Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
aplica-se a:
O Microsoft Defender para Nuvem é integrado ao Microsoft Defender Extended Detection and Response (XDR). Essa integração permite que as equipes de segurança acessem alertas e incidentes do Defender para Nuvem no portal do Microsoft Defender. Esta integração fornece um contexto mais rico para investigações que abrangem recursos de nuvem, dispositivos e identidades.
A parceria com o Microsoft Defender XDR permite que as equipes de segurança obtenham a imagem completa de um ataque, incluindo eventos suspeitos e mal-intencionados que ocorrem em seu ambiente de nuvem. As equipes de segurança podem atingir essa meta por meio de correlações imediatas de alertas e incidentes.
O Microsoft Defender XDR oferece uma solução abrangente que combina recursos de proteção, detecção, investigação e resposta. A solução protege contra ataques a dispositivos, email, colaboração, identidade e aplicativos de nuvem. Nossos recursos de detecção e investigação agora são estendidos para entidades de nuvem, oferecendo às equipes de operações de segurança um único painel transparente para melhorar significativamente sua eficiência operacional.
Incidentes e alertas agora fazem parte da API pública do Microsoft Defender XDR. Essa integração permite exportar dados de alertas de segurança para qualquer sistema usando uma única API. Como Microsoft Defender para Nuvem, estamos empenhados em fornecer aos nossos usuários as melhores soluções de segurança possíveis; essa integração é um passo significativo para alcançar esse objetivo.
Prerequisites
O acesso aos alertas do Defender para Nuvem no portal do Microsoft Defender depende de quais planos do Defender para Nuvem estão habilitados. Saiba mais sobre as diferentes proteções de plano do Defender para Nuvem.
Note
As permissões para exibir alertas e correlações do Defender para Nuvem são automáticas para todo o locatário. Não há suporte para a exibição de assinaturas específicas. Use o filtro de ID da assinatura de alerta para exibir alertas do Defender para Nuvem associados a uma assinatura específica do Defender para Nuvem nas filas de alertas e incidentes. Saiba mais sobre filtros.
A integração só está disponível pela aplicação da função RBAC (controle de acesso baseado em função) unificada do Microsoft Defender XDR para o Defender para Nuvem. Para visualizar os alertas e correlações do Defender para a Nuvem sem o RBAC Unificado do Defender XDR, você precisa ser um Administrador Global ou Administrador de Segurança no Azure Active Directory.
Experiência de investigação no Microsoft Defender XDR
A tabela a seguir descreve a experiência de detecção e investigação no Microsoft Defender XDR com alertas do Defender para Nuvem.
| Area | Description |
|---|---|
| Incidents | Todos os incidentes do Defender para Nuvem são integrados ao Microsoft Defender XDR. – Há suporte para a pesquisa de ativos de recursos de nuvem na fila de incidentes . - O gráfico de história de ataque mostra o recurso de nuvem. - A aba de ativos em uma página de incidente mostra o recurso de nuvem. - Cada máquina virtual tem sua própria página de entidade contendo todos os alertas e atividades relacionados. Não há duplicações de incidentes de outras cargas de trabalho do Defender. |
| Alerts | Todos os alertas do Defender para Nuvem, incluindo alertas de provedores multinuvem, internos e externos, são integrados ao Microsoft Defender XDR. Os alertas do Defenders para Nuvem são mostrados na fila de alertas do Microsoft Defender XDR. Microsoft Defender XDR O ativo cloud resource aparece na guia Ativo de um alerta. Os recursos são claramente identificados como um recurso do Azure, da Amazon ou do Google Cloud. Os alertas do Defender para Nuvem são automaticamente associados a um locatário. Não há duplicações de alertas de outras cargas de trabalho do Defender. |
| Correlação entre alertas e incidentes | Alertas e incidentes são correlacionados automaticamente e fornecem contexto robusto às equipes de operações de segurança para poderem entender a história completa do ataque em seu ambiente de nuvem. |
| Detecção de ameaças | Correspondência precisa entre entidades virtuais e entidades de dispositivo para garantir a precisão e a detecção efetiva de ameaças. |
| API Unificada | Os alertas e incidentes do Defender para Nuvem agora estão inclusos na API pública do Microsoft Defender XDR, permitindo que os clientes exportem os seus dados de alertas de segurança para outros sistemas usando uma API. |
Note
Os alertas informativos do Defender para Nuvem não são integrados ao portal do Microsoft Defender para permitir o foco nos alertas relevantes e de alta gravidade. Esta estratégia simplifica a gestão de incidentes e reduz a fadiga dos alertas.
Sincronização de status do alerta
Quando a integração entre o Defender para Nuvem e o Microsoft Defender XDR está habilitada, as alterações de status do alerta são sincronizadas entre os dois serviços com os seguintes comportamentos:
| Scenario | Sincronização de status |
|---|---|
| Status do alerta do Defender para Nuvem alterado no Defender para Nuvem | Status refletido no Microsoft Defender XDR: Sim |
| Status do alerta do Defender para Nuvem alterado no Microsoft Defender XDR | Status refletido no Defender para Nuvem: Sim |
| Alerta do Microsoft Defender para Ponto de Extremidade no recurso de nuvem — status alterado no Defender para Nuvem | Status refletido no Defender para Nuvem: Sim Status refletido no Microsoft Defender XDR: Não |
| Alerta do Microsoft Defender para Ponto de Extremidade no recurso de nuvem — status alterado no Microsoft Defender XDR | Status refletido no Microsoft Defender XDR: Sim Status refletido no Defender para Nuvem: Não |
Important
- No Defender para Nuvem, somente os alertas do Defender para Nuvem são entidades válidas. As referências aos alertas do Microsoft Defender XDR no Defender para o Cloud se aplicam somente aos alertas do Microsoft Defender para Endpoint em recursos de nuvem.
- Os alertas do Microsoft Defender for Endpoint em recursos de nuvem aparecem tanto no Defender for Cloud quanto no Microsoft Defender XDR, mas seus status não são sincronizados entre os dois serviços.
Busca avançada em XDR
Os recursos de busca avançada do Microsoft Defender XDR são estendidos para incluir alertas e incidentes do Defender para Nuvem. Essa integração permite que as equipes de segurança procurem todos os recursos de nuvem, dispositivos e identidades em uma única consulta.
A experiência de busca avançada no Microsoft Defender XDR foi criada para fornecer às equipes de segurança a flexibilidade de criar consultas personalizadas para buscar ameaças no ambiente. A integração com alertas e incidentes do Defender para Nuvem permite que as equipes de segurança procurem ameaças nos recursos de nuvem, dispositivos e identidades.
A tabela CloudAuditEvents na busca avançada permite que você investigue e explore eventos do plano de controle e crie detecções personalizadas para exibir atividades suspeitas do plano de controle do Azure Resource Manager e Kubernetes (KubeAudit).
A tabela CloudProcessEvents na busca avançada permite que você faça triagem, investigação e criação de detecções personalizadas para atividades suspeitas que são invocadas em sua infraestrutura de nuvem com informações que incluem detalhes sobre os detalhes do processo.
A tabela CloudStorageAggregatedEventsna busca avançada permite que você investigue e pesquise atividades de armazenamento em nuvem e crie detecções personalizadas que ajudam a exibir operações suspeitas de arquivos, padrões de acesso e interações de dados que ocorrem em seus recursos de armazenamento em nuvem.
Clientes do Microsoft Sentinel
Os clientes do Microsoft Sentinel que estão integrando incidentes do Microsoft Defender XDRe estão ingerindo alertas do Defender para Nuvem devem seguir as etapas para evitar alertas e incidentes duplicados.
No Microsoft Sentinel, configure o conector de dados do Microsoft Defender para Nuvem baseado em locatário (versão prévia). Esse conector de dados está incluído na solução do Microsoft Defender para Nuvem , disponível no Hub de Conteúdo do Microsoft Sentinel.
O conector de dados do Microsoft Defender para Nuvem baseado em locatário (versão prévia) sincroniza a coleta de alertas de todas as suas assinaturas com os incidentes do Defender para Nuvem baseado em locatário que estão sendo transmitidos por meio do conector de incidentes do Microsoft Defender XDR. Os incidentes do Defender para Nuvem estão correlacionados em todas as assinaturas do locatário.
Se você estiver trabalhando com vários workspaces do Microsoft Sentinel no portal do Defender, os incidentes correlacionados do Defender para Nuvem serão transmitidos para o workspace primário. Para obter mais informações, veja Várias áreas de trabalho Microsoft Sentinel no portal do Defender.
Desconecte o conector de dados do Microsoft Defender para Nuvem baseado em assinatura (herdado) para evitar alertas duplicados.
Desative as regras de análise usadas para criar incidentes com base em alertas do Defender para Nuvem, regras agendadas (tipo de consulta regular) ou de segurança da Microsoft (criação de incidentes).
Se necessário, utilize regras de automatização para fechar incidentes ruidosos ou utilize as capacidades de otimização incorporadas no portal do Defender para suprimir determinados alertas.
Se você integrou seus incidentes do Microsoft Defender XDR ao Microsoft Sentinel e deseja manter as configurações baseadas em assinatura e evitar a sincronização baseada em locatário, opte por não sincronizar incidentes e alertas do Microsoft Defender XDR:
No portal do Microsoft Defender, acesse Configurações > do Microsoft Defender XDR.
Nas configurações de serviço de Alerta, procure alertas do Microsoft Defender para Nuvem.
Selecione Nenhum alerta para desativar todos os alertas do Defender para Nuvem. A seleção dessa opção interrompe a ingestão de novos alertas do Defender para Nuvem para o Microsoft Defender XDR. Os alertas ingeridos anteriormente permanecem numa página de alerta ou incidente.
Para saber mais, veja:
- Ingerir incidentes do Microsoft Defender para Nuvem com a integração do Microsoft Defender XDR
- Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel