適用於:
Microsoft Defender for Cloud 已與 Microsoft Defender 的擴充偵測與回應功能(XDR)整合。 這項整合可讓安全性小組在 Microsoft Defender 入口網站中存取適用於雲端的 Defender 警示和事件。 此整合可跨雲端資源、裝置和身分識別提供更豐富的調查內容。
與 Microsoft Defender XDR 的合作可讓安全性小組了解攻擊的全貌,包括在其雲端環境中發生的可疑和惡意事件。 安全性小組可以透過警示和事件的即時相互關聯來完成此目標。
Microsoft Defender XDR 提供結合了保護、偵測、調查和回應功能的全方位解決方案。 解決方案可防範裝置、電子郵件、共同作業、身分識別和雲端應用程式上的攻擊。 我們的偵測和調查功能現在已延伸至雲端實體,為安全性作業小組提供單一窗口,以大幅提升其營運效率。
事件和警示現在是 Microsoft Defender XDR 公用 API 的一部分。 此整合允許使用單一 API 將安全性警示資料匯出至任何系統。 身為適用於雲端的 Microsoft Defender,我們致力於為使用者提供最佳的安全性解決方案,而此整合是達成該目標的重要步驟。
Prerequisites
在 Microsoft Defender 入口網站中存取 Microsoft Defender for Cloud 警示的權限取決於已啟用的 Microsoft Defender for Cloud 計劃。 深入了解不同的適用於雲端的 Defender 方案保護。
Note
適用於雲端的 Defender 警示和相互關聯的檢視權限會針對整個租用戶自動執行。 不支持檢視特定訂用帳戶。 使用 警示訂閱 ID 篩選,來檢視警示和事件佇列中與特定 Defender for Cloud 訂閱相關聯的警示。 了解更多關於 濾鏡的資訊。
只有透過為 Microsoft Defender for Cloud 套用適當的 Microsoft Defender XDR 統一角色型存取控制 (RBAC) 角色,才能使用此整合。 若要在沒有 Defender XDR 統一 RBAC 的情況下檢視 Microsoft Defender for Cloud 的警示和相互關聯,您必須是 Azure Active Directory 中的全域管理員或安全性系統管理員。
Microsoft Defender XDR 中的調查體驗
下表描述 Microsoft Defender XDR 搭配適用於雲端的 Defender 警示的偵測和調查體驗。
| Area | Description |
|---|---|
| Incidents | 所有適用於雲端的 Defender 事件都會整合至 Microsoft Defender XDR。 - 支援在 事件佇列 中搜尋雲端資源資產。 - 攻擊故事 圖顯示雲端資源。 - 事件頁面中的 資產標籤 顯示雲端資源。 - 每個虛擬機器都有自己的實體頁面,其中包含所有相關的警示和活動。 不會有來自其他 Defender 工作負載事件的重複項目。 |
| Alerts | 所有 Microsoft Defender for Cloud 警示,包括多重雲端、內部和外部提供者的警示,都會整合至 Microsoft Defender XDR。 Defenders for Cloud 的警示會出現在 Microsoft Defender XDR 警示佇列中。 Microsoft Defender 全面偵測回應 cloud resource 資產會顯示在警示的 [資產] 索引標籤中。 資源會清楚地識別為 Azure、Amazon 或 Google Cloud 資源。 適用於雲端的Defender警示會自動與租用戶產生關聯。 不會有來自其他 Defender 工作負載的警示重複。 |
| 警示和事件相互關聯 | 警示和事件會自動相互關聯,為安全性作業小組提供強固的內容,以了解其雲端環境中的完整攻擊案例。 |
| 威脅偵測 | 精確比對虛擬實體與裝置實體,以確保精確且有效的威脅偵測。 |
| Unified API | 適用於雲端的 Defender 警示和事件現在包含在 Microsoft Defender XDR 的公用 API 中,讓客戶能夠使用一個 API 將安全性警示資料匯出至其他系統。 |
Note
適用於雲端的 Defender 的資訊警示不會整合至 Microsoft Defender 入口網站,以允許專注於相關且高嚴重性的警示。 此策略可簡化事件的管理,並減少警示疲勞。
警示狀態同步
啟用 Microsoft Defender for Cloud 與 Microsoft Defender XDR 之間的整合時,警示狀態變更會在兩個服務之間同步處理,具備以下特性:
| Scenario | 狀態同步 |
|---|---|
| 適用於雲端的 Defender 警示狀態在適用於雲端的 Defender 中變更 | 在 Microsoft Defender XDR 中反映的狀態:是 |
| 雲端防護者的警示狀態已在 Microsoft Defender XDR 中變更 | 在 Defender for Cloud 中反映的狀態:是 |
| 雲端資源上適用於端點的 Microsoft Defender 警示 - 適用於雲端的 Defender 中的狀態已變更 | 在 Defender for Cloud 中反映的狀態:是 在 Microsoft Defender XDR 中反映的狀態:否 |
| Microsoft Defender 針對雲端資源的端點警示 - 在 Microsoft Defender XDR 中的狀態已變更 | 在 Microsoft Defender XDR 中反映的狀態:是 在 Defender for Cloud 中反映的狀態:否 |
Important
- 在 Defender for Cloud 中,只有 Defender for Cloud 警示是有效的實體。 在 Microsoft Defender for Cloud 中,Microsoft Defender XDR 警示的參考僅適用於雲端資源上的 Microsoft Defender for Endpoint 警示。
- 雲端資源上的 Microsoft Defender for Endpoint 警示會出現在 Microsoft Defender for Cloud 和 Microsoft Defender XDR 中,但其狀態不會在這兩個服務之間同步。
XDR中的進階搜捕
Microsoft Defender 全面偵測回應的進階搜捕功能延伸為包含適用於雲端的 Defender 警示和事件。 這項整合可讓安全性小組在單一查詢中搜捕其所有雲端資源、裝置和身分識別。
Microsoft Defender XDR(全面偵測與回應)中的進階威脅搜捕功能,旨在為安全性團隊提供彈性,以建立自訂查詢來搜尋其環境中的威脅。 與 Microsoft Defender for Cloud 警示和事件的整合使安全團隊能夠在他們的雲端資源、裝置和身分識別間搜尋威脅。
進階搜尋中的 CloudAuditEvents 表格 允許你調查並搜尋控制平面事件,並建立自訂偵測,以發現可疑的 Azure 資源管理器與 Kubernetes(KubeAudit)控制平面活動。
進階搜尋中的 CloudProcessEvents 表格 允許您對雲端基礎設施中被呼叫的可疑活動進行分流、調查並建立自訂偵測,並包含流程細節的資訊。
進階搜尋中的 CloudStorageAggregatedEvents 表格允許您調查並搜尋雲端儲存活動,並建立自訂偵測,幫助揭露可疑檔案操作、存取模式及雲端儲存資源中的資料互動。
Microsoft Sentinel 客戶
Microsoft Sentinel 客戶整合 Microsoft Defender XDR 事件且接收 Defender 針對雲端的警示,必須採取下列步驟以防止重複的警示和事件。
在 Microsoft Sentinel 中,設定租用戶型 Microsoft Defender for Cloud (預覽) 資料連接器。 此數據連接器包含在 適用於雲端的 Microsoft Defender 解決方案中,可從 Microsoft Sentinel 內容中樞取得。
租用戶型適用於雲端的 Defender (預覽) 資料連接器會同步處理您所有訂用帳戶中的警示收集,以及透過 Microsoft Defender 全面偵測回應事件連接器串流處理的租用戶型適用於雲端的 Defender 事件。 適用於雲端的 Defender 事件會與租用戶的所有訂用帳戶相互關聯。
如果您在Defender入口網站中使用多個Microsoft Sentinel工作區,則相互關聯的適用於雲端的Defender事件會串流至主要工作區。 如需詳細資訊,請參閱Defender入口網站中的多個 Microsoft Sentinel工作區。
中斷訂閱 型 Microsoft Defender for Cloud (Legacy) 資料連接器的連線,以防止重複的警示。
關閉任何用來從適用於雲端的 Defender 警示建立事件的分析規則,無論是已排程的 (一般查詢類型) 還是 Microsoft 安全性 (事件建立) 規則。
如果您已將 Microsoft Defender 全面偵測回應事件整合至 Microsoft Sentinel,且想要保留訂用帳戶型設定,並避免租用戶型同步處理,請選擇不要從 Microsoft Defender 全面偵測回應同步處理事件和警示:
在 Microsoft Defender 入口網站中,前往 設定 > Microsoft Defender XDR。
在 [警示服務設定] 中,尋找適用於雲端的 Microsoft Defender 警示。
選擇 無警報 以關閉所有 Defender for Cloud 警報。 選取此選項會停止將新的 Defender for Cloud 警示納入到 Microsoft Defender XDR。 先前已匯入的警示會保留在警示或事件頁面中。
如需詳細資訊,請參閱