Freigeben über


Erfassen von Microsoft Defender for Cloud-Warnungen mit Microsoft Sentinel

Mit dem integrierten Cloudworkloadschutz von Microsoft Defender for Cloud können Sie Bedrohungen für Hybrid- und Multicloud-Workloads erkennen und schnell darauf reagieren. Mit dem Connector Microsoft Defender for Cloud können Sie Sicherheitswarnungen aus Defender for Cloud in Microsoft Sentinel erfassen, damit Sie Defender-Warnungen und die von ihnen generierten Incidents in einem umfassenderen Bedrohungskontext der Organisation anzeigen, analysieren und darauf reagieren können.

Defender-Pläne für Microsoft Defender for Cloud werden pro Abonnement aktiviert. Der Microsoft Sentinel-Legacyconnectorfür Defender for Cloud Apps wird ebenfalls pro Abonnement konfiguriert. Mit dem mandantenbasierten Microsoft Defender for Cloud-Connector (als Vorschau verfügbar) hingegen können Sie Defender for Cloud-Warnungen im gesamten Mandanten sammeln, ohne jedes Abonnement einzeln aktivieren zu müssen. Der mandantenbasierte Connector kann auch mit der Integration von Defender for Cloud mit Microsoft Defender XDR verwendet werden, um sicherzustellen, dass alle Ihre Defender for Cloud-Warnungen vollständig in alle Incidents einbezogen werden, die Sie über die Integration von Microsoft Defender XDR-Incidents erhalten.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Warnungssynchronisierung

  • Wenn Sie Microsoft Defender für Cloud mit Microsoft Sentinel verbinden, wird der Status von Sicherheitswarnungen, die in Microsoft Sentinel erfasst werden, zwischen den beiden Diensten synchronisiert. Wenn also beispielsweise eine Warnung in Defender for Cloud geschlossen wird, wird diese Warnung auch in Microsoft Sentinel als geschlossen angezeigt.

  • Die Änderung des Status einer Warnung in Defender for Cloud wirkt sich nicht auf den Status aller Microsoft Sentinel Vorfälle aus, die die Microsoft Sentinel-Warnung enthalten, sondern nur auf den der Warnung selbst.

Bidirektionale Synchronisierung von Warnungen

Durch die Aktivierung der bi-direktionalen Synchronisierung wird der Status der ursprünglichen Sicherheitswarnungen automatisch mit dem der Microsoft Sentinel-Vorfälle, die diese Warnmeldungen enthalten, synchronisiert. Wenn beispielsweise ein Microsoft Sentinel-Vorfall, der eine Sicherheitswarnung enthält, geschlossen wird, wird die entsprechende ursprüngliche Warnung in Microsoft Defender for Cloud automatisch geschlossen.

Voraussetzungen

  • Sie benötigen Lese- und Schreibberechtigungen für Ihren Microsoft Sentinel-Arbeitsbereich.

  • Sie müssen über die Rolle Mitwirkender oder Besitzer für das Abonnement verfügen, das Sie mit Microsoft Sentinel verbinden möchten.

  • Sie müssen mindestens einen Plan in Microsoft Defender for Cloud für jedes Abonnement aktivieren, für das Sie den Connector aktivieren möchten. Um Microsoft Defender-Pläne für ein Abonnement zu aktivieren, benötigen Sie die Rolle des Sicherheitsadministrators für dieses Abonnement.

  • Sie müssen den SecurityInsights-Ressourcenanbieter für jedes Abonnement registrieren, in dem Sie den Connector aktivieren möchten. Lesen Sie die Anleitungen zum Status der Ressourcenanbieterregistrierung und zu den Möglichkeiten, sie zu registrieren.

  • Zum Aktivieren der bidirektionalen Synchronisierung müssen Sie über die Rolle Mitwirkender oder Sicherheitsadministrator für das betreffende Abonnement verfügen.

  • Installieren Sie die Lösung für Microsoft Defender for Cloud aus dem Inhaltshub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

Verbinden zu Microsoft Defender für Cloud

  1. Wählen Sie nach der Installation der Lösung in Microsoft Sentinel Konfiguration > Datenconnectors aus.

  2. Wählen Sie auf der Seite Datenconnectors den abonnementbasierten Microsoft Defender for Cloud-Connector (Legacy) oder den mandantenbasierten Microsoft Defender for Cloud-Connector (Vorschau) und dann die Seite Connector öffnen aus.

  3. Unter Konfigurationwird eine Liste der Abonnements in Ihrem Mandanten und der Status der Verbindung mit Microsoft Defender für Cloud angezeigt. Wählen Sie die Umschaltfläche Status neben jedem Abonnement aus, dessen Warnungen Sie an Microsoft Sentinel streamen möchten. Wenn Sie eine Verbindung mit mehreren Abonnements auf einmal herstellen möchten, aktivieren Sie die Kontrollkästchen neben den relevanten Abonnements, und klicken Sie dann auf der Leiste über der Liste auf die Schaltfläche Verbinden.

    • Die Kontrollkästchen und die Umschaltflächen Verbinden sind nur für die Abonnements aktiviert, für die Sie über die erforderlichen Berechtigungen verfügen.
    • Die Schaltfläche Verbinden ist nur aktiviert, wenn das Kontrollkästchen für mindestens ein Abonnement aktiviert wurde.
  4. Um die bidirektionale Synchronisierung für ein Abonnement zu aktivieren, suchen Sie das Abonnement in der Liste, und wählen Sie aktiviert in der Dropdownliste in der Spalte Bidirektionale Synchronisierung aus. Um die bidirektionale Synchronisierung für mehrere Abonnements auf einmal zu aktivieren, aktivieren Sie die entsprechenden Kontrollkästchen, und klicken Sie auf der Leiste über der Liste auf die Schaltfläche Enable bi-directional sync (Bidirektionale Synchronisierung aktivieren).

    • Die Kontrollkästchen und Dropdownlisten sind nur für die Abonnements aktiviert, für die Sie über die erforderlichen Berechtigungen verfügen.
    • Die Schaltfläche Enable bi-directional sync (Bidirektionale Synchronisierung aktivieren) ist nur aktiviert, wenn das Kontrollkästchen für mindestens ein Abonnement aktiviert wurde.
  5. In der Spalte Microsoft Defender-Pläne der Liste können Sie sehen, ob Microsoft Defender-Pläne für Ihr Abonnement aktiviert sind (eine Voraussetzung für die Aktivierung des Konnektors).

    Der Wert für jedes Abonnement in dieser Spalte ist entweder leer (d. h., dass keine Defender-Pläne aktiviert sind) oder lautet All enabled (Alle aktiviert) oder Some enabled (Einige aktiviert). Für Abonnements mit dem Wert Some enabled (Einige aktiviert) ist der Link Alle aktivieren vorhanden. Über diesen gelangen Sie zum Microsoft Defender for Cloud-Konfigurationsdashboard für das Abonnement, in dem Sie zu aktivierende Defender-Pläne auswählen können.

    Über die Link-Schaltfläche Microsoft Defender für alle Abonnements aktivieren auf der Leiste über der Liste gelangen Sie zu Ihrer Seite Microsoft Defender für Cloud Erste Schritte, auf der Sie auswählen können, für welche Abonnements Microsoft Defender für Cloud vollständig aktiviert werden soll. Zum Beispiel:

    Screenshot: Konfiguration des Microsoft Defender for Cloud-Connectors

  6. Sie können auswählen, ob die Warnungen von Microsoft Defender für Cloud automatisch Vorfälle in Microsoft Sentinel generieren sollen. Wählen Sie unter Incidents erstellen die Option Aktiviert aus, um die Standardanalyseregel zu aktivieren, durch die aus Warnungen automatisch Incidents erstellt werden. Anschließend können Sie diese Regel unter Analytics auf der Registerkarte Aktive Regeln bearbeiten.

    Tipp

    Berücksichtigen Sie beim Konfigurieren von benutzerdefinierten Analyseregeln für Warnungen von Microsoft Defender für Cloud den Warnungsschweregrad, um das Öffnen von Vorfällen für Informationswarnungen zu vermeiden.

    Informationswarnungen in Microsoft Defender for Cloud stellen selbst kein Sicherheitsrisiko dar und sind nur im Kontext eines vorhandenen, offenen Vorfalls relevant. Weitere Informationen finden Sie unter Sicherheitswarnungen und Vorfälle in Microsoft Defender for Cloud.

Suchen und Analysieren Ihrer Daten

Hinweis

Die bidirektionale Synchronisierung von Warnungen kann einige Minuten in Anspruch nehmen. Änderungen des Status von Warnungen werden eventuell nicht sofort angezeigt.

  • Sicherheitswarnungen werden in der Tabelle SecurityAlert in Ihrem Log Analytics-Arbeitsbereich gespeichert.

  • Um Sicherheitswarnungen in Log Analytics abzufragen, kopieren Sie Folgendes als Ausgangspunkt in Ihr Abfragefenster:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • Auf der Registerkarte Nächste Schritte auf der Connectorseite finden Sie weitere nützliche Beispielabfragen, Analyseregelvorlagen und empfohlene Arbeitsmappen.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Microsoft Defender for Cloud mit Microsoft Sentinel verbinden und Warnungen zwischen ihnen synchronisieren können. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: