Ingestování incidentů v programu Microsoft Defender for Cloud s integrací XDR v programu Microsoft Defender

Microsoft Defender for Cloud je teď integrovaný s XDR v programu Microsoft Defender, dříve označovaný jako Microsoft 365 Defender. Tato integrace umožňuje programu Defender XDR shromažďovat výstrahy z defenderu pro cloud a vytvářet z nich incidenty XDR v programu Defender.

Díky této integraci můžou zákazníci Microsoft Sentinelu, kteří umožňují integraci incidentů XDR v programu Defender, přijímat a synchronizovat incidenty Defenderu pro cloud prostřednictvím XDR v programu Microsoft Defender.

Pokud chcete tuto integraci podporovat, musíte nastavit jeden z následujících datových konektorů Microsoft Defenderu pro cloud, jinak se vaše incidenty pro Microsoft Defender for Cloud přicházející prostřednictvím konektoru XDR v programu Microsoft Defender nezobrazí související výstrahy a entity:

  • Microsoft Sentinel má nový konektor Microsoft Defenderu pro cloud (Preview) založený na tenantovi. Tento konektor umožňuje zákazníkům Služby Microsoft Sentinel přijímat výstrahy Defenderu pro cloud napříč celými tenanty, aniž by museli monitorovat a udržovat registraci konektoru do všech svých předplatných Defenderu pro cloud. Tento nový konektor doporučujeme používat, protože integrace XDR v programu Microsoft Defender s Microsoft Defenderem pro cloud je také implementována na úrovni tenanta.

  • Alternativně můžete použít konektor Microsoft Defenderu založený na předplatném (starší verze). Tento konektor se nedoporučuje, protože pokud máte nějaká předplatná Defenderu pro cloud, která nejsou v konektoru připojená k Microsoft Sentinelu, incidenty z těchto předplatných nezobrazí související výstrahy a entity.

Oba konektory uvedené výše je možné použít k ingestování výstrah Defenderu pro cloud bez ohledu na to, jestli máte povolenou integraci incidentu XDR v programu Defender.

Důležité

  • Integrace Defenderu pro cloud s XDR v programu Defender je teď obecně dostupná (GA).

  • Konektor Microsoft Defender for Cloud založený na tenantovi je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Volba způsobu použití této integrace a nového konektoru

Způsob použití této integrace a to, jestli chcete ingestovat úplné incidenty nebo jenom výstrahy, bude záviset ve velké části na tom, co už děláte s ohledem na incidenty XDR v programu Microsoft Defender.

  • Pokud už ingestujete incidenty XDR Defenderu nebo pokud se rozhodnete začít s tím, důrazně doporučujeme povolit tento nový konektor založený na tenantovi. Vaše incidenty XDR v programu Defender teď budou zahrnovat Defender pro cloudové incidenty s plně naplněnými výstrahami ze všech předplatných Defenderu pro cloud ve vašem tenantovi.

    Pokud v této situaci zůstanete u staršího konektoru Defenderu založeného na předplatném a nepřipojíte nový konektor založený na tenantovi, můžete obdržet incidenty Defenderu for Cloud, které obsahují prázdná upozornění (v případě předplatného, ke kterému není konektor zaregistrovaný).

  • Pokud nemáte v úmyslu povolit integraci incidentů XDR v programu Microsoft Defender, můžete dál dostávat výstrahy Defenderu pro cloud bez ohledu na to, jakou verzi konektoru povolíte. Nový konektor založený na tenantech ale stále nabízí výhodu, že nepotřebujete oprávnění k monitorování a údržbě vašeho seznamu předplatných Defenderu pro cloud v konektoru.

  • Pokud jste povolili integraci XDR defenderu, ale chcete dostávat jenom výstrahy Defenderu pro cloud, ale ne incidenty, můžete pomocí pravidel automatizace okamžitě zavřít Defender for Cloud incidenty, jakmile dorazí.

    Pokud to není adekvátní řešení nebo pokud stále chcete shromažďovat výstrahy z defenderu pro cloud na základě předplatného, můžete se úplně odhlásit z integrace Defenderu pro cloud na portálu XDR v programu Microsoft Defender a pak tyto výstrahy přijímat pomocí starší verze konektoru Defender for Cloud.

Nastavení integrace v Microsoft Sentinelu

Pokud jste ještě nepovolili integraci incidentů v konektoru Microsoftu 365 Defenderu, udělejte to nejdřív.

Potom povolte nový konektor Microsoft Defenderu pro cloud (Preview) založený na tenantovi. Tento konektor je k dispozici prostřednictvím řešení Microsoft Defender for Cloud verze 3.0.0 v centru obsahu. Pokud máte starší verzi tohoto řešení, můžete ho upgradovat v centru obsahu.

Pokud jste dříve povolili starší verzi, konektor Defender for Cloud založený na předplatném (který se zobrazí jako Microsoft Defender pro cloud založený na předplatném (starší verze), doporučujeme zakázat ho, aby se zabránilo duplikování výstrah v protokolech.

Pokud máte nějaká naplánovaná pravidla analýzy zabezpečení nebo pravidla microsoftu, která vytvářejí incidenty z výstrah Defenderu pro cloud, doporučujeme tato pravidla zakázat, protože budete dostávat připravené incidenty vytvořené a synchronizované s microsoftem Microsoft 365 Defender.

Pokud existují konkrétní typy upozornění Defenderu pro cloud, pro které nechcete vytvářet incidenty, můžete tyto incidenty zavřít okamžitě pomocí pravidel automatizace nebo můžete použít integrované možnosti ladění na portálu Microsoft 365 Defender.

Další kroky

V tomto článku jste zjistili, jak používat integraci Microsoft Defenderu pro cloud s XDR v programu Microsoft Defender k ingestování incidentů a upozornění do Služby Microsoft Sentinel.

Přečtěte si další informace o integraci Microsoft Defenderu pro cloud s XDR v programu Microsoft Defender.