Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
Usługa Microsoft Defender for Cloud jest zintegrowana z rozszerzoną funkcją wykrywania i reagowania w usłudze Microsoft Defender (XDR). Ta integracja umożliwia zespołom ds. zabezpieczeń dostęp do alertów i zdarzeń usługi Defender for Cloud w portalu usługi Microsoft Defender. Ta integracja zapewnia bogatszy kontekst do badań obejmujących zasoby, urządzenia i tożsamości w chmurze.
Współpraca z usługą Microsoft Defender XDR umożliwia zespołom ds. zabezpieczeń uzyskanie pełnego obrazu ataku, w tym podejrzanych i złośliwych zdarzeń występujących w środowisku chmury. Zespoły ds. zabezpieczeń mogą osiągnąć ten cel poprzez natychmiastowe korelacje alertów i zdarzeń.
Usługa Microsoft Defender XDR oferuje kompleksowe rozwiązanie, które łączy funkcje ochrony, wykrywania, badania i reagowania. Rozwiązanie chroni przed atakami na urządzenia, pocztę e-mail, współpracę, tożsamość i aplikacje w chmurze. Nasze możliwości wykrywania i badania są teraz rozszerzane na jednostki w chmurze, oferując zespołom ds. operacji zabezpieczeń pojedyncze okienko szkła w celu znacznego zwiększenia wydajności operacyjnej.
Zdarzenia i alerty są teraz częścią publicznego interfejsu API usługi Microsoft Defender XDR. Ta integracja umożliwia eksportowanie danych alertów zabezpieczeń do dowolnego systemu przy użyciu jednego interfejsu API. W Microsoft Defender dla Chmury dokładamy wszelkich starań, aby zapewnić naszym użytkownikom najlepsze możliwe rozwiązania zabezpieczeń, a integracja ta stanowi znaczący krok w kierunku osiągnięcia tego celu.
Prerequisites
Włącz usługę Defender for Cloud w ramach subskrypcji platformy Azure.
Dostęp do alertów usługi Defender for Cloud w portalu usługi Microsoft Defender zależy od tego, które plany usługi Defender for Cloud są włączone. Dowiedz się więcej o różnych zabezpieczeniach planu usługi Defender for Cloud.
Note
Uprawnienia do wyświetlania alertów i korelacji usługi Defender for Cloud są przyznawane automatycznie dla całej dzierżawy. Wyświetlanie określonych subskrypcji nie jest obsługiwane. Użyj filtru identyfikatora subskrypcji alertów , aby wyświetlić alerty usługi Defender for Cloud skojarzone z określoną subskrypcją usługi Defender for Cloud w kolejkach alertów i zdarzeń. Dowiedz się więcej o filtrach.
Integracja jest dostępna tylko przez zastosowanie odpowiedniej roli Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC) dla usługi Defender for Cloud. Aby wyświetlić alerty i korelacje usługi Defender for Cloud bez ujednoliconej kontroli dostępu opartej na rolach (RBAC) Defender XDR, musisz być administratorem globalnym lub administratorem zabezpieczeń w usłudze Azure Active Directory.
Środowisko badania w usłudze Microsoft Defender XDR
W poniższej tabeli opisano doświadczenie w zakresie wykrywania i badania w usłudze Microsoft Defender XDR z alertami Defender for Cloud.
| Area | Description |
|---|---|
| Incidents | Wszystkie zdarzenia usługi Defender for Cloud są zintegrowane z Microsoft Defender XDR. — Wyszukiwanie zasobów w chmurze w kolejce zdarzeń jest obsługiwane. — Wykres scenariusza ataku przedstawia zasób w chmurze. — karta Zasoby na stronie zdarzenia wyświetla zasób w chmurze. — Każda maszyna wirtualna ma własną stronę jednostki zawierającą wszystkie powiązane alerty i działania. Nie ma duplikacji zdarzeń z innych obciążeń usługi Defender. |
| Alerts | Wszystkie alerty usługi Defender for Cloud, w tym alerty wielochmurowych, wewnętrznych i zewnętrznych dostawców, są zintegrowane z usługą Microsoft Defender XDR. Alerty usługi Defenders for Cloud są wyświetlane w kolejce alertów XDR w usłudze Microsoft Defender. Microsoft Defender XDR Zasób cloud resource pojawia się w zakładce "Zasób" powiadomienia. Zasoby są wyraźnie identyfikowane jako zasoby platformy Azure, Amazon lub Usługi Google Cloud. Alerty Defender for Cloud są automatycznie powiązane z dzierżawcą. Brak duplikacji alertów z innych obciążeń usługi Defender. |
| Korelacja alertów i zdarzeń | Alerty i zdarzenia są automatycznie skorelowane, zapewniając niezawodny kontekst zespołom ds. operacji zabezpieczeń, aby zrozumieć pełną historię ataków w środowisku chmury. |
| Wykrywanie zagrożeń | Dokładne dopasowywanie jednostek wirtualnych do jednostek urządzeń w celu zapewnienia precyzji i efektywnego wykrywania zagrożeń. |
| ujednolicony interfejs API | Alerty i zdarzenia usługi Defender for Cloud są teraz uwzględniane w publicznym interfejsie API Microsoft Defender XDR, co umożliwia klientom eksportowanie danych alertów zabezpieczeń do innych systemów przy użyciu jednego interfejsu API. |
Note
Alerty informacyjne z usługi Defender for Cloud nie są zintegrowane z portalem usługi Microsoft Defender, aby umożliwić skoncentrowanie się na odpowiednich alertach o wysokiej ważności. Ta strategia usprawnia zarządzanie zdarzeniami i zmniejsza zmęczenie alertami.
Synchronizacja stanu alertów
Po włączeniu integracji między usługą Defender for Cloud i usługą Microsoft Defender XDR zmiany stanu alertu są synchronizowane między dwiema usługami z następującymi zachowaniami:
| Scenario | Synchronizacja stanu |
|---|---|
| Stan alertu usługi Defender for Cloud został zmieniony w usłudze Defender for Cloud | Stan odzwierciedlony w usłudze Microsoft Defender XDR: Tak |
| Stan alertu usługi Defender for Cloud został zmieniony w usłudze Microsoft Defender XDR | Stan odzwierciedlony w Defender dla Chmury: Tak |
| Alert usługi Microsoft Defender dla punktu końcowego w zasobie w chmurze — stan został zmieniony w usłudze Defender for Cloud | Stan odzwierciedlony w Defender dla Chmury: Tak Stan odzwierciedlony w usłudze Microsoft Defender XDR: Nie |
| Alert Microsoft Defender dla Punktu Końcowego dotyczący zasobu w chmurze — stan zmieniony w Microsoft Defender XDR | Stan odzwierciedlony w usłudze Microsoft Defender XDR: Tak Stan odzwierciedlony w Defender dla Chmury: Nie |
Important
- W usłudze Defender for Cloud tylko alerty usługi Defender for Cloud są prawidłowymi jednostkami. Odniesienia do alertów XDR usługi Microsoft Defender w usłudze Defender for Cloud dotyczą wyłącznie alertów usługi Microsoft Defender for Endpoint związanych z zasobami w chmurze.
- Alerty usługi Microsoft Defender dla punktów końcowych dotyczące zasobów w chmurze są wyświetlane zarówno w usłudze Defender for Cloud, jak i w usłudze Microsoft Defender XDR, ale ich stany nie są synchronizowane między dwiema usługami.
Zaawansowane wyszukiwanie zagrożeń w usłudze XDR
Zaawansowane możliwości wyszukiwania Microsoft Defender XDR zostały rozszerzone, aby uwzględniać alerty i zdarzenia Defender for Cloud. Ta integracja umożliwia zespołom ds. zabezpieczeń wyszukiwanie wszystkich zasobów, urządzeń i tożsamości w chmurze w jednym zapytaniu.
Zaawansowane środowisko wyszukiwania zagrożeń w usłudze Microsoft Defender XDR zaprojektowano tak, aby zapewnić zespołom ds. zabezpieczeń elastyczność tworzenia niestandardowych zapytań w celu wyszukiwania zagrożeń w całym środowisku. Integracja z alertami i zdarzeniami Defender dla Chmury umożliwia zespołom ds. zabezpieczeń wyszukiwanie zagrożeń w zasobach, urządzeniach i tożsamościach w chmurze.
Tabela CloudAuditEvents w zaawansowanym wyszukiwaniu umożliwia badanie i wyszukiwanie zdarzeń płaszczyzny sterowania oraz tworzenie niestandardowych wykryć w celu uwidocznienia podejrzanych działań płaszczyzny sterowania usług Azure Resource Manager i Kubernetes (KubeAudit).
Tabela CloudProcessEvents w zaawansowanym wyszukiwaniu umożliwia klasyfikację, badanie i tworzenie niestandardowych wykryć podejrzanych działań wywoływanych w infrastrukturze chmury z informacjami zawierającymi szczegółowe informacje na temat szczegółów procesu.
Tabela CloudStorageAggregatedEventsw zaawansowanym wyszukiwaniu umożliwia badanie i wyszukiwanie działań związanych z magazynem w chmurze oraz tworzenie niestandardowych wykryć, które ułatwiają wyświetlanie podejrzanych operacji na plikach, wzorców dostępu i interakcji danych występujących w zasobach magazynu w chmurze.
Klienci usługi Microsoft Sentinel
Klienci usługi Microsoft Sentinel, którzy integrują zdarzenia XDR usługi Microsoft Defenderi korzystają z alertów usługi Defender for Cloud, muszą wykonać następujące kroki, aby zapobiec zduplikowaniu alertów i zdarzeń.
W usłudze Microsoft Sentinel skonfiguruj łącznik danych usługi Microsoft Defender for Cloud oparty na dzierżawie (wersja zapoznawcza). Ten łącznik danych jest zawarty w rozwiązaniu Microsoft Defender for Cloud dostępnym w centrum zawartości usługi Microsoft Sentinel.
Łącznik danych Microsoft Defender for Cloud (wersja zapoznawcza) działający na poziomie dzierżawy synchronizuje zbieranie alertów ze wszystkich subskrypcji z incydentami Defender for Cloud działającymi na poziomie dzierżawy, które są przekazywane przez łącznik incydentów Microsoft Defender XDR. Zdarzenia usługi Defender for Cloud są skorelowane we wszystkich subskrypcjach dzierżawy.
Jeśli pracujesz z wieloma obszarami roboczymi usługi Microsoft Sentinel w portalu usługi Defender, skorelowane zdarzenia usługi Defender for Cloud są przesyłane strumieniowo do podstawowego obszaru roboczego. Aby uzyskać więcej informacji, zobacz Wiele obszarów roboczych Microsoft Sentinel w portalu usługi Defender.
Odłącz cyfrowy łącznik danych oparty na subskrypcji Microsoft Defender for Cloud (starsza wersja), aby zapobiec zduplikowaniu alertów.
Wyłącz wszystkie reguły analityczne używane do tworzenia incydentów z alertów usługi Defender for Cloud, zarówno zaplanowane (standardowego typu zapytań), jak i zabezpieczeń Microsoft (tworzenie incydentów).
W razie potrzeby użyj reguł automatyzacji , aby zamknąć hałaśliwe zdarzenia, lub użyj wbudowanych możliwości dostrajania w portalu usługi Defender , aby pominąć niektóre alerty.
Jeśli zintegrowano zdarzenia XDR usługi Microsoft Defender z usługą Microsoft Sentinel i chcesz zachować ustawienia oparte na subskrypcji i uniknąć synchronizacji opartej na dzierżawie, zrezygnujesz z synchronizowania zdarzeń i alertów z usługi Microsoft Defender XDR:
W portalu usługi Microsoft Defender przejdź do pozycji Ustawienia > usługi Microsoft Defender XDR.
W obszarze Ustawienia usługi Alert poszukaj alertów usługi Microsoft Defender for Cloud.
Wybierz pozycję Brak alertów , aby wyłączyć wszystkie alerty usługi Defender for Cloud. Wybranie tej opcji wstrzymuje przetwarzanie nowych alertów usługi Defender for Cloud w usłudze Microsoft Defender XDR. Pozyskane wcześniej alerty pozostają na stronie alertu lub zdarzenia.
Aby uzyskać więcej informacji, zobacz:
- Zbieranie zdarzeń Microsoft Defender dla Chmury przy użyciu integracji z Microsoft Defender XDR
- Odkrywanie i zarządzanie gotową zawartością usługi Microsoft Sentinel