Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
O Microsoft Defender for Cloud está integrado com o Microsoft Defender Extended Detection and Response (XDR). Essa integração permite que as equipes de segurança acessem alertas e incidentes do Defender for Cloud no portal do Microsoft Defender. Essa integração fornece um contexto mais rico para investigações que abrangem recursos, dispositivos e identidades na nuvem.
A parceria com o Microsoft Defender XDR permite que as equipes de segurança obtenham a imagem completa de um ataque, incluindo eventos suspeitos e mal-intencionados que acontecem em seu ambiente de nuvem. As equipas de segurança podem atingir este objetivo através de correlações imediatas de alertas e incidentes.
O Microsoft Defender XDR oferece uma solução abrangente que combina recursos de proteção, deteção, investigação e resposta. A solução protege contra ataques a dispositivos, e-mail, colaboração, identidade e aplicativos na nuvem. Nossos recursos de deteção e investigação agora são estendidos a entidades na nuvem, oferecendo às equipes de operações de segurança um único painel de vidro para melhorar significativamente sua eficiência operacional.
Incidentes e alertas agora fazem parte da API pública do Microsoft Defender XDR. Esta integração permite exportar dados de alertas de segurança para qualquer sistema usando uma única API. Como Microsoft Defender for Cloud, estamos comprometidos em fornecer aos nossos usuários as melhores soluções de segurança possíveis, e essa integração é um passo significativo para alcançar esse objetivo.
Prerequisites
O acesso aos alertas do Defender for Cloud no portal do Microsoft Defender depende de quais planos do Defender for Cloud estão habilitados. Saiba mais sobre as diferentes proteções do plano Defender for Cloud.
Note
As permissões para visualizar alertas e correlações do Defender for Cloud são automáticas para todo o locatário. Não há suporte para a visualização de assinaturas específicas. Use o filtro ID da assinatura de alerta para exibir alertas do Defender for Cloud associados a uma assinatura específica do Defender for Cloud nas filas de alertas e incidentes. Saiba mais sobre filtros.
A integração só está disponível ao aplicar a função de controlo de acesso baseado em funções unificada Microsoft Defender XDR (RBAC) adequada para o Defender para Cloud. Para ver os alertas e correlações do Defender para a Cloud sem Defender XDR RBAC Unificado, tem de ser Administrador Global ou Administrador de Segurança no Azure Active Directory.
Experiência de investigação no Microsoft Defender XDR
A tabela a seguir descreve a experiência de deteção e investigação no Microsoft Defender XDR com alertas do Defender for Cloud.
| Area | Description |
|---|---|
| Incidents | Todos os incidentes do Defender for Cloud são integrados ao Microsoft Defender XDR. - A procura de ativos de recursos cloud na fila de incidentes é suportada. - O gráfico de história do ataque mostra o recurso na cloud. - O separador de ativos numa página de incidente mostra o recurso da nuvem. - Cada máquina virtual tem sua própria página de entidade contendo todos os alertas e atividades relacionados. Não há duplicações de incidentes de outras cargas de trabalho do Defender. |
| Alerts | Todos os alertas do Defender for Cloud, incluindo alertas multicloud, internos e externos, são integrados ao Microsoft Defender XDR. Os alertas do Defenders for Cloud aparecem na fila de alertas do Microsoft Defender XDR. Microsoft Defender XDR O cloud resource ativo aparece na guia Ativo de um alerta. Os recursos são claramente identificados como um recurso do Azure, da Amazon ou do Google Cloud. Os alertas do Defender for Cloud são automaticamente associados a um locatário. Não há duplicações de alertas de outras cargas de trabalho do Defender. |
| Correlação de alertas e incidentes | Alertas e incidentes são correlacionados automaticamente, fornecendo contexto robusto para que as equipes de operações de segurança entendam a história completa de ataque em seu ambiente de nuvem. |
| Deteção de ameaças | Correspondência exata de entidades virtuais com entidades de dispositivos para garantir precisão e detecção eficaz de ameaças. |
| Unified API | Os alertas e incidentes do Defender para a Cloud estão agora incluídos na API pública do Microsoft Defender XDR, permitindo que os clientes exportem os respetivos dados de alertas de segurança para outros sistemas com uma API. |
Note
Os alertas informativos do Defender for Cloud não são integrados ao portal do Microsoft Defender para permitir o foco nos alertas relevantes e de alta gravidade. Esta estratégia simplifica a gestão de incidentes e reduz a fadiga dos alertas.
Sincronização do estado do alerta
Quando a integração entre o Defender for Cloud e o Microsoft Defender XDR está habilitada, as alterações de status de alerta são sincronizadas entre os dois serviços com os seguintes comportamentos:
| Scenario | Sincronização do estado |
|---|---|
| O status de alerta do Defender for Cloud foi alterado no Defender for Cloud | Estado refletido no Microsoft Defender XDR: Sim |
| Estado de alerta do Defender for Cloud alterado no Microsoft Defender XDR | Estado refletido no Defender for Cloud: Sim |
| Alerta do Microsoft Defender for Endpoint no recurso de nuvem - status alterado no Defender for Cloud | Estado refletido no Defender for Cloud: Sim Estado refletido no Microsoft Defender XDR: Não |
| Alerta do Microsoft Defender for Endpoint no recurso de nuvem - status alterado no Microsoft Defender XDR | Estado refletido no Microsoft Defender XDR: Sim Estado refletido no Defender for Cloud: Não |
Important
- No Defender for Cloud, apenas os alertas do Defender for Cloud são entidades válidas. As referências aos alertas do Microsoft Defender XDR no Defender for Cloud aplicam-se apenas aos alertas do Microsoft Defender for Endpoint em recursos de nuvem.
- Os alertas do Microsoft Defender for Endpoint sobre recursos de nuvem aparecem no Defender for Cloud e no Microsoft Defender XDR, mas seus status não são sincronizados entre os dois serviços.
Caça avançada em XDR
Os recursos avançados de caça do Microsoft Defender XDR são estendidos para incluir alertas e incidentes do Defender for Cloud. Essa integração permite que as equipes de segurança busquem todos os seus recursos, dispositivos e identidades na nuvem em uma única consulta.
A experiência avançada de caça no Microsoft Defender XDR foi projetada para fornecer às equipes de segurança a flexibilidade de criar consultas personalizadas para caçar ameaças em seu ambiente. A integração com alertas e incidentes do Defender for Cloud permite que as equipes de segurança busquem ameaças em seus recursos, dispositivos e identidades na nuvem.
A tabela CloudAuditEvents na caça avançada permite-lhe investigar e procurar através de eventos do plano de controlo e criar deteções personalizadas para revelar atividades suspeitas do Azure Resource Manager e Kubernetes (KubeAudit) do plano de controlo.
A tabela CloudProcessEvents na caça avançada permite-lhe triar, investigar e criar deteções personalizadas para atividades suspeitas invocadas na sua infraestrutura cloud, com informações que incluem detalhes sobre os detalhes do processo.
A tabela CloudStorageAggregatedEvents no advanced hunting permite-lhe investigar e procurar atividades relacionadas com o armazenamento na nuvem e criar deteções personalizadas que ajudam a revelar operações suspeitas de ficheiros, padrões de acesso e interações de dados que ocorrem nos seus recursos de armazenamento na nuvem.
Clientes do Microsoft Sentinel
Os clientes do Microsoft Sentinel que estão integrando incidentes do Microsoft Defender XDRe estão ingerindo alertas do Defender for Cloud devem seguir as etapas a seguir para evitar alertas e incidentes duplicados.
No Microsoft Sentinel, configure o conector de dados Microsoft Defender for Cloud (pré-visualização) com base no locatário. Esse conector de dados está incluído na solução Microsoft Defender for Cloud , disponível no hub de conteúdo do Microsoft Sentinel.
O conector de dados do Microsoft Defender for Cloud (Visualização) orientado para locatário sincroniza a recolha de alertas de todas as suas assinaturas com os incidentes do Defender for Cloud com base no locatário que estão a ser transmitidos através do conector de incidentes do Microsoft Defender XDR. Os incidentes do Defender for Cloud estão correlacionados em todas as subscrições do inquilino.
Se você estiver trabalhando com vários espaços de trabalho do Microsoft Sentinel no portal do Defender, os incidentes correlacionados do Defender for Cloud serão transmitidos para o espaço de trabalho principal. Para obter mais informações, veja Várias áreas de trabalho Microsoft Sentinel no portal do Defender.
Desconecte o conector de dados baseado em assinatura do Microsoft Defender for Cloud (Legado) para evitar alertas duplicados.
Desative todas as regras de análise usadas para criar incidentes a partir de alertas do Defender for Cloud, sejam elas agendadas (tipo de consulta regular) ou de segurança da Microsoft (criação de incidentes).
Se necessário, utilize regras de automatização para fechar incidentes ruidosos ou utilize as capacidades de otimização incorporadas no portal do Defender para suprimir determinados alertas.
Se você integrou seus incidentes do Microsoft Defender XDR no Microsoft Sentinel e deseja manter as configurações baseadas em assinatura e evitar a sincronização baseada em locatário, desative a sincronização de incidentes e alertas do Microsoft Defender XDR:
No portal do Microsoft Defender, vá para Configurações > do Microsoft Defender XDR.
Em Configurações do serviço de alerta, procure alertas do Microsoft Defender for Cloud.
Selecione Sem alertas para desligar todos os alertas do Defender para a Cloud. Selecionar esta opção interrompe a ingestão de novos alertas do Defender for Cloud para o Microsoft Defender XDR. Os alertas ingeridos anteriormente permanecem numa página de alerta ou incidente.
Para obter mais informações, consulte:
- Ingerir incidentes do Microsoft Defender for Cloud através da integração com o Microsoft Defender XDR
- Descubra e gere conteúdo pronto a usar do Microsoft Sentinel