適用於雲端的 Microsoft Defender的整合式雲端工作負載保護可讓您偵測並快速回應混合式和多重雲端工作負載的威脅。 Microsoft Defender for Cloud 連接器可讓您將來自 Defender for Cloud 的安全性警示 擷取到 Microsoft Sentinel,以便在更廣泛的組織威脅情境中檢視、分析和回應 Defender 警示及其生成的事件。
Microsoft Defender for Cloud Defender 方案 會針對每個訂用帳戶啟用。 雖然 Microsoft Sentinel 的舊版連接器適用於 Cloud Apps,也針對每個訂用帳戶設定,但租戶型 Microsoft Defender for Cloud 連接器預覽版可讓您收集整個租戶的雲端 Defender 警報,而不需要單獨啟用每個訂用帳戶。 租使用者型連接器也適用於 雲端安全防護的 Defender 與 Microsoft Defender XDR 整合,以確保所有來自 Microsoft Defender XDR 事件整合的警示都包含在所有您接收到的事件中。
警示同步:
當您將 適用於雲端的 Microsoft Defender 連線至 Microsoft Sentinel 時,兩個服務之間會同步處理內嵌至 Microsoft Sentinel 中的安全性警示狀態。 例如,當警示在 適用於雲端的 Defender 中關閉時,該警示也會在 Sentinel Microsoft 顯示為已關閉。
在適用於雲端的 Defender 中變更警示的狀態不會影響包含Microsoft Sentinel 警示的任何Microsoft Sentinel 事件 狀態,而只會影響警示本身的狀態。
雙向警示同步處理:啟用雙向 同步 處理會自動將原始安全性警示的狀態與包含這些警示的Microsoft Sentinel 事件的狀態同步。 例如,當包含安全性警示的Microsoft Sentinel 事件關閉時,會自動關閉對應的原始警示 適用於雲端的 Microsoft Defender。
注意
如需美國政府雲端中功能可用性的相關信息,請參閱 美國政府客戶雲端功能可用性中的 Microsoft Sentinel 數據表。
注意
連接器不支援從其他租使用者所擁有的訂用帳戶同步處理警示,即使為這些租使用者啟用 Lighthouse 也一樣。
必要條件
您必須在 Azure 入口網站 中使用 Microsoft Sentinel。 當您將Microsoft Sentinel 上線至 Defender 入口網站時,適用於雲端的 Defender 警示已內嵌至 Microsoft Defender XDR,而 租使用者型 Microsoft Defender for Cloud (預覽) 數據連接器並未列在 Defender 入口網站的 [ 數據連接器 ] 頁面中。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如果您已將Microsoft Sentinel 上線至 Defender 入口網站,您仍會想要安裝 Microsoft Defender for Cloud 解決方案,以搭配 Microsoft Sentinel 使用內建的安全性內容。
如果您在 Defender 入口網站中使用 Microsoft Sentinel 而不需 Microsoft Defender 全面偵測回應,則此程式仍然與您相關。
您必須具有下列角色和權限:
您必須擁有您 Microsoft Sentinel 工作區的讀取和寫入權限。
您必須在想要連線到 Microsoft Sentinel 的訂用帳戶上擁有 參與者 或 擁有者 角色。
若要啟用雙向同步處理,您必須在相關的訂用帳戶上擁有 參與者 或 安全性系統管理員 角色。
您必須針對想要啟用連接器的每個訂用帳戶,在 適用於雲端的 Microsoft Defender 內至少啟用一個方案。 若要在訂用帳戶上啟用 Microsoft Defender 方案,您必須擁有該訂用帳戶的安全性 系統管理員 角色。
SecurityInsights您必須為想要啟用連接器的每個訂用帳戶註冊資源提供者。 檢閱 資源提供者註冊狀態 和註冊方式的指引。
線上至 適用於雲端的 Microsoft Defender
在 Microsoft Sentinel 中,從內容中樞安裝適用於雲端的 Microsoft Defender 解決方案。 如需詳細資訊,請參閱 探索和管理 Microsoft Sentinel 快速上手內容。
選取 [設定 > 數據連接器]。
從數據連接器頁面中,選取基於訂閱的 Microsoft Defender for Cloud(舊版)或基於租用者的 Microsoft Defender for Cloud(預覽版)連接器,然後選取開啟連接器頁面。
在 設定 底下,您會看到租戶中的訂閱清單,以及它們與適用於雲端的 Microsoft Defender 的連線狀態。 選取每個訂用帳戶旁的 狀態 切換開關,以將警示串流至 Microsoft Sentinel。 如果您想要一次連接數個訂用帳戶,可以藉由標記相關訂用帳戶旁邊的複選框,然後選取清單上方列上的 [ 連線 ] 按鈕來執行這項作。
- 複選框和 [連線 ] 切換只會在您具有 必要許可權的訂用帳戶上使用。
- 只有在至少標記一個訂用帳戶的複選框時,連線 按鈕才會被啟用。
若要在訂用帳戶上啟用雙向同步處理,請在清單中找出訂用帳戶,然後從雙向同步數據行的下拉式清單中選擇 [已啟用]。 若要一次在數個訂用帳戶上啟用雙向同步處理,請標示其複選框,然後選取清單上方列上的 [啟用雙向同步處理 ] 按鈕。
- 複選框和下拉式清單僅適用於您具有 必要許可權的訂用帳戶。
- [ 啟用雙向同步處理 ] 按鈕只有在至少標記一個訂用帳戶的複選框時才會作用中。
在清單的 [Microsoft Defender 方案 ] 欄中,您可以看到您的訂用帳戶上是否已啟用 Microsoft Defender 方案,這是啟用連接器 的必要條件 。
此數據行中每個訂用帳戶的值都是空白的,這表示未啟用任何 Defender 方案、 [全部啟用] 或 [部分啟用]。 顯示 某些已啟用 的項目同樣有一個 啟用所有 的連結,您可以選擇該連結來進入此訂閱的 Microsoft Defender for Cloud 設定面板,在其中選擇要啟用的 Defender 方案。
清單上方列的 [啟用 Microsoft Defender 於所有訂閱] 鏈接按鈕會帶您前往 Microsoft Defender for Cloud 的入門頁面,您可以在那裡選擇要為哪些訂閱啟用 Microsoft Defender for Cloud。 例如:
適用於雲端的 Microsoft Defender 連接器設定的螢幕擷圖。
您可以選取是否希望來自 適用於雲端的 Microsoft Defender 的警示在 Sentinel Microsoft自動產生事件。 在 [建立事件] 下,選取 [ 已啟用 ] 以開啟自動 從警示建立事件的預設分析規則。 然後,您可以在 [使用中規則] 索引標籤的 [分析] 底下編輯此規則。
提示
設定 Microsoft Defender for Cloud 的自訂分析規則時,請考慮警示的嚴重性,以避免為資訊性警示開啟事件。
適用於雲端的 Microsoft Defender 中的資訊警示本身並不代表安全性風險,而且只與現有開啟事件的內容相關。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 中的安全性警示和事件。
尋找和分析您的數據
安全性警示會儲存在Log Analytics工作區的 SecurityAlert 資料表中。 若要在 Log Analytics 中查詢安全性警示,請將下列內容複製到查詢視窗中作為起點:
SecurityAlert
| where ProductName == "Azure Security Center"
雙向的警示同步處理可能需要幾分鐘的時間。 警示狀態的變更可能不會立即顯示。
如需更實用的範例查詢、分析規則範本和建議活頁簿,請參閱連接器頁面中的 [後續步驟 ] 索引標籤。
相關內容
在本檔中,您已瞭解如何將 適用於雲端的 Microsoft Defender 連線到 sentinel Microsoft,並同步處理它們之間的警示。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 瞭解如何 瞭解您的數據和潛在威脅。
- 開始使用 Microsoft Sentinel 偵測威脅。
- 撰寫您自己的規則來 偵測威脅。