Microsoft Defender für Cloud im Microsoft Defender-Portal

Artikel
23.07.2024

Gilt für:

Sicherheitsteams, die Microsoft Defender für Cloud verwenden, können jetzt Defender für Cloud-Warnungen und -Incidents im Microsoft Defender-Portal anzeigen. Dadurch erhalten Sicherheitsteams einen umfassenderen Kontext für Untersuchungen, die Cloudworkloads umfassen. Darüber hinaus können Sicherheitsteams durch sofortige Korrelationen von Warnungen und Vorfällen das vollständige Bild eines Angriffs erhalten, einschließlich verdächtiger und schädlicher Ereignisse, die in ihrer Cloudumgebung auftreten.

Das Microsoft Defender-Portal kombiniert Schutz-, Erkennungs-, Untersuchungs- und Reaktionsfunktionen zum Schutz von Angriffen auf Geräte-, E-Mail-, Zusammenarbeits-, Identitäts- und Cloud-Apps. Die Erkennungs- und Untersuchungsfunktionen des Portals werden jetzt auf Cloudentitäten erweitert und bieten Sicherheitsteams eine zentrale Übersicht, um ihre betriebliche Effizienz erheblich zu verbessern.

Darüber hinaus sind die Defender für Cloud-Incidents und -Warnungen jetzt Teil der öffentlichen API von Microsoft Defender XDR. Diese Integration ermöglicht das Exportieren von Sicherheitswarnungsdaten in ein beliebiges System mithilfe einer einzelnen API.

Voraussetzungen

Um den Zugriff auf Defender für Cloud-Warnungen im Microsoft Defender-Portal sicherzustellen, müssen Sie einen der unter Verbinden Ihrer Azure-Abonnements aufgeführten Pläne abonniert haben.

Erforderliche Berechtigungen

Hinweis

Die Berechtigung zum Anzeigen von Defender für Cloud-Warnungen und -Korrelationen erfolgt automatisch für den gesamten Mandanten. Das Anzeigen für bestimmte Abonnements wird nicht unterstützt. Sie können den Warnungsabonnement-ID-Filter verwenden, um Defender für Cloud-Warnungen anzuzeigen, die einem bestimmten Defender für Cloud-Abonnement in den Warnungs- und Incidentwarteschlangen zugeordnet sind. Erfahren Sie mehr über Filter.

Die Integration ist nur verfügbar, indem die entsprechende Microsoft Defender XDR Rolle der rollenbasierten Zugriffssteuerung (Unified Role-Based Access Control, RBAC) für Defender für Cloud angewendet wird. Um Defender für Cloud-Warnungen und -Korrelationen ohne Defender XDR unified RBAC anzuzeigen, müssen Sie ein globaler Administrator oder Sicherheitsadministrator in Azure Active Directory sein.

Wichtig

Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Szenarien beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können. Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei.

Untersuchungserfahrung im Microsoft Defender-Portal

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Im folgenden Abschnitt wird die Erkennungs- und Untersuchungserfahrung im Microsoft Defender-Portal mit Defender für Cloud-Warnungen beschrieben.

Bereich	Beschreibung
Vorfälle	Alle Defender für Cloud-Vorfälle werden in das Microsoft Defender-Portal integriert. – Die Suche nach Cloudressourcenressourcen in der Incidentwarteschlange wird unterstützt. – Das Diagramm zur Angriffsgeschichte zeigt die Cloudressource an. – Auf der Registerkarte "Ressourcen" auf einer Incidentseite wird die Cloudressource angezeigt. – Jeder virtuelle Computer verfügt über eine eigene Geräteseite mit allen zugehörigen Warnungen und Aktivitäten. Es wird keine Duplizierung von Vorfällen aus anderen Defender-Workloads geben.
Warnungen	Alle Defender für Cloud-Warnungen, einschließlich Warnungen für mehrere Clouds, interne und externe Anbieter, werden in das Microsoft Defender-Portal integriert. Defender für Cloud-Warnungen werden in der warnungswarteschlange des Microsoft Defender Portals angezeigt. Die Cloudressourcenressource wird auf der Registerkarte Medienobjekt einer Warnung angezeigt. Ressourcen werden eindeutig als Azure-, Amazon- oder Google Cloud-Ressource identifiziert. Defender für Cloud-Warnungen werden automatisch einem Mandanten zugeordnet. Es gibt keine Duplizierung von Warnungen von anderen Defender-Workloads.
Warnungs- und Incidentkorrelation	Warnungen und Incidents werden automatisch korreliert, sodass Sicherheitsteams einen stabilen Kontext erhalten, um die vollständige Angriffsgeschichte in ihrer Cloudumgebung zu verstehen.
Bedrohungserkennung	Genaue Übereinstimmung von virtuellen Entitäten mit Geräteentitäten, um eine präzise und effektive Bedrohungserkennung sicherzustellen.
Einheitliche API	Defender für Cloud-Warnungen und -Vorfälle sind jetzt in der öffentlichen API von Microsoft Defender XDR enthalten, sodass Kunden ihre Sicherheitswarnungsdaten mithilfe einer API in andere Systeme exportieren können.
Erweiterte Suche (Vorschau)	Informationen zu Cloudüberwachungsereignissen für verschiedene Cloudplattformen, die durch defender for Cloud des organization geschützt werden, sind über die CloudAuditEvents-Tabelle in der erweiterten Suche verfügbar.

Hinweis

Informationswarnungen von Defender für Cloud sind nicht in das Microsoft Defender-Portal integriert, um den Fokus auf die relevanten warnungen mit hohem Schweregrad zu ermöglichen. Diese Strategie optimiert die Verwaltung von Vorfällen und reduziert die Ermüdung von Warnungen.

Auswirkungen auf Microsoft Sentinel Benutzer

Microsoft Sentinel Kunden, die Microsoft Defender XDR Incidents und die Erfassung von Defender für Cloud-Warnungen integrieren, müssen die folgenden Konfigurationsänderungen vornehmen, um sicherzustellen, dass keine doppelten Warnungen und Vorfälle erstellt werden:

Verbinden Sie den Connector für mandantenbasierte Microsoft Defender für Cloud (Vorschau), um die Sammlung von Warnungen aus all Ihren Abonnements mit mandantenbasierten Defender für Cloud-Vorfällen zu synchronisieren, die über den connector für Microsoft Defender XDR Incidents gestreamt werden.
Trennen Sie den Connector für abonnementbasierte Microsoft Defender für Cloudwarnungen (Legacy), um Warnungsduplikate zu verhindern.
Deaktivieren Sie alle Analyseregeln – entweder Geplante Regeln (regulärer Abfragetyp) oder Microsoft-Sicherheitsregeln (Incidenterstellung), die zum Erstellen von Incidents aus Defender für Cloud-Warnungen verwendet werden. Defender für Cloud-Incidents werden automatisch im Defender-Portal erstellt und mit Microsoft Sentinel synchronisiert.
Verwenden Sie bei Bedarf Automatisierungsregeln, um laute Vorfälle zu schließen, oder verwenden Sie die integrierten Optimierungsfunktionen im Defender-Portal, um bestimmte Warnungen zu unterdrücken.

Die folgende Änderung ist ebenfalls zu beachten:

Die Aktion zum Verknüpfen von Warnungen mit den Microsoft Defender Portalvorfällen wird entfernt.

Weitere Informationen finden Sie unter Erfassen von Microsoft Defender für Cloudvorfälle mit Microsoft Defender XDR Integration.

Deaktivieren von Defender für Cloud-Warnungen

Die Warnungen für Defender für Cloud sind standardmäßig aktiviert. Führen Sie die folgenden Schritte aus, um Ihre abonnementbasierten Einstellungen beizubehalten und eine mandantenbasierte Synchronisierung zu vermeiden oder die Benutzeroberfläche zu deaktivieren:

Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Microsoft Defender XDR.
Suchen Sie unter Warnungsdiensteinstellungen nach Microsoft Defender für Cloudwarnungen.
Wählen Sie Keine Warnungen aus , um alle Defender für Cloud-Warnungen zu deaktivieren. Wenn Sie diese Option auswählen, wird die Erfassung neuer Defender für Cloud-Warnungen im Portal beendet. Zuvor erfasste Warnungen verbleiben auf einer Warnungs- oder Incidentseite.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.

Zusätzliche Ressourcen

Dokumentation

Warnungen und Incidents in Microsoft Defender XDR - Microsoft Defender for Cloud

Erfahren Sie mehr über die Vorteile von Benachrichtigungen von Microsoft Defender for Cloud in Microsoft Defender XDR.
Microsoft Defender for Cloud – Übersicht - Microsoft Defender for Cloud

Schützen Sie Ihre Azure-, Hybrid- und Multi-Cloud-Ressourcen mit Microsoft Defender for Cloud. Erfahren Sie, wie Sie Ihren Cloudsicherheitsstatus verbessern.
Dokumentation zu Microsoft Defender for Cloud - Microsoft Defender for Cloud

Führen Sie die ersten Schritte mit Defender for Cloud aus. Erfahren Sie, wie Sie mithilfe unserer Schnellstarts und Tutorials Ihre Workloads schützen, Risiken begrenzen sowie Angriffe erkennen und darauf reagieren.
Datensicherheit in Microsoft Defender für Cloud - Microsoft Defender for Cloud

Hier erfahren Sie, wie Daten in Microsoft Defender for Cloud verwaltet und geschützt werden, um die Sicherheit Ihrer Daten zu gewährleisten.
Erfassen von abonnementbasierten Microsoft Defender for Cloud-Warnungen mit Microsoft Sentinel

Erfahren Sie, wie Sie Sicherheitswarnungen aus Microsoft Defender für Cloud verbinden und an Microsoft Sentinel streamen.
Sicherheitswarnungen und -vorfälle - Microsoft Defender for Cloud

Hier eErfahren Sie, wie Microsoft Defender für Cloud Sicherheitswarnungen generiert und diese zu Incidents korreliert.
Neuerungen bei den Microsoft Defender for Cloud-Features - Microsoft Defender for Cloud

Neuerungen und Aktualisierungen in Microsoft Defender for Cloud-Features

Training

Modul

Aktivieren von Defender für Cloud für Ihr Azure-Abonnement - Training

Erfahren Sie, wie Sie Ihre Azure-Abonnements mit Microsoft Defender for Cloud verbinden und eine verbesserte Sicherheitsüberwachung, Complianceverwaltung und die Implementierung bewährter Methoden für den Bedrohungsschutz ermöglichen.

Zertifizierung

Microsoft Certified: Security Operations Analyst Associate - Certifications

Untersuchen, Suchen und Mindern von Bedrohungen mit Microsoft Sentinel, Microsoft Defender for Cloud und Microsoft 365 Defender.

Freigeben über