Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für Clouds integrierte Schutz für Cloudworkloads ermöglichen es Ihnen, Bedrohungen in Hybrid- und Multicloudworkloads zu erkennen und schnell darauf zu reagieren. Mit dem Microsoft Defender für Cloud-Connector können Sie Sicherheitswarnungen aus Defender für Cloud in Microsoft Sentinel erfassen, damit Sie Defender-Warnungen und die von ihnen generierten Vorfälle in einem breiteren Bedrohungskontext der Organisation anzeigen, analysieren und darauf reagieren können.
Microsoft Defender für Cloud Defender-Pläne sind pro Abonnement aktiviert. Während der Legacyconnector von Microsoft Sentinel für Defender for Cloud Apps ebenfalls pro Abonnement konfiguriert ist, können Sie mit dem mandantenbasierten Microsoft Defender für Cloud-Connector in der Vorschauversion Defender für Cloud-Warnungen für Ihren gesamten Mandanten erfassen, ohne jedes Abonnement separat aktivieren zu müssen. Der mandantenbasierte Connector funktioniert auch mit der Integration von Defender für Cloud mit Microsoft Defender XDR, um sicherzustellen, dass alle Ihre Defender für Cloud-Warnungen vollständig in alle Incidents enthalten sind, die Sie durch Microsoft Defender XDR Incidentintegration erhalten.
Warnungssynchronisierung:
Wenn Sie Microsoft Defender for Cloud mit Microsoft Sentinel verbinden, wird die status von Sicherheitswarnungen, die in Microsoft Sentinel erfasst werden, zwischen den beiden Diensten synchronisiert. Wenn also beispielsweise eine Warnung in Defender für Cloud geschlossen wird, wird diese Warnung auch in Microsoft Sentinel als geschlossen angezeigt.
Das Ändern der status einer Warnung in Defender für Cloud wirkt sich nicht auf die status von Microsoft Sentinel Incidents aus, die die Microsoft Sentinel Warnung enthalten, nur die der Warnung selbst.
Bidirektionale Warnungssynchronisierung: Durch aktivieren der bidirektionalen Synchronisierung werden die status der ursprünglichen Sicherheitswarnungen automatisch mit der Microsoft Sentinel Incidents synchronisiert, die diese Warnungen enthalten. Wenn also beispielsweise ein Microsoft Sentinel Incident mit sicherheitsrelevanten Warnungen geschlossen wird, wird die entsprechende ursprüngliche Warnung automatisch in Microsoft Defender für Cloud geschlossen.
Hinweis
Informationen zur Featureverfügbarkeit in Clouds für US-Behörden finden Sie unter Microsoft Sentinel Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.
Hinweis
Der Connector unterstützt keine Synchronisierung von Warnungen aus Abonnements, die sich im Besitz anderer Mandanten befinden, auch wenn Lighthouse für diese Mandanten aktiviert ist.
Voraussetzungen
Sie müssen Microsoft Sentinel im Azure-Portal verwenden. Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, werden Defender für Cloud-Warnungen bereits in Microsoft Defender XDR erfasst, und der mandantenbasierte Microsoft Defender für Cloud (Vorschau)-Datenconnector ist im Defender-Portal auf der Seite Datenconnectors nicht aufgeführt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Wenn Sie Microsoft Sentinel in das Defender-Portal integriert haben, sollten Sie trotzdem die Microsoft Defender für Cloud-Lösung installieren, um integrierte Sicherheitsinhalte mit Microsoft Sentinel zu verwenden.
Wenn Sie Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR verwenden, ist dieses Verfahren für Sie weiterhin relevant.
Sie müssen über die folgenden Rollen und Berechtigungen verfügen:
Sie müssen über Lese- und Schreibberechtigungen für Ihren Microsoft Sentinel Arbeitsbereich verfügen.
Sie müssen über die Rolle Mitwirkender oder Besitzer für das Abonnement verfügen, mit dem Sie eine Verbindung mit Microsoft Sentinel herstellen möchten.
Um die bidirektionale Synchronisierung zu aktivieren, müssen Sie über die Rolle "Mitwirkender" oder "Security Admin" für das entsprechende Abonnement verfügen.
Sie müssen mindestens einen Plan innerhalb von Microsoft Defender für Cloud für jedes Abonnement aktivieren, in dem Sie den Connector aktivieren möchten. Um Microsoft Defender Pläne für ein Abonnement zu aktivieren, müssen Sie über die Rolle "Security Admin" für dieses Abonnement verfügen.
Sie müssen den
SecurityInsightsRessourcenanbieter für jedes Abonnement registrieren, in dem Sie den Connector aktivieren möchten. Lesen Sie die Anleitungen zur Ressourcenanbieterregistrierung status und die Möglichkeiten, sie zu registrieren.
Herstellen einer Verbindung mit Microsoft Defender for Cloud
Installieren Sie Microsoft Sentinel die Lösung für Microsoft Defender für Cloud über den Content Hub. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.
Wählen Sie Konfigurationsdatenconnectors >aus.
Wählen Sie auf der Seite Datenconnectors entweder den Connector Abonnementbasierte Microsoft Defender für Cloud (Legacy) oder mandantenbasierte Microsoft Defender für Cloud (Vorschau) aus, und wählen Sie dann Connectorseite öffnen aus.
Unter Konfiguration sehen Sie eine Liste der Abonnements in Ihrem Mandanten und die status ihrer Verbindung mit Microsoft Defender für Cloud. Wählen Sie die Umschaltfläche Status neben jedem Abonnement aus, dessen Warnungen Sie in Microsoft Sentinel streamen möchten. Wenn Sie mehrere Abonnements gleichzeitig verbinden möchten, können Sie dies tun, indem Sie die Kontrollkästchen neben den relevanten Abonnements aktivieren und dann auf der Leiste oberhalb der Liste die Schaltfläche Verbinden auswählen.
- Die Kontrollkästchen und die Umschaltflächen Verbinden sind nur für die Abonnements aktiv, für die Sie über die erforderlichen Berechtigungen verfügen.
- Die Schaltfläche Verbinden ist nur aktiv, wenn mindestens das Kontrollkästchen eines Abonnements aktiviert wurde.
Um die bidirektionale Synchronisierung für ein Abonnement zu aktivieren, suchen Sie das Abonnement in der Liste, und wählen Sie in der Dropdownliste in der Spalte Bidirektionale Synchronisierung die Option Aktiviert aus. Um die bidirektionale Synchronisierung für mehrere Abonnements gleichzeitig zu aktivieren, aktivieren Sie deren Kontrollkästchen, und aktivieren Sie die Schaltfläche Bidirektionale Synchronisierung aktivieren auf der Leiste über der Liste.
- Die Kontrollkästchen und Dropdownlisten sind nur für die Abonnements aktiv, für die Sie über die erforderlichen Berechtigungen verfügen.
- Die Schaltfläche Bidirektionale Synchronisierung aktivieren ist nur aktiv, wenn mindestens das Kontrollkästchen eines Abonnements aktiviert wurde.
In der Spalte Microsoft Defender Pläne der Liste können Sie sehen, ob Microsoft Defender Pläne für Ihr Abonnement aktiviert sind. Dies ist eine Voraussetzung für die Aktivierung des Connectors.
Der Wert für jedes Abonnement in dieser Spalte ist entweder leer, was bedeutet, dass keine Defender-Pläne aktiviert, Alle aktiviert oder Einige aktiviert sind. Diejenigen, die "Einige aktiviert" angeben, verfügen auch über den Link Alle aktivieren, den Sie auswählen können. Dadurch gelangen Sie zu Ihrem Microsoft Defender für die Cloudkonfiguration Dashboard für dieses Abonnement, wo Sie Defender-Pläne auswählen können, die aktiviert werden sollen.
Über die Linkschaltfläche Microsoft Defender für alle Abonnements aktivieren in der Leiste oberhalb der Liste gelangen Sie zur Seite Microsoft Defender für Cloud Erste Schritte, auf der Sie auswählen können, welche Abonnements Microsoft Defender für Cloud insgesamt aktiviert werden sollen. Zum Beispiel:
Sie können auswählen, ob die Warnungen von Microsoft Defender for Cloud automatisch Incidents in Microsoft Sentinel generieren sollen. Wählen Sie unter Incidents erstellen die Option Aktiviert aus, um die Standardanalyseregel zu aktivieren, die automatisch Incidents aus Warnungen erstellt. Sie können diese Regel dann unter Analytics auf der Registerkarte Aktive Regeln bearbeiten.
Tipp
Berücksichtigen Sie beim Konfigurieren von benutzerdefinierten Analyseregeln für Warnungen aus Microsoft Defender für Cloud den Warnungsschweregrad, um zu vermeiden, dass Incidents für Informationswarnungen geöffnet werden.
Informationswarnungen in Microsoft Defender für Cloud stellen kein sicherheitsrelevantes Risiko dar und sind nur im Kontext eines vorhandenen, offenen Incidents relevant. Weitere Informationen finden Sie unter Sicherheitswarnungen und Incidents in Microsoft Defender für Cloud.
Suchen und Analysieren Ihrer Daten
Sicherheitswarnungen werden in der Tabelle SecurityAlert in Ihrem Log Analytics-Arbeitsbereich gespeichert. Um Sicherheitswarnungen in Log Analytics abzufragen, kopieren Sie Folgendes als Ausgangspunkt in Ihr Abfragefenster:
SecurityAlert
| where ProductName == "Azure Security Center"
Die Warnungssynchronisierung in beide Richtungen kann einige Minuten dauern. Änderungen am status von Warnungen werden möglicherweise nicht sofort angezeigt.
Weitere nützliche Beispielabfragen, Analyseregelvorlagen und empfohlene Arbeitsmappen finden Sie auf der Registerkarte Nächste Schritte auf der Connectorseite.
Verwandte Inhalte
In diesem Dokument haben Sie erfahren, wie Sie Microsoft Defender for Cloud mit Microsoft Sentinel verbinden und Warnungen zwischen ihnen synchronisieren. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel.
- Schreiben Sie Ihre eigenen Regeln, um Bedrohungen zu erkennen.