Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa guida alla soluzione illustra come configurare gli strumenti di rilevamento e risposta estesi Microsoft (XDR) e come integrarli con Microsoft Sentinel in modo che l'organizzazione possa rispondere e correggere gli attacchi alla cybersecurity più velocemente.
Microsoft Defender XDR è una soluzione XDR che raccoglie, correla e analizza automaticamente i dati di segnale, minaccia e avviso provenienti dall'ambiente Microsoft 365.
Microsoft Sentinel è una soluzione nativa del cloud che offre funzionalità di gestione delle informazioni e degli eventi di sicurezza (SIEM) e di orchestrazione, automazione e risposta per la sicurezza (SOAR). Insieme, Microsoft Sentinel e Microsoft Defender XDR offrono una soluzione completa per aiutare le organizzazioni a difendersi dagli attacchi moderni.
Queste indicazioni consentono di migliorare l'architettura Zero Trust eseguendo il mapping dei principi di Zero Trust nei modi seguenti:
| Principio Zero Trust | Incontrato da |
|---|---|
| Verificare esplicitamente | Microsoft Sentinel raccoglie i dati da tutto l'ambiente e analizza minacce e anomalie in modo che l'organizzazione e qualsiasi automazione possa agire sui dati verificati. Microsoft Defender XDR offre rilevamento e risposta estesi tra utenti, identità, dispositivi, app e messaggi di posta elettronica. Configurare l'automazione di Microsoft Sentinel per usare i segnali basati sul rischio acquisiti da Microsoft Defender XDR per intervenire, ad esempio bloccare o autorizzare il traffico in base al rischio. |
| Usare l'accesso con privilegi minimi | Microsoft Sentinel rileva un'attività anomala tramite il motore UEBA. Man mano che gli scenari di sicurezza cambiano rapidamente, l'intelligence sulle minacce importa i dati da Microsoft e dai provider di terze parti per rilevare e contestualizzare le minacce emergenti. Microsoft Defender XDR include Microsoft Entra ID Protection per bloccare gli utenti in base al rischio di identità. Inserire dati correlati in Microsoft Sentinel per ulteriori analisi e automazione. |
| Presunzione di violazione | Microsoft Defender XDR analizza continuamente l'ambiente per individuare minacce e vulnerabilità. Microsoft Sentinel analizza i dati raccolti e le tendenze comportamentali per rilevare attività sospette, anomalie e minacce a più fasi nell'intera azienda. Sia Microsoft Defender XDR che Microsoft Sentinel implementano attività di correzione automatizzate, tra cui indagini, isolamento dei dispositivi e quarantena dei dati. Usare il rischio del dispositivo come segnale per l'accesso condizionale di Microsoft Entra. |
Introduzione a Microsoft Defender XDR
La distribuzione di Microsoft Defender XDR è un ottimo punto di partenza per la creazione di funzionalità di rilevamento e risposta degli eventi imprevisti all'interno dell'organizzazione. Defender XDR è incluso in Microsoft 365 E5 ed è anche possibile iniziare a usare le licenze di valutazione di Microsoft 365 E5. Defender XDR può essere integrato con Microsoft Sentinel o con uno strumento SIEM generico.
Per altre informazioni, vedere Distribuzione pilota e distribuzione di Microsoft Defender XDR.
Architettura di Microsoft Sentinel e XDR
I clienti di Microsoft Sentinel possono usare uno di questi metodi per integrare Microsoft Sentinel con i servizi Microsoft Defender XDR:
Eseguire l'onboarding di Microsoft Sentinel nel portale di Defender per usarlo insieme a Microsoft Defender XDR per le operazioni di sicurezza unificate. Visualizzare i dati di Microsoft Sentinel direttamente nel portale di Defender insieme a eventi imprevisti, avvisi, vulnerabilità e dati di sicurezza di Defender.
Usare i connettori dati di Microsoft Sentinel per inserire i dati del servizio Microsoft Defender XDR in Microsoft Sentinel. Visualizzare i dati di Microsoft Sentinel nel portale di Azure.
Questo centro indicazioni fornisce informazioni per entrambi i metodi. Se è stata eseguita l'onboarding dell'area di lavoro nel portale di Defender, usarla; in caso contrario, usare il portale di Azure, se non diversamente indicato.
La figura seguente illustra come la soluzione XDR di Microsoft si integra con Microsoft Sentinel nel portale di Defender.
In questo diagramma:
- Informazioni dettagliate dai feed dell'intera organizzazione in Microsoft Defender XDR e Microsoft Defender per il cloud.
- Microsoft Sentinel offre supporto per ambienti multi-cloud e si integra con app e partner di terze parti.
- I dati di Microsoft Sentinel vengono inseriti insieme ai dati dell'organizzazione nel portale di Microsoft Defender.
- I team SecOps possono analizzare e rispondere alle minacce identificate da Microsoft Sentinel e Microsoft Defender XDR nel portale di Microsoft Defender.
Funzionalità chiave
Implementare un approccio Zero Trust per la gestione degli eventi imprevisti usando le funzionalità di Microsoft Sentinel e Defender XDR. Per le aree di lavoro di cui è stato eseguito l'onboarding nel portale di Defender, usare Microsoft Sentinel nel portale di Defender.
| Capacità o funzionalità | Descrizione | Prodotto |
|---|---|---|
| Risposta & di indagine automatizzata (AIR) | Le funzionalità AIR sono progettate per esaminare gli avvisi e intervenire immediatamente per risolvere le violazioni. Le funzionalità AIR riducono significativamente il volume degli avvisi, consentendo alle operazioni di sicurezza di concentrarsi sulle minacce più sofisticate e altre iniziative ad alto valore. | Microsoft Defender XDR |
| Rilevazione avanzata | La ricerca avanzata è uno strumento di ricerca delle minacce basato su query che consente di esplorare fino a 30 giorni di dati non elaborati. È possibile esaminare in modo proattivo gli eventi nella rete per individuare gli indicatori e le entità delle minacce. L'accesso flessibile ai dati consente la ricerca senza vincoli di minacce sia note che potenziali. | Microsoft Defender XDR |
| Indicatori di file personalizzati | Impedire un'ulteriore propagazione di un attacco nell'organizzazione vietando file potenzialmente dannosi o sospetto malware. | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery analizza i log del traffico raccolti da Defender per endpoint e valuta le app identificate rispetto al catalogo delle app cloud per fornire informazioni sulla conformità e sulla sicurezza. | Microsoft Defender for Cloud Apps per la sicurezza delle app cloud |
| Indicatori di rete personalizzati | Creando indicatori per INDIRIZZI IP e URL o domini, è ora possibile consentire o bloccare indirizzi IP, URL o domini in base alle proprie intelligence sulle minacce. | Microsoft Defender XDR |
| Blocco di rilevamento e risposta degli endpoint (EDR) | Fornisce una protezione aggiuntiva da artefatti dannosi quando Microsoft Defender Antivirus (MDAV) non è il prodotto antivirus principale ed è in esecuzione in modalità passiva. EDR in modalità blocco funziona dietro le quinte per correggere gli artefatti dannosi rilevati dalle funzionalità EDR. | Microsoft Defender XDR |
| Funzionalità di risposta del dispositivo | Rispondere rapidamente agli attacchi rilevati isolando i dispositivi o raccogliendo un pacchetto di indagine | Microsoft Defender XDR |
| Live Response | La risposta in tempo reale offre ai team delle operazioni di sicurezza l'accesso immediato a un dispositivo (noto anche come computer) tramite una connessione shell remota. In questo modo è possibile eseguire indagini approfondite e intraprendere azioni di risposta immediata per contenere tempestivamente le minacce identificate in tempo reale. | Microsoft Defender XDR |
| Proteggere le applicazioni cloud | Soluzione devSecOps (Development Security Operations) che unifica la gestione della sicurezza a livello di codice in ambienti multicloud e con più pipeline. | Microsoft Defender for Cloud |
| Migliorare il comportamento di sicurezza | Una soluzione di gestione del comportamento di sicurezza cloud (CSPM) che illustra le azioni che è possibile eseguire per evitare violazioni. | Microsoft Defender for Cloud |
| Proteggere i carichi di lavoro cloud | Una piattaforma CWPP (Cloud Workload Protection Platform) con protezioni specifiche per server, contenitori, archiviazione, database e altri carichi di lavoro. | Microsoft Defender for Cloud |
| Analisi del comportamento di utenti ed entità (UEBA) | Analizza il comportamento delle entità dell'organizzazione, ad esempio utenti, host, indirizzi IP e applicazioni | Microsoft Sentinel |
| Fusione | Un motore di correlazione basato su algoritmi di Machine Learning scalabili. Rileva automaticamente attacchi multistage noti anche come minacce persistenti avanzate (APT) identificando combinazioni di comportamenti anomali e attività sospette osservate in varie fasi della kill chain. | Microsoft Sentinel |
| Intelligence sulle minacce | Usare provider di terze parti Microsoft per arricchire i dati per fornire un contesto aggiuntivo per attività, avvisi e log nell'ambiente in uso. | Microsoft Sentinel |
| automazione | Le regole di automazione sono un modo per gestire centralmente l'automazione con Microsoft Sentinel, consentendo di definire e coordinare un piccolo set di regole che possono essere applicate in diversi scenari. | Microsoft Sentinel |
| Regole di anomalia | I modelli di regole anomalie usano Machine Learning per rilevare tipi specifici di comportamento anomalo. | Microsoft Sentinel |
| Query pianificate | Regole predefinite scritte da esperti di sicurezza Microsoft che vengono eseguite nei registri raccolti da Microsoft Sentinel alla ricerca di catene di attività sospette e minacce note. | Microsoft Sentinel |
| Regole NRT (Near Real Time) | Le regole NRT sono un set limitato di regole pianificate, progettate per l'esecuzione una volta ogni minuto, per fornire informazioni il più up-topossibile al minuto. | Microsoft Sentinel |
| Caccia | Per aiutare gli analisti della sicurezza a cercare in modo proattivo nuove anomalie che non sono state rilevate dalle app di sicurezza o anche dalle regole di analisi pianificate, le query di ricerca predefinite di Microsoft Sentinel consentono di porre le domande giuste per individuare i problemi nei dati già presenti nella rete. | Microsoft Sentinel Per le aree di lavoro di cui è stato eseguito l'onboarding nel portale di Defender, usare la funzionalità di ricerca avanzata del portale di Microsoft Defender. |
| Connettore Microsoft Defender XDR | Il connettore Microsoft Defender XDR sincronizza i log e gli eventi imprevisti con Microsoft Sentinel. | Microsoft Defender XDR e Microsoft Sentinel |
| Connettori dati | Consentire l'inserimento dei dati per l'analisi in Microsoft Sentinel. | Microsoft Sentinel |
| Soluzione hub contenuti -Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) includono una cartella di lavoro, regole di analisi e un playbook, che forniscono una visualizzazione automatizzata dei principi Zero Trust, trasposti nel framework Trust Internet Connections, aiutando le organizzazioni a monitorare nel tempo le configurazioni. | Microsoft Sentinel |
| Orchestrazione della sicurezza, automazione e risposta (SOAR) | L'uso di regole di automazione e playbook in risposta alle minacce alla sicurezza aumenta l'efficacia del SOC e consente di risparmiare tempo e risorse. | Microsoft Sentinel |
| Ottimizzazioni SOC | Chiudere i gap di copertura contro minacce specifiche e ridurre le frequenze di inserimento rispetto ai dati che non forniscono valore di sicurezza. | Microsoft Sentinel Per gli spazi di lavoro integrati nel portale di Defender, utilizzare l'ottimizzazione SOC nel portale di Microsoft Defender. |
Cosa c'è in questa soluzione
Questa soluzione consente al team delle operazioni di sicurezza di correggere gli eventi imprevisti usando un approccio Zero Trust guidando l'utente tramite l'implementazione di Microsoft Sentinel e Microsoft Defender XDR. L'implementazione include queste fasi:
| Fase | Descrizione |
|---|---|
| 1. Sperimentare e distribuire i servizi XDR di Microsoft Defender | Inizia pilotando i servizi XDR di Microsoft Defender in modo da poter valutare le funzionalità e le capacità prima di completare la distribuzione nell'intera organizzazione. |
| 2. Pianificare la distribuzione | Pianificare quindi la distribuzione completa di SIEM e XDR, inclusi i servizi XDR e l'area di lavoro per Microsoft Sentinel. |
| 3. Configurare gli strumenti XDR e progettare l'area di lavoro | In questa fase, distribuire i servizi XDR che si è deciso di usare nell'ambiente, distribuire Microsoft Sentinel e altri servizi per supportare la soluzione SIEM e XDR. Se si prevede di lavorare dal portale di Azure, ignorare il passaggio per connettere Microsoft Sentinel al portale di Microsoft Defender. Questo passaggio è rilevante solo se si vuole usare il portale di Microsoft Sentinel Defender e non è rilevante se si vuole rispondere agli eventi imprevisti nel portale di Azure. |
| 4. Rispondere agli eventi imprevisti | Infine, rispondere agli incidenti in base al fatto che tu abbia eseguito l'onboarding nel portale di Defender: - Rispondere a un incidente dal portale di Defender - Rispondere a un evento imprevisto dal portale di Azure |
Contenuti correlati
Per altre informazioni, vedere Sicurezza Zero Trust con Microsoft Sentinel e Defender XDR e il contenuto correlato per il portale:
Per altre informazioni sull'applicazione dei principi Zero Trust in Microsoft 365, vedere:
- piano di implementazione Zero Trust con Microsoft 365
- Distribuire l'infrastruttura di identità per Microsoft 365
- Configurazioni di identità Zero Trust e accesso ai dispositivi
- Gestire i dispositivi con Microsoft Intune
- Gestire la privacy e la protezione dei dati con Microsoft Priva e Microsoft Purview
- Integrare applicazioni SaaS per Zero Trust con Microsoft 365