Freigeben über


Erfassen von Microsoft Defender for Cloud-Warnungen mit Microsoft Sentinel

Mit dem integrierten Cloudworkloadschutz von Microsoft Defender for Cloud können Sie Bedrohungen für Hybrid- und Multicloud-Workloads erkennen und schnell darauf reagieren.

Mit diesem Connector können Sie Sicherheitswarnungen aus Defender for Cloud mit Microsoft Sentinel erfassen, damit Sie Defender-Warnungen und die von ihnen generierten Vorfälle in einem umfassenderen Bedrohungskontext der Organisation anzeigen, analysieren und darauf reagieren können.

Da die Defender-Pläne für Microsoft Defender for Cloud pro Abonnement aktiviert werden, wird dieser Datenconnector ebenfalls separat für jedes Abonnement aktiviert oder deaktiviert.

Mit dem neuen mandantenbasierten Microsoft Defender for Cloud-Connector in PREVIEW können Sie Defender for Cloud-Warnungen über Ihren gesamten Mandanten sammeln, ohne jedes Abonnement einzeln aktivieren zu müssen. Außerdem wird die Integration von Defender for Cloud mit Microsoft Defender XDR (ehemals Microsoft 365 Defender) genutzt, um sicherzustellen, dass alle Ihre Defender for Cloud-Warnungen vollständig in alle Incidents einbezogen werden, die Sie über die Microsoft Defender XDR Incident-Integration erhalten.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Warnungssynchronisierung

  • Wenn Sie Microsoft Defender für Cloud mit Microsoft Sentinel verbinden, wird der Status von Sicherheitswarnungen, die in Microsoft Sentinel erfasst werden, zwischen den beiden Diensten synchronisiert. Wenn also beispielsweise eine Warnung in Defender for Cloud geschlossen wird, wird diese Warnung auch in Microsoft Sentinel als geschlossen angezeigt.

  • Die Änderung des Status einer Warnung in Defender for Cloud wirkt sich nicht auf den Status aller Microsoft Sentinel Vorfälle aus, die die Microsoft Sentinel-Warnung enthalten, sondern nur auf den der Warnung selbst.

Bidirektionale Synchronisierung von Warnungen

Durch die Aktivierung der bi-direktionalen Synchronisierung wird der Status der ursprünglichen Sicherheitswarnungen automatisch mit dem der Microsoft Sentinel-Vorfälle, die diese Warnmeldungen enthalten, synchronisiert. Wenn beispielsweise ein Microsoft Sentinel-Vorfall, der eine Sicherheitswarnung enthält, geschlossen wird, wird die entsprechende ursprüngliche Warnung in Microsoft Defender for Cloud automatisch geschlossen.

Voraussetzungen

  • Sie benötigen Lese- und Schreibberechtigungen für Ihren Microsoft Sentinel-Arbeitsbereich.

  • Sie müssen über die Rolle Mitwirkender oder Besitzer für das Abonnement verfügen, das Sie mit Microsoft Sentinel verbinden möchten.

  • Sie müssen mindestens einen Plan in Microsoft Defender for Cloud für jedes Abonnement aktivieren, für das Sie den Connector aktivieren möchten. Um Microsoft Defender-Pläne für ein Abonnement zu aktivieren, benötigen Sie die Rolle des Sicherheitsadministrators für dieses Abonnement.

  • Sie müssen den SecurityInsights-Ressourcenanbieter für jedes Abonnement registrieren, in dem Sie den Connector aktivieren möchten. Lesen Sie die Anleitungen zum Status der Ressourcenanbieterregistrierung und zu den Möglichkeiten, sie zu registrieren.

  • Zum Aktivieren der bidirektionalen Synchronisierung müssen Sie über die Rolle Mitwirkender oder Sicherheitsadministrator für das betreffende Abonnement verfügen.

  • Installieren Sie die Lösung für Microsoft Defender for Cloud aus dem Inhaltshub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

Verbinden zu Microsoft Defender für Cloud

  1. Wählen Sie in Microsoft Sentinel im Navigationsmenü die Option Daten-Konnektors aus.

  2. Wählen Sie im Katalog des Daten-Konnektors Microsoft Defender für Cloudund dann im Detailbereich Konnektor-Seite öffnen aus.

  3. Unter Konfigurationwird eine Liste der Abonnements in Ihrem Mandanten und der Status der Verbindung mit Microsoft Defender für Cloud angezeigt. Wählen Sie die Umschaltfläche Status neben jedem Abonnement aus, dessen Warnungen Sie an Microsoft Sentinel streamen möchten. Wenn Sie eine Verbindung mit mehreren Abonnements auf einmal herstellen möchten, aktivieren Sie die Kontrollkästchen neben den relevanten Abonnements, und klicken Sie dann auf der Leiste über der Liste auf die Schaltfläche Verbinden.

    Hinweis

    • Die Kontrollkästchen und die Umschaltflächen Verbinden sind nur für die Abonnements aktiviert, für die Sie über die erforderlichen Berechtigungen verfügen.
    • Die Schaltfläche Verbinden ist nur aktiviert, wenn das Kontrollkästchen für mindestens ein Abonnement aktiviert wurde.
  4. Um die bidirektionale Synchronisierung für ein Abonnement zu aktivieren, suchen Sie das Abonnement in der Liste, und wählen Sie aktiviert in der Dropdownliste in der Spalte Bidirektionale Synchronisierung aus. Um die bidirektionale Synchronisierung für mehrere Abonnements auf einmal zu aktivieren, aktivieren Sie die entsprechenden Kontrollkästchen, und klicken Sie auf der Leiste über der Liste auf die Schaltfläche Enable bi-directional sync (Bidirektionale Synchronisierung aktivieren).

    Hinweis

    • Die Kontrollkästchen und Dropdownlisten sind nur für die Abonnements aktiviert, für die Sie über die erforderlichen Berechtigungen verfügen.
    • Die Schaltfläche Enable bi-directional sync (Bidirektionale Synchronisierung aktivieren) ist nur aktiviert, wenn das Kontrollkästchen für mindestens ein Abonnement aktiviert wurde.
  5. In der Spalte Microsoft Defender-Pläne der Liste können Sie sehen, ob Microsoft Defender-Pläne für Ihr Abonnement aktiviert sind (eine Voraussetzung für die Aktivierung des Konnektors). Der Wert für jedes Abonnement in dieser Spalte ist entweder leer (was bedeutet, dass keine Defender-Pläne aktiviert sind), „Alle aktiviert“ oder „Einige aktiviert“. Diejenigen, bei denen „Einige aktiviert“ steht, besitzen auch einen Link Alle aktivieren, den Sie auswählen können, der Sie zu Ihrem Konfigurationsdashboard von Microsoft Defender für Cloud für dieses Abonnement führt, wo Sie die zu aktivierenden Defender-Pläne auswählen können. Über die Link-Schaltfläche Microsoft Defender für alle Abonnements aktivieren auf der Leiste über der Liste gelangen Sie zu Ihrer Seite Microsoft Defender für Cloud Erste Schritte, auf der Sie auswählen können, für welche Abonnements Microsoft Defender für Cloud vollständig aktiviert werden soll.

    Screenshot der Konfiguration des Microsoft Defender für Cloud-Konnektors

  6. Sie können auswählen, ob die Warnungen von Microsoft Defender für Cloud automatisch Vorfälle in Microsoft Sentinel generieren sollen. Wählen Sie unter Incidents erstellen die Option Aktiviert aus, um die Standardanalyseregel zu aktivieren, durch die aus Warnungen automatisch Incidents erstellt werden. Anschließend können Sie diese Regel unter Analytics auf der Registerkarte Aktive Regeln bearbeiten.

    Tipp

    Berücksichtigen Sie beim Konfigurieren von benutzerdefinierten Analyseregeln für Warnungen von Microsoft Defender für Cloud den Warnungsschweregrad, um das Öffnen von Vorfällen für Informationswarnungen zu vermeiden.

    Informationswarnungen in Microsoft Defender for Cloud stellen selbst kein Sicherheitsrisiko dar und sind nur im Kontext eines vorhandenen, offenen Vorfalls relevant. Weitere Informationen finden Sie unter Sicherheitswarnungen und Vorfälle in Microsoft Defender for Cloud.

Suchen und Analysieren Ihrer Daten

Hinweis

Die bidirektionale Synchronisierung von Warnungen kann einige Minuten in Anspruch nehmen. Änderungen des Status von Warnungen werden eventuell nicht sofort angezeigt.

  • Sicherheitswarnungen werden in der Tabelle SecurityAlert in Ihrem Log Analytics-Arbeitsbereich gespeichert.

  • Um Sicherheitswarnungen in Log Analytics abzufragen, kopieren Sie Folgendes als Ausgangspunkt in Ihr Abfragefenster:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • Auf der Registerkarte Nächste Schritte auf der Connectorseite finden Sie weitere nützliche Beispielabfragen, Analyseregelvorlagen und empfohlene Arbeitsmappen.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Microsoft Defender for Cloud mit Microsoft Sentinel verbinden und Warnungen zwischen ihnen synchronisieren können. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: