Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
Microsoft Defender pro Cloud je integrovaný s Microsoft Defender Extended Detection and Response (XDR). Tato integrace umožňuje týmům zabezpečení přistupovat k výstrahám a incidentům v programu Defender for Cloud na portálu Microsoft Defender. Tato integrace poskytuje širší kontext pro šetření, která zahrnují cloudové prostředky, zařízení a identity.
Partnerství s XDR v programu Microsoft Defender umožňuje bezpečnostním týmům získat úplný přehled o útoku, včetně podezřelých a škodlivých událostí, ke kterým dochází ve svém cloudovém prostředí. Týmy zabezpečení můžou tohoto cíle dosáhnout prostřednictvím okamžitých korelací výstrah a incidentů.
XDR v programu Microsoft Defender nabízí komplexní řešení, které kombinuje možnosti ochrany, detekce, vyšetřování a reakce. Řešení chrání před útoky na zařízení, e-mail, spolupráci, identitu a cloudové aplikace. Naše možnosti detekce a vyšetřování jsou nyní rozšířeny na cloudové entity, které nabízejí týmům operací zabezpečení jediné podokno skla, aby výrazně zlepšily provozní efektivitu.
Incidenty a výstrahy jsou teď součástí veřejného rozhraní API XDR v programu Microsoft Defender. Tato integrace umožňuje exportovat data výstrah zabezpečení do libovolného systému pomocí jednoho rozhraní API. Jako Microsoft Defender pro cloud jsme se zavázali poskytovat našim uživatelům nejlepší možná řešení zabezpečení a tato integrace je významným krokem k dosažení tohoto cíle.
Prerequisites
Přístup k upozorněním defenderu pro cloud na portálu Microsoft Defenderu závisí na tom, které plány Defenderu pro cloud jsou povolené. Přečtěte si další informace o různých plánech ochrany služby Defender for Cloud.
Note
Oprávnění k zobrazení upozornění a korelací Defenderu pro cloud jsou pro celého tenanta automatická. Zobrazení konkrétních předplatných se nepodporuje. Pomocí filtru ID předplatného upozornění zobrazte výstrahy Defenderu pro cloud přidružené ke konkrétnímu předplatnému Defenderu pro cloud ve frontách výstrah a incidentů. Přečtěte si další informace o filtrech.
Integrace je dostupná pouze použitím příslušné role Jendotných rolí Microsoft Defender XDR pro řízení přístupu na základě role (RBAC) pro Defender for Cloud. Pokud chcete zobrazit výstrahy a korelace služby Defender pro Cloud bez jednotného řízení přístupu na základě role XDR, musíte být globálním správcem nebo správcem zabezpečení v Microsoft Entra ID.
Zkušenosti s vyšetřováním v Microsoft Defender XDR
Následující tabulka popisuje zkušenosti s detekcí a prověřováním v Microsoft Defender XDR s upozorněními z Defenderu pro Cloud.
| Area | Description |
|---|---|
| Incidents | Všechny incidenty Defenderu pro cloud jsou integrované do XDR v programu Microsoft Defender. – Vyhledávání prostředků cloudu ve frontě incidentů je podporováno. – Graf scénáře útoku zobrazuje cloudový prostředek. – Karta Prostředky na stránce incidentu zobrazuje cloudový prostředek. – Každý virtuální počítač má vlastní stránku entity obsahující všechny související výstrahy a aktivitu. Neexistují žádné duplikace incidentů z jiných úloh Defenderu. |
| Alerts | Všechny výstrahy Defenderu pro cloud, včetně upozornění multicloudu, interních a externích poskytovatelů, jsou integrované do XDR v programu Microsoft Defender. Upozornění služby Defender for Cloud se zobrazují ve frontě upozornění Microsoft Defender XDR. Microsoft Defender XDR Aktivum cloud resource se zobrazí na kartě aktiv výstrahy. Prostředky jsou jasně označené jako prostředek Azure, Amazon nebo Google Cloud. Výstrahy z Defender for Cloud jsou automaticky přidruženy k tenantovi. Z jiných úloh Defenderu neexistují žádné duplicity výstrah. |
| Korelace výstrah a incidentů | Výstrahy a incidenty se automaticky korelují a poskytují robustní kontext týmům operací zabezpečení, aby porozuměly kompletnímu scénáři útoku ve svém cloudovém prostředí. |
| Detekce hrozeb | Přesné porovnávání virtuálních entit s entitami zařízení za účelem zajištění přesnosti a efektivní detekce hrozeb. |
| Unified API | Výstrahy a incidenty Defenderu for Cloud jsou teď součástí veřejného rozhraní API Microsoft Defender XDR, což zákazníkům umožňuje exportovat data výstrah zabezpečení do jiných systémů pomocí jednoho rozhraní API. |
Note
Informační výstrahy z defenderu pro cloud nejsou integrované na portálu Microsoft Defenderu, aby se mohly soustředit na relevantní a vysoce závažná upozornění. Tato strategie zjednodušuje správu incidentů a snižuje únavu výstrah.
Synchronizace stavu upozornění
Pokud je povolená integrace mezi defenderem pro cloud a XDR v programu Microsoft Defender, změny stavu výstrah se synchronizují mezi těmito dvěma službami s následujícím chováním:
| Scenario | Stav synchronizace |
|---|---|
| Stav upozornění v Defenderu for Cloud se změnil v Defenderu for Cloud | Stav reflektovaný ve službě Microsoft Defender XDR: Ano |
| Stav upozornění v Defender for Cloud se změnil v Microsoft Defender XDR | Stav reflektovaný ve službě Defender for Cloud: Ano |
| Upozornění Microsoft Defender pro koncový bod u cloudového prostředku – stav se změnil v programu Defender pro cloud | Stav reflektovaný ve službě Defender for Cloud: Ano Stav reflektovaný ve službě Microsoft Defender XDR: Ne |
| Upozornění Microsoft Defender for Endpoint na cloudový prostředek – stav se změnil v Microsoft Defender XDR | Stav reflektovaný ve službě Microsoft Defender XDR: Ano Stav reflektovaný ve službě Defender for Cloud: Ne |
Important
- V Defenderu pro Cloud jsou platné entity pouze výstrahy Defenderu pro Cloud. Odkazy na výstrahy XDR v programu Microsoft Defender pro cloud se vztahují pouze na upozornění Microsoft Defenderu for Endpoint na cloudové prostředky.
- Výstrahy v programu Microsoft Defender for Endpoint pro cloudové prostředky se zobrazují jak v Defender for Cloud, tak v Microsoft Defender XDR, ale jejich stavy nejsou mezi těmito dvěma službami synchronizovány.
Pokročilé proaktivní vyhledávání v XDR
Rozšířené možnosti proaktivního vyhledávání v programu Microsoft Defender pro XDR jsou rozšířeny tak, aby zahrnovaly výstrahy a incidenty v programu Defender for Cloud. Tato integrace umožňuje týmům zabezpečení prohledávat všechny cloudové prostředky, zařízení a identity v jednom dotazu.
Pokročilé prostředí proaktivního vyhledávání v XDR v programu Microsoft Defender je navržené tak, aby poskytovalo týmům zabezpečení flexibilitu při vytváření vlastních dotazů pro vyhledávání hrozeb v celém jejich prostředí. Integrace s výstrahami a incidenty v programu Defender for Cloud umožňuje týmům zabezpečení vyhledávat hrozby napříč cloudovými prostředky, zařízeními a identitami.
Tabulka CloudAuditEvents v rozšířeném proaktivním vyhledávání umožňuje prozkoumat a lovit události řídicí roviny a vytvářet vlastní detekce, které umožňují zvýraznit podezřelé aktivity ve řídicí rovině Azure Resource Manageru a Kubernetes (KubeAudit).
Tabulka CloudProcessEvents v rozšířeném proaktivním vyhledávání umožňuje třídění, zkoumání a vytváření vlastních detekcí podezřelých aktivit, které jsou vyvolány v cloudové infrastruktuře, s informacemi, které obsahují podrobnosti o podrobnostech procesu.
Tabulka CloudStorageAggregatedEventsv pokročilém proaktivním vyhledávání umožňuje prošetřit a proaktivně vyhledávat aktivity cloudového úložiště a vytvářet vlastní detekce, které pomáhají odhalit podezřelé operace se soubory, vzory přístupu a interakce dat napříč prostředky cloudového úložiště.
Zákazníci Microsoft Sentinelu
Zákazníci Microsoft Sentinelu, kteří integrují incidenty XDR v programu Microsoft Defendera ingestují výstrahy Defenderu pro cloud, musí provést následující kroky, aby se zabránilo duplicitním výstrahám a incidentům.
V Microsoft Sentinelu nakonfigurujte datový konektor Microsoft Defenderu pro cloud (Preview) založený na tenantovi . Tento datový konektor je součástí řešení Microsoft Defender for Cloud , které je k dispozici v centru obsahu Microsoft Sentinelu.
Datový konektor Microsoft Defender for Cloud (Preview) založený na tenantech synchronizuje shromažďování výstrah ze všech předplatných s incidenty Defenderu pro Cloud, které se streamují prostřednictvím konektoru incidentů Microsoft Defender XDR. Incidenty Defenderu for Cloud korelují napříč všemi předplatnými tenanta.
Pokud pracujete s několika pracovními prostory Microsoft Sentinelu na portálu Defender, korelační incidenty Defenderu pro cloud se streamují do primárního pracovního prostoru. Další informace najdete v tématu Více pracovních prostorů Microsoft Sentinel na portálu Defender.
Odpojte datový konektor Microsoft Defender pro cloud založený na předplatném (starší verze), abyste zabránili duplicitním výstrahám.
Vypněte všechna analytická pravidla používaná k vytváření incidentů z výstrah Defenderu pro cloud, buď naplánovaných (pravidelných typů dotazů), nebo pravidel zabezpečení Microsoftu (vytváření incidentů ).
V případě potřeby použijte pravidla automatizace k ukončení rušicích incidentů nebo použijte integrované možnosti ladění na portálu Defender k potlačení určitých výstrah.
Pokud jste integrovali incidenty Microsoft Defender XDR do služby Microsoft Sentinel a chcete zachovat nastavení založená na předplatném a vyhnout se synchronizaci založené na nájemci, vylučte synchronizaci incidentů a upozornění z Microsoft Defender XDR.
Další informace naleznete v tématu:
- Importování incidentů do Microsoft Defender for Cloud s integrací XDR programu Microsoft Defender
- Objevte a spravujte předinstalovaný obsah služby Microsoft Sentinel