Condividi tramite


Microsoft Sentinel nel portale di Microsoft Defender

Questo articolo descrive l'esperienza di Microsoft Sentinel nel portale di Microsoft Defender. Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender con Microsoft Defender XDR. Per altre informazioni, vedi:

Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5.

Funzionalità nuove e migliorate

La tabella seguente descrive le funzionalità nuove o migliorate disponibili nel portale di Defender con l'integrazione di Microsoft Sentinel. Microsoft continua a innovare in questa nuova esperienza con funzionalità che potrebbero essere esclusive del portale di Defender.

Funzionalità Descrizione
Rilevazione avanzata Eseguire query da un singolo portale in set di dati diversi per rendere più efficiente la ricerca e rimuovere la necessità di cambiare contesto. Usare Security Copilot per generare il KQL. Visualizzare ed eseguire query su tutti i dati, inclusi i dati dei servizi di sicurezza Microsoft e Microsoft Sentinel. Usare tutto il contenuto esistente dell'area di lavoro di Microsoft Sentinel, incluse query e funzioni.

Per altre informazioni, vedere gli articoli seguenti:
- Ricerca avanzata nel portale di Microsoft Defender
- Copilot di sicurezza nella ricerca avanzata
Ottimizzazioni SOC Ottenere raccomandazioni di alta fedeltà e di utilità pratica per identificare le aree da:
- Ridurre i costi
- Aggiungere controlli di sicurezza
- Aggiungere dati mancanti
Le ottimizzazioni SOC sono disponibili nei portali di Defender e di Azure, sono personalizzate per l'ambiente in uso e si basano sulla copertura attuale e sul panorama delle minacce.

Per altre informazioni, vedere gli articoli seguenti:
- Ottimizzare le operazioni per la sicurezza
- Riferimento dei consigli di ottimizzazione SOC
Microsoft Copilot in Microsoft Defender Quando si esaminano gli eventi imprevisti nel portale di Defender,
- Riepilogare gli eventi imprevisti
- Analizzare gli script
- Analizzare i file
- Creare report sugli eventi imprevisti

Quando si ricercano minacce nella ricerca avanzata, creare query KQL pronte per l'esecuzione usando l'assistente query. Per altre informazioni, vedere Microsoft Security Copilot nella ricerca avanzata.

La tabella seguente descrive le funzionalità aggiuntive disponibili nel portale di Defender con l'integrazione di Microsoft Sentinel e Microsoft Defender XDR come parte della piattaforma unificata per le operazioni di sicurezza di Microsoft.

Funzionalità Descrizione
Attacco interrotto Distribuire l'interruzione automatica degli attacchi per SAP con il portale di Defender e la soluzione Microsoft Sentinel per le applicazioni SAP. Ad esempio, contenere asset compromessi bloccando utenti SAP sospetti in caso di attacco di manipolazione del processo finanziario.

Le funzionalità di interruzione degli attacchi per SAP sono disponibili solo nel portale di Defender. Per usare l'interruzione degli attacchi per SAP, aggiornare la versione dell'agente del connettore dati e assicurarsi che il ruolo di Azure pertinente sia assegnato all'identità dell'agente.

Per altre informazioni, vedere Interruzione automatica degli attacchi per SAP.
Entità unificate Le pagine di entità per dispositivi, utenti, indirizzi IP e risorse di Azure nel portale di Defender visualizzano informazioni provenienti da Origini dati di Microsoft Sentinel e Defender. Queste pagine di entità offrono un contesto esteso per le indagini sugli eventi imprevisti e gli avvisi nel portale di Defender.

Per altre informazioni, vedere Analizzare le entità con le pagine di entità in Microsoft Sentinel.
Eventi imprevisti unificati Gestire e analizzare gli eventi imprevisti di sicurezza in un'unica posizione e da una singola coda nel portale di Defender. Usare Security Copilot per riepilogare, rispondere e creare report. Gli eventi imprevisti includono:
- Dati dall'ampiezza delle origini
- Strumenti di analisi dell'intelligenza artificiale di informazioni sulla sicurezza e gestione degli eventi (SIEM)
- Strumenti di contesto e mitigazione offerti dal rilevamento esteso e dalla risposta (XDR)

Per altre informazioni, vedere gli articoli seguenti:
- Risposta agli eventi imprevisti nel portale di Microsoft Defender
- Analizzare gli eventi imprevisti di Microsoft Sentinel in Security Copilot
Microsoft Copilot in Microsoft Defender Quando si analizzano gli eventi imprevisti con Microsoft Sentinel integrato con Defender XDR,
- Valutare e analizzare gli eventi imprevisti con risposte guidate
- Riepilogare le informazioni sul dispositivo
- Riepilogare le informazioni sull'identità

Riepilogare le minacce rilevanti che influiscono sull'ambiente, classificare in ordine di priorità la risoluzione delle minacce in base ai livelli di esposizione o trovare attori di minacce destinati al settore usando Security Copilot nell'intelligence sulle minacce. Per altre informazioni, vedere Uso di Microsoft Security Copilot per l'intelligence sulle minacce.

Differenze di funzionalità tra i portali

La maggior parte delle funzionalità di Microsoft Sentinel è disponibile sia nei portali di Azure che in Defender. Nel portale di Defender alcune esperienze di Microsoft Sentinel si aprono al portale di Azure per completare un'attività.

Questa sezione illustra le funzionalità o le integrazioni di Microsoft Sentinel disponibili solo nel portale di portale di Azure o defender o in altre differenze significative tra i portali. Esclude le esperienze di Microsoft Sentinel che aprono il portale di Azure dal portale di Defender.

Funzionalità Disponibilità Descrizione
Ricerca avanzata con segnalibri Solo portale di Azure I segnalibri non sono supportati nell'esperienza di ricerca avanzata nel portale di Microsoft Defender. Nel portale di Defender sono supportati in Microsoft Sentinel > Threat Management > Hunting.

Per altre informazioni, vedere Tenere traccia dei dati durante la ricerca con Microsoft Sentinel.
Interruzione degli attacchi per SAP Portale di Defender solo con Defender XDR Questa funzionalità non è disponibile nel portale di Azure.

Per altre informazioni, vedere Interruzione automatica degli attacchi nel portale di Microsoft Defender.
Automazione Alcune procedure di automazione sono disponibili solo nel portale di Azure.

Altre procedure di automazione sono le stesse in Defender e le portale di Azure, ma differiscono nella portale di Azure tra le aree di lavoro di cui è stato eseguito l'onboarding nel portale di Defender e le aree di lavoro che non lo sono.


Per altre informazioni, vedere Automazione con la piattaforma unificata per le operazioni di sicurezza.
Connettori dati: visibilità dei connettori usati dalla piattaforma unificata per le operazioni di sicurezza Solo portale di Azure Nel portale di Defender, dopo l'onboarding di Microsoft Sentinel, i connettori dati seguenti che fanno parte della piattaforma unificata per le operazioni di sicurezza non vengono visualizzati nella pagina Connettori dati:
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender per identità
  • Microsoft Defender per Office 365 (anteprima)
  • Microsoft Defender XDR
  • Microsoft Defender per il cloud basato su sottoscrizione (legacy)
  • Microsoft Defender per il cloud basato su tenant (anteprima)

    Nel portale di Azure questi connettori dati sono ancora elencati con i connettori dati installati in Microsoft Sentinel.
  • Entità: aggiungere entità all'intelligence sulle minacce dagli eventi imprevisti Solo portale di Azure Questa funzionalità non è disponibile nel portale di Defender.

    Per altre informazioni, vedere Aggiungere un'entità agli indicatori di minaccia.
    Fusion: Rilevamento avanzato degli attacchi a più fasi Solo portale di Azure La regola di analisi Fusion, che crea eventi imprevisti in base alle correlazioni degli avvisi effettuate dal motore di correlazione Fusion, viene disabilitata quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender.

    Il portale di Defender usa le funzionalità di creazione e correlazione degli eventi imprevisti di Microsoft Defender XDR per sostituire quelle del motore Fusion.

    Per altre informazioni, vedere Rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel
    Eventi imprevisti: aggiunta di avvisi a eventi imprevisti /
    Rimozione di avvisi da eventi imprevisti
    Solo portale di Defender Dopo l'onboarding di Microsoft Sentinel nel portale di Defender, non è più possibile aggiungere avvisi o rimuovere avvisi da eventi imprevisti nel portale di Azure.

    È possibile rimuovere un avviso da un evento imprevisto nel portale di Defender, ma solo collegando l'avviso a un altro evento imprevisto (esistente o nuovo).
    Eventi imprevisti: modifica dei commenti Solo portale di Azure Dopo l'onboarding di Microsoft Sentinel nel portale di Defender, è possibile aggiungere commenti a eventi imprevisti in entrambi i portali, ma non è possibile modificare i commenti esistenti.

    Le modifiche apportate ai commenti nel portale di Azure non vengono sincronizzate con il portale di Defender.
    Eventi imprevisti: creazione programmatica e manuale di eventi imprevisti Solo portale di Azure Gli eventi imprevisti creati in Microsoft Sentinel tramite l'API, da un playbook dell'app per la logica o manualmente dal portale di Azure, non vengono sincronizzati con il portale di Defender. Questi eventi imprevisti sono ancora supportati nel portale di Azure e nell'API. Vedere Creare manualmente eventi imprevisti in Microsoft Sentinel.
    Eventi imprevisti: riapertura di eventi imprevisti chiusi Solo portale di Azure Nel portale di Defender non è possibile impostare il raggruppamento di avvisi nelle regole di analisi di Microsoft Sentinel per riaprire gli eventi imprevisti chiusi se vengono aggiunti nuovi avvisi.
    Gli eventi imprevisti chiusi non vengono riaperti in questo caso e nuovi avvisi attivano nuovi eventi imprevisti.
    Eventi imprevisti: attività Solo portale di Azure Le attività non sono disponibili nel portale di Defender.

    Per altre informazioni, vedere Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel.
    Gestione di più aree di lavoro per Microsoft Sentinel Portale Defender: Limite di un'area di lavoro Microsoft Sentinel per tenant

    Portale di Azure: Gestire centralmente più aree di lavoro Microsoft Sentinel per tenant
    Nel portale di Defender è attualmente supportata una sola area di lavoro di Microsoft Sentinel per tenant. Quindi, la gestione multi-tenant di Microsoft Defender supporta un'area di lavoro Microsoft Sentinel per tenant.

    Per altre informazioni, vedere gli articoli seguenti:
    - Portale di Defender: gestione multi-tenant di Microsoft Defender
    - portale di Azure: Gestire più aree di lavoro di Microsoft Sentinel con il gestore dell'area di lavoro

    Funzionalità limitate o non disponibili

    Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender senza Defender XDR o altri servizi abilitati, le funzionalità seguenti mostrate nel portale di Defender sono attualmente limitate o non disponibili.

    Funzionalità Servizio richiesto
    Gestione dell'esposizione Gestione dell'esposizione alla sicurezza Microsoft
    Regole di rilevamento personalizzate Microsoft Defender XDR
    Centro notifiche Microsoft Defender XDR

    Le limitazioni seguenti si applicano anche a Microsoft Sentinel nel portale di Defender senza Defender XDR o altri servizi abilitati:

    • I nuovi clienti di Microsoft Sentinel non sono idonei per eseguire l'onboarding di un'area di lavoro Log Analytics creata nell'area di Israele. Per eseguire l'onboarding nel portale di Defender, creare un'altra area di lavoro per Microsoft Sentinel in un'area diversa. Questa area di lavoro aggiuntiva non deve contenere dati.
    • I clienti che usano l'analisi del comportamento dell'entità e dell'utente di Microsoft Sentinel vengono forniti con una versione limitata della tabella IdentityInfo.

    Riferimento rapido

    Alcune funzionalità di Microsoft Sentinel, come la coda unificata degli eventi imprevisti, sono integrate con Microsoft Defender XDR nella piattaforma unificata per le operazioni di sicurezza di Microsoft. Molte altre funzionalità di Microsoft Sentinel sono disponibili nella sezione Microsoft Sentinel del portale di Defender.

    L'immagine seguente mostra il menu di Microsoft Sentinel nel portale di Defender:

    Screenshot del riquadro di spostamento sinistro del portale di Defender con la sezione Microsoft Sentinel.

    Le sezioni seguenti descrivono dove trovare le funzionalità di Microsoft Sentinel nel portale di Defender. Le sezioni sono organizzate come Microsoft Sentinel si trova nel portale di Azure.

    Generali

    La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Generale nel portale di Azure.

    Azure portal Portale di Defender
    Panoramica Panoramica
    Registri Indagini e risposte > Ricerca > Ricerca avanzata
    Novità e guide Non disponibile
    Ricerca Microsoft Sentinel > Ricerca

    Gestione delle minacce

    La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Gestione delle minacce nel portale di Azure.

    Azure portal Portale di Defender
    Incidenti Indagine e risposta > Eventi imprevisti e avvisi > Eventi imprevisti
    Cartelle di lavoro Microsoft Sentinel > Gestione delle minacce > Cartelle di lavoro
    Caccia Microsoft Sentinel > Gestione delle minacce > Ricerca
    Notebook Microsoft Sentinel > Gestione delle minacce > Notebooks
    Comportamento delle entità Pagina Entità utente: Asset > Identità >{user}> Eventi Sentinel
    Pagina Entità dispositivo: Asset > Dispositivi >{device}> Eventi Sentinel

    Trovare anche le pagine di entità per i tipi di entità utente, dispositivo, IP e risorsa di Azure da eventi imprevisti e avvisi non appena vengono visualizzati.
    Intelligence per le minacce Microsoft Sentinel > Gestione delle minacce > Threat Intelligence
    MITRE ATT&CK Microsoft Sentinel > Threat management > MITRE ATT&CK

    Gestione dei contenuti

    La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Gestione contenuto nel portale di Azure.

    Azure portal Portale di Defender
    Hub dei contenuti Microsoft Sentinel > Gestione dei contenuti > Hub contenuto
    Repository Microsoft Sentinel > Gestione dei contenuti > Repository
    Community Microsoft Sentinel > Gestione dei contenuti > Community

    Impostazione

    La tabella seguente elenca le modifiche nella navigazione tra i portali di Azure e Defender per la sezione Configurazione nel portale di Azure.

    Azure portal Portale di Defender
    Manager dell’area di lavoro Non disponibile
    Connettori di dati Microsoft Sentinel > Configurazione > Connettori di dati
    Analisi Microsoft Sentinel > Configurazione > Analytics
    Watchlist Microsoft Sentinel > Configurazione > Watchlist
    Automazione Microsoft Sentinel > Configurazione > Automazione
    Impostazione Sistema > Impostazioni > Microsoft Sentinel