Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
se aplica a:
Microsoft Defender for Cloud se integra con la detección y respuesta extendidas (XDR) de Microsoft Defender. Esta integración permite a los equipos de seguridad acceder a alertas e incidentes de Defender for Cloud en el portal de Microsoft Defender. Esta integración proporciona un contexto más completo para las investigaciones que abarcan recursos en la nube, dispositivos e identidades.
La asociación con Microsoft Defender XDR permite a los equipos de seguridad obtener la imagen completa de un ataque, incluidos los eventos sospechosos y maliciosos que se producen en su entorno de nube. Los equipos de seguridad pueden lograr este objetivo mediante correlaciones inmediatas de alertas e incidentes.
Microsoft Defender XDR ofrece una solución integral que combina funciones de protección, detección, investigación y respuesta. La solución protege contra ataques a dispositivos, correo electrónico, colaboración, identidad y aplicaciones en la nube. Nuestras funcionalidades de detección e investigación ahora se extienden a las entidades en la nube, ofreciendo a los equipos de operaciones de seguridad de panel único para mejorar significativamente su eficiencia operativa.
Los incidentes y las alertas forman ahora parte de la API pública de Microsoft Defender XDR. Esta integración permite exportar datos de alertas de seguridad a cualquier sistema mediante una sola API. Como Microsoft Defender for Cloud, nos comprometemos a proporcionar a nuestros usuarios las mejores soluciones de seguridad, y esta integración es un paso importante para lograr ese objetivo.
Prerrequisitos
El acceso a las alertas de Defender for Cloud en el portal de Microsoft Defender depende de qué planes de Defender for Cloud estén habilitados. Obtenga más información sobre las distintas protecciones de planes de Defender for Cloud.
Nota:
Los permisos para ver las alertas y correlaciones de Defender for Cloud son automáticos para todo el inquilino. No se admite la visualización de suscripciones específicas. Use el filtro de identificador de suscripción de alerta para ver las alertas de Defender for Cloud asociadas a una suscripción específica de Defender for Cloud en las colas de alertas e incidentes. Obtenga más información sobre los filtros.
La integración solo está disponible aplicando el rol de control de acceso basado en rol unificado (RBAC) de Microsoft Defender XDR adecuado para Defender for Cloud. Para ver las alertas y correlaciones de Defender for Cloud sin Defender XDR RBAC unificado, debe ser administrador global o administrador de seguridad en Azure Active Directory.
Experiencia en investigación en Microsoft Defender XDR
La siguiente tabla describe la experiencia de detección e investigación en Microsoft Defender XDR con alertas de Defender for Cloud.
| Área | Descripción |
|---|---|
| Incidentes | Todos los incidentes de Defender for Cloud se integran en Microsoft Defender XDR. - Se admite la búsqueda de recursos en la nube en la cola de incidentes. - El grafo historia de ataque muestra el recurso en la nube. - La pestaña recursos en una página de incidentes muestra el recurso en la nube. - Cada máquina virtual tiene su propia página de entidad que contiene todas las alertas y actividades relacionadas. No hay duplicaciones de incidentes de otras cargas de trabajo de Defender. |
| Alertas | Todas las alertas de Defender for Cloud, incluidas las alertas multinube, de proveedores internos y externos, se integran en Microsoft Defender XDR. Las alertas de Defenders for Cloud se muestran en la cola de alertas de Microsoft Defender XDR. Microsoft Defender XDR El activo cloud resource se muestra en la pestaña Activo de una alerta. Los recursos se identifican claramente como un recurso de Azure, Amazon o Google Cloud. Las alertas de Defender for Cloud se asocian automáticamente a un inquilino. No hay duplicaciones de alertas de otras cargas de trabajo de Defender. |
| Correlación de alertas e incidentes | Las alertas y los incidentes se correlacionan automáticamente, lo que proporciona un contexto sólido a los equipos de operaciones de seguridad para comprender todo el caso de ataque en su entorno de nube. |
| Detección de amenazas | Coincidencia precisa de entidades virtuales con entidades de dispositivo para garantizar la precisión y la detección eficaz de amenazas. |
| API unificada | Las alertas e incidentes de Defender for Cloud se incluyen ahora en la API pública de Microsoft Defender XDR, lo que permite a los clientes exportar sus datos de alertas de seguridad a otros sistemas utilizando una API. |
Nota:
Las alertas informativas de Defender for Cloud no se integran en el portal de Microsoft Defender para permitir centrarse en las alertas pertinentes y de alta gravedad. Esta estrategia simplifica la administración de incidentes y reduce la fatiga de alertas.
Búsqueda avanzada en XDR
Las funcionalidades de búsqueda avanzada de XDR de Microsoft Defender se amplían para incluir alertas e incidentes de Defender for Cloud. Esta integración permite a los equipos de seguridad buscar en todos sus recursos, dispositivos e identidades en la nube en una sola consulta.
La experiencia de búsqueda avanzada en XDR de Microsoft Defender está diseñada para proporcionar a los equipos de seguridad la flexibilidad necesaria para la creación de consultas personalizadas para buscar amenazas en su entorno. La integración con alertas e incidentes de Defender for Cloud permite a los equipos de seguridad buscar amenazas en sus recursos, dispositivos e identidades en la nube.
La tabla CloudAuditEvents en la búsqueda avanzada de amenazas le permite investigar y buscar eventos de plano de control, y crear detecciones personalizadas para exponer actividades sospechosas del plano de control de Azure Resource Manager y Kubernetes (KubeAudit).
La tabla CloudProcessEvents en la búsqueda avanzada permite evaluar, investigar y crear detecciones personalizadas para actividades sospechosas que se invocan en su infraestructura de nube, con información que incluye detalles del proceso.
Clientes de Microsoft Sentinel
Los clientes de Microsoft Sentinel que integran incidentes de XDR de Microsoft Defendery que ingieren alertas de Defender for Cloud deben seguir estos pasos para evitar incidentes e alertas duplicadas.
En Microsoft Sentinel, configure el conector de datos basado en inquilinos de Microsoft Defender for Cloud (versión preliminar). Este conector de datos se incluye en la solución Microsoft Defender for Cloud , disponible en el centro de contenido de Microsoft Sentinel.
El conector de datos de Microsoft Defender para la Nube (versión preliminar) basado en arrendatarios sincroniza la recopilación de alertas de todas las suscripciones con los incidentes de Defender para la Nube basados en arrendatarios y que se transmiten mediante el conector de incidentes XDR de Microsoft Defender. Los incidentes de Defender for Cloud se correlacionan entre todas las suscripciones del inquilino.
Si trabaja con varias áreas de trabajo de Microsoft Sentinel en el portal de Defender, los incidentes de Defender for Cloud correlacionados se transmiten al área de trabajo principal. Para obtener más información, consulte Varias áreas de trabajo de Microsoft Sentinel en el portal de Defender.
Desconecte el conector de datos de Microsoft Defender for Cloud basado en suscripciones (heredado) para evitar alertas duplicadas.
Desactive las reglas de análisis que se usan para crear incidentes a partir de alertas de Defender for Cloud, ya sea programadas (tipo de consulta normal) o reglas de seguridad de Microsoft (creación de incidentes).
Si es necesario, use las reglas de automatización para cerrar incidentes ruidosos, o utilice las capacidades de ajuste integradas en el portal de Defender para suprimir determinadas alertas.
Si ha integrado los incidentes de XDR de Microsoft Defender en Microsoft Sentinel y desea mantener la configuración basada en la suscripción y evitar la sincronización basada en inquilinos, opte por no sincronizar incidentes y alertas de XDR de Microsoft Defender:
En el portal de Microsoft Defender, vaya a Configuración > XDR de Microsoft Defender.
En Configuración del servicio de alertas, busque alertas de Microsoft Defender para la Nube.
Seleccione Sin alertas para desactivar todas las alertas de Defender for Cloud. Al seleccionar esta opción, se detiene la ingesta de nuevas alertas de Defender for Cloud en XDR de Microsoft Defender. Las alertas ingeridas anteriormente permanecen en una página de alerta o incidente.
Para más información, vea:
- Ingesta de incidentes de Microsoft Defender for Cloud con la integración con Microsoft Defender XDR
- Descubre y administra el contenido listo para usar de Microsoft Sentinel