Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il portale di Microsoft Defender fornisce operazioni di sicurezza unificate con Microsoft Defender XDR, Microsoft Sentinel e altri servizi. Insieme, i servizi del portale di Defender offrono una panoramica completa del comportamento di sicurezza dell'organizzazione e consentono di rilevare, analizzare e rispondere alle minacce in tutta l'organizzazione.
Gestione dell'esposizione in Microsoft Security e Microsoft Threat Intelligence sono disponibili in qualsiasi ambiente che soddisfi i prerequisiti per gli utenti configurati con le autorizzazioni necessarie.
Prerequisiti
Prima di distribuire Microsoft Defender servizi per le operazioni di sicurezza unificate, assicurarsi di avere un piano in atto, tra cui una progettazione dell'area di lavoro e una comprensione dei costi e della fatturazione Microsoft Sentinel.
Per altre informazioni, vedere Linee guida per la pianificazione delle operazioni di sicurezza unificata nel portale di Microsoft Defender.
Distribuisci i servizi di Microsoft Defender XDR
Microsoft Defender XDR unifica la risposta agli eventi imprevisti integrando le funzionalità chiave tra i servizi, tra cui Microsoft Defender per endpoint, Microsoft Defender per Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender per identità. Questa esperienza unificata aggiunge potenti funzionalità a cui è possibile accedere nel portale di Microsoft Defender.
Microsoft Defender XDR si attiva automaticamente quando i clienti idonei con le autorizzazioni necessarie visitano Microsoft Defender portale. Per altre informazioni, vedere Attivare Microsoft Defender XDR.
Continua distribuendo i servizi Microsoft Defender XDR. È consigliabile usare l'ordine seguente:
Distribuisci Microsoft Defender per endpoint. Aggiungere Gestione delle vulnerabilità di Microsoft Defender e/o il monitoraggio aziendale per i dispositivi IoT, in base all'ambiente in uso.
Configurare Microsoft Entra ID Protection
Microsoft Defender XDR può inserire e includere segnali da Microsoft Entra ID Protection, che valuta i dati di rischio da miliardi di tentativi di accesso e valuta il rischio di ogni accesso all'ambiente. Microsoft Entra ID i dati di protezione vengono usati da Microsoft Entra ID per consentire o impedire l'accesso all'account, a seconda della configurazione dei criteri di accesso condizionale.
Configurare Microsoft Entra ID Protection per migliorare il comportamento di sicurezza e aggiungere segnali Microsoft Entra alle operazioni di sicurezza unificate. Per altre informazioni, vedere Configurare i criteri di protezione Microsoft Entra ID.
Distribuire Microsoft Defender per il cloud
Microsoft Defender per il cloud offre un'esperienza di gestione unificata della sicurezza per le risorse cloud e può anche inviare segnali a Microsoft Defender XDR. Ad esempio, è possibile iniziare connettendo le sottoscrizioni Azure a Microsoft Defender per il cloud e quindi passando ad altri ambienti cloud.
Per altre informazioni, vedere Connettere le sottoscrizioni Azure.
Accedere a Microsoft Security Copilot
Eseguire l'onboarding per Microsoft Security Copilot per migliorare le operazioni di sicurezza sfruttando funzionalità di intelligenza artificiale avanzate. Security Copilot aiuta nel rilevamento, nell'analisi e nella risposta delle minacce, fornendo informazioni dettagliate e consigli utili per rimanere al passo con le potenziali minacce. Usare Security Copilot per automatizzare le attività di routine, ridurre il tempo necessario per rilevare e rispondere agli eventi imprevisti e migliorare l'efficienza complessiva del team di sicurezza.
Per altre informazioni, vedere Introduzione a Security Copilot.
Progettare l'area di lavoro ed eseguire l'onboarding in Microsoft Sentinel
Il primo passaggio per l'uso di Microsoft Sentinel consiste nel creare un'area di lavoro Log Analytics, se non è già disponibile. Una singola area di lavoro Log Analytics potrebbe essere sufficiente per molti ambienti, ma molte organizzazioni creano più aree di lavoro per ottimizzare i costi e soddisfare meglio i diversi requisiti aziendali. Il portale di Defender supporta un'area di lavoro primaria e più aree di lavoro secondarie.
- Creare un gruppo di risorse di sicurezza a scopo di governance, che consente di isolare le risorse Microsoft Sentinel e l'accesso in base al ruolo alla raccolta.
- Crea un'area di lavoro Log Analytics nel gruppo di risorse Security e integravi Microsoft Sentinel.
Per altre informazioni, vedere Integrare Microsoft Sentinel e Più aree di lavoro di Microsoft Sentinel nel portale di Defender.
Configurare ruoli e autorizzazioni
Esegui il provisioning degli utenti in base al tuo piano documentato di ruoli e autorizzazioni di accesso. Per rispettare Zero Trust principi, è consigliabile usare il controllo degli accessi in base al ruolo per fornire l'accesso utente solo alle risorse consentite e rilevanti per ogni utente, anziché fornire l'accesso all'intero ambiente.
L'autorizzazione minima richiesta perché un analista possa visualizzare i dati di Microsoft Sentinel consiste nella delega delle autorizzazioni per il ruolo Lettore di Sentinel di Azure RBAC. Queste autorizzazioni vengono applicate anche al portale unificato. Senza queste autorizzazioni, il menu di spostamento Microsoft Sentinel non è disponibile nel portale unificato, nonostante l'analista abbia accesso al portale di Microsoft Defender.
Una procedura consigliata consiste nell'avere tutte le risorse correlate Microsoft Sentinel nello stesso gruppo di risorse Azure, quindi delegare le autorizzazioni del ruolo Microsoft Sentinel (ad esempio il ruolo lettore Sentinel) a livello di gruppo di risorse che contiene l'area di lavoro Microsoft Sentinel. In questo modo, l'assegnazione di ruolo si applica a tutte le risorse che supportano Microsoft Sentinel.
Per altre informazioni, vedere:
- Prerequisiti per l'onboarding
- Assegnare ruoli di Microsoft Entra ID agli utenti
- Concedere a un utente l'accesso ai ruoli Azure
- Gestire il RBAC unificato in Microsoft Defender (video dimostrativo)
Eseguire l'onboarding nel portale di Defender
Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, si unificano le funzionalità con Microsoft Defender XDR come la gestione degli eventi imprevisti e la ricerca avanzata per le operazioni di sicurezza unificata. Per altre informazioni, vedere Connettere Microsoft Sentinel a Microsoft Defender.
Ottimizzare le configurazioni di sistema
Usare le opzioni di configurazione Microsoft Sentinel seguenti per ottimizzare la distribuzione:
Abilitare l'integrità e il controllo
Monitorare l'integrità e controllare l'integrità delle risorse di Microsoft Sentinel supportate attivando la funzionalità di controllo e monitoraggio dell'integrità nella pagina Impostazioni di Microsoft Sentinel. Ottenere informazioni dettagliate sulle deviazioni di integrità, ad esempio gli eventi di errore più recenti o le modifiche dagli stati di esito positivo agli stati di errore e sulle azioni non autorizzate, nonché usare i dati di monitoraggio e controllo dell'integrità per creare notifiche e altre azioni automatizzate.
Per altre informazioni, vediAttivare la verifica e il monitoraggio dell'integrità per Microsoft Sentinel.
Configurare il contenuto di Microsoft Sentinel
In base ai costi e alle origini dati Microsoft Sentinel pianificati, installare le soluzioni di Microsoft Sentinel corrispondenti e configurare i connettori dati. Microsoft Sentinel offre un'ampia gamma di soluzioni predefinite e connettori dati, ma è anche possibile creare connettori personalizzati e configurare i connettori per inserire i log CEF o Syslog.
Per altre informazioni, vedere:
- Configurare il contenuto
- Scopri e gestisci il contenuto predefinito di Microsoft Sentinel
- Trovare il connettore dati
Abilita l'analisi del comportamento di utenti ed entità (UEBA)
Dopo aver configurato i connettori dati in Microsoft Sentinel, assicurarsi di abilitare l'analisi del comportamento delle entità utente per identificare comportamenti sospetti che potrebbero causare exploit di phishing e, infine, attacchi come ransomware. Per altre informazioni, vedere Abilitare UEBA in Microsoft Sentinel.
Configurare la conservazione dei dati interattiva e a lungo termine
Configurare la conservazione dei dati interattiva e a lungo termine per assicurarsi che l'organizzazione conservi i dati importanti a lungo termine. Per altre informazioni, vedere Configurare la conservazione dei dati interattiva e a lungo termine.
Abilitare le regole di analisi
Le regole di analisi consentono a Microsoft Sentinel di avvisarti degli eventi in base a un insieme di condizioni che ritieni importanti. Le decisioni predefinite di Microsoft Sentinel si basano sull'analisi comportamentale delle entità utente (UEBA) e sulla correlazione dei dati provenienti da più origini dati. Quando si abilitano le regole di analisi per Microsoft Sentinel, dare priorità all'abilitazione in base alle origini dati connesse, al rischio organizzativo e alle tattiche MITRE.
Per altre informazioni, vedere Rilevamento delle minacce in Microsoft Sentinel.
Esaminare le regole di anomalia
Le regole di anomalia di Microsoft Sentinel sono disponibili pronte all'uso e abilitate per impostazione predefinita. Le regole di rilevamento delle anomalie si basano su modelli di apprendimento automatico e UEBA addestrati sui dati presenti nel tuo spazio di lavoro per segnalare comportamenti anomali tra utenti, host e altre entità. Esamina le regole di anomalia e la soglia del punteggio di anomalia per ciascuna. Se si osservano falsi positivi, ad esempio, è consigliabile duplicare la regola e modificare la soglia.
Per altre informazioni, vedere Usare le regole di analisi del rilevamento anomalie.
Usare la regola di analisi di Microsoft Threat Intelligence
Abilita la regola di analisi predefinita di Microsoft Threat Intelligence e verifica che la regola confronti i dati del log con le informazioni sulle minacce generate da Microsoft. Per altre informazioni, vedere Rilevare le minacce con l'analisi degli indicatori delle minacce. Microsoft dispone di un vasto archivio di dati di intelligence sulle minacce e questa regola analitica ne utilizza un sottoinsieme per generare avvisi e incidenti ad alta fedeltà che i team SOC (security operations centers) possono analizzare.
Evitare incidenti duplicati
Dopo aver connesso Microsoft Sentinel a Microsoft Defender, viene stabilita automaticamente una sincronizzazione bidirezionale tra eventi imprevisti Microsoft Defender XDR e Microsoft Sentinel. Per evitare la creazione di eventi imprevisti duplicati per gli stessi avvisi, è consigliabile disattivare tutte le regole di creazione di eventi imprevisti Microsoft per i prodotti integrati Microsoft Defender XDR, tra cui Defender per endpoint, Defender per identità, Defender per Office 365, Defender for Cloud Apps e protezione Microsoft Entra ID.
Per altre informazioni, vedere Creazione di eventi imprevisti Microsoft .
Eseguire una mappatura MITRE ATT&CK
Con le regole analitiche di Fusion, anomalie e threat intelligence abilitate, esegui un crosswalk MITRE ATT&CK per decidere quali delle restanti regole analitiche abilitare e completare l’implementazione di un processo XDR (extended detection and response) maturo. Ciò consente di rilevare e rispondere per tutto il ciclo di vita di un attacco.
Per altre informazioni, vedere Informazioni sulla copertura della sicurezza.