Microsoft Defender per il cloud nel portale di Microsoft Defender
Si applica a:
Microsoft Defender per il cloud fa ora parte di Microsoft Defender XDR. I team di sicurezza possono ora accedere agli avvisi e agli eventi imprevisti di Defender for Cloud all'interno del portale di Microsoft Defender, offrendo un contesto più completo alle indagini che si estendono su risorse cloud, dispositivi e identità. Inoltre, i team di sicurezza possono ottenere l'immagine completa di un attacco, inclusi eventi sospetti e dannosi che si verificano nel proprio ambiente cloud, tramite correlazioni immediate di avvisi e eventi imprevisti.
Il portale di Microsoft Defender combina funzionalità di protezione, rilevamento, indagine e risposta per proteggere gli attacchi a dispositivi, posta elettronica, collaborazione, identità e app cloud. Le funzionalità di rilevamento e indagine del portale vengono ora estese alle entità cloud, offrendo ai team delle operazioni di sicurezza un unico riquadro di vetro per migliorare significativamente l'efficienza operativa.
Inoltre, gli eventi imprevisti e gli avvisi di Defender for Cloud fanno ora parte dell'API pubblica di Microsoft Defender XDR. Questa integrazione consente di esportare i dati degli avvisi di sicurezza in qualsiasi sistema usando una singola API.
Prerequisito
Per garantire l'accesso agli avvisi di Defender for Cloud nel portale di Microsoft Defender, è necessario essere iscritti a uno dei piani elencati in Connettere le sottoscrizioni di Azure.
Autorizzazioni necessarie
Per visualizzare gli avvisi e le correlazioni di Defender per cloud, è necessario essere un amministratore globale o un amministratore della sicurezza in Azure Active Directory. Per gli utenti che non dispongono di questi ruoli, l'integrazione è disponibile solo applicando ruoli unificati di controllo degli accessi in base al ruolo (RBAC) per Defender per cloud.
Nota
L'autorizzazione per visualizzare gli avvisi e le correlazioni di Defender for Cloud è automatica per l'intero tenant. La visualizzazione per sottoscrizioni specifiche non è supportata.
Esperienza di indagine nel portale di Microsoft Defender
La sezione seguente descrive l'esperienza di rilevamento e indagine nel portale di Microsoft Defender con gli avvisi di Defender per cloud.
Nota
Gli avvisi informativi di Defender for Cloud non sono integrati nel portale di Microsoft Defender per concentrarsi sugli avvisi rilevanti e di gravità elevata. Questa strategia semplifica la gestione degli eventi imprevisti e riduce l'affaticamento degli avvisi.
| Area | Descrizione |
|---|---|
| Eventi imprevisti | Tutti gli eventi imprevisti di Defender for Cloud verranno integrati nel portale di Microsoft Defender. - La ricerca di asset di risorse cloud nella coda degli eventi imprevisti è supportata. - Il grafico della storia dell'attacco mostrerà la risorsa cloud. - La scheda asset in una pagina degli eventi imprevisti mostrerà la risorsa cloud. - Ogni macchina virtuale ha una propria pagina del dispositivo contenente tutti gli avvisi e le attività correlati. Non si verificano duplicazioni di eventi imprevisti da altri carichi di lavoro di Defender. |
| Avvisi | Tutti gli avvisi di Defender for Cloud, inclusi gli avvisi di provider multi-cloud, interni ed esterni, verranno integrati nel portale di Microsoft Defender. Gli avvisi di Defender for Cloud verranno visualizzati nella coda di avvisi del portale di Microsoft Defender. L'asset della risorsa cloud verrà visualizzato nella scheda Asset di un avviso. Le risorse sono chiaramente identificate come risorsa di Azure, Amazon o Google Cloud.Gli avvisi di Defender for Cloud verranno associati automaticamente a un tenant.Non verrà eseguita alcuna duplicazione degli avvisi da altri carichi di lavoro di Defender. |
| Correlazione di avvisi e eventi imprevisti | Gli avvisi e gli eventi imprevisti vengono automaticamente correlati, fornendo un contesto solido ai team delle operazioni di sicurezza per comprendere la storia completa degli attacchi nell'ambiente cloud. |
| Rilevamento di minacce | Corrispondenza accurata delle entità virtuali con le entità del dispositivo per garantire la precisione e il rilevamento efficace delle minacce. |
| API unificata | Gli avvisi e gli eventi imprevisti di Defender for Cloud sono ora inclusi nell'API pubblica di Microsoft Defender XDR, consentendo ai clienti di esportare i dati degli avvisi di sicurezza in altri sistemi usando un'API. |
Impatto sugli utenti di Microsoft Sentinel
I clienti di Microsoft Sentinel che integrano Microsoft Defender XDR eventi imprevistie inserino gli avvisi di Defender for Cloud sono necessari per apportare le modifiche di configurazione seguenti per garantire che non vengano creati avvisi e eventi imprevisti duplicati:
- Connettere il connettore Microsoft Defender basato su tenant per cloud (anteprima) per sincronizzare la raccolta di avvisi da tutte le sottoscrizioni con gli eventi imprevisti di Defender for Cloud basati sul tenant che vengono trasmessi tramite il connettore eventi imprevisti Microsoft Defender XDR.
- Disconnettere il connettore di avvisi Microsoft Defender basato su sottoscrizione per il cloud (legacy) per evitare duplicati degli avvisi.
- Disattivare tutte le regole di analisi, ovvero le regole pianificate (tipo di query normali) o le regole di sicurezza Microsoft (creazione di eventi imprevisti), usate per creare eventi imprevisti dagli avvisi di Defender per cloud. Gli eventi imprevisti di Defender per cloud vengono creati automaticamente nel portale di Defender e sincronizzati con Microsoft Sentinel.
- Se necessario, usare le regole di automazione per chiudere gli eventi imprevisti rumorosi o usare le funzionalità di ottimizzazione predefinite nel portale di Defender per eliminare determinati avvisi.
Si noti anche la modifica seguente:
- L'azione per correlare gli avvisi agli eventi imprevisti del portale Microsoft Defender viene rimossa.
Per altre informazioni, vedere Ingest Microsoft Defender for Cloud incidents with Microsoft Defender XDR integration (Ingest Microsoft Defender for Cloud incidents with Microsoft Defender XDR integration).
Disattivare gli avvisi di Defender per cloud
Gli avvisi per Defender for Cloud sono attivati per impostazione predefinita. Per mantenere le impostazioni basate sulla sottoscrizione ed evitare la sincronizzazione basata su tenant o rifiutare esplicitamente l'esperienza, seguire questa procedura:
- Nel portale di Microsoft Defender passare a Impostazioni>Microsoft Defender XDR.
- In Impostazioni del servizio avvisi cercare Microsoft Defender per gli avvisi cloud.
- Selezionare Nessun avviso per disattivare tutti gli avvisi di Defender per cloud. Se si seleziona questa opzione, viene arrestata l'inserimento di nuovi avvisi di Defender for Cloud nel portale. Gli avvisi inseriti in precedenza rimangono in una pagina di avviso o evento imprevisto.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per