Modifica

Monitorare la sicurezza ibrida usando Microsoft Defender per il cloud e Microsoft Sentinel

Azure Log Analytics
Monitoraggio di Azure
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

Questa architettura di riferimento illustra come usare Microsoft Defender per il cloud e Microsoft Sentinel per monitorare la configurazione della sicurezza e i dati di telemetria dei carichi di lavoro locali, Azure e Azure Stack.

Architettura

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Scaricare un file di Visio di questa architettura.

Workflow

  • Microsoft Defender per il cloud. Si tratta di una piattaforma avanzata e unificata di gestione della sicurezza che Microsoft offre a tutti i sottoscrittori di Azure. Defender per il cloud viene segmentato come cloud security posture management (CSPM) e cloud workload protection platform (CWPP). CWPP è definito da soluzioni di protezione della sicurezza incentrate sul carico di lavoro, che sono in genere basate su agenti. Microsoft Defender per il cloud fornisce protezione dalle minacce per i carichi di lavoro di Azure, sia in locale che in altri cloud, tra cui macchine virtuali Windows e Linux, contenitori, database e Internet delle cose (IoT). Quando attivato, l'agente di Log Analytics viene distribuito automaticamente in Azure Macchine virtuali. Per i server e le macchine virtuali Windows e Linux locali, è possibile distribuire manualmente l'agente, usare lo strumento di distribuzione dell'organizzazione, ad esempio Microsoft Endpoint Protection Manager o usare metodi di distribuzione con script. Defender per il cloud inizia a valutare lo stato di sicurezza di tutte le macchine virtuali, le reti, le applicazioni e i dati.
  • Microsoft Sentinel. Soluzione SIEM (Security Information and Event Management) nativa del cloud e soAR (Security Orchestration Automated Response) che usa analisi avanzate di intelligenza artificiale e sicurezza per rilevare, cercare, prevenire e rispondere alle minacce nell'intera azienda.
  • Azure Stack. È un portfolio di prodotti che estendono servizi e funzionalità di Azure all'ambiente preferito, tra cui data center, sedi perimetrali e uffici remoti. Le implementazioni di Azure Stack usano in genere rack da quattro a sedici server creati da partner hardware attendibili e forniti al data center.
  • Monitoraggio di Azure. Raccoglie i dati di telemetria di monitoraggio da svariate origini locali e di Azure. Anche gli strumenti di gestione, ad esempio quelli disponibili in Microsoft Defender per il cloud e in Automazione di Azure, eseguono il push dei dati di log in Monitoraggio di Azure.
  • Area di lavoro Log Analytics. Monitoraggio di Azure archivia i dati di log in un'area di lavoro Log Analytics, che è un contenitore che include dati e informazioni di configurazione.
  • Agente di Log Analytics. L'agente di Log Analytics raccoglie i dati di monitoraggio dal sistema operativo guest e dai carichi di lavoro delle macchine virtuali in Azure, da altri provider di servizi cloud e dall'ambiente locale. L'agente di Log Analytics supporta la configurazione del proxy e, in genere in questo scenario, un gateway di Microsoft Operations Management Suite (OMS) funge da proxy.
  • Rete locale. Si tratta del firewall configurato per supportare l'uscita HTTPS dai sistemi definiti.
  • Sistemi Windows e Linux locali. Sistemi in cui è installato l'agente di Log Analytics.
  • Macchine virtuali Windows e Linux di Azure. Sistemi in cui è installato l'agente di monitoraggio di Microsoft Defender per il cloud.

Componenti

Dettagli dello scenario

Potenziali casi d'uso

Tra gli usi tipici di questa architettura sono inclusi:

  • Procedure consigliate per l'integrazione del monitoraggio della sicurezza e della telemetria locale con carichi di lavoro basati su Azure
  • Integrazione di Microsoft Defender per il cloud con Azure Stack
  • Integrazione di Microsoft Defender per il cloud con Microsoft Sentinel

Consigli

Le raccomandazioni seguenti sono valide per la maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Microsoft Defender per il cloud aggiornamento

Questa architettura di riferimento usa Microsoft Defender per il cloud per monitorare i sistemi locali, le macchine virtuali di Azure, le risorse di Monitoraggio di Azure e persino le macchine virtuali ospitate da altri provider di servizi cloud. Per informazioni dettagliate sui prezzi Microsoft Defender per il cloud, vedere qui.

Area di lavoro Log Analytics personalizzata

Microsoft Sentinel deve accedere a un'area di lavoro Log Analytics. In questo scenario non è possibile usare l'area di lavoro Log Analytics predefinita di Defender per il cloud con Microsoft Sentinel. Si crea invece un'area di lavoro personalizzata. La conservazione dei dati per un'area di lavoro personalizzata si basa sul piano tariffario dell'area di lavoro ed è possibile trovare i modelli di determinazione dei prezzi per i log di monitoraggio qui.

Nota

Microsoft Sentinel può essere eseguito nelle aree di lavoro in qualsiasi area di disponibilità generale (GA) di Log Analytics, ad eccezione delle aree Cina e Germania (sovrano). I dati generati da Microsoft Sentinel, ad esempio eventi imprevisti, segnalibri e regole di avviso, che possono contenere alcuni dati dei clienti originati da queste aree di lavoro, vengono salvati in Europa (per le aree di lavoro basate sull'Europa), in Australia (per le aree di lavoro basate su Australia) o negli Stati Uniti orientali (per le aree di lavoro situate in qualsiasi altra area).

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

Un criterio di sicurezza definisce il set di controlli consigliati per le risorse all'interno di una sottoscrizione specificata. In Microsoft Defender per il cloud si definiscono i criteri per le sottoscrizioni di Azure in base ai requisiti di sicurezza dell'azienda e al tipo di applicazioni o riservatezza dei dati per ogni sottoscrizione.

I criteri di sicurezza abilitati in Microsoft Defender per il cloud determinano raccomandazioni e monitoraggio della sicurezza. Per altre informazioni sui criteri di sicurezza, vedere Rafforzare i criteri di sicurezza con Microsoft Defender per il cloud. È possibile assegnare criteri di sicurezza in Microsoft Defender per il cloud solo a livello di gruppo di gestione o sottoscrizione.

Nota

Parte uno dei dettagli dell'architettura di riferimento su come abilitare Microsoft Defender per il cloud per monitorare le risorse di Azure, i sistemi locali e i sistemi di Azure Stack.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

Come descritto in precedenza, i costi oltre la sottoscrizione di Azure possono includere:

  1. Microsoft Defender per il cloud costi. Per altre informazioni, vedere prezzi Defender per il cloud.
  2. L'area di lavoro di Monitoraggio di Azure offre una granularità della fatturazione. Per altre informazioni, vedere Gestire l'utilizzo e i costi con i log di Monitoraggio di Azure.
  3. Microsoft Sentinel è un servizio a pagamento. Per altre informazioni, vedere Prezzi di Microsoft Sentinel.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.

ruoli Microsoft Defender per il cloud

Defender per il cloud valuta la configurazione delle risorse per identificare i problemi di sicurezza e le vulnerabilità e visualizza le informazioni correlate a una risorsa quando viene assegnato il ruolo di proprietario, collaboratore o lettore per la sottoscrizione o il gruppo di risorse a cui appartiene una risorsa.

Oltre a questi ruoli, esistono due ruoli specifici Defender per il cloud:

  • Ruolo con autorizzazioni di lettura per la sicurezza. Un utente che appartiene a questo ruolo ha diritti di sola lettura per Defender per il cloud. L'utente può osservare raccomandazioni, avvisi, criteri di sicurezza e stati di sicurezza, ma non può apportare modifiche.

  • Amministrazione di sicurezza. Un utente che appartiene a questo ruolo ha gli stessi diritti del lettore di sicurezza e può anche aggiornare i criteri di sicurezza e ignorare avvisi e raccomandazioni. In genere, si tratta di utenti che gestiscono il carico di lavoro.

  • I ruoli di sicurezza, autorizzazioni di lettura per la sicurezza e Amministrazione di sicurezza hanno accesso solo in Defender per il cloud. I ruoli di sicurezza non hanno accesso ad altre aree del servizio di Azure, ad esempio archiviazione, Web, dispositivi mobili o IoT.

Sottoscrizione di Microsoft Sentinel

  • Per abilitare Microsoft Sentinel sono necessarie le autorizzazioni di Collaboratore per la sottoscrizione in cui risiede l'area di lavoro di Microsoft Sentinel.
  • Per usare Microsoft Sentinel, sono necessarie autorizzazioni di collaboratore o lettore per il gruppo di risorse a cui appartiene l'area di lavoro.
  • Microsoft Sentinel è un servizio a pagamento. Per altre informazioni, vedere Prezzi di Microsoft Sentinel.

Efficienza prestazionale

L'efficienza delle prestazioni è la capacità del carico di lavoro di ridimensionarsi in modo efficiente per soddisfare le esigenze che gli utenti lo pongono. Per altre informazioni, vedere Panoramica dell'efficienza delle prestazioni.

L'agente di Log Analytics per Windows e Linux è progettato per avere un impatto minimo sulle prestazioni delle macchine virtuali o dei sistemi fisici.

Microsoft Defender per il cloud processo operativo non interferisce con le normali procedure operative. Esegue invece il monitoraggio passivo delle distribuzioni e fornisce raccomandazioni in base ai criteri di sicurezza abilitati.

Distribuire lo scenario

Creare un'area di lavoro Log Analytics nel portale di Azure

  1. Accedere al portale di Azure come utente con privilegi di Amministrazione di sicurezza.
  2. Nel portale di Azure fare clic su Tutti i servizi. Nell'elenco delle risorse immettere Log Analytics. Quando si inizia a immettere, l'elenco filtra in base all'input. Selezionare Aree di lavoro di Log Analytics.
  3. Selezionare Aggiungi nella pagina Log Analytics.
  4. Specificare un nome per la nuova area di lavoro Log Analytics, ad esempio Defender per il cloud-SentinelWorkspace. Questo nome deve essere univoco a livello globale in tutte le sottoscrizioni di Monitoraggio di Azure.
  5. Selezionare una sottoscrizione selezionando dall'elenco a discesa se la selezione predefinita non è appropriata.
  6. Per Gruppo di risorse scegliere di usare un gruppo di risorse esistente o crearne uno nuovo.
  7. In Località selezionare una georilevazione disponibile.
  8. Selezionare OK per completare la configurazione. New Workspace created for the architecture

Abilitare Defender per il cloud

Mentre si è ancora connessi al portale di Azure come utente con privilegi di Amministrazione di sicurezza, selezionare Defender per il cloud nel pannello. Defender per il cloud - Viene visualizzata la panoramica:

Defender for Cloud Overview dashboard blade opens

Defender per il cloud abilita automaticamente il livello gratuito per una delle sottoscrizioni di Azure non caricate in precedenza dall'utente o da un altro utente della sottoscrizione.

Aggiornare Microsoft Defender per il cloud

  1. Nel menu principale Defender per il cloud selezionare Attività iniziali.
  2. Selezionare il pulsante Aggiorna ora . Defender per il cloud elenca le sottoscrizioni e le aree di lavoro idonee per l'uso.
  3. È possibile selezionare le aree di lavoro e le sottoscrizioni idonee per avviare la versione di prova gratuita. Selezionare l'area di lavoro creata in precedenza, ASC-SentinelWorkspace. Dal menu a discesa.
  4. Nel menu principale Defender per il cloud selezionare Avvia versione di valutazione.
  5. Verrà visualizzata la finestra di dialogo Installa agenti .
  6. Selezionare il pulsante Installa agenti . Viene visualizzato il pannello Defender per il cloud - Copertura e si dovrebbe osservare la sottoscrizione selezionata. Security Coverage blade showing your subscriptions should be open

È stato abilitato il provisioning automatico e Defender per il cloud installerà l'agente di Log Analytics per Windows (HealthService.exe) e omsagent per Linux in tutte le macchine virtuali di Azure supportate e in quelle nuove create. È possibile disattivare questo criterio e gestirlo manualmente, anche se si consiglia vivamente il provisioning automatico.

Per altre informazioni sulle funzionalità di Defender per il cloud specifiche disponibili in Windows e Linux, vedere Copertura delle funzionalità per i computer.

Abilitare Microsoft Defender per il cloud monitoraggio dei computer Windows locali

  1. Nella portale di Azure nel pannello Defender per il cloud - Panoramica selezionare la scheda Attività iniziali.
  2. Selezionare Configura in Aggiungi nuovi computer non Azure. Viene visualizzato un elenco delle aree di lavoro Log Analytics e deve includere il Defender per il cloud-SentinelWorkspace.
  3. Selezionare questa area di lavoro. Viene visualizzato il pannello Agente diretto con un collegamento per scaricare un agente di Windows e le chiavi per l'identificazione (ID) dell'area di lavoro da usare quando si configura l'agente.
  4. Selezionare il collegamento Scarica agente Windows applicabile al tipo di processore del computer per scaricare il file di installazione.
  5. A destra dell'ID dell'area di lavoro selezionare Copia e quindi incollare l'ID in Blocco note.
  6. A destra della chiave primaria selezionare Copia e quindi incollare la chiave in Blocco note.

Installare l'agente Windows

Per installare l'agente nei computer di destinazione, seguire questa procedura.

  1. Copiare il file nel computer di destinazione e quindi eseguire il programma di installazione.
  2. Nella pagina Iniziale, fare clic su Avanti.
  3. Nella pagina delle Condizioni di licenza, leggere la licenza e selezionare Accetto.
  4. Nella pagina della Cartella di destinazione, cambia o mantieni la cartella di installazione predefinita e seleziona Avanti.
  5. Nella pagina Opzioni di installazione dell'agente scegliere di connettere l'agente ad Azure Log Analytics e quindi selezionare Avanti.
  6. Nella pagina Azure Log Analytics incollare l'ID area di lavoro e la chiave dell'area di lavoro (chiave primaria) copiati nel Blocco note nella procedura precedente.
  7. Se il computer deve fare riferimento a un'area di lavoro Log Analytics nel cloud di Azure per enti pubblici, selezionare Azure US Gov nell'elenco a discesa Cloud di Azure. Se il computer deve comunicare tramite un server proxy al servizio Log Analytics, selezionare Avanzate e quindi specificare l'URL e il numero di porta del server proxy.
  8. Dopo aver specificato le impostazioni di configurazione necessarie, selezionare Avanti. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Nella pagina Pronto per l'installazione rivedere le scelte effettuate e quindi scegliere Installa.
  10. Nella pagina Configurazione completata fare clic su Fine.

Al termine, l'agente di Log Analytics viene visualizzato in Windows Pannello di controllo ed è possibile esaminare la configurazione e verificare che l'agente sia connesso.

Per altre informazioni sull'installazione e la configurazione dell'agente, vedere Installare l'agente di Log Analytics nei computer Windows.

Il servizio Agente di Log Analytics raccoglie i dati relativi a eventi e prestazioni, esegue attività e altri flussi di lavoro definiti in un Management Pack. Defender per il cloud estende le piattaforme di protezione del carico di lavoro cloud grazie all'integrazione con Microsoft Defender per server. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.

Per altre informazioni su Microsoft Defender per server, vedere Eseguire l'onboarding dei server nel servizio Microsoft Defender per server.

Abilitare Microsoft Defender per il cloud il monitoraggio dei computer Linux locali

  1. Tornare alla scheda Attività iniziali come descritto in precedenza.
  2. Selezionare Configura in Aggiungi nuovi computer non Azure. Viene visualizzato un elenco delle aree di lavoro Log Analytics. L'elenco deve includere il Defender per il cloud-SentinelWorkspace creato.
  3. Nel pannello Agente diretto in DOWNLOAD E ONBOARDING DELL'AGENTE PER LINUX selezionare Copia per copiare il comando wget.
  4. Aprire Blocco note e quindi incollare questo comando. Salvare questo file in un percorso accessibile dal computer Linux.

Nota

Nei sistemi operativi Unix e Linux wget è uno strumento per il download di file non interattivi dal Web. Supporta HTTPS, FTP e proxy.

L'agente Linux usa il framework del daemon di controllo linux. Defender per il cloud integra le funzionalità di questo framework all'interno dell'agente di Log Analytics, che consente di raccogliere, arricchire e aggregare i record di controllo in eventi usando l'agente di Log Analytics per Linux. Defender per il cloud aggiunge continuamente nuove analisi, che usano i segnali di Linux per rilevare comportamenti dannosi nelle macchine virtuali Linux locali e nel cloud.

Per un elenco degli avvisi di Linux, vedere la tabella riferimenti degli avvisi.

Installare l'agente Linux

Per installare l'agente nei computer Linux di destinazione, seguire questa procedura:

  1. Nel computer Linux aprire il file salvato in precedenza. Selezionare e copiare l'intero contenuto, aprire una console del terminale e quindi incollare il comando.
  2. Al termine dell'installazione, è possibile verificare che omsagent sia installato eseguendo il comando pgrep . Il comando restituirà l'identificatore del processo omsagent (PID). È possibile trovare i log per l'agente all'indirizzo: /var/opt/microsoft/omsagent/"id area di lavoro"/log/.

La visualizzazione del nuovo computer Linux in Defender per il cloud può richiedere fino a 30 minuti.

Abilitare Microsoft Defender per il cloud il monitoraggio delle macchine virtuali di Azure Stack

Dopo aver eseguito l'onboarding della sottoscrizione di Azure, è possibile abilitare Defender per il cloud per proteggere le macchine virtuali in esecuzione in Azure Stack aggiungendo l'estensione di Monitoraggio di Azure, Gestione aggiornamenti e configurazione da Azure Stack Marketplace. A questo scopo:

  1. Tornare alla scheda Attività iniziali come descritto in precedenza.
  2. Selezionare Configura in Aggiungi nuovi computer non Azure. Viene visualizzato un elenco delle aree di lavoro Log Analytics e deve includere il Defender per il cloud-SentinelWorkspace creato.
  3. Nel pannello Agente diretto è disponibile un collegamento per scaricare l'agente e le chiavi per l'ID dell'area di lavoro da usare durante la configurazione dell'agente. Non è necessario scaricare manualmente l'agente. Verrà installata come estensione di macchina virtuale nei passaggi seguenti.
  4. A destra dell'ID dell'area di lavoro selezionare Copia e quindi incollare l'ID in Blocco note.
  5. A destra della chiave primaria selezionare Copia e quindi incollare la chiave in Blocco note.

Abilitare Defender per il cloud monitoraggio delle macchine virtuali di Azure Stack

Microsoft Defender per il cloud usa Estensione della macchina virtuale monitoraggio di Azure, aggiornamento e configurazione in bundle con Azure Stack. Per abilitare l'estensione Monitoraggio di Azure, Gestione aggiornamenti e configurazione , seguire questa procedura:

  1. In una nuova scheda del browser accedere al portale di Azure Stack .
  2. Fare riferimento alla pagina Macchine virtuali e quindi selezionare la macchina virtuale da proteggere con Defender per il cloud.
  3. Selezionare Estensioni. Viene visualizzato l'elenco delle estensioni di macchina virtuale installate in questa macchina virtuale.
  4. Selezionare la scheda Aggiungi . Viene visualizzato il pannello Del menu Nuova risorsa e viene visualizzato l'elenco delle estensioni di macchina virtuale disponibili.
  5. Selezionare l'estensione Monitoraggio di Azure, Gestione aggiornamenti e configurazione e quindi selezionare Crea. Verrà visualizzato il pannello Installa configurazione dell'estensione .
  6. Nel pannello di configurazione Installa estensione incollare l'ID area di lavoro e la chiave dell'area di lavoro (chiave primaria) copiati nel Blocco note nella procedura precedente.
  7. Dopo aver specificato le impostazioni di configurazione necessarie, selezionare OK.
  8. Al termine dell'installazione dell'estensione, il relativo stato verrà visualizzato come Provisioning completato. La visualizzazione della macchina virtuale nel portale di Defender per il cloud potrebbe richiedere fino a un'ora.

Per altre informazioni sull'installazione e la configurazione dell'agente per Windows, vedere Installare l'agente tramite l'installazione guidata.

Per la risoluzione dei problemi relativi all'agente Linux, vedere Come risolvere i problemi relativi all'agente di Log Analytics per Linux.

Ora è possibile monitorare le macchine virtuali di Azure e i computer non di Azure in un'unica posizione. Calcolo di Azure offre una panoramica di tutte le macchine virtuali e i computer insieme alle raccomandazioni. Ogni colonna rappresenta un set di raccomandazioni e il colore rappresenta le macchine virtuali o i computer e lo stato di sicurezza corrente per tale raccomandazione. Defender per il cloud fornisce anche eventuali rilevamenti per questi computer negli avvisi di sicurezza. Defender for Cloud list of systems monitored on the Compute blade

Esistono due tipi di icone rappresentate sul pannello Calcolo:

Purple computer icon that represents a non-azure monitored computer Computer non Azure

Blue terminal icon that represents an Azure monitored computer Computer di Azure

Nota

La seconda parte dell'architettura di riferimento connetterà gli avvisi da Microsoft Defender per il cloud e li trasmetterà a Microsoft Sentinel.

Il ruolo di Microsoft Sentinel consiste nell'inserire dati da origini dati diverse ed eseguire la correlazione dei dati tra queste origini dati. Microsoft Sentinel sfrutta l'apprendimento automatico e l'intelligenza artificiale per rendere più intelligente la ricerca delle minacce, il rilevamento degli avvisi e le risposte alle minacce.

Per eseguire l'onboarding di Microsoft Sentinel, è necessario abilitare la soluzione e quindi connettere le origini dati. Microsoft Sentinel include diversi connettori per soluzioni Microsoft, disponibili in modo predefinito e offrono l'integrazione in tempo reale, tra cui Microsoft Defender per il cloud, soluzioni Microsoft Threat Protection, origini Microsoft 365 (incluso Office 365), MICROSOFT Entra ID, Microsoft Defender per server, Microsoft Defender per il cloud App e altro ancora. Sono inoltre disponibili connettori predefiniti per l'ecosistema di sicurezza più ampio delle soluzioni non Microsoft. È anche possibile usare Common Event Format, syslog o l'API Representational State Transfer per connettere le origini dati a Microsoft Sentinel.

Requisiti per l'integrazione di Microsoft Sentinel con Microsoft Defender per il cloud

  1. Una sottoscrizione di Microsoft Azure
  2. Un'area di lavoro Log Analytics che non è l'area di lavoro predefinita creata quando si abilita Microsoft Defender per il cloud.
  3. Microsoft Defender per il cloud.

Tutti e tre i requisiti devono essere applicati se si è lavorato nella sezione precedente.

Prerequisiti globali

  • Per abilitare Microsoft Sentinel sono necessarie le autorizzazioni di Collaboratore per la sottoscrizione in cui risiede l'area di lavoro di Microsoft Sentinel.
  • Per usare Microsoft Sentinel, sono necessarie autorizzazioni di collaboratore o lettore per il gruppo di risorse a cui appartiene l'area di lavoro.
  • Potrebbero essere necessarie autorizzazioni aggiuntive per connettere origini dati specifiche. Non sono necessarie autorizzazioni aggiuntive per connettersi a Defender per il cloud.
  • Microsoft Sentinel è un servizio a pagamento. Per altre informazioni, vedere Prezzi di Microsoft Sentinel.

Abilitare Microsoft Sentinel

  1. Accedere al portale di Azure con un utente con diritti di collaboratore per Defender per il cloud-Sentinelworkspace.
  2. Cercare e selezionare Microsoft Sentinel. In the Azure portal search for the term
  3. Selezionare Aggiungi.
  4. Nel pannello Microsoft Sentinel selezionare Defender per il cloud-Sentinelworkspace.
  5. In Microsoft Sentinel selezionare Connettori dati dal menu di spostamento .
  6. Nella raccolta connettori dati selezionare Microsoft Defender per il cloud e selezionare il pulsante Apri pagina connettore. In Microsoft Sentinel showing the open Collectors page
  7. In Configurazione selezionare Connessione accanto a tali sottoscrizioni per le quali si vuole che gli avvisi eselezionno in Microsoft Sentinel. Il pulsante Connessione sarà disponibile solo se si dispone delle autorizzazioni necessarie e della sottoscrizione Defender per il cloud.
  8. È ora necessario osservare lo stato di Connessione ion come Connessione ing. Dopo la connessione, passerà a Connessione ed.
  9. Dopo aver confermato la connettività, è possibile chiudere Defender per il cloud impostazioni di Data Connessione or e aggiornare la pagina per osservare gli avvisi in Microsoft Sentinel. L'avvio della sincronizzazione con Microsoft Sentinel potrebbe richiedere del tempo. Dopo la connessione, si osserverà un riepilogo dei dati nel grafico Dati ricevuti e lo stato di connettività dei tipi di dati.
  10. È possibile selezionare se si desidera che gli avvisi di Microsoft Defender per il cloud generino automaticamente eventi imprevisti in Microsoft Sentinel. In Crea eventi imprevisti selezionare Abilitato per attivare la regola di analisi predefinita che crea automaticamente eventi imprevisti dagli avvisi. È quindi possibile modificare questa regola in Analisi nella scheda Regole attive.
  11. Per usare lo schema pertinente in Log Analytics per gli avvisi di Microsoft Defender per il cloud, cercare SecurityAlert.

Uno dei vantaggi dell'uso di Microsoft Sentinel come SIEM consiste nel fatto che fornisce la correlazione dei dati tra più origini, che consente di avere una visibilità end-to-end degli eventi correlati alla sicurezza dell'organizzazione.

Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

Passaggi successivi

Monitoraggio di Azure

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack