esegue l'onboarding di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza. La piattaforma unificata per le operazioni di sicurezza usa le funzionalità di creazione e correlazione degli eventi imprevisti di Microsoft Defender XDR per sostituire quelle del motore Fusion. Per altre informazioni, vedere Rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel |
| Eventi imprevisti: aggiunta di avvisi a eventi imprevisti/ Rimozione di avvisi da eventi imprevisti |
Solo portale di Defender | Dopo l'onboarding di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, non è più possibile aggiungere avvisi o rimuovere avvisi da eventi imprevisti nella portale di Azure. È possibile rimuovere un avviso da un evento imprevisto nel portale di Defender, ma solo collegando l'avviso a un altro evento imprevisto (esistente o nuovo). |
| Eventi imprevisti: modifica dei commenti | Solo portale di Azure | Dopo l'onboarding di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, è possibile aggiungere commenti a eventi imprevisti in entrambi i portali, ma non è possibile modificare i commenti esistenti. Le modifiche apportate ai commenti nella portale di Azure non vengono sincronizzate con la piattaforma unificata per le operazioni di sicurezza. |
| Eventi imprevisti: creazione programmatica e manuale di eventi imprevisti | Solo portale di Azure | Gli eventi imprevisti creati in Microsoft Sentinel tramite l'API, da un playbook dell'app per la logica o manualmente dal portale di Azure, non vengono sincronizzati con la piattaforma unificata per le operazioni di sicurezza. Questi eventi imprevisti sono ancora supportati nella portale di Azure e nell'API. Vedere Creare manualmente eventi imprevisti in Microsoft Sentinel. |
| Eventi imprevisti: riapertura di eventi imprevisti chiusi | Solo portale di Azure | Nella piattaforma unificata per le operazioni di sicurezza non è possibile impostare il raggruppamento di avvisi nelle regole di analisi di Microsoft Sentinel per riaprire gli eventi imprevisti chiusi se vengono aggiunti nuovi avvisi. Gli eventi imprevisti chiusi non vengono riaperti in questo caso e nuovi avvisi attivano nuovi eventi imprevisti. |
| Eventi imprevisti: attività | Solo portale di Azure | Le attività non sono disponibili nella piattaforma unificata per le operazioni di sicurezza. Per altre informazioni, vedere Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel. |
Riferimento rapido
Alcune funzionalità di Microsoft Sentinel, come la coda unificata degli eventi imprevisti, sono integrate con Microsoft Defender XDR nella piattaforma unificata per le operazioni di sicurezza. Molte altre funzionalità di Microsoft Sentinel sono disponibili nella sezione Microsoft Sentinel del portale di Defender.
L'immagine seguente mostra il menu di Microsoft Sentinel nel portale di Defender:
Le sezioni seguenti descrivono dove trovare le funzionalità di Microsoft Sentinel nel portale di Defender. Le sezioni sono organizzate come Microsoft Sentinel si trova nel portale di Azure.
Generali
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Generale nella portale di Azure.
| Azure portal | Portale di Defender |
|---|---|
| Panoramica | Panoramica |
| Registri | Ricerca avanzata ricerca > di indagini e risposte > |
| Novità e guide | Non disponibile |
| Ricerca | Ricerca di Microsoft Sentinel > |
Gestione delle minacce
Nella tabella seguente sono elencate le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Gestione delle minacce nella portale di Azure.
| Azure portal | Portale di Defender |
|---|---|
| Incidenti | Eventi imprevisti di indagine e > risposta > |
| Cartelle di lavoro | Cartelle di lavoro di gestione> delle minacce di Microsoft Sentinel > |
| Caccia | Ricerca di gestione delle minacce > di Microsoft Sentinel > |
| Notebook | Notebook di gestione > delle minacce di Microsoft Sentinel > |
| Comportamento delle entità | Pagina Entità utente: Asset > Identità >{user}> Eventi sentinel Pagina Entità dispositivo: Asset > Dispositivi >{device}> Eventi Sentinel Trovare anche le pagine di entità per i tipi di entità utente, dispositivo, IP e risorsa di Azure da eventi imprevisti e avvisi non appena vengono visualizzati. |
| Intelligence per le minacce | Intelligence sulle minacce di Microsoft Sentinel > Threat Management > |
| MITRE ATT&CK | Gestione delle minacce di > Microsoft Sentinel > MITRE ATT&CK |
Gestione dei contenuti
Nella tabella seguente sono elencate le modifiche apportate allo spostamento tra i portali di Azure e Defender per la sezione Gestione contenuto nella portale di Azure.
| Azure portal | Portale di Defender |
|---|---|
| Hub dei contenuti | Hub contenuto di Gestione > contenuto di Microsoft Sentinel > |
| Repository | Repository di gestione > dei contenuti di Microsoft Sentinel > |
| Community | Community di gestione dei contenuti > di Microsoft Sentinel > |
Impostazione
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Configurazione nel portale di Azure.
| Azure portal | Portale di Defender |
|---|---|
| Gestione area di lavoro | Non disponibile |
| Connettori di dati | Connettori dati di configurazione > di Microsoft Sentinel > |
| Analisi | Analisi della configurazione di > Microsoft Sentinel > |
| Watchlist | Elenchi di controllo di configurazione > di Microsoft Sentinel > |
| Automazione | Automazione della configurazione > di Microsoft Sentinel > |
| Impostazione | System > Impostazioni > Microsoft Sentinel |