Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Defender til Clouds integrerede beskyttelse af cloudarbejdsbelastninger giver dig mulighed for hurtigt at registrere og reagere på trusler på tværs af hybrid- og multicloudarbejdsbelastninger. Med Microsoft Defender til Cloud-connectoren kan du overføre sikkerhedsbeskeder fra Defender for Cloud til Microsoft Sentinel, så du kan få vist, analysere og reagere på Defender-beskeder og de hændelser, de genererer, i en bredere organisatorisk trusselskontekst.
Microsoft Defender til Cloud Defender-planer er aktiveret pr. abonnement. Selvom Microsoft Sentinel ældre connector til Defender for Cloud Apps også er konfigureret pr. abonnement, giver den lejerbaserede Microsoft Defender til Cloud-connectoren som prøveversion dig mulighed for at indsamle Defender for Cloud-beskeder for hele lejeren uden at skulle aktivere hvert abonnement separat. Den lejerbaserede connector fungerer også sammen med Defender for Cloud-integration med Microsoft Defender XDR for at sikre, at alle dine Defender for Cloud-beskeder er fuldt inkluderet i alle hændelser, du modtager via Microsoft Defender XDR hændelsesintegration.
Beskedsynkronisering:
Når du opretter forbindelse Microsoft Defender for, at Cloud Microsoft Sentinel, synkroniseres status for sikkerhedsbeskeder, der modtages i Microsoft Sentinel mellem de to tjenester. Så når en besked f.eks. lukkes i Defender for Cloud, vises denne besked også som lukket i Microsoft Sentinel.
Ændring af status for en besked i Defender for Cloud påvirker ikke status for Microsoft Sentinel hændelser, der indeholder den Microsoft Sentinel besked, kun beskedens selv.
Synkronisering af tovejsbeskeder: Aktivering af tovejssynkronisering synkroniserer automatisk status for oprindelige sikkerhedsbeskeder med statussen for de Microsoft Sentinel hændelser, der indeholder disse beskeder. Det vil f.eks. være, at når en Microsoft Sentinel hændelse, der indeholder en sikkerhedsbesked, lukkes den tilsvarende oprindelige besked automatisk i Microsoft Defender for Cloud.
Bemærk!
Du kan få oplysninger om tilgængelighed af funktioner i US Government-cloudmiljøer i Microsoft Sentinel tabeller i Cloudfunktionstilgængelighed for US Government-kunder.
Bemærk!
Connectoren understøtter ikke synkronisering af beskeder fra abonnementer, der ejes af andre lejere, selvom Lighthouse er aktiveret for disse lejere.
Forudsætninger
Du skal bruge Microsoft Sentinel i Azure Portal. Når du onboarder Microsoft Sentinel til Defender-portalen, overføres beskeder fra Defender for Cloud allerede til Microsoft Defender XDR, og den lejerbaserede dataconnector Microsoft Defender til Cloud (prøveversion) er ikke angivet på siden Dataconnectors på Defender-portalen. Du kan få flere oplysninger under Microsoft Sentinel på Microsoft Defender-portalen.
Hvis du har onboardet Microsoft Sentinel til Defender-portalen, skal du stadig installere Microsoft Defender til Cloud-løsningen for at bruge indbygget sikkerhedsindhold med Microsoft Sentinel.
Hvis du bruger Microsoft Sentinel på Defender-portalen uden Microsoft Defender XDR, er denne procedure stadig relevant for dig.
Du skal have følgende roller og tilladelser:
Du skal have læse- og skriverettigheder til dit Microsoft Sentinel arbejdsområde.
Du skal have rollen Bidragyder eller Ejer for det abonnement, du vil oprette forbindelse til Microsoft Sentinel.
Hvis du vil aktivere tovejssynkronisering, skal du have rollen Bidragyder eller Sikkerhed Administration på det relevante abonnement.
Du skal aktivere mindst én plan i Microsoft Defender for Cloud for hvert abonnement, hvor du vil aktivere connectoren. Hvis du vil aktivere Microsoft Defender planer på et abonnement, skal du have rollen Sikkerheds Administration for det pågældende abonnement.
Du skal have ressourceudbyderen
SecurityInsightsregistreret for hvert abonnement, hvor du vil aktivere connectoren. Gennemse vejledningen til registreringsstatus for ressourceudbyderen og måderne at registrere den på.
Opret forbindelse til Microsoft Defender til Cloud
I Microsoft Sentinel skal du installere løsningen til Microsoft Defender for Cloud fra Content Hub. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug.
Vælg Konfigurationsdataconnectors>.
På siden Dataconnectors skal du enten vælge den abonnementsbaserede Microsoft Defender til Cloud (ældre) eller den lejerbaserede Microsoft Defender til Cloud (prøveversion) og derefter vælge Siden Åbn connector.
Under Konfiguration kan du se en liste over abonnementerne i din lejer og status for deres forbindelse til Microsoft Defender for Cloud. Vælg til/fra-knappen Status ud for hvert abonnement, hvis beskeder du vil streame til Microsoft Sentinel. Hvis du vil oprette forbindelse til flere abonnementer på én gang, kan du gøre dette ved at markere afkrydsningsfelterne ud for de relevante abonnementer og derefter vælge knappen Opret forbindelse på linjen over listen.
- Afkrydsningsfelterne og Til/fra-knapper er kun aktive for de abonnementer, du har de nødvendige tilladelser til.
- Knappen Opret forbindelse er kun aktiv, hvis afkrydsningsfeltet for mindst ét abonnement er markeret.
Hvis du vil aktivere tovejssynkronisering for et abonnement, skal du finde abonnementet på listen og vælge Aktiveret på rullelisten i kolonnen Tovejssynkronisering . Hvis du vil aktivere tovejssynkronisering for flere abonnementer på én gang, skal du markere deres afkrydsningsfelter og vælge knappen Aktivér tovejssynkronisering på linjen over listen.
- Afkrydsningsfelterne og rullelisterne er kun aktive for de abonnementer, du har de nødvendige tilladelser til.
- Knappen Aktivér tovejssynkronisering er kun aktiv, hvis afkrydsningsfeltet for mindst ét abonnement er markeret.
I kolonnen Microsoft Defender planer på listen kan du se, om Microsoft Defender planer er aktiveret for dit abonnement, hvilket er en forudsætning for at aktivere connectoren.
Værdien for hvert abonnement i denne kolonne er enten tom, hvilket betyder, at ingen Defender-planer er aktiveret, Alle aktiveret eller Nogle er aktiveret. Dem, der siger Nogle aktiveret har også et Aktivér alle-link, du kan vælge, der fører dig til dit Microsoft Defender for Dashboard til cloudkonfiguration for det pågældende abonnement, hvor du kan vælge Defender-planer, der skal aktiveres.
Linkknappen Aktivér Microsoft Defender for alle abonnementer på linjen over listen fører dig til siden Microsoft Defender for Cloud Introduktion, hvor du kan vælge, hvilke abonnementer der skal aktivere Microsoft Defender til Cloud helt. Det kan f.eks. være:
Du kan vælge, om beskederne fra Microsoft Defender for Cloud automatisk skal generere hændelser i Microsoft Sentinel. Under Opret hændelser skal du vælge Aktiveret for at aktivere standardanalysereglen, der automatisk opretter hændelser fra beskeder. Du kan derefter redigere denne regel under Analytics under fanen Aktive regler .
Tip
Når du konfigurerer brugerdefinerede analyseregler for beskeder fra Microsoft Defender til Cloud, skal du overveje alvorsgraden af beskeden for at undgå at åbne hændelser for informationsbeskeder.
Informationsbeskeder i Microsoft Defender for Cloud repræsenterer ikke alene en sikkerhedsrisiko og er kun relevante i forbindelse med en eksisterende åben hændelse. Du kan få flere oplysninger under Sikkerhedsbeskeder og -hændelser i Microsoft Defender til Cloud.
Find og analysér dine data
Sikkerhedsbeskeder gemmes i tabellen SecurityAlert i dit Log Analytics-arbejdsområde. Hvis du vil forespørge om sikkerhedsbeskeder i Log Analytics, skal du kopiere følgende til forespørgselsvinduet som udgangspunkt:
SecurityAlert
| where ProductName == "Azure Security Center"
Beskedsynkronisering i begge retninger kan tage et par minutter. Ændringer i status for beskeder vises muligvis ikke med det samme.
Se fanen Næste trin på connectorsiden for at få flere nyttige eksempelforespørgsler, skabeloner til analyseregel og anbefalede projektmapper.
Relateret indhold
I dette dokument har du lært, hvordan du opretter forbindelse Microsoft Defender for Cloud for at Microsoft Sentinel og synkronisere beskeder mellem dem. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:
- Få mere at vide om, hvordan du får indsigt i dine data og potentielle trusler.
- Kom i gang med at registrere trusler med Microsoft Sentinel.
- Skriv dine egne regler for at registrere trusler.