Condividi tramite

Novità per le operazioni di sicurezza unificata Microsoft

Questo articolo elenca le funzionalità recenti aggiunte per le operazioni di sicurezza unificata nel portale di Microsoft Defender.

Settembre 2025

Gestire flussi di lavoro eventi imprevisti con attività in Microsoft Defender (anteprima)

È ora possibile usare le attività nel portale di Microsoft Defender per suddividere le indagini sugli eventi imprevisti in passaggi interattivi e assegnarle ai team operativi. Le attività vengono visualizzate insieme Security Copilot informazioni dettagliate, risposte guidate e report, offrendo al team una visualizzazione unificata dello stato di avanzamento e dei passaggi successivi. Quando si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, le attività create in Microsoft Sentinel tramite il portale di Azure vengono sincronizzate automaticamente con il portale di Defender. Per altre informazioni, vedere Semplificare la risposta agli eventi imprevisti usando le attività nel portale di Microsoft Defender (anteprima).

Agosto 2025

Modificare le cartelle di lavoro direttamente nel portale di Microsoft Defender

È ora possibile creare e modificare cartelle di lavoro di Microsoft Sentinel direttamente nel portale di Microsoft Defender. Questo miglioramento semplifica il flusso di lavoro e consente di gestire le cartelle di lavoro in modo più efficiente e rende l'esperienza della cartella di lavoro più allineata all'esperienza nel portale di Azure.

Le cartelle di lavoro di Microsoft Sentinel si basano sulle cartelle di lavoro di Monitoraggio di Azure e consentono di visualizzare e monitorare i dati inseriti in Microsoft Sentinel. Le cartelle di lavoro aggiungono tabelle e grafici con analisi per i log e le query agli strumenti già disponibili.

Le cartelle di lavoro sono disponibili nel portale di Defender in Cartelle di lavoro di gestione > delle minacce di Microsoft Sentinel>. Per altre informazioni, vedere Visualizzare e monitorare i dati usando le cartelle di lavoro in Microsoft Sentinel.

Visualizzazione del controllo degli accessi in base al ruolo unificato nella gestione multi-tenant a disponibilità generale

La visualizzazione del controllo degli accessi in base al ruolo unificato nel portale di gestione multi-tenant Microsoft Defender è ora disponibile a livello generale. Questa funzionalità consente di visualizzare una visualizzazione completa delle autorizzazioni e dell'accesso per i tenant.

La creazione e la modifica di ruoli personalizzati rimangono in anteprima. Per altre informazioni, vedere Gestire il controllo degli accessi in base al ruolo unificato nella gestione multi-tenant.

Gruppi di tenant nella gestione multi-tenant rinominati in profili di distribuzione

Nel portale multi-tenant i gruppi di tenant vengono ora rinominati in profili di distribuzione del contenuto.

Le funzionalità rimangono invariate: i profili di distribuzione del contenuto consentono di distribuire il contenuto di sicurezza, incluse le regole di rilevamento personalizzate e i criteri di sicurezza degli endpoint, su larga scala in tutti i tenant, in base a categorie come gruppi aziendali o località. Ad esempio:

Screenshot della pagina di distribuzione del contenuto rinominata.

Per altre informazioni, vedere Distribuzione del contenuto tramite profili di distribuzione nella gestione multi-tenant.

Distribuire criteri di sicurezza Microsoft Defender per endpoint con la gestione multi-tenant

Microsoft Defender per endpoint i criteri di sicurezza possono ora essere distribuiti come contenuto tra più tenant usando il portale multi-tenant di Defender, consentendo ai team di sicurezza di gestire i criteri di sicurezza degli endpoint su larga scala. I criteri distribuiti vengono visualizzati nella pagina Criteri di sicurezza degli endpoint di gestione della configurazione > in una visualizzazione gerarchica in modo che sia possibile identificare i criteri padre e le relative copie distribuite tra i tenant.

Screenshot di un criterio distribuito espanso.

La pagina del criterio originale mostra anche lo stato di distribuzione complessivo ed elenca i tenant dei destinatari e i profili di distribuzione.

Per altre informazioni, vedere Criteri di sicurezza degli endpoint nella gestione multi-tenant e Distribuzione del contenuto nella gestione multi-tenant.

Luglio 2025

Solo per i nuovi clienti: onboarding automatico e reindirizzamento al portale di Microsoft Defender

Per questo aggiornamento, i nuovi clienti di Microsoft Sentinel sono clienti che eseguono l'onboarding della prima area di lavoro nel tenant in Microsoft Sentinel dopo il1° luglio 2025.

A partire dal 1° luglio 2025, questi nuovi clienti che sono anche:

Eseguire l'onboarding automatico delle aree di lavoro nel portale di Defender insieme all'onboarding in Microsoft Sentinel. Gli utenti di tali aree di lavoro, che non sono anche utenti delegati di Azure Lighthouse, visualizzano i collegamenti in Microsoft Sentinel nella portale di Azure che li reindirizzano al portale di Defender.

Ad esempio:

Screenshot di un collegamento di reindirizzamento nel portale di Azure.

Tali utenti usano Solo Microsoft Sentinel nel portale di Defender.

I nuovi clienti che non dispongono di autorizzazioni pertinenti non vengono caricati automaticamente nel portale di Defender, ma visualizzano comunque i collegamenti di reindirizzamento nella portale di Azure, insieme a richieste di chiedere a un utente con autorizzazioni pertinenti di eseguire manualmente l'onboarding dell'area di lavoro nel portale di Defender.

Questa modifica semplifica il processo di onboarding e garantisce che i nuovi clienti possano sfruttare immediatamente le funzionalità delle operazioni di sicurezza unificate senza eseguire manualmente l'onboarding delle aree di lavoro.

Per altre informazioni, vedere:

Nessun limite al numero di aree di lavoro di cui è possibile eseguire l'onboarding nel portale di Defender

Non esiste più alcun limite al numero di aree di lavoro di cui è possibile eseguire l'onboarding nel portale di Defender.

Le limitazioni si applicano ancora al numero di aree di lavoro che è possibile includere in una query di Log Analytics e al numero di aree di lavoro che è possibile o deve includere in una regola di analisi pianificata.

Per altre informazioni, vedere:

Microsoft Sentinel nella portale di Azure di ritiro a luglio 2026

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, anche per i clienti senza Microsoft Defender XDR o una licenza E5. Ciò significa che è possibile usare Microsoft Sentinel nel portale di Defender anche se non si usano altri servizi di Microsoft Defender.

A partire da luglio 2026, Microsoft Sentinel sarà supportato solo nel portale di Defender e tutti i clienti rimanenti che usano il portale di Azure verranno reindirizzati automaticamente.

Se attualmente si usa Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Per altre informazioni, vedere:

Giugno 2025

La gestione dei casi è ora disponibile a livello generale nel portale multi-tenant di Defender

La funzionalità di gestione dei casi del portale di Microsoft Defender è ora disponibile a livello generale nel portale multi-tenant di Defender. Per altre informazioni, vedere Visualizzare e gestire i casi tra più tenant nel portale multi-tenant Microsoft Defender.

Maggio 2025

Controllo degli accessi in base al ruolo unificato nella gestione multi-tenant (anteprima)

Il controllo degli accessi in base al ruolo unificato è ora disponibile nel portale di gestione multi-tenant Microsoft Defender. È possibile creare, eliminare, importare e modificare ruoli nel portale di gestione multi-tenant. Questa funzionalità offre una visualizzazione completa delle autorizzazioni e dell'accesso per i tenant e un'amministrazione centralizzata per gestire queste autorizzazioni.

Per altre informazioni, vedere Gestire il controllo degli accessi in base al ruolo unificato nella gestione multi-tenant.

Tutti i casi d'uso di Microsoft Sentinel disponibili a livello generale nel portale di Defender

Tutti i casi d'uso di Microsoft Sentinel in disponibilità generale, incluse le funzionalità multi-tenant e multi-area di lavoro e il supporto per tutti i cloud pubblici e commerciali, sono ora supportati anche per la disponibilità generale nel portale di Defender.

È consigliabile eseguire l'onboarding delle aree di lavoro nel portale di Defender per sfruttare un'unica posizione per tutte le operazioni di sicurezza. Per altre informazioni, vedere:

La gestione dei casi è ora disponibile per il portale multi-tenant di Defender (anteprima)

I team SecOps per organizzazioni di grandi dimensioni e provider di servizi di sicurezza gestiti devono gestire i casi tra più tenant. Questa operazione può essere eseguita senza uscire dal portale multi-tenant di Defender.

Per altre informazioni, vedere Visualizzare e gestire i casi tra più tenant nel portale multi-tenant Microsoft Defender.

Aprile 2025

Unire manualmente gli eventi imprevisti (anteprima)

Se due eventi imprevisti devono essere uniti perché descrivono la stessa storia di attacco, ma non vengono uniti per uno dei motivi elencati in "Quando gli eventi imprevisti non vengono uniti", è ora possibile unire manualmente gli eventi imprevisti dopo aver risolto i motivi sottostanti.

Ad esempio, se gli eventi imprevisti non sono stati uniti perché sono stati assegnati a due persone diverse, è possibile rimuovere l'assegnazione di uno degli eventi imprevisti e quindi unire manualmente gli eventi imprevisti.

Per altre informazioni sull'unione di eventi imprevisti, vedere Correlazione degli avvisi e unione di eventi imprevisti nel portale di Microsoft Defender.

Per istruzioni sull'unione manuale degli eventi imprevisti, vedere Unire manualmente gli eventi imprevisti nel portale di Microsoft Defender.

Supporto di più aree di lavoro e multi tenant per Microsoft Sentinel (anteprima)

Microsoft Sentinel supporta ora più aree di lavoro nel portale di Defender, usando un'area di lavoro primaria per ogni tenant e più aree di lavoro secondarie.

Gli avvisi di un'area di lavoro primaria sono correlati ai dati Defender XDR, il che comporta eventi imprevisti che includono avvisi dall'area di lavoro primaria di Microsoft Sentinel e Defender XDR. Tutte le altre aree di lavoro sottoposte a onboarding sono considerate aree di lavoro secondarie. Gli eventi imprevisti vengono creati in base ai dati dell'area di lavoro e non includono Defender XDR dati.

Se si usano più tenant e più aree di lavoro per tenant, è anche possibile usare Microsoft Defender gestione multi-tenant per visualizzare gli eventi imprevisti e gli avvisi e cercare i dati in Ricerca avanzata, in più aree di lavoro e tenant.

Per altre informazioni, vedere:

Gestione multi-tenant tra cloud (anteprima)

La gestione multi-tenant in Microsoft Defender supporta ora la gestione dei tenant in altri ambienti cloud Microsoft. I team delle operazioni di sicurezza che operano in ambienti cloud per enti pubblici possono ora gestire tutte le operazioni di sicurezza, inclusi i tenant in altri ambienti cloud Microsoft, in un unico riquadro di vetro. Per altre informazioni, vedere Gestire i tenant in altri ambienti cloud Microsoft.

La gestione dei casi è ora disponibile a livello generale

La funzionalità di gestione dei casi del portale di Microsoft Defender è ora disponibile a livello generale. Per altre informazioni, vedere Gestire i casi delle operazioni di sicurezza in modo nativo nel portale di Microsoft Defender.

Gennaio 2025

Intelligence unificata sulle minacce

L'intelligence sulle minacce basata su Microsoft Sentinel è passata nel portale di Defender alla gestione Intel, unificando le funzionalità di intelligence sulle minacce. Nel portale di Azure la posizione rimane invariata.

Screenshot che mostra il nuovo posizionamento del menu per l'intelligence sulle minacce di Microsoft Sentinel.

Insieme alla nuova posizione, l'interfaccia di gestione semplifica la creazione e la cura delle informazioni sulle minacce con queste funzionalità chiave:

  • Definire le relazioni durante la creazione di nuovi oggetti STIX.
  • Gestire l'intelligence sulle minacce esistente con il nuovo generatore di relazioni.
  • Creare rapidamente più oggetti copiando metadati comuni da un oggetto TI nuovo o esistente con la funzionalità duplicata.
  • Usare la ricerca avanzata per ordinare e filtrare gli oggetti intelligence sulle minacce senza nemmeno scrivere una query di Log Analytics.

Per altre informazioni, vedere gli articoli seguenti:

Gestione dei casi (anteprima)

La gestione dei casi è la prima rata di una soluzione end-to-end che offre una gestione semplice del lavoro di sicurezza. I team SecOps mantengono il contesto di sicurezza, lavorano in modo più efficiente e rispondono più velocemente agli attacchi quando gestiscono il case work senza uscire dal portale di Defender. Ecco il set iniziale di scenari e funzionalità supportati dalla gestione dei casi.

  • Definire il proprio flusso di lavoro case con valori di stato personalizzati
  • Assegnare attività ai collaboratori e configurare le date di scadenza
  • Gestire escalation e casi complessi collegando più eventi imprevisti a un caso
  • Gestire l'accesso ai casi usando il controllo degli accessi in base al ruolo

Questo è solo l'inizio. Man mano che si evolve questa soluzione, è possibile rimanere aggiornati per ottenere funzionalità aggiuntive.

Per altre informazioni, vedere gli articoli seguenti:

Sequenza temporale del dispositivo unificata nel portale di Microsoft Defender (anteprima)

La sequenza temporale unificata del dispositivo, una singola visualizzazione coesa che integra l'attività del dispositivo da Microsoft Sentinel e Defender XDR in una singola sequenza temporale, è ora disponibile in anteprima. Questa funzionalità semplifica le indagini sulla sicurezza consentendo agli analisti di accedere a tutte le attività pertinenti dei dispositivi in un'unica posizione, riducendo la necessità di passare da una piattaforma all'altra e riducendo i tempi di risposta agli eventi imprevisti.

Per altre informazioni, vedere Pagina Entità dispositivo in Microsoft Defender.

Aggiornamenti dell'ottimizzazione SOC per la gestione unificata della copertura

Nelle aree di lavoro abilitate per le operazioni di sicurezza unificata, le ottimizzazioni SOC supportano ora sia i dati SIEM che XDR, con copertura di rilevamento da tutti i servizi Microsoft Defender.

Nel portale di Defender, le ottimizzazioni SOC e le pagine di MITRE ATT&CK offrono ora funzionalità aggiuntive per le ottimizzazioni della copertura basata sulle minacce per comprendere l'impatto delle raccomandazioni sull'ambiente e per definire le priorità per l'implementazione.

I miglioramenti includono:

Area Dettagli
Pagina Panoramica delle ottimizzazioni SOC - Punteggio alto, medio o basso per la copertura di rilevamento corrente. Questo tipo di punteggio può aiutare a decidere quali raccomandazioni assegnare priorità a colpo d'occhio.

- Indicazione del numero di prodotti Microsoft Defender attivi (servizi) di tutti i prodotti disponibili. Ciò consente di capire se è presente un intero prodotto mancante nell'ambiente.
Riquadro laterale Dettagli ottimizzazione,
mostrata quando si esegue il drill-down a un'ottimizzazione specifica		 - Analisi dettagliata della copertura, incluso il numero di rilevamenti definiti dall'utente, le azioni di risposta e i prodotti attivi.

- Grafici a ragno dettagliati che mostrano la copertura in diverse categorie di minacce, sia per i rilevamenti definiti dall'utente che per i rilevamenti predefiniti.

- Un'opzione per passare allo scenario di minaccia specifico nella pagina MITRE ATT&CK invece di visualizzare MITRE ATT&copertura CK solo nel riquadro laterale.

- Un'opzione per visualizzare lo scenario di minaccia completa per eseguire il drill-down per ottenere ulteriori dettagli sui prodotti e i rilevamenti di sicurezza disponibili per fornire la copertura di sicurezza nell'ambiente.
Pagina MITRE ATT&CK - Nuovo interruttore per visualizzare la copertura in base allo scenario di minaccia. Se si è passati alla pagina MITRE ATT&CK da un riquadro laterale dei dettagli della raccomandazione o dalla pagina Visualizza scenario di minaccia completa , la pagina MITRE ATT&CK viene pre-filtrata per lo scenario di minaccia.

- Il riquadro dei dettagli della tecnica, visualizzato sul lato quando si seleziona una specifica tecnica MITRE ATT&CK, ora mostra il numero di rilevamenti attivi di tutti i rilevamenti disponibili per tale tecnica.

Per altre informazioni, vedere Ottimizzare le operazioni di sicurezza e Comprendere la copertura della sicurezza dal framework MITRE ATT&CK.

Dicembre 2024

Nuovi consigli di ottimizzazione soc basati su organizzazioni simili (anteprima)

Le ottimizzazioni SOC includono ora nuove raccomandazioni per l'aggiunta di origini dati all'area di lavoro in base al comportamento di sicurezza di altre organizzazioni in settori e settori simili e con modelli di inserimento dati simili.

Per altre informazioni, vedere Informazioni di riferimento sull'ottimizzazione SOC delle raccomandazioni.

Cartelle di lavoro di Microsoft Sentinel ora disponibili per la visualizzazione direttamente nel portale di Microsoft Defender

Le cartelle di lavoro di Microsoft Sentinel sono ora disponibili per la visualizzazione direttamente nel portale di Microsoft Defender. A questo punto, nel portale di Defender, quando si seleziona Cartelle di lavoro di gestione > delle minacce di Microsoft Sentinel>, si rimane nel portale di Defender anziché aprire una nuova scheda per le cartelle di lavoro nel portale di Azure. Continuare a passare alla portale di Azure solo quando è necessario modificare le cartelle di lavoro.

Le cartelle di lavoro di Microsoft Sentinel si basano sulle cartelle di lavoro di Monitoraggio di Azure e consentono di visualizzare e monitorare i dati inseriti in Microsoft Sentinel. Le cartelle di lavoro aggiungono tabelle e grafici con analisi per i log e le query agli strumenti già disponibili.

Per altre informazioni, vedere Visualizzare e monitorare i dati usando le cartelle di lavoro in Microsoft Sentinel e Connettere Microsoft Sentinel a Microsoft Defender XDR.

Contenuto correlato

Per ulteriori informazioni sulle novità degli altri prodotti di sicurezza Microsoft Defender e di Microsoft Sentinel, vedi:

È anche possibile ottenere aggiornamenti del prodotto e notifiche importanti tramite il centro messaggi.