Microsoft Defender für Cloud im Microsoft Defender-Portal
Gilt für:
Microsoft Defender for Cloud ist jetzt Teil von Microsoft Defender XDR. Sicherheitsteams können jetzt auf Defender für Cloud-Warnungen und -Incidents im Microsoft Defender-Portal zugreifen und bieten einen umfassenderen Kontext für Untersuchungen, die Cloudressourcen, Geräte und Identitäten umfassen. Darüber hinaus können Sicherheitsteams durch sofortige Korrelationen von Warnungen und Vorfällen das vollständige Bild eines Angriffs erhalten, einschließlich verdächtiger und schädlicher Ereignisse, die in ihrer Cloudumgebung auftreten.
Das Microsoft Defender-Portal kombiniert Schutz-, Erkennungs-, Untersuchungs- und Reaktionsfunktionen zum Schutz von Angriffen auf Geräte-, E-Mail-, Zusammenarbeits-, Identitäts- und Cloud-Apps. Die Erkennungs- und Untersuchungsfunktionen des Portals werden jetzt auf Cloudentitäten erweitert und bieten Sicherheitsteams eine zentrale Übersicht, um ihre betriebliche Effizienz erheblich zu verbessern.
Darüber hinaus sind die Defender für Cloud-Incidents und -Warnungen jetzt Teil der öffentlichen API von Microsoft Defender XDR. Diese Integration ermöglicht das Exportieren von Sicherheitswarnungsdaten in ein beliebiges System mithilfe einer einzelnen API.
Voraussetzungen
Um den Zugriff auf Defender für Cloud-Warnungen im Microsoft Defender-Portal sicherzustellen, müssen Sie einen der unter Verbinden Ihrer Azure-Abonnements aufgeführten Pläne abonniert haben.
Erforderliche Berechtigungen
Sie müssen ein globaler Administrator oder Sicherheitsadministrator in Azure Active Directory sein, um Defender für Cloud-Warnungen und -Korrelationen anzeigen zu können. Für Benutzer, die nicht über diese Rollen verfügen, ist die Integration nur verfügbar, indem rollenbasierte Zugriffssteuerungsrollen (Unified Role-Based Access Control, RBAC) für Defender für Cloud angewendet werden.
Hinweis
Die Berechtigung zum Anzeigen von Defender für Cloud-Warnungen und -Korrelationen erfolgt automatisch für den gesamten Mandanten. Das Anzeigen für bestimmte Abonnements wird nicht unterstützt.
Untersuchungserfahrung im Microsoft Defender-Portal
Im folgenden Abschnitt wird die Erkennungs- und Untersuchungserfahrung im Microsoft Defender-Portal mit Defender für Cloud-Warnungen beschrieben.
Hinweis
Informationswarnungen von Defender für Cloud sind nicht in das Microsoft Defender-Portal integriert, um den Fokus auf die relevanten warnungen mit hohem Schweregrad zu ermöglichen. Diese Strategie optimiert die Verwaltung von Vorfällen und reduziert die Ermüdung von Warnungen.
| Bereich | Beschreibung |
|---|---|
| Vorfälle | Alle Defender für Cloud-Vorfälle werden in das Microsoft Defender-Portal integriert. – Die Suche nach Cloudressourcenressourcen in der Incidentwarteschlange wird unterstützt. – Das Diagramm zur Angriffsgeschichte zeigt die Cloudressource an. – Auf der Registerkarte "Ressourcen" auf einer Incidentseite wird die Cloudressource angezeigt. – Jeder virtuelle Computer verfügt über eine eigene Geräteseite mit allen zugehörigen Warnungen und Aktivitäten. Es wird keine Duplizierung von Vorfällen aus anderen Defender-Workloads geben. |
| Warnungen | Alle Defender für Cloud-Warnungen, einschließlich Warnungen für mehrere Clouds, interne und externe Anbieter, werden in das Microsoft Defender-Portal integriert. Defender für Cloud-Warnungen werden in der warnungswarteschlange des Microsoft Defender Portals angezeigt. Die Cloudressourcenressource wird auf der Registerkarte Medienobjekt einer Warnung angezeigt. Ressourcen werden eindeutig als Azure-, Amazon- oder Google Cloud-Ressource identifiziert.Defender für Cloud-Warnungen werden automatisch einem Mandanten zugeordnet.Es gibt keine Duplizierung von Warnungen von anderen Defender-Workloads. |
| Warnungs- und Incidentkorrelation | Warnungen und Incidents werden automatisch korreliert, sodass Sicherheitsteams einen stabilen Kontext erhalten, um die vollständige Angriffsgeschichte in ihrer Cloudumgebung zu verstehen. |
| Bedrohungserkennung | Genaue Übereinstimmung von virtuellen Entitäten mit Geräteentitäten, um eine präzise und effektive Bedrohungserkennung sicherzustellen. |
| Einheitliche API | Defender für Cloud-Warnungen und -Vorfälle sind jetzt in der öffentlichen API von Microsoft Defender XDR enthalten, sodass Kunden ihre Sicherheitswarnungsdaten mithilfe einer API in andere Systeme exportieren können. |
Auswirkungen auf Microsoft Sentinel-Benutzer
Microsoft Sentinel-Kunden, die Microsoft Defender XDR Incidents und die Erfassung von Defender für Cloud-Warnungen integrieren, müssen die folgenden Konfigurationsänderungen vornehmen, um sicherzustellen, dass keine doppelten Warnungen und Vorfälle erstellt werden:
- Verbinden Sie den Connector für mandantenbasierte Microsoft Defender für Cloud (Vorschau), um die Sammlung von Warnungen aus all Ihren Abonnements mit mandantenbasierten Defender für Cloud-Vorfällen zu synchronisieren, die über den connector für Microsoft Defender XDR Incidents gestreamt werden.
- Trennen Sie den Connector für abonnementbasierte Microsoft Defender für Cloudwarnungen (Legacy), um Warnungsduplikate zu verhindern.
- Deaktivieren Sie alle Analyseregeln – entweder Geplante Regeln (regulärer Abfragetyp) oder Microsoft-Sicherheitsregeln (Incidenterstellung), die zum Erstellen von Incidents aus Defender für Cloud-Warnungen verwendet werden. Defender für Cloud-Incidents werden automatisch im Defender-Portal erstellt und mit Microsoft Sentinel synchronisiert.
- Verwenden Sie bei Bedarf Automatisierungsregeln, um laute Vorfälle zu schließen, oder verwenden Sie die integrierten Optimierungsfunktionen im Defender-Portal, um bestimmte Warnungen zu unterdrücken.
Die folgende Änderung ist ebenfalls zu beachten:
- Die Aktion zum Verknüpfen von Warnungen mit den Microsoft Defender Portalvorfällen wird entfernt.
Weitere Informationen finden Sie unter Erfassen von Microsoft Defender für Cloudvorfälle mit Microsoft Defender XDR Integration.
Deaktivieren von Defender für Cloud-Warnungen
Die Warnungen für Defender für Cloud sind standardmäßig aktiviert. Führen Sie die folgenden Schritte aus, um Ihre abonnementbasierten Einstellungen beizubehalten und eine mandantenbasierte Synchronisierung zu vermeiden oder die Benutzeroberfläche zu deaktivieren:
- Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Microsoft Defender XDR.
- Suchen Sie unter Warnungsdiensteinstellungen nach Microsoft Defender für Cloudwarnungen.
- Wählen Sie Keine Warnungen aus , um alle Defender für Cloud-Warnungen zu deaktivieren. Wenn Sie diese Option auswählen, wird die Erfassung neuer Defender für Cloud-Warnungen im Portal beendet. Zuvor erfasste Warnungen verbleiben auf einer Warnungs- oder Incidentseite.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für