Microsoft Defender per endpoint in Microsoft 365 Defender

Nota

Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.

Si applica a:

Riferimento rapido

L'immagine e la tabella seguenti elencano le modifiche apportate alla navigazione tra il Microsoft Defender Security Center e Microsoft 365 Defender.

Microsoft Defender Security Center Microsoft 365 Defender
Dashboard
  • Operazioni di sicurezza
  • Analisi delle minacce
Home
  • Analisi delle minacce
Eventi imprevisti Incidenti e avvisi
Inventario dei dispositivi Inventario dei dispositivi
Coda di avvisi Incidenti e avvisi
Indagini automatizzate Centro notifiche
Ricerca avanzata Ricerca
Report Report
API & partner API & partner
Gestione delle vulnerabilità & delle minacce Gestione delle vulnerabilità
Valutazione ed esercitazioni Esercitazioni sulla valutazione &
Gestione della configurazione Gestione della configurazione
Impostazioni Impostazioni

Il Microsoft 365 Defender migliorato in https://security.microsoft.com combina le funzionalità di sicurezza che proteggono, rilevano, analizzano e rispondono alle minacce di posta elettronica, collaborazione, identità e dispositivo. In questo modo si combinano le funzionalità dei portali di sicurezza Microsoft esistenti, tra cui Microsoft Defender Security Center e il Centro conformità Office 365 Security &.

Se si ha familiarità con il Microsoft Defender Security Center, questo articolo illustra alcune delle modifiche e dei miglioramenti apportati a Microsoft 365 Defender. Esistono tuttavia alcuni elementi nuovi e aggiornati di cui tenere conto.

Storicamente, la Microsoft Defender Security Center è stata la casa per Microsoft Defender per endpoint. Enterprise team di sicurezza lo hanno usato per monitorare e rispondere agli avvisi di potenziali minacce persistenti avanzate o violazioni dei dati. Per ridurre il numero di portali, Microsoft 365 Defender sarà la sede per il monitoraggio e la gestione della sicurezza in identità, dati, dispositivi, app e infrastruttura Microsoft.

Microsoft Defender per endpoint in Microsoft 365 Defender supporta la concessione dell'accesso ai provider di servizi di sicurezza gestiti nello stesso modo in cui viene concesso l'accesso nel Microsoft Defender Security Center.

Importante

Ciò che viene visualizzato in Microsoft 365 Defender dipende dalle sottoscrizioni correnti. Ad esempio, se non si dispone di una licenza per Microsoft Defender per Office 365, la sezione Posta elettronica & Collaborazione non verrà visualizzata.

Nota

Microsoft 365 Defender non è disponibile per:

  • US Government Community Cloud (GCC)
  • Us Government Community Cloud High (GCC High)
  • Dipartimento della Difesa degli Stati Uniti
  • Tutte le istituzioni governative degli Stati Uniti con licenze commerciali

Esaminare Microsoft 365 Defender all'indirizzo https://security.microsoft.com.

Altre informazioni sui vantaggi: Panoramica di Microsoft 365 Defender

Modifiche

Questa tabella è un riferimento rapido delle modifiche tra il Microsoft Defender Security Center e Microsoft 365 Defender.

Avvisi e azioni

Area Descrizione della modifica
Eventi imprevisti & avvisi In Microsoft 365 Defender è possibile gestire eventi imprevisti e avvisi in tutti gli endpoint, la posta elettronica e le identità. L'esperienza è stata convergente per semplificare la ricerca degli eventi correlati. Per altre informazioni, vedere Panoramica degli eventi imprevisti.
Ricerca La modifica delle regole di rilevamento personalizzate create in Microsoft Defender per endpoint per includere le tabelle di identità e di posta elettronica li sposta automaticamente in Microsoft 365 Defender. Gli avvisi corrispondenti verranno visualizzati anche in Microsoft 365 Defender. Per altre informazioni su queste modifiche, vedere Eseguire la migrazione di regole di rilevamento personalizzate.

La DeviceAlertEvents tabella per la ricerca avanzata non è disponibile in Microsoft 365 Defender. Per eseguire query sulle informazioni sugli avvisi specifiche del dispositivo in Microsoft 365 Defender, è possibile usare le AlertInfo tabelle e AlertEvidence per contenere altre informazioni provenienti da un set di origini diverso. Creare la query correlata al dispositivo successiva seguendo Le query di scrittura senza DeviceAlertEvents.
Centro notifiche Elenca le azioni in sospeso e completate eseguite a seguito di indagini automatizzate e azioni correttive. In precedenza, il Centro notifiche nel Microsoft Defender Security Center azioni in sospeso e completate per le azioni di correzione eseguite solo nei dispositivi, mentre le indagini automatizzate elencavano gli avvisi e lo stato. Nel Microsoft 365 Defender migliorato, il Centro notifiche riunisce azioni di correzione e indagini tra posta elettronica, dispositivi e utenti, il tutto in un'unica posizione.
Analisi delle minacce Spostato nella parte superiore della barra di spostamento per semplificare l'individuazione e l'uso. Ora include informazioni sulle minacce sia per gli endpoint che per la posta elettronica e la collaborazione.

Endpoint

Area Descrizione della modifica
Ricerca La barra di ricerca si trova nella parte superiore della pagina. I suggerimenti vengono forniti durante la digitazione. È possibile eseguire ricerche tra le entità seguenti in Defender per endpoint e Defender per identità:

- Dispositivi : supportati sia per Defender per endpoint che per Defender per identità. È anche possibile usare gli operatori di ricerca, ad esempio è possibile usare "contains" per cercare parte di un nome host.

- Utenti : supportati sia per Defender per endpoint che per Defender per identità.

- File, INDIRIZZI IP e URL: le stesse funzionalità di Defender per endpoint.
NOTA: *Le ricerche IP e URL corrispondono esattamente e non vengono visualizzate nella pagina dei risultati della ricerca, che conducono direttamente alla pagina dell'entità.

- TVM : le stesse funzionalità di Defender per endpoint (vulnerabilità, software e raccomandazioni).

La pagina dei risultati della ricerca avanzata centralizza i risultati di tutte le entità.
Dashboard Questo è il dashboard delle operazioni di sicurezza. Vedere una panoramica del numero di avvisi attivi attivati, dei dispositivi a rischio, degli utenti a rischio e del livello di gravità per avvisi, dispositivi e utenti. È anche possibile vedere se i dispositivi presentano problemi relativi ai sensori, l'integrità complessiva del servizio e il modo in cui sono stati rilevati avvisi non risolti.
Inventario dei dispositivi Nessuna modifica.
Gestione delle vulnerabilità Il nome è stato abbreviato per adattarsi al riquadro di spostamento. È uguale alla sezione gestione di minacce e vulnerabilità, con tutte le pagine sottostanti.
Partner e API Nessuna modifica.
Valutazioni & esercitazioni Nuove funzionalità di test e apprendimento.
Gestione della configurazione Nessuna modifica.

Nota

L'analisi automatica e la correzione fanno ora parte degli eventi imprevisti. È possibile visualizzare gli eventi di indagine e correzione automatizzati nella scheda Incident > Investigation (Indagine sugli eventi imprevisti).

Suggerimento

La ricerca dei dispositivi viene eseguita da Endpoint > Ricerca.

Accesso e creazione di report

Area Descrizione della modifica
Report Vedere report per endpoint e messaggi di posta elettronica & collaborazione, tra cui protezione dalle minacce, integrità e conformità dei dispositivi e dispositivi vulnerabili.
Sanità Attualmente si collega alla pagina "Integrità dei servizi" nel interfaccia di amministrazione di Microsoft 365.
Impostazioni Gestire le impostazioni per Microsoft 365 Defender, endpoint, collaborazione & posta elettronica, identità e individuazione del dispositivo.

Microsoft 365 funzionalità e navigazione di sicurezza

La barra di spostamento sinistro, o barra di avvio veloce, ha un aspetto familiare. Esistono tuttavia alcuni elementi nuovi e aggiornati nel portale di Microsoft 365 Defender.

Eventi imprevisti e avvisi

Raggruppa la gestione degli eventi imprevisti e degli avvisi in tutta la posta elettronica, i dispositivi e le identità. La pagina dell'avviso fornisce il contesto completo all'avviso combinando i segnali di attacco per costruire una storia dettagliata. Una nuova esperienza unificata ora riunisce una visualizzazione coerente degli avvisi nei diversi carichi di lavoro. È possibile analizzare, investigare e intervenire rapidamente.

Barra di avvio rapido Avvisi e azioni nel portale di Microsoft 365 Defender

Ricerca

Cercare proattivamente minacce, software dannosi e attività dannose in endpoint, cassette postali di Office 365 e altro ancora usando query di ricerca avanzata . Queste potenti query possono essere usate per individuare ed esaminare gli indicatori di minaccia e le entità per le minacce note e potenziali.

Le regole di rilevamento personalizzate possono essere compilate da query di ricerca avanzate per consentire di controllare in modo proattivo gli eventi che potrebbero essere indicativi di attività di violazione e dispositivi non configurati correttamente.

Centro notifiche

Il centro notifiche mostra le indagini create da funzionalità automatizzate di indagine e risposta. Questo strumento automatizzato e self-healing di Microsoft 365 Defender può aiutare i team addetti alla sicurezza a rispondere automaticamente a eventi specifici.

Altre informazioni sul Centro notifiche.

Analisi delle minacce

Ottenere analisi delle minacce da esperti ricercatori Microsoft in materia di sicurezza. Analisi delle minacce aiuta i team addetti alla sicurezza a essere più efficienti di fronte alle minacce emergenti. Analisi delle minacce comprende:

  • Rilevamenti e mitigazioni correlati alla posta elettronica da Microsoft Defender per Office 365. Questa opzione si aggiunge ai dati dell’endpoint già disponibili da Microsoft Defender per endpoint.
  • Visualizzazione degli incidenti relativi alle minacce.
  • Esperienza migliorata per identificare e usare rapidamente le informazioni interattive nei report.

È possibile accedere all'analisi delle minacce dalla barra di spostamento in alto a sinistra in Microsoft 365 Defender o da una scheda dashboard dedicata che mostra le minacce principali per l'organizzazione.

Altre informazioni su come tenere traccia e rispondere alle minacce emergenti con l'analisi delle minacce.

Sezione Endpoint

Visualizzare e gestire la sicurezza degli endpoint nell'organizzazione. Se è stato usato il Microsoft Defender Security Center, avrà un aspetto familiare.

Barra di avvio rapido endpoint nel portale di Microsoft 365 Defender

Accesso e report

Consente di visualizzare report, modificare le impostazioni e i ruoli utente.

Barra di avvio rapido Accesso e creazione di report nel portale di Microsoft 365 Defender

Connessioni API SIEM

Se si usa l'API SIEM di Defender per endpoint, è possibile continuare a farlo. Sono stati aggiunti nuovi collegamenti nel payload dell'API che puntano alla pagina degli avvisi o alla pagina degli eventi imprevisti nel portale di sicurezza Microsoft 365. I nuovi campi API includono LinkToMTP e IncidentLinkToMTP. Per altre informazioni, vedere Reindirizzamento degli account da Microsoft Defender per endpoint a Microsoft 365 Defender.

Avvisi di posta elettronica

È possibile continuare a usare gli avvisi di posta elettronica per Defender per endpoint. Sono stati aggiunti nuovi collegamenti nei messaggi di posta elettronica che puntano alla pagina degli avvisi o alla pagina degli eventi imprevisti in Microsoft 365 Defender. Per altre informazioni, vedere Reindirizzamento degli account da Microsoft Defender per endpoint a Microsoft 365 Defender.

Provider di servizi di sicurezza gestiti (MSSP)

L'accesso a più tenant contemporaneamente nella stessa sessione di esplorazione non è attualmente supportato nel portale unificato. È possibile rifiutare esplicitamente il reindirizzamento automatico ripristinando il portale di Microsoft Defender per endpoint precedente, per mantenere questa funzionalità fino a quando il problema non viene risolto.