Microsoft Defender für Cloud im Microsoft Defender-Portal
Gilt für:
Microsoft Defender für Cloud ist jetzt Teil von Microsoft Defender XDR. Sicherheitsteams können jetzt im Microsoft Defender-Portal auf Defender für Cloud-Warnungen und -Incidents zugreifen und bieten umfassenderen Kontext für Untersuchungen, die Cloudressourcen, Geräte und Identitäten umfassen. Darüber hinaus können Sicherheitsteams durch sofortige Korrelationen von Warnungen und Vorfällen das vollständige Bild eines Angriffs erhalten, einschließlich verdächtiger und schädlicher Ereignisse, die in ihrer Cloudumgebung auftreten.
Das Microsoft Defender-Portal kombiniert Schutz-, Erkennungs-, Untersuchungs- und Reaktionsfunktionen, um Angriffe auf Geräte, E-Mails, Zusammenarbeit, Identität und Cloud-Apps zu schützen. Die Erkennungs- und Untersuchungsfunktionen des Portals werden jetzt auf Cloudentitäten erweitert und bieten Sicherheitsteams eine zentrale Übersicht, um ihre betriebliche Effizienz erheblich zu verbessern.
Darüber hinaus sind die Defender für Cloud-Vorfälle und -Warnungen jetzt Teil der öffentlichen API von Microsoft Defender XDR. Diese Integration ermöglicht das Exportieren von Sicherheitswarnungsdaten in ein beliebiges System mithilfe einer einzelnen API.
Voraussetzungen
Um den Zugriff auf Defender für Cloud-Warnungen im Microsoft Defender-Portal sicherzustellen, müssen Sie einen der pläne abonniert haben, die unter Verbinden Ihrer Azure-Abonnements aufgeführt sind.
Erforderliche Berechtigungen
Hinweis
Die Berechtigung zum Anzeigen von Defender für Cloud-Warnungen und -Korrelationen erfolgt automatisch für den gesamten Mandanten. Das Anzeigen für bestimmte Abonnements wird nicht unterstützt. Sie können den Warnungsabonnement-ID-Filter verwenden, um Defender für Cloud-Warnungen anzuzeigen, die einem bestimmten Defender für Cloud-Abonnement in den Warnungs- und Incidentwarteschlangen zugeordnet sind. Erfahren Sie mehr über Filter.
Die Integration ist nur verfügbar, wenn die entsprechende RBAC-Rolle (Role-Based Access Control, rollenbasierte Zugriffssteuerung) von Microsoft Defender XDR unified für Defender für Cloud angewendet wird. Um Defender für Cloud-Warnungen und -Korrelationen ohne Defender XDR Unified RBAC anzuzeigen, müssen Sie ein globaler Administrator oder Sicherheitsadministrator in Azure Active Directory sein.
Wichtig
Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Szenarien beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können. Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei.
Untersuchungserfahrung im Microsoft Defender-Portal
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Im folgenden Abschnitt wird die Erkennungs- und Untersuchungserfahrung im Microsoft Defender-Portal mit Defender für Cloud-Warnungen beschrieben.
| Bereich | Beschreibung |
|---|---|
| Vorfälle | Alle Defender für Cloud-Vorfälle werden in das Microsoft Defender-Portal integriert.
– Die Suche nach Cloudressourcenressourcen in der Incidentwarteschlange wird unterstützt. – Das Diagramm zur Angriffsgeschichte zeigt die Cloudressource an. – Auf der Registerkarte "Ressourcen" auf einer Incidentseite wird die Cloudressource angezeigt. – Jeder virtuelle Computer verfügt über eine eigene Geräteseite mit allen zugehörigen Warnungen und Aktivitäten. Es wird keine Duplizierung von Vorfällen aus anderen Defender-Workloads geben. |
| Warnungen | Alle Defender für Cloud-Warnungen, einschließlich Warnungen für mehrere Clouds, interne und externe Anbieter, werden in das Microsoft Defender-Portal integriert. Defender für Cloud-Warnungen werden in der Warnungswarteschlange des Microsoft Defender-Portals angezeigt.
Die Cloudressourcenressource wird auf der Registerkarte Medienobjekt einer Warnung angezeigt. Ressourcen werden eindeutig als Azure-, Amazon- oder Google Cloud-Ressource identifiziert. Defender für Cloud-Warnungen werden automatisch einem Mandanten zugeordnet. Es gibt keine Duplizierung von Warnungen von anderen Defender-Workloads. |
| Warnungs- und Incidentkorrelation | Warnungen und Incidents werden automatisch korreliert, sodass Sicherheitsteams einen stabilen Kontext erhalten, um die vollständige Angriffsgeschichte in ihrer Cloudumgebung zu verstehen. |
| Bedrohungserkennung | Genaue Übereinstimmung von virtuellen Entitäten mit Geräteentitäten, um eine präzise und effektive Bedrohungserkennung sicherzustellen. |
| Einheitliche API | Defender für Cloud-Warnungen und Incidents sind jetzt in der öffentlichen API von Microsoft Defender XDR enthalten, sodass Kunden ihre Sicherheitswarnungsdaten mithilfe einer API in andere Systeme exportieren können. |
| Erweiterte Suche (Vorschau) | Informationen zu Cloudüberwachungsereignissen für verschiedene Cloudplattformen, die von Defender für Cloud der Organisation geschützt werden, sind über die CloudAuditEvents-Tabelle in der erweiterten Suche verfügbar. |
Hinweis
Informationswarnungen von Defender für Cloud sind nicht in das Microsoft Defender-Portal integriert, um den Fokus auf die relevanten warnungen mit hohem Schweregrad zu ermöglichen. Diese Strategie optimiert die Verwaltung von Vorfällen und reduziert die Ermüdung von Warnungen.
Auswirkungen auf Microsoft Sentinel-Benutzer
Microsoft Sentinel-Kunden , die Microsoft Defender XDR-Vorfälle integrierenund Defender für Cloud-Warnungen erfassen, müssen die folgenden Konfigurationsänderungen vornehmen, um sicherzustellen, dass keine doppelten Warnungen und Vorfälle erstellt werden:
- Verbinden Sie den mandantenbasierten Microsoft Defender für Cloud (Vorschau)- Connector, um die Sammlung von Warnungen aus all Ihren Abonnements mit mandantenbasierten Defender für Cloud-Vorfällen zu synchronisieren, die über den Microsoft Defender XDR Incidents-Connector gestreamt werden.
- Trennen Sie den abonnementbasierten Microsoft Defender für Cloud (Legacy)- Warnungsconnector, um Warnungsduplikate zu verhindern.
- Deaktivieren Sie alle Analyseregeln – entweder Geplante Regeln (regulärer Abfragetyp) oder Microsoft-Sicherheitsregeln (Incidenterstellung), die zum Erstellen von Incidents aus Defender für Cloud-Warnungen verwendet werden. Defender für Cloud-Incidents werden automatisch im Defender-Portal erstellt und mit Microsoft Sentinel synchronisiert.
- Verwenden Sie bei Bedarf Automatisierungsregeln, um laute Vorfälle zu schließen, oder verwenden Sie die integrierten Optimierungsfunktionen im Defender-Portal, um bestimmte Warnungen zu unterdrücken.
Die folgende Änderung ist ebenfalls zu beachten:
- Die Aktion zum Verknüpfen von Warnungen mit den Vorfällen im Microsoft Defender-Portal wird entfernt.
Weitere Informationen finden Sie unter Erfassen von Microsoft Defender für Cloud-Vorfällen mit Microsoft Defender XDR-Integration.
Deaktivieren von Defender für Cloud-Warnungen
Die Warnungen für Defender für Cloud sind standardmäßig aktiviert. Führen Sie die folgenden Schritte aus, um Ihre abonnementbasierten Einstellungen beizubehalten und eine mandantenbasierte Synchronisierung zu vermeiden oder die Benutzeroberfläche zu deaktivieren:
- Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Microsoft Defender XDR.
- Suchen Sie unter Warnungsdiensteinstellungen nach Microsoft Defender für Cloud-Warnungen.
- Wählen Sie Keine Warnungen aus , um alle Defender für Cloud-Warnungen zu deaktivieren. Wenn Sie diese Option auswählen, wird die Erfassung neuer Defender für Cloud-Warnungen im Portal beendet. Zuvor erfasste Warnungen verbleiben auf einer Warnungs- oder Incidentseite.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.