Condividi tramite


Linee guida per la pianificazione delle operazioni di sicurezza unificata nel portale di Microsoft Defender

Questo articolo descrive come pianificare la distribuzione per le operazioni di sicurezza unificata nel portale di Microsoft Defender. Unificare le operazioni di sicurezza per ridurre i rischi, prevenire gli attacchi, rilevare e interrompere le minacce informatiche in tempo reale e rispondere più velocemente con funzionalità di sicurezza ottimizzate per l'intelligenza artificiale, il tutto dal portale di Microsoft Defender.

Pianificare la distribuzione

Il portale di Defender combina servizi come Microsoft Defender XDR, Microsoft Sentinel, Gestione dell'esposizione in Microsoft Security e Microsoft Security Copilot per operazioni di sicurezza unificate.

Il primo passaggio per pianificare la distribuzione consiste nel selezionare i servizi da usare.

Come prerequisito di base, sono necessari sia Microsoft Defender XDR che Microsoft Sentinel per monitorare e proteggere i servizi e le soluzioni Microsoft e non Microsoft, incluse le risorse cloud e locali.

Distribuire uno dei servizi seguenti per aggiungere sicurezza agli endpoint, alle identità, alla posta elettronica e alle applicazioni per offrire protezione integrata da attacchi sofisticati.

Microsoft Defender XDR servizi includono:

Servizio Descrizione
Microsoft Defender per Office 365 Protegge dalle minacce poste da messaggi di posta elettronica, collegamenti URL e strumenti di collaborazione Office 365.
Microsoft Defender per identità Identifica, rileva e analizza le minacce provenienti da identità di Active Directory locale e cloud, ad esempio Microsoft Entra ID.
Microsoft Defender per endpoint Monitora e protegge i dispositivi endpoint, rileva e analizza le violazioni dei dispositivi e risponde automaticamente alle minacce alla sicurezza.
Microsoft Defender per IoT Fornisce sia l'individuazione dei dispositivi IoT che il valore di sicurezza per i dispositivi IoT.
Gestione delle vulnerabilità di Microsoft Defender Identifica gli asset e l'inventario software e valuta il comportamento del dispositivo per individuare le vulnerabilità di sicurezza.
Microsoft Defender for Cloud Apps Protegge e controlla l'accesso alle app cloud SaaS.

Altri servizi supportati nel portale di Microsoft Defender, ma non concessi in licenza con Microsoft Defender XDR, includono:

Servizio Descrizione
Gestione dell'esposizione in Microsoft Security Fornisce una visualizzazione unificata del comportamento di sicurezza tra gli asset e i carichi di lavoro aziendali, arricchendo le informazioni sugli asset con il contesto di sicurezza.
Microsoft Security Copilot Fornisce informazioni dettagliate e consigli basati sull'intelligenza artificiale per migliorare le operazioni di sicurezza.
Microsoft Defender for Cloud Protegge ambienti multi-cloud e ibridi con rilevamento e risposta avanzati delle minacce.
Microsoft Defender Threat Intelligence Semplifica i flussi di lavoro di Intelligence sulle minacce aggregando e arricchendo le origini dati critiche per correlare gli indicatori di compromissione (IOC) con articoli, profili di attori e vulnerabilità correlati.
Microsoft Entra ID Protection Valuta i dati di rischio dei tentativi di accesso per valutare il rischio di ogni accesso all'ambiente.
Gestione dei rischi insider di Microsoft Purview Correla vari segnali per identificare potenziali rischi insider dannosi o accidentali, ad esempio furto ip, perdita di dati e violazioni della sicurezza.

Esaminare i prerequisiti del servizio

Prima di distribuire Microsoft Defender servizi per le operazioni di sicurezza unificata, esaminare i prerequisiti per ogni servizio che si prevede di usare. Nella tabella seguente sono elencati i servizi e i collegamenti per altre informazioni:

Servizio di sicurezza Prerequisiti
Obbligatorio per le operazioni di sicurezza unificate
Microsoft Defender XDR prerequisiti Microsoft Defender XDR
Microsoft Sentinel Prerequisiti per la distribuzione di Microsoft Sentinel
Servizi di Microsoft Defender XDR facoltativi
Microsoft Defender per Office prerequisiti Microsoft Defender XDR
Microsoft Defender per identità Prerequisiti di Microsoft Defender per identità
Microsoft Defender per endpoint Configurare la distribuzione Microsoft Defender per endpoint
Monitoraggio aziendale con Microsoft Defender per IoT Prerequisiti per Defender per IoT nel portale di Defender
Gestione delle vulnerabilità di Microsoft Defender Prerequisiti & autorizzazioni per Gestione delle vulnerabilità di Microsoft Defender
Microsoft Defender for Cloud Apps Introduzione a Microsoft Defender for Cloud Apps
Altri servizi supportati nel portale di Microsoft Defender
Gestione dell'esposizione in Microsoft Security Prerequisiti e supporto
Microsoft Security Copilot Requisiti minimi
Microsoft Defender for Cloud Iniziare a pianificare la protezione multicloud e altri articoli nella stessa sezione.
Microsoft Defender Threat Intelligence Prerequisiti per Defender Threat Intelligence
Microsoft Entra ID Protection Prerequisiti per Microsoft Entra ID Protection
Gestione dei rischi insider di Microsoft Purview Introduzione alla gestione dei rischi Insider

Esaminare le procedure di sicurezza e privacy dei dati

Prima di distribuire Microsoft Defender servizi per le operazioni di sicurezza unificata, assicurarsi di comprendere le procedure di sicurezza e privacy dei dati per ogni servizio che si prevede di usare. Nella tabella seguente sono elencati i servizi e i collegamenti per altre informazioni. Si noti che diversi servizi usano le procedure di sicurezza e conservazione dei dati per Microsoft Defender XDR invece di avere procedure distinte.

Servizio di sicurezza Sicurezza dei dati e privacy
Obbligatorio per le operazioni di sicurezza unificate
Microsoft Defender XDR Sicurezza e conservazione dei dati in Microsoft Defender XDR
Microsoft Sentinel Disponibilità geografica e residenza dei dati in Microsoft Sentinel
Servizi di Microsoft Defender XDR facoltativi
Microsoft Defender per Office Sicurezza e conservazione dei dati in Microsoft Defender XDR
Microsoft Defender per identità Privacy con Microsoft Defender per identità
Microsoft Defender per endpoint Microsoft Defender per endpoint l'archiviazione e la privacy dei dati
Monitoraggio aziendale con Microsoft Defender per IoT Sicurezza e conservazione dei dati in Microsoft Defender XDR
Gestione delle vulnerabilità di Microsoft Defender Microsoft Defender per endpoint l'archiviazione e la privacy dei dati
Microsoft Defender for Cloud Apps Privacy con Microsoft Defender for Cloud Apps
Altri servizi supportati nel portale di Microsoft Defender
Gestione dell'esposizione in Microsoft Security Aggiornamento dei dati, conservazione e funzionalità correlate
Microsoft Security Copilot Privacy e sicurezza dei dati in Microsoft Security Copilot
Microsoft Defender for Cloud Microsoft Defender per la sicurezza dei dati cloud
Microsoft Defender Threat Intelligence Sicurezza e conservazione dei dati in Microsoft Defender XDR
Microsoft Entra ID Protection Microsoft Entra conservazione dei dati
Gestione dei rischi insider di Microsoft Purview Guida alla privacy Gestione dei rischi Insider Microsoft Purview e conformità alle comunicazioni

Gestione record di messaggistica e criteri di conservazione in Microsoft 365

Pianificare l'architettura dell'area di lavoro Log Analytics

Per eseguire l'onboarding di Microsoft Sentinel nel portale di Defender, è innanzitutto necessaria un'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Una singola area di lavoro Log Analytics potrebbe essere sufficiente per molti ambienti, ma molte organizzazioni creano più aree di lavoro per ottimizzare i costi e soddisfare meglio i diversi requisiti aziendali.

Progettare l'area di lavoro Log Analytics da abilitare per Microsoft Sentinel. Prendere in considerazione parametri come i requisiti di conformità per la raccolta e l'archiviazione dei dati e come controllare l'accesso ai dati Microsoft Sentinel.

Per altre informazioni, vedere:

  1. Progettare l'architettura dell'area di lavoro
  2. Esaminare le progettazioni di aree di lavoro di esempio

Pianificare i costi Microsoft Sentinel e le origini dati

Il portale di Defender può inserire in modo nativo i dati dai servizi Microsoft di prima parte, ad esempio Microsoft Defender for Cloud Apps e Microsoft Defender per il cloud. È consigliabile espandere la copertura ad altre origini dati nell'ambiente aggiungendo connettori dati Microsoft Sentinel.

Determinare le origini dati

Determinare il set completo di origini dati da cui verranno inseriti i dati e i requisiti relativi alle dimensioni dei dati per pianificare in modo accurato il budget e la sequenza temporale della distribuzione. È possibile determinare queste informazioni durante la revisione del caso d'uso aziendale o valutando un SIEM corrente già esistente. Se si dispone già di un SIEM, analizzare i dati per comprendere quali origini dati forniscono il valore maggiore e devono essere inserite in Microsoft Sentinel.

Ad esempio, è possibile usare una delle origini dati consigliate seguenti:

  • Servizi di Azure: se uno dei servizi seguenti viene distribuito in Azure, usare i connettori seguenti per inviare i log di diagnostica di queste risorse a Microsoft Sentinel:

    • Firewall di Azure
    • gateway applicazione di Azure
    • Keyvault
    • servizio Azure Kubernetes
    • Azure SQL
    • Gruppi di sicurezza di rete
    • Server Azure-Arc

    È consigliabile configurare Criteri di Azure per richiedere l'inoltro dei log all'area di lavoro Log Analytics sottostante. Per altre informazioni, vedere Creare impostazioni di diagnostica su larga scala usando Criteri di Azure.

  • Macchine virtuali: per le macchine virtuali ospitate in locale o in altri cloud che richiedono la raccolta dei log, usare i connettori dati seguenti:

    • eventi Sicurezza di Windows con AMA
    • Eventi tramite Defender per endpoint (per server)
    • Syslog
  • Appliance virtuali di rete/origini locali: per le appliance virtuali di rete o altre origini locali che generano log CEF (Common Event Format) o SYSLOG, usare i connettori dati seguenti:

    • Syslog tramite AMA
    • Common Event Format (CEF) via AMA

Per altre informazioni, vedere Assegnare priorità ai connettori dati.

Pianificare il budget

Pianificare il budget Microsoft Sentinel, considerando le implicazioni sui costi per ogni scenario pianificato. Assicurarsi che il budget copra il costo dell'inserimento dei dati sia per Microsoft Sentinel che per Azure Log Analytics, per tutti i playbook che verranno distribuiti e così via. Per altre informazioni, vedere:

Informazioni sui portali di sicurezza Microsoft e sulle interfacce di amministrazione

Mentre il portale di Microsoft Defender è la sede per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi e app, è necessario accedere a diversi portali per determinate attività specializzate.

I portali di sicurezza Microsoft includono:

Nome del portale Descrizione Collegamento
Portale di Microsoft Defender Monitorare e rispondere alle attività di minaccia e rafforzare il comportamento di sicurezza tra identità, posta elettronica, dati, endpoint e app con Microsoft Defender XDR security.microsoft.com

Il portale Microsoft Defender consente di visualizzare e gestire avvisi, eventi imprevisti, impostazioni e altro ancora.
Portale di Defender per cloud Usare Microsoft Defender per il cloud per rafforzare il comportamento di sicurezza dei data center e dei carichi di lavoro ibridi nel cloud portal.azure.com/#blade/Microsoft_Azure_Security
portale di Intelligence di sicurezza Microsoft Ottenere gli aggiornamenti delle informazioni di sicurezza per Microsoft Defender per endpoint, inviare esempi ed esplorare l'enciclopedia delle minacce microsoft.com/wdsi

La tabella seguente descrive i portali per altri carichi di lavoro che possono influire sulla sicurezza. Visitare questi portali per gestire identità, autorizzazioni, impostazioni del dispositivo e criteri di gestione dei dati.

Nome del portale Descrizione Collegamento
Interfaccia di amministrazione di Microsoft Entra Accedere e amministrare la famiglia Microsoft Entra per proteggere l'azienda con identità decentralizzate, protezione delle identità, governance e altro ancora, in un ambiente multicloud entra.microsoft.com
Portale di Azure Visualizzare e gestire tutte le risorse di Azure portal.azure.com
Portale di Microsoft Purview Gestire i criteri di gestione dei dati e garantire la conformità alle normative purview.microsoft.com
Interfaccia di amministrazione di Microsoft 365 Configurare i servizi di Microsoft 365; gestire ruoli, licenze e tenere traccia degli aggiornamenti ai servizi di Microsoft 365 admin.microsoft.com
interfaccia di amministrazione Microsoft Intune Usare Microsoft Intune per gestire e proteggere i dispositivi. Può anche combinare funzionalità di Intune e Configuration Manager. intune.microsoft.com
portale Microsoft Intune Usare Microsoft Intune per distribuire i criteri dei dispositivi e monitorare i dispositivi per la conformità intune.microsoft.com

Pianificare ruoli e autorizzazioni

Il portale Microsoft Defender unifica i modelli di controllo degli accessi in base al ruolo seguenti per le operazioni di sicurezza unificata:

Anche se le autorizzazioni concesse tramite il controllo degli accessi in base al ruolo di Azure per Microsoft Sentinel vengono federate durante il runtime con il controllo degli accessi in base al ruolo unificato di Defender, il controllo degli accessi in base al ruolo di Azure e il controllo degli accessi in base al ruolo di Defender vengono comunque gestiti separatamente.

Il controllo degli accessi in base al ruolo unificato di Defender non è necessario per eseguire l'onboarding dell'area di lavoro nel portale di Defender e le autorizzazioni Microsoft Sentinel continuano a funzionare come previsto nel portale di Defender anche senza controllo degli accessi in base al ruolo unificato. Tuttavia, l'uso del controllo degli accessi in base al ruolo unificato semplifica la delega delle autorizzazioni tra le soluzioni Defender. Per altre informazioni, vedere Attivare Microsoft Defender XDR controllo degli accessi in base al ruolo unificato.

L'autorizzazione minima necessaria per un analista per visualizzare i dati Microsoft Sentinel consiste nel delegare le autorizzazioni per il ruolo Ruolo lettore Sentinel controllo degli accessi in base al ruolo azure. Queste autorizzazioni vengono applicate anche al portale unificato. Senza queste autorizzazioni, il menu di spostamento Microsoft Sentinel non è disponibile nel portale unificato, nonostante l'analista abbia accesso al portale di Microsoft Defender.

Una procedura consigliata consiste nell'avere tutte le risorse correlate Microsoft Sentinel nello stesso gruppo di risorse di Azure, quindi delegare le autorizzazioni del ruolo Microsoft Sentinel (ad esempio il ruolo lettore Sentinel) a livello di gruppo di risorse che contiene l'area di lavoro Microsoft Sentinel. In questo modo, l'assegnazione di ruolo si applica a tutte le risorse che supportano Microsoft Sentinel.

Per i servizi seguenti, usare i diversi ruoli disponibili o creare ruoli personalizzati per fornire un controllo dettagliato sulle operazioni che gli utenti possono visualizzare e fare. Per altre informazioni, vedere:

Servizio di sicurezza Collegamento ai requisiti del ruolo
Obbligatorio per le operazioni di sicurezza unificate
Microsoft Defender XDR Gestire l'accesso a Microsoft Defender XDR con Microsoft Entra ruoli globali
Microsoft Sentinel Ruoli e autorizzazioni in Microsoft Sentinel
Servizi di Microsoft Defender XDR facoltativi
Che cosa è Microsoft Defender per identità? Ruoli dei gruppi Microsoft Defender per identità
Microsoft Defender per Office Microsoft Defender per Office 365 autorizzazioni nel portale di Microsoft Defender
Microsoft Defender per endpoint Assegnare ruoli e autorizzazioni per la distribuzione Microsoft Defender per endpoint
Gestione delle vulnerabilità di Microsoft Defender Opzioni di autorizzazione pertinenti per Gestione delle vulnerabilità di Microsoft Defender
Microsoft Defender for Cloud Apps Configurare l'accesso amministratore per Microsoft Defender for Cloud Apps
Altri servizi supportati nel portale di Microsoft Defender
Gestione dell'esposizione in Microsoft Security Autorizzazioni per Gestione dell'esposizione in Microsoft Security
Microsoft Defender for Cloud Ruoli utente e autorizzazioni
Gestione dei rischi insider di Microsoft Purview Abilitare le autorizzazioni per la gestione dei rischi Insider.

Per altre informazioni, vedere:

Pianificare le attività Zero Trust

Le operazioni di sicurezza unificata nel portale di Defender fanno parte del modello di sicurezza Zero Trust di Microsoft, che include i principi seguenti:

Principio di sicurezza Descrizione
Verificare in modo esplicito Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili.
Usare l'accesso con privilegi minimi Limitare l'accesso utente con ji-in-time e just-enough-access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.
Presupporre una violazione Ridurre al minimo il raggio di esplosione e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.

Zero Trust sicurezza è progettata per proteggere gli ambienti digitali moderni sfruttando la segmentazione della rete, impedendo lo spostamento laterale, fornendo accesso con privilegi minimi e usando l'analisi avanzata per rilevare e rispondere alle minacce.

Per altre informazioni sull'implementazione dei principi di Zero Trust nel portale di Defender, vedere Zero Trust contenuto per i servizi seguenti:

Per altre informazioni, vedere Zero Trust Guidance Center.

Passaggio successivo

Distribuire per le operazioni di sicurezza unificate