Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come pianificare la distribuzione per le operazioni di sicurezza unificata nel portale di Microsoft Defender. Unificare le operazioni di sicurezza per ridurre i rischi, prevenire gli attacchi, rilevare e interrompere le minacce informatiche in tempo reale e rispondere più velocemente con funzionalità di sicurezza ottimizzate per l'intelligenza artificiale, il tutto dal portale di Microsoft Defender.
Pianificare la distribuzione
Il portale di Defender combina servizi come Microsoft Defender XDR, Microsoft Sentinel, Gestione dell'esposizione in Microsoft Security e Microsoft Security Copilot per operazioni di sicurezza unificate.
Il primo passaggio per pianificare la distribuzione consiste nel selezionare i servizi da usare.
Come prerequisito di base, sono necessari sia Microsoft Defender XDR che Microsoft Sentinel per monitorare e proteggere i servizi e le soluzioni Microsoft e non Microsoft, incluse le risorse cloud e locali.
Distribuire uno dei servizi seguenti per aggiungere sicurezza agli endpoint, alle identità, alla posta elettronica e alle applicazioni per offrire protezione integrata da attacchi sofisticati.
Microsoft Defender XDR servizi includono:
Servizio | Descrizione |
---|---|
Microsoft Defender per Office 365 | Protegge dalle minacce poste da messaggi di posta elettronica, collegamenti URL e strumenti di collaborazione Office 365. |
Microsoft Defender per identità | Identifica, rileva e analizza le minacce provenienti da identità di Active Directory locale e cloud, ad esempio Microsoft Entra ID. |
Microsoft Defender per endpoint | Monitora e protegge i dispositivi endpoint, rileva e analizza le violazioni dei dispositivi e risponde automaticamente alle minacce alla sicurezza. |
Microsoft Defender per IoT | Fornisce sia l'individuazione dei dispositivi IoT che il valore di sicurezza per i dispositivi IoT. |
Gestione delle vulnerabilità di Microsoft Defender | Identifica gli asset e l'inventario software e valuta il comportamento del dispositivo per individuare le vulnerabilità di sicurezza. |
Microsoft Defender for Cloud Apps | Protegge e controlla l'accesso alle app cloud SaaS. |
Altri servizi supportati nel portale di Microsoft Defender, ma non concessi in licenza con Microsoft Defender XDR, includono:
Servizio | Descrizione |
---|---|
Gestione dell'esposizione in Microsoft Security | Fornisce una visualizzazione unificata del comportamento di sicurezza tra gli asset e i carichi di lavoro aziendali, arricchendo le informazioni sugli asset con il contesto di sicurezza. |
Microsoft Security Copilot | Fornisce informazioni dettagliate e consigli basati sull'intelligenza artificiale per migliorare le operazioni di sicurezza. |
Microsoft Defender for Cloud | Protegge ambienti multi-cloud e ibridi con rilevamento e risposta avanzati delle minacce. |
Microsoft Defender Threat Intelligence | Semplifica i flussi di lavoro di Intelligence sulle minacce aggregando e arricchendo le origini dati critiche per correlare gli indicatori di compromissione (IOC) con articoli, profili di attori e vulnerabilità correlati. |
Microsoft Entra ID Protection | Valuta i dati di rischio dei tentativi di accesso per valutare il rischio di ogni accesso all'ambiente. |
Gestione dei rischi insider di Microsoft Purview | Correla vari segnali per identificare potenziali rischi insider dannosi o accidentali, ad esempio furto ip, perdita di dati e violazioni della sicurezza. |
Esaminare i prerequisiti del servizio
Prima di distribuire Microsoft Defender servizi per le operazioni di sicurezza unificata, esaminare i prerequisiti per ogni servizio che si prevede di usare. Nella tabella seguente sono elencati i servizi e i collegamenti per altre informazioni:
Servizio di sicurezza | Prerequisiti |
---|---|
Obbligatorio per le operazioni di sicurezza unificate | |
Microsoft Defender XDR | prerequisiti Microsoft Defender XDR |
Microsoft Sentinel | Prerequisiti per la distribuzione di Microsoft Sentinel |
Servizi di Microsoft Defender XDR facoltativi | |
Microsoft Defender per Office | prerequisiti Microsoft Defender XDR |
Microsoft Defender per identità | Prerequisiti di Microsoft Defender per identità |
Microsoft Defender per endpoint | Configurare la distribuzione Microsoft Defender per endpoint |
Monitoraggio aziendale con Microsoft Defender per IoT | Prerequisiti per Defender per IoT nel portale di Defender |
Gestione delle vulnerabilità di Microsoft Defender | Prerequisiti & autorizzazioni per Gestione delle vulnerabilità di Microsoft Defender |
Microsoft Defender for Cloud Apps | Introduzione a Microsoft Defender for Cloud Apps |
Altri servizi supportati nel portale di Microsoft Defender | |
Gestione dell'esposizione in Microsoft Security | Prerequisiti e supporto |
Microsoft Security Copilot | Requisiti minimi |
Microsoft Defender for Cloud | Iniziare a pianificare la protezione multicloud e altri articoli nella stessa sezione. |
Microsoft Defender Threat Intelligence | Prerequisiti per Defender Threat Intelligence |
Microsoft Entra ID Protection | Prerequisiti per Microsoft Entra ID Protection |
Gestione dei rischi insider di Microsoft Purview | Introduzione alla gestione dei rischi Insider |
Esaminare le procedure di sicurezza e privacy dei dati
Prima di distribuire Microsoft Defender servizi per le operazioni di sicurezza unificata, assicurarsi di comprendere le procedure di sicurezza e privacy dei dati per ogni servizio che si prevede di usare. Nella tabella seguente sono elencati i servizi e i collegamenti per altre informazioni. Si noti che diversi servizi usano le procedure di sicurezza e conservazione dei dati per Microsoft Defender XDR invece di avere procedure distinte.
Pianificare l'architettura dell'area di lavoro Log Analytics
Per eseguire l'onboarding di Microsoft Sentinel nel portale di Defender, è innanzitutto necessaria un'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Una singola area di lavoro Log Analytics potrebbe essere sufficiente per molti ambienti, ma molte organizzazioni creano più aree di lavoro per ottimizzare i costi e soddisfare meglio i diversi requisiti aziendali.
Progettare l'area di lavoro Log Analytics da abilitare per Microsoft Sentinel. Prendere in considerazione parametri come i requisiti di conformità per la raccolta e l'archiviazione dei dati e come controllare l'accesso ai dati Microsoft Sentinel.
Per altre informazioni, vedere:
- Progettare l'architettura dell'area di lavoro
- Esaminare le progettazioni di aree di lavoro di esempio
Pianificare i costi Microsoft Sentinel e le origini dati
Il portale di Defender può inserire in modo nativo i dati dai servizi Microsoft di prima parte, ad esempio Microsoft Defender for Cloud Apps e Microsoft Defender per il cloud. È consigliabile espandere la copertura ad altre origini dati nell'ambiente aggiungendo connettori dati Microsoft Sentinel.
Determinare le origini dati
Determinare il set completo di origini dati da cui verranno inseriti i dati e i requisiti relativi alle dimensioni dei dati per pianificare in modo accurato il budget e la sequenza temporale della distribuzione. È possibile determinare queste informazioni durante la revisione del caso d'uso aziendale o valutando un SIEM corrente già esistente. Se si dispone già di un SIEM, analizzare i dati per comprendere quali origini dati forniscono il valore maggiore e devono essere inserite in Microsoft Sentinel.
Ad esempio, è possibile usare una delle origini dati consigliate seguenti:
Servizi di Azure: se uno dei servizi seguenti viene distribuito in Azure, usare i connettori seguenti per inviare i log di diagnostica di queste risorse a Microsoft Sentinel:
- Firewall di Azure
- gateway applicazione di Azure
- Keyvault
- servizio Azure Kubernetes
- Azure SQL
- Gruppi di sicurezza di rete
- Server Azure-Arc
È consigliabile configurare Criteri di Azure per richiedere l'inoltro dei log all'area di lavoro Log Analytics sottostante. Per altre informazioni, vedere Creare impostazioni di diagnostica su larga scala usando Criteri di Azure.
Macchine virtuali: per le macchine virtuali ospitate in locale o in altri cloud che richiedono la raccolta dei log, usare i connettori dati seguenti:
- eventi Sicurezza di Windows con AMA
- Eventi tramite Defender per endpoint (per server)
- Syslog
Appliance virtuali di rete/origini locali: per le appliance virtuali di rete o altre origini locali che generano log CEF (Common Event Format) o SYSLOG, usare i connettori dati seguenti:
- Syslog tramite AMA
- Common Event Format (CEF) via AMA
Per altre informazioni, vedere Assegnare priorità ai connettori dati.
Pianificare il budget
Pianificare il budget Microsoft Sentinel, considerando le implicazioni sui costi per ogni scenario pianificato. Assicurarsi che il budget copra il costo dell'inserimento dei dati sia per Microsoft Sentinel che per Azure Log Analytics, per tutti i playbook che verranno distribuiti e così via. Per altre informazioni, vedere:
- Piani di conservazione dei log in Microsoft Sentinel
- Pianificare i costi e comprendere Microsoft Sentinel prezzi e fatturazione
Informazioni sui portali di sicurezza Microsoft e sulle interfacce di amministrazione
Mentre il portale di Microsoft Defender è la sede per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi e app, è necessario accedere a diversi portali per determinate attività specializzate.
I portali di sicurezza Microsoft includono:
Nome del portale | Descrizione | Collegamento |
---|---|---|
Portale di Microsoft Defender | Monitorare e rispondere alle attività di minaccia e rafforzare il comportamento di sicurezza tra identità, posta elettronica, dati, endpoint e app con Microsoft Defender XDR |
security.microsoft.com Il portale Microsoft Defender consente di visualizzare e gestire avvisi, eventi imprevisti, impostazioni e altro ancora. |
Portale di Defender per cloud | Usare Microsoft Defender per il cloud per rafforzare il comportamento di sicurezza dei data center e dei carichi di lavoro ibridi nel cloud | portal.azure.com/#blade/Microsoft_Azure_Security |
portale di Intelligence di sicurezza Microsoft | Ottenere gli aggiornamenti delle informazioni di sicurezza per Microsoft Defender per endpoint, inviare esempi ed esplorare l'enciclopedia delle minacce | microsoft.com/wdsi |
La tabella seguente descrive i portali per altri carichi di lavoro che possono influire sulla sicurezza. Visitare questi portali per gestire identità, autorizzazioni, impostazioni del dispositivo e criteri di gestione dei dati.
Nome del portale | Descrizione | Collegamento |
---|---|---|
Interfaccia di amministrazione di Microsoft Entra | Accedere e amministrare la famiglia Microsoft Entra per proteggere l'azienda con identità decentralizzate, protezione delle identità, governance e altro ancora, in un ambiente multicloud | entra.microsoft.com |
Portale di Azure | Visualizzare e gestire tutte le risorse di Azure | portal.azure.com |
Portale di Microsoft Purview | Gestire i criteri di gestione dei dati e garantire la conformità alle normative | purview.microsoft.com |
Interfaccia di amministrazione di Microsoft 365 | Configurare i servizi di Microsoft 365; gestire ruoli, licenze e tenere traccia degli aggiornamenti ai servizi di Microsoft 365 | admin.microsoft.com |
interfaccia di amministrazione Microsoft Intune | Usare Microsoft Intune per gestire e proteggere i dispositivi. Può anche combinare funzionalità di Intune e Configuration Manager. | intune.microsoft.com |
portale Microsoft Intune | Usare Microsoft Intune per distribuire i criteri dei dispositivi e monitorare i dispositivi per la conformità | intune.microsoft.com |
Pianificare ruoli e autorizzazioni
Il portale Microsoft Defender unifica i modelli di controllo degli accessi in base al ruolo seguenti per le operazioni di sicurezza unificata:
- Microsoft Entra ID controllo degli accessi in base al ruolo, usato per delegare l'accesso a Defender, ad esempio i gruppi di dispositivi
- Controllo degli accessi in base al ruolo di Azure, usato da Microsoft Sentinel per delegare le autorizzazioni
- Controllo degli accessi in base al ruolo unificato di Defender, usato per delegare le autorizzazioni tra le soluzioni Defender
Anche se le autorizzazioni concesse tramite il controllo degli accessi in base al ruolo di Azure per Microsoft Sentinel vengono federate durante il runtime con il controllo degli accessi in base al ruolo unificato di Defender, il controllo degli accessi in base al ruolo di Azure e il controllo degli accessi in base al ruolo di Defender vengono comunque gestiti separatamente.
Il controllo degli accessi in base al ruolo unificato di Defender non è necessario per eseguire l'onboarding dell'area di lavoro nel portale di Defender e le autorizzazioni Microsoft Sentinel continuano a funzionare come previsto nel portale di Defender anche senza controllo degli accessi in base al ruolo unificato. Tuttavia, l'uso del controllo degli accessi in base al ruolo unificato semplifica la delega delle autorizzazioni tra le soluzioni Defender. Per altre informazioni, vedere Attivare Microsoft Defender XDR controllo degli accessi in base al ruolo unificato.
L'autorizzazione minima necessaria per un analista per visualizzare i dati Microsoft Sentinel consiste nel delegare le autorizzazioni per il ruolo Ruolo lettore Sentinel controllo degli accessi in base al ruolo azure. Queste autorizzazioni vengono applicate anche al portale unificato. Senza queste autorizzazioni, il menu di spostamento Microsoft Sentinel non è disponibile nel portale unificato, nonostante l'analista abbia accesso al portale di Microsoft Defender.
Una procedura consigliata consiste nell'avere tutte le risorse correlate Microsoft Sentinel nello stesso gruppo di risorse di Azure, quindi delegare le autorizzazioni del ruolo Microsoft Sentinel (ad esempio il ruolo lettore Sentinel) a livello di gruppo di risorse che contiene l'area di lavoro Microsoft Sentinel. In questo modo, l'assegnazione di ruolo si applica a tutte le risorse che supportano Microsoft Sentinel.
Per i servizi seguenti, usare i diversi ruoli disponibili o creare ruoli personalizzati per fornire un controllo dettagliato sulle operazioni che gli utenti possono visualizzare e fare. Per altre informazioni, vedere:
Per altre informazioni, vedere:
- Pianificare ruoli e autorizzazioni per Microsoft Sentinel
- Ruoli predefiniti di Azure
- ruoli Microsoft Sentinel
- Prerequisiti per l'onboarding
- Gestione del controllo degli accessi in base al ruolo unificato in Microsoft Defender (demo video)
Pianificare le attività Zero Trust
Le operazioni di sicurezza unificata nel portale di Defender fanno parte del modello di sicurezza Zero Trust di Microsoft, che include i principi seguenti:
Principio di sicurezza | Descrizione |
---|---|
Verificare in modo esplicito | Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. |
Usare l'accesso con privilegi minimi | Limitare l'accesso utente con ji-in-time e just-enough-access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
Presupporre una violazione | Ridurre al minimo il raggio di esplosione e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. |
Zero Trust sicurezza è progettata per proteggere gli ambienti digitali moderni sfruttando la segmentazione della rete, impedendo lo spostamento laterale, fornendo accesso con privilegi minimi e usando l'analisi avanzata per rilevare e rispondere alle minacce.
Per altre informazioni sull'implementazione dei principi di Zero Trust nel portale di Defender, vedere Zero Trust contenuto per i servizi seguenti:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender per identità
- Microsoft Defender per Office 365
- Microsoft Defender per endpoint
- Microsoft Defender for Cloud Apps
- Gestione dell'esposizione in Microsoft Security
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Microsoft Entra ID Protection
- Microsoft Purview
Per altre informazioni, vedere Zero Trust Guidance Center.