Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender offre una soluzione unificata per la sicurezza informatica che integra endpoint protection, sicurezza cloud, protezione delle identità, sicurezza della posta elettronica, intelligence sulle minacce, gestione dell'esposizione e SIEM in una piattaforma centralizzata. Usa la difesa basata sull'intelligenza artificiale per aiutare le organizzazioni ad anticipare e arrestare gli attacchi, garantendo operazioni di sicurezza efficienti ed efficaci.
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, con Microsoft Defender XDR o autonomamente, offrendo un'esperienza unificata in SIEM e XDR per il rilevamento e la risposta più veloci e accurati delle minacce, flussi di lavoro semplificati e maggiore efficienza operativa.
Questo articolo descrive l'esperienza di Microsoft Sentinel nel portale di Defender. È consigliabile che i clienti che usano Microsoft Sentinel nel portale di Azure passino a Microsoft Defender per sfruttare le operazioni di sicurezza unificate disponibili e le funzionalità più recenti. Per altre informazioni, vedere Eseguire la transizione dell'ambiente di Microsoft Sentinel al portale di Defender.
Funzionalità nuove e migliorate
La tabella seguente descrive le funzionalità nuove o migliorate disponibili nel portale di Defender con l'integrazione di Microsoft Sentinel. Microsoft continua a innovare in questa nuova esperienza con funzionalità che potrebbero essere esclusive del portale di Defender.
| Funzionalità | Descrizione | Ulteriori informazioni |
|---|---|---|
| Operazioni semplificate | Gestire tutti gli eventi imprevisti, gli avvisi e le indagini di sicurezza da un'unica interfaccia unificata. - Le pagine di entità unificate per dispositivi, utenti, indirizzi IP e risorse di Azure nel portale di Defender visualizzano informazioni provenienti da Origini dati di Microsoft Sentinel e Defender. Queste pagine di entità offrono un contesto esteso per le indagini sugli eventi imprevisti e gli avvisi nel portale di Defender. - Gli eventi imprevisti unificati consentono di gestire e analizzare gli eventi imprevisti di sicurezza in un'unica posizione e da una singola coda nel portale di Defender. Usare Security Copilot per riepilogare, rispondere e creare report. Gli incidenti unificati includono i dati provenienti dalla varietà di fonti, gli strumenti di analisi basati su intelligenza artificiale per la gestione delle informazioni di sicurezza e degli eventi (SIEM) e gli strumenti di contesto e mitigazione offerti dal rilevamento e risposta estesi (XDR). - Usare Ricerca avanzata per eseguire query da un singolo portale in set di dati diversi per rendere la ricerca più efficiente e rimuovere la necessità di cambiare contesto. Utilizzare Security Copilot per aiutare a generare le query KQL, visualizzare ed eseguire query su tutti i dati, inclusi quelli dei servizi di sicurezza Microsoft e Microsoft Sentinel, e quindi utilizzare tutto il contenuto esistente dell'area di lavoro di Microsoft Sentinel, incluse query e funzioni, per analizzare. |
-
Analizzare le entità con le pagine di entità in Microsoft Sentinel - Risposta agli eventi imprevisti nel portale di Microsoft Defender - Analizzare gli eventi imprevisti di Microsoft Sentinel in Security Copilot - Ricerca avanzata nel portale di Microsoft Defender Copilot di sicurezza nella ricerca avanzata |
| Rilevamento avanzato delle minacce | Usare l'intelligenza artificiale avanzata e l'apprendimento automatico per un rilevamento e una risposta più veloci e accurati delle minacce. Trarre vantaggio da un miglioramento del rapporto segnale-rumore e dalla correlazione avanzata degli avvisi, assicurando che le minacce critiche vengano risolte tempestivamente. | Rilevamento delle minacce per operazioni di sicurezza unificate |
| Nuove funzionalità | Accedere a strumenti affidabili come gestione dei casi per organizzare e gestire gli incidenti di sicurezza, l'interruzione automatica degli attacchi per porre rimedio alle entità compromesse su veri positivi ad alta fedeltà e un'esperienza di Security Copilot integrata per il riepilogo automatizzato degli incidenti e le azioni di risposta guidate e altro ancora. Ad esempio, quando si analizzano gli eventi imprevisti nel portale di Defender, usare Security Copilot per analizzare gli script, analizzare i file e creare report sugli eventi imprevisti. Quando si cercano minacce nell'ambito della ricerca avanzata, creare query KQL pronte per l'esecuzione utilizzando l'assistente per le query. |
-
Gestione dei casi - Interruzione automatica degli attacchi - Riepilogo degli eventi imprevisti automatizzati - Azioni di risposta guidate - Analizzare gli script - Analizzare i file - Creare rapporti sugli incidenti - Creare query KQL pronte per l'esecuzione |
| Maggiore visibilità e riduzione dell'esposizione ai rischi | Analizzare i percorsi di attacco per vedere in che modo un utente malintenzionato potrebbe sfruttare le vulnerabilità. Usare raccomandazioni di ottimizzazione SOC guidate per ridurre i costi e l'esposizione e classificare in ordine di priorità le azioni in base al potenziale impatto. |
-
Ottimizzare le operazioni di sicurezza - Usare le ottimizzazioni SOC a livello di codice - Riferimento alle raccomandazioni per l'ottimizzazione SOC |
| Raccomandazioni personalizzate post-evento imprevisto | Evitare attacchi informatici simili o ripetuti con raccomandazioni personalizzate associate alle iniziative di Microsoft Security Exposure Management. | Gestione dell'esposizione alla sicurezza Microsoft per migliorare il comportamento di sicurezza |
| Ottimizzazione dei costi e dei dati | I clienti possono accedere ai dati di Microsoft Sentinel e Defender XDR in uno schema unificato e coerente nel portale di Defender. I log non elaborati di ricerca avanzata sono disponibili per 30 giorni per la ricerca gratuitamente senza dover inserirli in Microsoft Sentinel. |
Cosa aspettarsi dalle tabelle XDR di Defender trasmesse a Microsoft Sentinel |
Funzionalità limitate o non disponibili con Microsoft Sentinel solo nel portale di Defender
Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender senza Defender XDR o altri servizi abilitati, le funzionalità seguenti sono limitate o non disponibili:
- Gestione dell'esposizione alla sicurezza Microsoft
- Regole di rilevamento personalizzate, fornite da Microsoft Defender XDR
- Il Centro operativo, fornito da Microsoft Defender XDR
Riferimento rapido
Alcune funzionalità di Microsoft Sentinel, come la coda di eventi imprevisti unificati, sono integrate con Microsoft Defender XDR nel portale di Defender. Molte altre funzionalità di Microsoft Sentinel sono disponibili nella sezione Microsoft Sentinel del portale di Defender.
L'immagine seguente mostra il menu di Microsoft Sentinel nel portale di Defender:
Le sezioni seguenti descrivono dove trovare le funzionalità di Microsoft Sentinel nel portale di Defender e sono destinate ai clienti esistenti che passano al portale di Defender. Le sezioni sono organizzate come Microsoft Sentinel si trova nel portale di Azure.
Per altre informazioni, vedere Eseguire la transizione dell'ambiente di Microsoft Sentinel al portale di Defender.
Generale
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Generale nel portale di Azure.
| Portale di Azure | Portale di Defender |
|---|---|
| Sintesi | Sintesi |
| Registri | Indagine e risposta>Caccia>Ricerca avanzata |
| Notizie e guide | Non disponibile |
| Ricerca | Microsoft Sentinel>Ricerca |
Gestione delle minacce
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Gestione delle minacce nel portale di Azure.
| Portale di Azure | Portale di Defender |
|---|---|
| Eventi imprevisti | Indagine e risposta>Eventi imprevisti e avvisi>Incidenti |
| Quaderni | Microsoft Sentinel>Gestione delle minacce>Quaderni |
| Caccia | Microsoft Sentinel>Gestione delle minacce>Caccia |
| Computer portatili | Microsoft Sentinel>Gestione delle minacce>Notebook |
| Comportamento dell'entità |
Pagina entità utente:Asset>Identità>{utente}>Eventi sentinella E Pagina entità dispositivo:Asset>Dispositivi>{dispositivo}>Eventi sentinella Trovare anche le pagine di entità per i tipi di entità utente, dispositivo, IP e risorsa di Azure da eventi imprevisti e avvisi non appena vengono visualizzati. |
| Intelligence sulle minacce | Intelligence delle minacce>Gestione dell'intelligence |
| MITRE ATT&CK | Microsoft Sentinel>Gestione delle minacce>MITRE ATT&CK |
Gestione dei contenuti
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Gestione contenuto nel portale di Azure.
| Portale di Azure | Portale di Defender |
|---|---|
| Hub di contenuti | Microsoft Sentinel>Gestione dei contenuti>Hub contenuto |
| Repository | Microsoft Sentinel>Gestione dei contenuti>Repository |
| Comunità | Microsoft Sentinel>Gestione dei contenuti>Comunità |
Impostazione
La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Configurazione nel portale di Azure.
| Portale di Azure | Portale di Defender |
|---|---|
| Manager dell’area di lavoro | Non disponibile |
| Connettori dati | Microsoft Sentinel>Configurazione>Connettori dati |
| Analisi |
Microsoft Sentinel>Configurazione>Analitica E Indagine e risposta>Caccia>Regole di rilevamento personalizzate |
| watchlist | Microsoft Sentinel>Configurazione>Watchlist |
| automazione | Microsoft Sentinel>Configurazione>Automazione |
| Impostazioni | Sistema>Impostazioni>Microsoft Sentinel |