Esercizio: connettere i dati da Microsoft Entra ID a Microsoft Sentinel
Che cos'è Microsoft Sentinel?
Il set Informazioni di sicurezza e gestione degli eventi (SIEM) aggrega e analizza l'attività. Lo strumento SOAR (Security Orchestration Automation and Response) raccoglie i dati sulle minacce alla sicurezza e risponde. Microsoft Sentinel è una soluzione SIEM e SOAR scalabile e nativa del cloud. Microsoft Sentinel offre una panoramica immediata per tutta l'azienda, alleviando il carico associato ad attacchi sempre più sofisticati, volume crescente degli avvisi e lunghi tempi di risoluzione.
- Raccolta dei dati su scala cloud per tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, in locale e in più cloud
- Rilevare minacce precedentemente non individuate e ridurre al minimo i falsi positivi grazie alle funzionalità di analisi e alla straordinaria intelligence sulle minacce di Microsoft
- Analisi delle minacce tramite intelligenza artificiale e rilevamento delle attività sospette su larga scala, sfruttando i vantaggi di anni di esperienza di Microsoft a livello di cybersecurity
- Rispondere rapidamente agli eventi imprevisti con funzionalità integrate di orchestrazione e automazione delle attività comuni
Prerequisiti
- È necessaria una licenza P1 o P2 di Microsoft Entra ID per inserire i log di accesso in Microsoft Sentinel. Qualsiasi licenza di Microsoft Entra ID (Free/O365/P1/P2) è sufficiente per inserire gli altri tipi di log. Potrebbero essere applicati degli addebiti aggiuntivi per gigabyte per Monitoraggio di Azure (Log Analytics) e Microsoft Sentinel.
- All'utente deve essere assegnato il ruolo Collaboratore di Microsoft Sentinel nell'area di lavoro.
- All'utente deve essere assegnato il ruolo Amministratore globale o Amministratore della sicurezza nel tenant da cui si vogliono trasmettere i log.
- L'utente deve disporre delle autorizzazioni di lettura e scrittura per le impostazioni di diagnostica di Microsoft Entra per poter visualizzare lo stato della connessione.
Creare e aggiungere un'area di lavoro di Microsoft Sentinel
Usare queste istruzioni se non si ha già un'area di lavoro disponibile in Microsoft Sentinel.
Accedere al portale di Azure come amministratore tenant.
Cercare e selezionare Microsoft Sentinel.
Nella schermata Aree di lavoro di Microsoft Sentinel selezionare + Aggiungi nel menu. Se si ha già un'area di lavoro di Microsoft Sentinel, è possibile selezionarla e passare all'attività successiva.
Nella schermata Aggiungi Microsoft Sentinel a un'area di lavoro selezionare Crea una nuova area di lavoro.
Usare le informazioni seguenti per creare una nuova area di lavoro Log Analytics:
Impostazione valore Subscription Usare la sottoscrizione corrente. Gruppo di risorse Usare un gruppo di risorse esistente oppure crearne uno nuovo. Nome Lab-workspace-yourinitialsanddate. L'area di lavoro deve essere un valore univoco globale. Piano tariffario Pagamento in base al consumo Al termine, selezionare la nuova area di lavoro e quindi selezionare Aggiungi per aggiungere l'area di lavoro a Microsoft Sentinel.
Stabilire la connessione a Microsoft Entra ID
È possibile usare il connettore integrato di Microsoft Sentinel per raccogliere i dati da Microsoft Entra ID e trasmetterli in Microsoft Sentinel. Il connettore consente di trasmettere i log di accesso e i log di controllo.
Nel menu di spostamento a sinistra di Microsoft Sentinel selezionare Connettori dati in Configurazione.
Nell'elenco Connettori dati selezionare Microsoft Entra ID e quindi selezionare Apri la pagina del connettore.
In Configurazione selezionare le caselle di controllo Log di accesso di Microsoft Entra e Log di controllo e quindi selezionare Applica modifiche.
Chiudere la pagina del connettore Microsoft Entra ID.