Microsoft Defender for Cloud på Microsoft Defender-portalen
Gælder for:
Microsoft Defender for Cloud er nu en del af Microsoft Defender XDR. Sikkerhedsteams kan nu få adgang til Defender for Cloud-beskeder og -hændelser på Microsoft Defender-portalen, hvilket giver bedre kontekst til undersøgelser, der spænder over cloudressourcer, enheder og identiteter. Derudover kan sikkerhedsteams få det fulde billede af et angreb, herunder mistænkelige og skadelige hændelser, der sker i deres cloudmiljø, via øjeblikkelige korrelationer mellem beskeder og hændelser.
Microsoft Defender-portalen kombinerer funktioner til beskyttelse, registrering, undersøgelse og svar for at beskytte angreb på enhed, mail, samarbejde, identitet og cloudapps. Portalens registrerings- og undersøgelsesfunktioner udvides nu til cloudobjekter, så sikkerhedsteams får en enkelt rude med henblik på at forbedre deres driftsmæssige effektivitet markant.
Desuden er Defender for Cloud-hændelser og -beskeder nu en del af Microsoft Defender XDR's offentlige API. Denne integration gør det muligt at eksportere sikkerhedsbeskeddata til et hvilket som helst system ved hjælp af en enkelt API.
Forudsætning
Hvis du vil sikre adgang til Defender for Cloud-beskeder på Microsoft Defender-portalen, skal du abonnere på en af de planer, der er angivet i Opret forbindelse til dine Azure-abonnementer.
Påkrævede tilladelser
Bemærk!
Tilladelsen til at få vist Defender for Cloud-beskeder og -korrelationer er automatisk for hele lejeren. Visning for bestemte abonnementer understøttes ikke. Du kan bruge filteret id for beskedabonnement til at få vist Defender for Cloud-beskeder, der er knyttet til et bestemt Defender for Cloud-abonnement , i besked- og hændelseskøerne. Få mere at vide om filtre.
Integrationen er kun tilgængelig ved at anvende den relevante Rolle for RBAC (Microsoft Defender XDR Unified role-based access control) for Defender for Cloud. Hvis du vil have vist Defender for Cloud-beskeder og -korrelationer uden Defender XDR Unified RBAC, skal du være global administrator eller sikkerhedsadministrator i Azure Active Directory.
Vigtigt!
Global administrator er en rolle med mange rettigheder, der bør begrænses til scenarier, når du ikke kan bruge en eksisterende rolle. Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation.
Undersøgelsesoplevelse på Microsoft Defender-portalen
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
I følgende afsnit beskrives registrerings- og undersøgelsesoplevelsen på Microsoft Defender-portalen med beskeder om Defender for Cloud.
Område | Beskrivelse |
---|---|
Hændelser | Alle Defender for Cloud-hændelser integreres på Microsoft Defender-portalen.
– Søgning efter ressourcer i cloudmiljøet i hændelseskøen understøttes. - Grafen over angrebshistorien viser cloudressourcen. – Fanen Assets på en hændelsesside viser cloudressourcen. – Hver virtuel maskine har sin egen enhedsside, der indeholder alle relaterede beskeder og aktiviteter. Der vil ikke være nogen duplikering af hændelser fra andre Defender-arbejdsbelastninger. |
Beskeder | Alle Defender for Cloud-beskeder, herunder beskeder fra flere cloududbydere, interne og eksterne udbydere, integreres på Microsoft Defender-portalen. Beskedkøen i Microsoft Defender-portalen vises i Defender for Cloud-beskeder.
Cloudressourceaktivet vises under fanen Aktiv i en besked. Ressourcer identificeres tydeligt som en Azure-, Amazon- eller Google Cloud-ressource. Defender for Cloud-beskeder knyttes automatisk til en lejer. Der vil ikke være nogen duplikering af beskeder fra andre Defender-arbejdsbelastninger. |
Besked- og hændelseskorrelation | Beskeder og hændelser korreleres automatisk, hvilket giver robust kontekst for sikkerhedsteams for at forstå den komplette angrebshistorie i deres cloudmiljø. |
Trusselsregistrering | Nøjagtig matchning af virtuelle objekter til enhedsenheder for at sikre præcision og effektiv trusselsregistrering. |
Unified API | Defender for Cloud-beskeder og -hændelser er nu inkluderet i Microsoft Defender XDR's offentlige API, så kunderne kan eksportere deres sikkerhedsbeskeddata til andre systemer ved hjælp af én API. |
Avanceret jagt (prøveversion) | Oplysninger om cloud-overvågningshændelser for forskellige cloudplatforme, der er beskyttet af organisationens Defender for Cloud, er tilgængelige via tabellen CloudAuditEvents i avanceret jagt. |
Bemærk!
Informationsbeskeder fra Defender for Cloud er ikke integreret i Microsoft Defender-portalen for at give mulighed for at fokusere på de relevante beskeder med høj alvorsgrad. Denne strategi strømliner administrationen af hændelser og reducerer advarselstræthed.
Indvirkning på Microsoft Sentinel-brugere
Microsoft Sentinel-kunder , der integrerer Microsoft Defender XDR-hændelserog indtagelse af Defender for Cloud-beskeder, skal foretage følgende konfigurationsændringer for at sikre, at der ikke oprettes dublerede beskeder og hændelser:
- Forbind den lejerbaserede connector Microsoft Defender for Cloud (prøveversion) for at synkronisere indsamlingen af beskeder fra alle dine abonnementer med lejerbaserede Defender for Cloud-hændelser, der streames via Connectoren Microsoft Defender XDR Incidents.
- Afbryd forbindelsen til abonnementsbaserede Microsoft Defender for Cloud-beskeder (ældre) for at forhindre dubletter af beskeder.
- Deaktiver eventuelle analyseregler – enten planlagte (almindelige forespørgselstyper) eller regler for Microsoft-sikkerhed (oprettelse af hændelser) – der bruges til at oprette hændelser fra Defender for Cloud-beskeder. Defender for Cloud Incidents oprettes automatisk på Defender-portalen og synkroniseres med Microsoft Sentinel.
- Hvis det er nødvendigt, kan du bruge automatiseringsregler til at lukke støjende hændelser eller bruge de indbyggede justeringsfunktioner på Defender-portalen til at undertrykke visse beskeder.
Følgende ændring skal også bemærkes:
- Den handling, der relaterer beskeder til Hændelser på Microsoft Defender-portalen, fjernes.
Få mere at vide i Ingest Microsoft Defender for Cloud-hændelser med Microsoft Defender XDR-integration.
Slå Defender for Cloud-beskeder fra
Beskederne for Defender for Cloud er som standard slået til. Hvis du vil bevare dine abonnementsbaserede indstillinger og undgå lejerbaseret synkronisering eller fravælge oplevelsen, skal du udføre følgende trin:
- På Microsoft Defender-portalen skal du gå til Indstillinger>Microsoft Defender XDR.
- I Indstillinger for beskedtjeneste skal du søge efter Microsoft Defender for Cloud-beskeder.
- Vælg Ingen beskeder for at slå alle Defender for Cloud-beskeder fra. Hvis du vælger denne indstilling, stoppes indtagelsen af nye Defender for Cloud-beskeder til portalen. Beskeder, der tidligere er indtaget, forbliver på en besked- eller hændelsesside.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.