Connettere Microsoft Sentinel al portale di Microsoft Defender

2025-09-29
Si applica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, con o senza Microsoft Defender XDR o una licenza E5. L'uso di Microsoft Sentinel nel portale di Defender insieme ai servizi di Microsoft Defender XDR consente di unificare funzionalità come la gestione degli eventi imprevisti e la ricerca avanzata. Ridurre il cambio di strumento e creare un'indagine più incentrata sul contesto che accelera la risposta agli eventi imprevisti e interrompe le violazioni più velocemente.

Questo articolo è pertinente per i clienti le cui aree di lavoro di Microsoft Sentinel non sono ancora connesse al portale di Defender. In molti casi, l'onboarding dei clienti in Microsoft Sentinel dopo il 1° luglio 2025 viene eseguito automaticamente l'onboarding nel portale di Defender.

Per altre informazioni, vedere:

Prerequisiti

Prima di iniziare, esaminare la documentazione delle funzionalità per comprendere le modifiche e le limitazioni del prodotto.

Il portale Microsoft Defender supporta un singolo tenant Microsoft Entra e la connessione a un'area di lavoro primaria e a più aree di lavoro secondarie. Se si dispone di una sola area di lavoro quando si esegue l'onboarding di Microsoft Sentinel, tale area di lavoro viene designata come area di lavoro primaria. Per altre informazioni, vedere Più aree di lavoro di Microsoft Sentinel nel portale di Defender. Nel contesto di questo articolo, un'area di lavoro è un'area di lavoro Log Analytics con Microsoft Sentinel abilitato.

Prerequisiti di Microsoft Sentinel

Per eseguire l'onboarding e l'uso di Microsoft Sentinel nel portale di Defender, è necessario disporre delle risorse e dell'accesso seguenti:

Un'area di lavoro Log Analytics con Microsoft Sentinel abilitato

Un account Azure con i ruoli appropriati per eseguire l'onboarding, l'uso e la creazione di richieste di supporto per Microsoft Sentinel nel portale di Defender. Le aree di lavoro non verranno visualizzate nel portale di Defender per l'onboarding in cui non si dispone delle autorizzazioni necessarie. La tabella seguente evidenzia alcuni dei ruoli chiave necessari.

Attività	Microsoft Entra o il ruolo predefinito di Azure richiesto	Ambito
Eseguire l'onboarding di Microsoft Sentinel nel portale di Defender	amministratore globale o amministratore della sicurezza nell'ID Microsoft Entra Proprietario o amministratore dell'accesso utente E collaboratore di Microsoft Sentinel	Tenant - Sottoscrizione per i ruoli amministratore dell'accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per il collaboratore di Microsoft Sentinel
Connettere o disconnettere un'area di lavoro secondaria	amministratore globale o amministratore della sicurezza nell'ID Microsoft Entra Proprietario o amministratore dell'accesso utente E collaboratore di Microsoft Sentinel	Tenant - Sottoscrizione per i ruoli amministratore dell'accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per il collaboratore di Microsoft Sentinel
Modificare l'area di lavoro primaria	amministratore globale o amministratore della sicurezza nell'ID Microsoft Entra Proprietario o amministratore dell'accesso utente E collaboratore di Microsoft Sentinel	Tenant - Sottoscrizione per i ruoli amministratore dell'accesso utente o proprietario - Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro per il collaboratore di Microsoft Sentinel
Visualizzare Microsoft Sentinel nel portale di Defender	Lettore di Microsoft Sentinel	Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro
Eseguire query sulle tabelle dati di Microsoft Sentinel o visualizzare gli eventi imprevisti	Lettore di Microsoft Sentinel o un ruolo con le azioni seguenti: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro
Intraprendere azioni investigative sugli eventi imprevisti	Collaboratore di Microsoft Sentinel o ruolo con le azioni seguenti: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Sottoscrizione, gruppo di risorse o risorsa dell'area di lavoro
Creare una richiesta di supporto	Proprietario o collaboratore o collaboratore della richiesta di supporto o un ruolo personalizzato con Microsoft.Support/*	Abbonamento

Se si usano più tenant, tenere presente che i privilegi di amministratore delegato granulare (GDAP) con Azure Lighthouse non sono supportati per i dati di Microsoft Sentinel nel portale di Defender. Usare invece Microsoft Entra autenticazione B2B. Per altre informazioni, vedere Configurare Microsoft Defender gestione multi-tenant.

Dopo aver connesso Microsoft Sentinel al portale di Defender, le autorizzazioni esistenti per il controllo degli accessi in base al ruolo di Azure consentono di usare le funzionalità di Microsoft Sentinel a cui si ha accesso. Continuare a gestire ruoli e autorizzazioni per gli utenti di Microsoft Sentinel dal portale di Azure, poiché eventuali modifiche al controllo degli accessi in base al ruolo di Azure vengono riflesse nel portale di Defender.

Per altre informazioni, vedere Ruoli e autorizzazioni in Microsoft Sentinel e Gestire l'accesso ai dati di Microsoft Sentinel per risorsa.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Prerequisiti per le operazioni di sicurezza unificate

Per unificare Microsoft Defender XDR e le operazioni di sicurezza di Microsoft Sentinel nel portale di Defender, è necessario disporre delle risorse e dell'accesso seguenti:

Licenze per Defender XDR, come descritto in Microsoft Defender XDR prerequisiti
Account per Defender XDR è un membro dello stesso tenant Microsoft Entra a cui è associato Microsoft Sentinel
Accesso a Microsoft Defender XDR nel portale di Defender, come descritto in Microsoft Defender XDR prerequisiti

Se applicabile, completare questi prerequisiti:

Servizio	Prerequisito
Gestione dei rischi insider di Microsoft Purview	Se l'organizzazione usa Gestione dei rischi Insider Microsoft Purview, integrare tali dati abilitando il connettore dati Microsoft 365 Insider Risk Management nell'area di lavoro primaria per Microsoft Sentinel. Disabilitare il connettore in tutte le aree di lavoro secondarie per Microsoft Sentinel di cui si prevede l'onboarding nel portale di Defender. - Installare la soluzione Gestione dei rischi Insider Microsoft Purviewdall'hub contenuto nell'area di lavoro primaria. - Configurare il connettore dati. Per altre informazioni, vedere Individuare e gestire il contenuto predefinito di Microsoft Sentinel.
Microsoft Defender for Cloud	Per trasmettere in streaming gli eventi imprevisti di Defender for Cloud correlati tra tutte le sottoscrizioni del tenant all'area di lavoro primaria per Microsoft Sentinel: - Connettere il connettore dati Microsoft Defender basato su tenant per cloud (anteprima) nell'area di lavoro primaria. - Disconnettere il connettore di avvisi Microsoft Defender basato su sottoscrizione per il cloud (legacy) da tutte le aree di lavoro nel tenant. Se non si vuole trasmettere i dati del tenant correlati per Defender for Cloud all'area di lavoro primaria, continuare a usare il connettore Microsoft Defender basato su sottoscrizione per cloud (legacy) nelle aree di lavoro. Per altre informazioni, vedere Inserimento di Microsoft Defender per eventi imprevisti cloud con integrazione Microsoft Defender XDR.

Servizio

Prerequisito

Gestione dei rischi insider di Microsoft Purview

Se l'organizzazione usa Gestione dei rischi Insider Microsoft Purview, integrare tali dati abilitando il connettore dati Microsoft 365 Insider Risk Management nell'area di lavoro primaria per Microsoft Sentinel. Disabilitare il connettore in tutte le aree di lavoro secondarie per Microsoft Sentinel di cui si prevede l'onboarding nel portale di Defender.

- Installare la soluzione Gestione dei rischi Insider Microsoft Purviewdall'hub contenuto nell'area di lavoro primaria.
- Configurare il connettore dati.

Per altre informazioni, vedere Individuare e gestire il contenuto predefinito di Microsoft Sentinel.

Microsoft Defender for Cloud

Per trasmettere in streaming gli eventi imprevisti di Defender for Cloud correlati tra tutte le sottoscrizioni del tenant all'area di lavoro primaria per Microsoft Sentinel:

- Connettere il connettore dati Microsoft Defender basato su tenant per cloud (anteprima) nell'area di lavoro primaria.
- Disconnettere il connettore di avvisi Microsoft Defender basato su sottoscrizione per il cloud (legacy) da tutte le aree di lavoro nel tenant.

Se non si vuole trasmettere i dati del tenant correlati per Defender for Cloud all'area di lavoro primaria, continuare a usare il connettore Microsoft Defender basato su sottoscrizione per cloud (legacy) nelle aree di lavoro. Per altre informazioni, vedere Inserimento di Microsoft Defender per eventi imprevisti cloud con integrazione Microsoft Defender XDR.

Eseguire l'onboarding di Microsoft Sentinel

Questa procedura descrive come eseguire l'onboarding di un'area di lavoro abilitata per Microsoft Sentinel nel portale di Defender.

Passare al portale di Microsoft Defender ed eseguire l'accesso.
SelezionareImpostazioni>di sistema>Microsoft Sentinel>Connetti un'area di lavoro.
Selezionare le aree di lavoro da connettere e selezionare Avanti.
Selezionare l'area di lavoro Primaria.
Leggere e comprendere le modifiche del prodotto associate alla connessione dell'area di lavoro.
Selezionare Connetti.

Dopo aver connesso l'area di lavoro, il banner nella home page mostra che l'ambiente è pronto. La home page viene aggiornata con nuove sezioni che includono le metriche di Microsoft Sentinel, ad esempio il numero di connettori dati e le regole di automazione.

Esplorare le funzionalità di Microsoft Sentinel nel portale di Defender

Dopo aver connesso l'area di lavoro al portale di Defender, Microsoft Sentinel si trova nel riquadro di spostamento a sinistra. Se è stato abilitato Defender XDR, le pagine come Home, Eventi imprevisti e Ricerca avanzata includono dati unificati dall'area di lavoro primaria per Microsoft Sentinel e Defender XDR. Se non è stato abilitato Defender XDR, queste pagine includono solo i dati di Microsoft Sentinel. Per altre informazioni sulle funzionalità unificate e sulle differenze tra i portali, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Molte delle funzionalità di Microsoft Sentinel esistenti sono integrate nel portale di Defender. Per queste funzionalità, si noti che l'esperienza tra Microsoft Sentinel nel portale di Azure e nel portale di Defender è simile. Usare gli articoli seguenti per iniziare a usare Microsoft Sentinel nel portale di Defender. Quando si usano questi articoli, tenere presente che il punto di partenza in questo contesto è il portale di Defender anziché il portale di Azure.

Categoria di funzionalità	Collegamenti
Ricerca	- Eseguire ricerche in intervalli di tempo lunghi in set di dati di grandi dimensioni - Ripristinare i log archiviati dalla ricerca
Gestione dei rischi	- Visualizzare e monitorare i dati usando cartelle di lavoro - Eseguire la ricerca end-to-end delle minacce con Hunts - Usare segnalibri di ricerca per le indagini sui dati - Usare la ricerca di Livestream in Microsoft Sentinel per rilevare le minacce - Cercare le minacce alla sicurezza con i notebook di Jupyter - Aggiungere indicatori in blocco all'intelligence sulle minacce di Microsoft Sentinel da un file CSV o JSON - Usare gli indicatori di minaccia in Microsoft Sentinel - Informazioni sulla copertura della sicurezza da parte del framework MITRE ATT&CK
Gestione del contenuto	- Individuare e gestire contenuti predefiniti di Microsoft Sentinel - Catalogo dell'hub di contenuto di Microsoft Sentinel - Distribuire contenuto personalizzato dal repository
Configurazione	- Trovare il connettore dati di Microsoft Sentinel - Creare regole di analisi personalizzate per rilevare le minacce - Usare regole di analisi del rilevamento quasi in tempo reale (NRT) in Microsoft Sentinel - Creare elenchi di controllo - Gestire le watchlist in Microsoft Sentinel - Creare regole di automazione - Creare e personalizzare playbook di Microsoft Sentinel da modelli di contenuto

Trovare le impostazioni di Microsoft Sentinel nel portale di Defender inImpostazioni>di sistema>Microsoft Sentinel.

Modificare l'area di lavoro primaria

È possibile avere una sola area di lavoro primaria connessa al portale di Defender alla volta. È tuttavia possibile modificare l'area di lavoro primaria.

Nel portale di Defender passare aImpostazioni>di sistema>aree di lavorodi Microsoft Sentinel>.
Selezionare il nome dell'area di lavoro che si vuole rendere primaria.
Selezionare Imposta come primario.
Leggere e comprendere le modifiche del prodotto associate alla modifica dell'area di lavoro primaria.
Selezionare Conferma e procedere.

Quando si passa all'area di lavoro primaria per Microsoft Sentinel, il connettore Defender XDR viene connesso al nuovo primario e disconnesso automaticamente da quello precedente. Per altre informazioni, vedere Più aree di lavoro di Microsoft Sentinel nel portale di Defender.

Offboard Microsoft Sentinel

Se si decide di eseguire l'offboarding di un'area di lavoro dal portale di Defender, disconnetterla dalle impostazioni per Microsoft Sentinel.

Se nell'area di lavoro è configurato il connettore Microsoft Defender XDR, anche l'offboarding dell'area di lavoro dal portale di Defender disconnetterà il connettore Microsoft Defender XDR.

Passare al portale di Microsoft Defender ed eseguire l'accesso.
Nel portale di Defender, in Sistema, selezionare Impostazioni>Microsoft Sentinel.
Nella pagina Aree di lavoro selezionare l'area di lavoro connessa e l'area di lavoro Disconnetti.
Specificare un motivo per cui si sta disconnettendo l'area di lavoro.
Confermare la selezione.

Quando l'area di lavoro è disconnessa, la sezione Microsoft Sentinel viene rimossa dal riquadro di spostamento a sinistra del portale di Defender. I dati di Microsoft Sentinel non sono più inclusi nella home page.

Se si vuole connettersi a un'area di lavoro diversa, nella pagina Aree di lavoro selezionare l'area di lavoro e Connettere un'area di lavoro.

Commenti e suggerimenti

Questa pagina è stata utile?