Implementa per operazioni di sicurezza unificate

Il portale di Microsoft Defender fornisce operazioni di sicurezza unificate con Microsoft Defender XDR, Microsoft Sentinel e altri servizi. Insieme, i servizi del portale di Defender offrono una panoramica completa del comportamento di sicurezza dell'organizzazione e consentono di rilevare, analizzare e rispondere alle minacce in tutta l'organizzazione.

Gestione dell'esposizione in Microsoft Security e Microsoft Threat Intelligence sono disponibili in qualsiasi ambiente che soddisfi i prerequisiti per gli utenti configurati con le autorizzazioni necessarie.

Prerequisiti

Distribuisci i servizi di Microsoft Defender XDR

Microsoft Defender XDR unifica la risposta agli eventi imprevisti integrando le funzionalità chiave tra i servizi, tra cui Microsoft Defender per endpoint, Microsoft Defender per Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender per identità. Questa esperienza unificata aggiunge potenti funzionalità a cui è possibile accedere nel portale di Microsoft Defender.

  1. Microsoft Defender XDR si attiva automaticamente quando i clienti idonei con le autorizzazioni necessarie visitano Microsoft Defender portale. Per altre informazioni, vedere Attivare Microsoft Defender XDR.

  2. Continua distribuendo i servizi Microsoft Defender XDR. È consigliabile usare l'ordine seguente:

    1. Distribuire Microsoft Defender per identità.

    2. Distribuire Microsoft Defender per Office 365.

    3. Distribuisci Microsoft Defender per endpoint. Aggiungere Gestione delle vulnerabilità di Microsoft Defender e/o il monitoraggio aziendale per i dispositivi IoT, in base all'ambiente in uso.

    4. Distribuire Microsoft Defender for Cloud Apps.

Configurare Microsoft Entra ID Protection

Microsoft Defender XDR può inserire e includere segnali da Microsoft Entra ID Protection, che valuta i dati di rischio da miliardi di tentativi di accesso e valuta il rischio di ogni accesso all'ambiente. Microsoft Entra ID i dati di protezione vengono usati da Microsoft Entra ID per consentire o impedire l'accesso all'account, a seconda della configurazione dei criteri di accesso condizionale.

Configurare Microsoft Entra ID Protection per migliorare il comportamento di sicurezza e aggiungere segnali Microsoft Entra alle operazioni di sicurezza unificate. Per altre informazioni, vedere Configurare i criteri di protezione Microsoft Entra ID.

Distribuire Microsoft Defender per il cloud

Microsoft Defender per il cloud offre un'esperienza di gestione unificata della sicurezza per le risorse cloud e può anche inviare segnali a Microsoft Defender XDR. Ad esempio, è possibile iniziare connettendo le sottoscrizioni Azure a Microsoft Defender per il cloud e quindi passando ad altri ambienti cloud.

Per altre informazioni, vedere Connettere le sottoscrizioni Azure.

Accedere a Microsoft Security Copilot

Eseguire l'onboarding per Microsoft Security Copilot per migliorare le operazioni di sicurezza sfruttando funzionalità di intelligenza artificiale avanzate. Security Copilot aiuta nel rilevamento, nell'analisi e nella risposta delle minacce, fornendo informazioni dettagliate e consigli utili per rimanere al passo con le potenziali minacce. Usare Security Copilot per automatizzare le attività di routine, ridurre il tempo necessario per rilevare e rispondere agli eventi imprevisti e migliorare l'efficienza complessiva del team di sicurezza.

Per altre informazioni, vedere Introduzione a Security Copilot.

Progettare l'area di lavoro ed eseguire l'onboarding in Microsoft Sentinel

Il primo passaggio per l'uso di Microsoft Sentinel consiste nel creare un'area di lavoro Log Analytics, se non è già disponibile. Una singola area di lavoro Log Analytics potrebbe essere sufficiente per molti ambienti, ma molte organizzazioni creano più aree di lavoro per ottimizzare i costi e soddisfare meglio i diversi requisiti aziendali. Il portale di Defender supporta un'area di lavoro primaria e più aree di lavoro secondarie.

  1. Creare un gruppo di risorse di sicurezza a scopo di governance, che consente di isolare le risorse Microsoft Sentinel e l'accesso in base al ruolo alla raccolta.
  2. Crea un'area di lavoro Log Analytics nel gruppo di risorse Security e integravi Microsoft Sentinel.

Per altre informazioni, vedere Integrare Microsoft Sentinel e Più aree di lavoro di Microsoft Sentinel nel portale di Defender.

Configurare ruoli e autorizzazioni

Esegui il provisioning degli utenti in base al tuo piano documentato di ruoli e autorizzazioni di accesso. Per rispettare Zero Trust principi, è consigliabile usare il controllo degli accessi in base al ruolo per fornire l'accesso utente solo alle risorse consentite e rilevanti per ogni utente, anziché fornire l'accesso all'intero ambiente.

L'autorizzazione minima richiesta perché un analista possa visualizzare i dati di Microsoft Sentinel consiste nella delega delle autorizzazioni per il ruolo Lettore di Sentinel di Azure RBAC. Queste autorizzazioni vengono applicate anche al portale unificato. Senza queste autorizzazioni, il menu di spostamento Microsoft Sentinel non è disponibile nel portale unificato, nonostante l'analista abbia accesso al portale di Microsoft Defender.

Una procedura consigliata consiste nell'avere tutte le risorse correlate Microsoft Sentinel nello stesso gruppo di risorse Azure, quindi delegare le autorizzazioni del ruolo Microsoft Sentinel (ad esempio il ruolo lettore Sentinel) a livello di gruppo di risorse che contiene l'area di lavoro Microsoft Sentinel. In questo modo, l'assegnazione di ruolo si applica a tutte le risorse che supportano Microsoft Sentinel.

Per altre informazioni, vedere:

Eseguire l'onboarding nel portale di Defender

Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, si unificano le funzionalità con Microsoft Defender XDR come la gestione degli eventi imprevisti e la ricerca avanzata per le operazioni di sicurezza unificata. Per altre informazioni, vedere Connettere Microsoft Sentinel a Microsoft Defender.

Ottimizzare le configurazioni di sistema

Usare le opzioni di configurazione Microsoft Sentinel seguenti per ottimizzare la distribuzione:

Abilitare l'integrità e il controllo

Monitorare l'integrità e controllare l'integrità delle risorse di Microsoft Sentinel supportate attivando la funzionalità di controllo e monitoraggio dell'integrità nella pagina Impostazioni di Microsoft Sentinel. Ottenere informazioni dettagliate sulle deviazioni di integrità, ad esempio gli eventi di errore più recenti o le modifiche dagli stati di esito positivo agli stati di errore e sulle azioni non autorizzate, nonché usare i dati di monitoraggio e controllo dell'integrità per creare notifiche e altre azioni automatizzate.

Per altre informazioni, vediAttivare la verifica e il monitoraggio dell'integrità per Microsoft Sentinel.

Configurare il contenuto di Microsoft Sentinel

In base ai costi e alle origini dati Microsoft Sentinel pianificati, installare le soluzioni di Microsoft Sentinel corrispondenti e configurare i connettori dati. Microsoft Sentinel offre un'ampia gamma di soluzioni predefinite e connettori dati, ma è anche possibile creare connettori personalizzati e configurare i connettori per inserire i log CEF o Syslog.

Per altre informazioni, vedere:

Abilita l'analisi del comportamento di utenti ed entità (UEBA)

Dopo aver configurato i connettori dati in Microsoft Sentinel, assicurarsi di abilitare l'analisi del comportamento delle entità utente per identificare comportamenti sospetti che potrebbero causare exploit di phishing e, infine, attacchi come ransomware. Per altre informazioni, vedere Abilitare UEBA in Microsoft Sentinel.

Configurare la conservazione dei dati interattiva e a lungo termine

Configurare la conservazione dei dati interattiva e a lungo termine per assicurarsi che l'organizzazione conservi i dati importanti a lungo termine. Per altre informazioni, vedere Configurare la conservazione dei dati interattiva e a lungo termine.

Abilitare le regole di analisi

Le regole di analisi consentono a Microsoft Sentinel di avvisarti degli eventi in base a un insieme di condizioni che ritieni importanti. Le decisioni predefinite di Microsoft Sentinel si basano sull'analisi comportamentale delle entità utente (UEBA) e sulla correlazione dei dati provenienti da più origini dati. Quando si abilitano le regole di analisi per Microsoft Sentinel, dare priorità all'abilitazione in base alle origini dati connesse, al rischio organizzativo e alle tattiche MITRE.

Per altre informazioni, vedere Rilevamento delle minacce in Microsoft Sentinel.

Esaminare le regole di anomalia

Le regole di anomalia di Microsoft Sentinel sono disponibili pronte all'uso e abilitate per impostazione predefinita. Le regole di rilevamento delle anomalie si basano su modelli di apprendimento automatico e UEBA addestrati sui dati presenti nel tuo spazio di lavoro per segnalare comportamenti anomali tra utenti, host e altre entità. Esamina le regole di anomalia e la soglia del punteggio di anomalia per ciascuna. Se si osservano falsi positivi, ad esempio, è consigliabile duplicare la regola e modificare la soglia.

Per altre informazioni, vedere Usare le regole di analisi del rilevamento anomalie.

Usare la regola di analisi di Microsoft Threat Intelligence

Abilita la regola di analisi predefinita di Microsoft Threat Intelligence e verifica che la regola confronti i dati del log con le informazioni sulle minacce generate da Microsoft. Per altre informazioni, vedere Rilevare le minacce con l'analisi degli indicatori delle minacce. Microsoft dispone di un vasto archivio di dati di intelligence sulle minacce e questa regola analitica ne utilizza un sottoinsieme per generare avvisi e incidenti ad alta fedeltà che i team SOC (security operations centers) possono analizzare.

Evitare incidenti duplicati

Dopo aver connesso Microsoft Sentinel a Microsoft Defender, viene stabilita automaticamente una sincronizzazione bidirezionale tra eventi imprevisti Microsoft Defender XDR e Microsoft Sentinel. Per evitare la creazione di eventi imprevisti duplicati per gli stessi avvisi, è consigliabile disattivare tutte le regole di creazione di eventi imprevisti Microsoft per i prodotti integrati Microsoft Defender XDR, tra cui Defender per endpoint, Defender per identità, Defender per Office 365, Defender for Cloud Apps e protezione Microsoft Entra ID.

Per altre informazioni, vedere Creazione di eventi imprevisti Microsoft .

Eseguire una mappatura MITRE ATT&CK

Con le regole analitiche di Fusion, anomalie e threat intelligence abilitate, esegui un crosswalk MITRE ATT&CK per decidere quali delle restanti regole analitiche abilitare e completare l’implementazione di un processo XDR (extended detection and response) maturo. Ciò consente di rilevare e rispondere per tutto il ciclo di vita di un attacco.

Per altre informazioni, vedere Informazioni sulla copertura della sicurezza.