Condividi tramite

Novità di Microsoft Sentinel

Questo articolo elenca le funzionalità recenti aggiunte per Microsoft Sentinel e le nuove funzionalità nei servizi correlati che offrono un'esperienza utente avanzata in Microsoft Sentinel. Per le nuove funzionalità correlate alle operazioni di sicurezza unificate nel portale di Defender, vedere Novità delle operazioni di sicurezza unificate?

Le funzionalità elencate sono state rilasciate negli ultimi sei mesi. Per informazioni sulle funzionalità precedenti fornite, vedere i blog della community tecnica.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Ottobre 2025

Esportare gli oggetti di intelligence sulle minacce STIX (anteprima)

Microsoft Sentinel supporta ora l'esportazione di oggetti STIX di intelligence sulle minacce verso altre destinazioni, come ad esempio piattaforme esterne. Se l'intelligence sulle minacce è stata inserita in Microsoft Sentinel da una piattaforma esterna, ad esempio quando si usa il connettore dati Intelligence per le minacce - TAXII , è ora possibile esportare le intelligence sulle minacce in tale piattaforma, abilitando la condivisione di intelligence bidirezionale. Questo nuovo supporto offre condivisione diretta e sicura, riducendo la necessità di processi manuali o playbook personalizzati per distribuire l'intelligence sulle minacce.

L'esportazione di oggetti TI è attualmente supportata solo per le piattaforme basate su TAXII 2.1. È possibile accedere alla funzionalità di esportazione sia dal portale di Defender che dal portale di Azure:

Per altre informazioni, vedi:

Settembre 2025

Microsoft Sentinel si sta evolvendo in un SIEM e piattaforma

La sicurezza viene riprogettata per l'era dell'intelligenza artificiale, andando oltre i controlli statici, basati su regole, e la risposta post-violazione verso una difesa guidata dalla piattaforma, alla velocità delle macchine. Per affrontare la sfida degli strumenti frammentati, dei segnali in crescita e delle architetture legacy che non possono corrispondere alla velocità e alla scalabilità degli attacchi moderni, Microsoft Sentinel si è evoluto in un sistema SIEM e una piattaforma che integra i dati per la difesa proattiva. Questo aggiornamento riflette i miglioramenti dell'architettura che supportano le operazioni di sicurezza basate su intelligenza artificiale su larga scala. Per altre informazioni, vedere Che cos'è Microsoft Sentinel?

Le aggiunte principali includono il data lake di Microsoft Sentinel, il grafo di Microsoft Sentinel e il server MCP (Model Context Protocol) di Microsoft Sentinel, come descritto di seguito.

Il data lake di Microsoft Sentinel è ora disponibile a livello generale

Una base scalabile e conveniente per la conservazione dei dati a lungo termine e l'analisi multi modale. Il data lake di Microsoft Sentinel consente alle organizzazioni di unificare i dati di sicurezza tra origini ed eseguire analisi avanzate senza sovraccarico dell'infrastruttura.

Per altre informazioni, vedere Data Lake di Microsoft Sentinel.

Grafico di Microsoft Sentinel (anteprima)

Analisi unificata del grafo per un contesto più approfondito e un ragionamento delle minacce. Microsoft Sentinel modella le relazioni tra utenti, dispositivi e attività per supportare indagini complesse sulle minacce e analisi pre-violazione e post-violazione.

Per altre informazioni, vedere Che cos'è Microsoft Sentinel graph? (Anteprima)..

Server MCP (Model Context Protocol) di Microsoft Sentinel (anteprima)

Interfaccia ospitata per la creazione di agenti intelligenti usando il linguaggio naturale. Il server MCP di Microsoft Sentinel semplifica la creazione e l'esplorazione dei dati degli agenti consentendo agli ingegneri di eseguire query e formulare ragionamenti sui dati di sicurezza senza la necessità di conoscere lo schema.

Per altre informazioni, vedere Cenni preliminari sul protocollo MCP (Model Context Protocol).

Nuove origini dati per l'analisi avanzata dei comportamenti degli utenti e delle entità (UEBA) (anteprima)

L'UEBA di Microsoft Sentinel offre ai team SOC il rilevamento anomalie basato sull'intelligenza artificiale in base ai segnali comportamentali nel tenant. Consente di classificare in ordine di priorità le minacce usando baseline dinamiche, confronti peer e profili di entità arricchiti.

UEBA supporta ora il rilevamento anomalie usando sei nuove origini dati:

  • Origini di autenticazione Microsoft:

    Queste origini offrono visibilità più approfondita sul comportamento delle identità nell'ambiente Microsoft.

    • Eventi di accesso ai dispositivi XDR di Microsoft Defender: acquisisci attività di accesso dagli endpoint, consentendo di identificare lo spostamento laterale, i modelli di accesso insoliti o i dispositivi compromessi.
    • Log di accesso delle identità gestite in Microsoft Entra ID: tenere traccia degli accessi da parte delle identità gestite utilizzate per l'automazione, ad esempio negli script e servizi. Questo è fondamentale per individuare l'uso silenzioso delle identità di servizio.
    • Log di accesso delle entità servizio di Microsoft Entra ID: tenere traccia degli accessi da parte delle entità servizio, spesso usate da app o script, per rilevare anomalie, ad esempio un accesso imprevisto o l'escalation dei privilegi.

  • Piattaforme di gestione delle identità e del cloud di terze parti:

    UEBA si integra ora con le principali piattaforme di gestione cloud e delle identità per migliorare il rilevamento di compromissioni delle identità, uso improprio dei privilegi e comportamenti di accesso rischiosi in ambienti multicloud.

    • Eventi di accesso di AWS CloudTrail: contrassegnare i tentativi di accesso rischiosi in Amazon Web Services (AWS), ad esempio l'autenticazione a più fattori non riuscita (MFA) o l'uso dell'account radice, indicatori critici della potenziale compromissione dell'account.
    • Log di controllo GCP - Eventi di accesso IAM non riusciti: acquisizione di tentativi di accesso negato in Google Cloud Platform, che consentono di identificare i tentativi di escalation dei privilegi o i ruoli non configurati correttamente.
    • Eventi di modifica della sicurezza di Okta MFA e dell'autenticazione: mettere in evidenza le sfide MFA e i cambiamenti alle politiche di autenticazione in Okta, segnali che potrebbero indicare attacchi mirati o manomissioni delle identità.

Queste nuove origini migliorano la capacità dell'UEBA di rilevare le minacce in ambienti Microsoft e ibridi in base a dati arricchiti di identità utente, dispositivo e servizio, contesto comportamentale avanzato e nuove funzionalità di rilevamento anomalie multipiattaforma.

Per abilitare le nuove origini dati, è necessario registrarsi al portale Defender.

Per altre informazioni, vedi:

Agosto 2025

Modificare le cartelle di lavoro direttamente nel portale di Microsoft Defender (anteprima)

È ora possibile creare e modificare le cartelle di lavoro di Microsoft Sentinel direttamente nel portale di Microsoft Defender. Questo miglioramento semplifica il flusso di lavoro, consente di gestire le cartelle di lavoro in modo più efficiente e offre un'esperienza più strettamente allineata all'esperienza nel portale di Azure.

Le cartelle di lavoro di Microsoft Sentinel si basano sulle cartelle di lavoro di Monitoraggio di Azure e consentono di visualizzare e monitorare i dati inseriti in Microsoft Sentinel. Le cartelle di lavoro aggiungono tabelle e grafici con analisi per i log e le query agli strumenti già disponibili.

Le cartelle di lavoro sono disponibili nel portale di Defender sotto Microsoft Sentinel > Gestione delle minacce > Cartelle di lavoro. Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.

Luglio 2025

Data lake di Microsoft Sentinel

Microsoft Sentinel è ora migliorato con un data lake moderno, progettato per semplificare la gestione dei dati, ridurre i costi e accelerare l'adozione dell'intelligenza artificiale per i team delle operazioni di sicurezza. Il nuovo data lake di Microsoft Sentinel offre un'archiviazione a lungo termine conveniente, eliminando la necessità di scegliere tra accessibilità e sicurezza affidabile. I team di sicurezza ottengono visibilità più approfondita e una risoluzione più rapida degli eventi imprevisti, tutti all'interno dell'esperienza familiare di Microsoft Sentinel, arricchiti grazie all'integrazione perfetta con strumenti avanzati di analisi dei dati.

I vantaggi principali del data lake di Microsoft Sentinel includono: +Copia dei dati in formato aperto singolo per archiviazione efficiente e conveniente +Separazione dell'archiviazione e del calcolo per una maggiore flessibilità +Supporto per più motori di analisi per sbloccare informazioni più approfondite dai dati di sicurezza +Integrazione nativa con Microsoft Sentinel, inclusa la possibilità di selezionare la suddivisione in livelli di archiviazione per i log tra i livelli di analisi e lake Per altre informazioni, vedere

Esplorare il data lake usando le query KQL oppure usare il nuovo notebook data lake di Microsoft Sentinel per VS Code per visualizzare e analizzare i dati.

Per altre informazioni, vedi:

Impostazioni di gestione e conservazione delle tabelle nel portale di Microsoft Defender

Le impostazioni di gestione e conservazione delle tabelle sono ora disponibili nei portali di Microsoft Defender. È possibile visualizzare e gestire le impostazioni delle tabelle nel portale di Microsoft Defender, incluse le impostazioni di conservazione per le tabelle di Microsoft Sentinel e Defender XDR, e passare tra livelli di analisi e data lake.

Per altre informazioni, vedi:

Autorizzazioni del data lake di Microsoft Sentinel integrate con Controllo degli accessi in base al ruolo unificato di Microsoft Defender XDR

A partire da luglio 2025, le autorizzazioni per il data lake di Microsoft Sentinel saranno fornite tramite l'RBAC unificato di Microsoft Defender XDR. Oltre al supporto fornito dai ruoli globali Microsoft Entra ID, è disponibile il supporto per il controllo degli accessi in base al ruolo unificato.

Per altre informazioni, vedi:

Solo per i nuovi clienti: onboarding e reindirizzamento automatici al portale di Microsoft Defender

Per questo aggiornamento, i nuovi clienti di Microsoft Sentinel sono clienti che eseguono l'onboarding della prima area di lavoro nel tenant in Microsoft Sentinel il 1° luglio 2025.

A partire dal 1° luglio 2025, ad esempio i nuovi clienti che dispongono delle autorizzazioni di proprietario di una sottoscrizione o di un amministratore dell'accesso utente e non sono utenti con delega di Azure Lighthouse, hanno automaticamente eseguito l'onboarding delle aree di lavoro nel portale di Defender insieme all'onboarding in Microsoft Sentinel. Per gli utenti di tali aree di lavoro, che non sono inoltre utenti con delega di Azure Lighthouse, vedere i collegamenti in Microsoft Sentinel nel portale di Azure che li reindirizzano al portale di Defender. Questi utenti usano solo Microsoft Sentinel nel portale di Defender.

Screenshot dei link di reindirizzamento dal portale Azure al portale Defender.

I nuovi clienti che non dispongono delle autorizzazioni pertinenti non vengono eseguiti automaticamente nell'onboarding nel portale di Defender, ma visualizzano ancora i collegamenti di reindirizzamento nel portale di Azure, insieme alle richieste di avere un utente con autorizzazioni pertinenti per eseguire manualmente l'onboarding dell'area di lavoro nel portale di Defender.

Questa modifica semplifica il processo di onboarding e garantisce che i nuovi clienti possano sfruttare immediatamente le funzionalità di operazioni di sicurezza unificata senza il passaggio aggiuntivo dell'onboarding manuale delle aree di lavoro.

Per altre informazioni, vedi:

Nessun limite al numero di aree di lavoro di cui è possibile eseguire l'onboarding nel portale di Defender

Non è più previsto alcun limite al numero di aree di lavoro di cui è possibile eseguire l'onboarding nel portale di Defender.

Le limitazioni si applicano comunque al numero di aree di lavoro che è possibile includere in una query di Log Analytics e al numero di aree di lavoro che è possibile includere o devono includere in una regola di analisi pianificata.

Per altre informazioni, vedi:

Microsoft Sentinel nel portale di Azure da ritirare a luglio 2026

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, anche per i clienti senza Microsoft Defender XDR o una licenza E5. Ciò significa che è possibile usare Microsoft Sentinel nel portale di Defender anche se non si usano altri servizi di Microsoft Defender.

A partire da luglio 2026, Microsoft Sentinel sarà supportato solo nel portale di Defender e tutti i clienti rimanenti che usano il portale di Azure verranno reindirizzati automaticamente.

Se attualmente si usa Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare al meglio l'esperienza unificata delle operazioni per la sicurezza offerta da Microsoft Defender.

Per altre informazioni, vedi:

Giugno 2025

Codeless Connector Platform (CCP) è stato rinominato in Codeless Connector Framework (CCF)

Microsoft Sentinel Codeless Connector Platform (CCP) è stato rinominato in Codeless Connector Framework (CCF). Il nuovo nome riflette l'evoluzione della piattaforma ed evita confusione con altri servizi orientati alla piattaforma, offrendo allo stesso tempo la stessa facilità d'uso e flessibilità che gli utenti si aspettano.

Per altre informazioni, vedere Creare un connettore senza codice per Microsoft Sentinel.

Informazioni di riferimento consolidate sul connettore dati di Microsoft Sentinel

La documentazione di riferimento del connettore è stata consolidata, unendo gli articoli del connettore separati in un'unica tabella di riferimento completa.

Per informazioni di riferimento sul nuovo connettore, vedere Connettori dati di Microsoft Sentinel. Per ulteriori informazioni, vedere Creare un connettore senza codice e Sbloccare il potenziale del framework del connettore senza codice di Microsoft Sentinel e fare di più con Microsoft Sentinel più velocemente.

Modelli di regole di riepilogo ora in anteprima pubblica

È ora possibile usare i modelli di regole di riepilogo per distribuire regole di riepilogo predefinite personalizzate in scenari di sicurezza comuni. Questi modelli consentono di aggregare e analizzare set di dati di grandi dimensioni in modo efficiente, non richiedono competenze approfondite, ridurre il tempo di configurazione e garantire le procedure consigliate. Per altre informazioni, vedere Aggregare i dati di Microsoft Sentinel con regole di riepilogo (anteprima).

Maggio 2025

Tutti i casi d'uso di Microsoft Sentinel disponibili a livello generale nel portale di Defender

Tutti i casi d'uso di Microsoft Sentinel in disponibilità generale, incluse le funzionalità multi-tenant e multi-area di lavoro e il supporto per tutti i cloud pubblici e commerciali, sono ora supportati anche per la disponibilità generale nel portale di Defender.

È consigliabile eseguire l'onboarding delle aree di lavoro nel portale di Defender per sfruttare i vantaggi delle operazioni di sicurezza unificata. Per altre informazioni, vedi:

Per altre informazioni, vedi:

Tabella Unified IdentityInfo

I clienti di Microsoft Sentinel nel portale di Defender che hanno abilitato UEBA possono ora sfruttare una nuova versione della tabella IdentityInfo , disponibile nella sezione Ricerca avanzata del portale di Defender, che include il set di campi più ampio possibile comune sia per i portali di Defender che per i portali di Azure. Questa tabella unificata consente di arricchire le indagini sulla sicurezza nell'intero portale di Defender.

Per altre informazioni, vedere Tabella IdentityInfo.

Aggiunte al supporto dell'ottimizzazione SOC (anteprima)

Supporto dell'ottimizzazione SOC per:

  • Ai MITRE ATT&CK tagging recommendations (Preview): usa l'intelligenza artificiale per suggerire l'assegnazione di tag ai rilevamenti di sicurezza con tattiche e tecniche MITRE ATT&CK.
  • Raccomandazioni basate sui rischi (anteprima): consiglia di implementare controlli per risolvere i gap di copertura collegati ai casi d'uso che possono comportare rischi aziendali o perdite finanziarie, inclusi rischi operativi, finanziari, reputazione, conformità e rischi legali.

Per ulteriori informazioni, vedere il riferimento per l'ottimizzazione SOC.

Aprile 2025

Soluzione Microsoft Sentinel per Microsoft Business Apps disponibile a livello generale nel portale di Azure

La soluzione Microsoft Sentinel per Microsoft Business Apps è ora disponibile a livello generale nel portale di Azure.

Security Copilot genera riepiloghi degli eventi imprevisti in Microsoft Sentinel nel portale di Azure (anteprima)

Microsoft Sentinel nel portale di Azure include ora riepiloghi degli eventi imprevisti (in anteprima) generati da Security Copilot, che lo rende in linea con il portale di Defender. Questi riepiloghi offrono agli analisti della sicurezza le informazioni iniziali necessarie per comprendere, valutare e iniziare a analizzare rapidamente gli eventi imprevisti.

Per ulteriori informazioni, vedere Riepilogare gli incidenti di Microsoft Sentinel con Security Copilot.

Supporto multi-area di lavoro e multi-tenant per Microsoft Sentinel nel portale di Defender (anteprima)

Per l'anteprima, nel portale di Defender connettersi a un'area di lavoro primaria e a più aree di lavoro secondarie per Microsoft Sentinel. Se si esegue l'onboarding di Microsoft Sentinel con Defender XDR, gli avvisi di un'area di lavoro primaria vengono correlati ai dati XDR di Defender. Gli eventi imprevisti includono quindi avvisi provenienti dall'area di lavoro principale di Microsoft Sentinel e da Defender XDR. Tutte le altre aree di lavoro onboardate sono considerate secondarie. Gli incidenti vengono creati in base ai dati dello spazio di lavoro e non includono i dati XDR di Defender.

  • Se si prevede di usare Microsoft Sentinel nel portale di Defender senza Defender XDR, è possibile gestire più aree di lavoro. Tuttavia, l'area di lavoro principale non include i dati XDR di Defender e non si avrà accesso alle funzionalità XDR di Defender.
  • Se si usano più tenant e più aree di lavoro per tenant, è anche possibile usare la gestione multi-tenant di Microsoft Defender per visualizzare eventi imprevisti e avvisi, e per cercare i dati nella ricerca avanzata in più aree di lavoro e tenant.

Per altre informazioni, vedere gli articoli seguenti:

Microsoft Sentinel ora inserisce tutti gli oggetti e gli indicatori STIX in nuove tabelle di intelligence sulle minacce (anteprima)

Microsoft Sentinel inserisce ora gli oggetti e gli indicatori STIX nelle nuove tabelle di Intelligence per le minacce, ThreatIntelIndicators e ThreatIntelObjects. Le nuove tabelle supportano il nuovo schema STIX 2.1, che consente di inserire ed eseguire query su vari oggetti intelligence sulle minacce, tra cui identity, attack-patternthreat-actor, e relationship.

Microsoft Sentinel inserisce tutte le informazioni sulle minacce nelle nuove ThreatIntelIndicators tabelle e ThreatIntelObjects , continuando a inserire gli stessi dati nella tabella legacy ThreatIntelligenceIndicator fino al 31 luglio 2025.

Assicurarsi di aggiornare le query personalizzate, le regole di analisi e rilevamento, le cartelle di lavoro e l'automazione per usare le nuove tabelle entro il 31 luglio 2025. Dopo questa data, Microsoft Sentinel smetterà di inserire i dati nella tabella legacy ThreatIntelligenceIndicator . Stiamo aggiornando tutte le soluzioni di intelligence per le minacce predefinite nell'hub del contenuto per sfruttare le nuove tabelle.

Per altre informazioni, vedere gli articoli seguenti:

Supporto per l'ottimizzazione SOC delle colonne non utilizzate (Anteprima)

Per ottimizzare il rapporto dei valori di costo/sicurezza, l'ottimizzazione SOC non usa connettori dati o tabelle. L'ottimizzazione SOC ora espone colonne inutilizzate nelle tabelle. Per altre informazioni, vedere Informazioni di riferimento sull'ottimizzazione SOC dei consigli.

Marzo 2025

Connessione senza agente a SAP ora in anteprima pubblica

Il connettore dati senza agente di Microsoft Sentinel per SAP e il contenuto di sicurezza correlato è ora incluso, come anteprima pubblica, nella soluzione per le applicazioni SAP. Questo aggiornamento include anche i miglioramenti seguenti per il connettore dati senza agente:

Per altre informazioni, vedi:

gennaio 2025

Ottimizzare i feed di intelligence sulle minacce con le regole di inserimento

Ottimizzare i feed di intelligence per le minacce filtrando e migliorando gli oggetti prima che vengano recapitati all'area di lavoro. Le regole di inserimento aggiornano gli attributi degli oggetti Intel delle minacce o filtrano gli oggetti tutti insieme. Guarda l'annuncio del blog qui!

Per altre informazioni, vedere Informazioni sulle regole di inserimento di intelligence sulle minacce.

Regola di analisi corrispondenze ora disponibile a livello generale

Microsoft fornisce l'accesso alla sua intelligence sulle minacce Premium tramite la regola di analisi di Microsoft Defender Threat Intelligence, ora disponibile a livello generale. Per ulteriori informazioni su come sfruttare questa regola, che genera avvisi e incidenti ad alta fedeltà, vedere Usare l'analisi abbinata per rilevare minacce.

L'interfaccia di gestione di Intelligence sulle minacce è stata spostata

L'intelligence sulle minacce per Microsoft Sentinel nel portale di Defender è cambiata. Abbiamo rinominato la pagina Gestione Intel e l'abbiamo spostata con altri flussi di lavoro di threat intelligence. Non ci sono modifiche per i clienti che usano Microsoft Sentinel nell'esperienza di Azure.

Screenshot che mostra il posizionamento del nuovo menu per l'intelligence sulle minacce di Microsoft Sentinel.

I miglioramenti alle funzionalità di intelligence sulle minacce sono disponibili per i clienti che usano entrambe le esperienze di Microsoft Sentinel. L'interfaccia di gestione semplifica la creazione e la cura delle minacce intel con queste funzionalità chiave:

  • Definire le relazioni durante la creazione di nuovi oggetti STIX.
  • Cura l'intelligence sulle minacce esistente con il nuovo strumento di costruzione delle relazioni.
  • Creare più oggetti rapidamente copiando metadati comuni da un oggetto TI nuovo o esistente usando una funzionalità di duplicazione.
  • Usare la ricerca avanzata per ordinare e filtrare gli oggetti di intelligence delle minacce senza neanche scrivere una query di Log Analytics.

Per altre informazioni, vedere gli articoli seguenti:

Sbloccare la ricerca avanzata con nuovi oggetti STIX optando per le nuove tabelle di informazioni sulle minacce.

Le tabelle che supportano il nuovo schema di oggetti STIX non sono disponibili pubblicamente. Per eseguire query sull'intelligence sulle minacce per gli oggetti STIX con KQL e sbloccare il modello di rilevazione delle minacce informatiche che li usa, richiedere di partecipare con questo modulo. Inserire l'intelligence sulle minacce nelle nuove tabelle, ThreatIntelIndicators e ThreatIntelObjects, insieme a o al posto della tabella corrente, ThreatIntelligenceIndicator, con questo processo di consenso esplicito.

Per altre informazioni, vedere l'annuncio del blog Nuovi oggetti STIX in Microsoft Sentinel.

L'API di caricamento dell'intelligence delle minacce ora supporta più oggetti STIX

Ottimizza l'uso delle piattaforme di intelligence per le minacce collegandole a Microsoft Sentinel con l'API di caricamento. Ora è possibile inserire più oggetti rispetto ai soli indicatori, riflettendo le varie intelligence sulle minacce disponibili. L'API di caricamento supporta gli oggetti STIX seguenti:

  • indicator
  • attack-pattern
  • identity
  • threat-actor
  • relationship

Per altre informazioni, vedere gli articoli seguenti:

Connettori dati di Microsoft Defender Threat Intelligence ora disponibili a livello generale

I connettori dati Premium e Standard di Microsoft Defender Threat Intelligence sono ora disponibili a livello generale nell'hub del contenuto. Per altre informazioni, vedere gli articoli seguenti:

Supporto dei file Bicep per i repository (anteprima)

Usare i file Bicep insieme ai o in sostituzione dei modelli JSON ARM nei repository di Microsoft Sentinel. Bicep offre un modo intuitivo per creare modelli di risorse di Azure ed elementi di contenuto di Microsoft Sentinel. Non solo è più facile sviluppare nuovi elementi di contenuto, Bicep semplifica la revisione e l'aggiornamento del contenuto per chiunque faccia parte dell'integrazione continua e della distribuzione del contenuto di Microsoft Sentinel.

Per altre informazioni, vedere Pianificare il contenuto del repository.

Aggiornamenti di ottimizzazione SOC per la gestione unificata della copertura

Nelle aree di lavoro di cui è stato eseguito l'onboarding nel portale di Defender, le ottimizzazioni SOC supportano ora i dati SIEM e XDR, con copertura di rilevamento da tutti i servizi di Microsoft Defender.

Nel portale di Defender, le pagine di ottimizzazione SOC e MITRE ATT&CK offrono funzionalità aggiuntive per ottimizzare la copertura basata sulle minacce, aiutando a comprendere l'impatto delle raccomandazioni sull'ambiente e a stabilire le priorità su quali implementare per prime.

I miglioramenti includono:

Zona Dettagli
Pagina panoramica delle ottimizzazioni SOC - Punteggio alto, medio o basso per la copertura del rilevamento corrente. Questo tipo di assegnazione dei punteggi può aiutarti a decidere quali raccomandazioni assegnare priorità a colpo d'occhio.

- Indicazione del numero di prodotti Microsoft Defender attivi (servizi) da tutti i prodotti disponibili. Ciò consente di capire se è presente un intero prodotto mancante nell'ambiente.
Riquadro laterale dei dettagli di ottimizzazione,
visualizzato quando si approfondisce un'ottimizzazione specifica		 - Analisi dettagliata della copertura, incluso il numero di rilevamenti definiti dall'utente, azioni di risposta e prodotti attivi.

- Grafici a ragno dettagliati che mostrano la copertura in diverse categorie di minacce, sia per i rilevamenti predefiniti che per quelli definiti dall'utente.

- Opzione per passare allo scenario di minaccia specifico nella pagina MITRE ATT&CK invece di visualizzare la copertura MITRE ATT&CK solo nel riquadro laterale.

- Opzione Visualizza lo scenario di minaccia completo per eseguire il drill-down per altri dettagli sui prodotti e i rilevamenti di sicurezza disponibili per fornire copertura di sicurezza nell'ambiente in uso.
Pagina MITRE ATT&CK - Nuovo interruttore per visualizzare la copertura in base allo scenario di minaccia. Se sei passato alla pagina MITRE ATT&CK da un riquadro dei dettagli della raccomandazione o dalla pagina Visualizza lo scenario completo di minaccia, la pagina MITRE ATT&CK è pre-filtrata per il tuo scenario di minaccia.

- Il riquadro dei dettagli della tecnica, visualizzato sul lato quando si seleziona una tecnica MITRE ATT&CK specifica, mostra ora il numero di rilevamenti attivi da tutti i rilevamenti disponibili per tale tecnica.

Per altre informazioni, vedere Ottimizza le operazioni di sicurezza e Comprendere la copertura della sicurezza secondo il framework MITRE ATT&CK.

Visualizzare il contenuto granulare della soluzione nell'hub del contenuto di Microsoft Sentinel

È ora possibile visualizzare i singoli contenuti disponibili in una soluzione specifica direttamente dall'hub contenuto, anche prima di aver installato la soluzione. Questa nuova visibilità consente di comprendere il contenuto disponibile e di identificare, pianificare e installare più facilmente le soluzioni specifiche necessarie.

Espandi ogni soluzione nel Content hub per visualizzare incluso il contenuto di sicurezza. Ad esempio:

Screenshot della visualizzazione di contenuto granulare.

Gli aggiornamenti granulari del contenuto della soluzione includono anche un motore di ricerca basato su intelligenza artificiale generativo che consente di eseguire ricerche più affidabili, approfondire il contenuto della soluzione e restituire risultati per termini simili.

Per altre informazioni, vedere Scoprire contenuti.

Passaggi successivi

Caricare dati in Azure Sentinel

Ottenere visibilità sugli avvisi