Sicurezza Zero Trust con Microsoft Sentinel e Defender XDR
Microsoft Defender XDR è una soluzione XDR che integra Microsoft Sentinel. Un XDR esegue il pull dei dati di telemetria non elaborati da più servizi, come applicazioni cloud, sicurezza della posta elettronica, identità e gestione degli accessi.
Usando l'intelligenza artificiale e l'apprendimento automatico, XDR esegue l'analisi automatica, l'analisi e la risposta in tempo reale. Mette inoltre in correlazione gli avvisi di sicurezza in eventi imprevisti più grandi, offrendo ai team di sicurezza maggiore visibilità sugli attacchi e assegnando priorità agli eventi imprevisti per aiutare gli analisti a misurare i livelli di rischio delle minacce.
Con Microsoft Sentinel è possibile connettersi a molte origini di sicurezza usando connettori predefiniti e standard di settore. Con l'intelligenza artificiale, consente di correlare segnali di bassa qualità provenienti da diverse fonti per creare una visualizzazione completa della catena di eliminazione del ransomware e degli avvisi prioritizzati.
Ordine di attacco comune
Questa sezione illustra uno scenario di attacco tipico che coinvolge un attacco di phishing e come rispondere all'evento imprevisto con Microsoft Sentinel e Microsoft Defender XDR.
Il diagramma mostra i prodotti di sicurezza Microsoft che rilevano ogni passaggio di attacco e come i segnali di attacco e i dati SIEM fluiscono verso Microsoft Defender XDR e Microsoft Sentinel.
Ecco un riepilogo dell'attacco.
| Passaggio dell'attacco | Servizio di rilevamento e origine del segnale | Difese sul posto |
|---|---|---|
| 1. L'autore dell'attacco invia un messaggio di posta elettronica di phishing | Microsoft Defender per Office 365 | Protegge le cassette postali con funzionalità avanzate anti-phishing che possono difendere da attacchi di phishing maligni basati sull'imitazione. |
| 2. L'utente apre l'allegato | Microsoft Defender per Office 365 | La funzionalità Allegati sicuri di Microsoft Defender per Office 365 apre allegati in un ambiente isolato per una maggiore analisi delle minacce (detonazione). |
| 3. L'allegato installa malware | Microsoft Defender per Endpoint | Protegge gli endpoint da malware con le sue funzionalità di protezione di nuova generazione, ad esempio protezione fornita dal cloud e protezione antivirus basata sul comportamento/euristica/in tempo reale. |
| 4. Il malware ruba le credenziali utente | Microsoft Entra ID e Microsoft Entra ID Protection | Protegge le identità monitorando il comportamento e le attività degli utenti, rilevando lo spostamento laterale e avvisando l'attività anomala. |
| 5. L'utente malintenzionato si sposta lateralmente tra app e dati di Microsoft 365 | Microsoft Defender per le App Cloud | Può rilevare attività anomale degli utenti che accedono alle app cloud. |
| 6. L'utente malintenzionato scarica i file sensibili da una cartella di SharePoint | Microsoft Defender per le app cloud | Può rilevare e rispondere agli eventi di download di massa dei file da SharePoint. |
Se è stato eseguito l'onboarding dell'area di lavoro di Microsoft Sentinel nel portale di Defender, i dati SIEM sono disponibili con Microsoft Sentinel direttamente nel portale di Microsoft Defender.
Risposta agli eventi imprevisti con Microsoft Sentinel e Microsoft Defender XDR
Dopo aver osservato un attacco comune, usare Microsoft Sentinel e Microsoft Defender XDR per la risposta agli eventi imprevisti.
Selezionare la scheda pertinente per l'area di lavoro a seconda che sia stata eseguita l'onboarding nel portale di Defender.
- portale di Defender
- Portale di Azure
Dopo aver eseguito l'onboarding di Microsoft Sentinel nel portale di Defender, completare tutti i passaggi di risposta agli eventi imprevisti direttamente nel portale di Microsoft Defender esattamente come per altri eventi imprevisti di Microsoft Defender XDR. I passaggi supportati includono tutto, dal triage all'analisi e alla risoluzione.
Usare l'area di Microsoft Sentinel nel portale di Microsoft Defender per le funzionalità che non sono disponibili solo con il portale di Defender.
Per altre informazioni, vedere Rispondere a un evento imprevisto usando Microsoft Sentinel e Microsoft Defender XDR.
Contenuto correlato
Per altre informazioni, vedere Risposta agli eventi imprevisti con siem integrato e XDR.
- portale di Defender
- del portale di Azure
Per altre informazioni sull'applicazione dei principi Zero Trust in Microsoft 365, vedere:
- piano di implementazione Zero Trust con Microsoft 365
- Distribuire l'infrastruttura di identità per Microsoft 365
- configurazioni di identità Zero Trust e accesso ai dispositivi
- Gestire i dispositivi con Microsoft Intune
- Pilota e distribuisci Microsoft Defender XDR
- Gestire la privacy e la protezione dei dati con Microsoft Priva e Microsoft Purview
- Integrare applicazioni SaaS per Zero Trust con Microsoft 365