Microsoft Defender for Cloud en el portal de Microsoft Defender
Se aplica a:
Microsoft Defender for Cloud ahora forma parte de Microsoft Defender XDR. Los equipos de seguridad ahora pueden acceder a alertas e incidentes de Defender for Cloud en el portal de Microsoft Defender, lo que proporciona un contexto más completo a las investigaciones que abarcan recursos, dispositivos e identidades en la nube. Además, los equipos de seguridad pueden obtener la imagen completa de un ataque, incluidos los eventos sospechosos y malintencionados que se producen en su entorno de nube, a través de correlaciones inmediatas de alertas e incidentes.
El portal de Microsoft Defender combina funcionalidades de protección, detección, investigación y respuesta para proteger los ataques en aplicaciones de dispositivo, correo electrónico, colaboración, identidad y nube. Las funcionalidades de detección e investigación del portal ahora se amplían a las entidades en la nube, lo que ofrece a los equipos de operaciones de seguridad un único panel de cristal para mejorar significativamente su eficacia operativa.
Además, los incidentes y alertas de Defender for Cloud ahora forman parte de la API pública de Microsoft Defender XDR. Esta integración permite exportar datos de alertas de seguridad a cualquier sistema mediante una única API.
Requisito previo
Para garantizar el acceso a las alertas de Defender for Cloud en el portal de Microsoft Defender, debe suscribirse a cualquiera de los planes enumerados en Conexión de las suscripciones de Azure.
Permisos necesarios
Debe ser administrador global o administrador de seguridad en Azure Active Directory para ver las alertas y correlaciones de Defender for Cloud. Para los usuarios que no tienen estos roles, la integración solo está disponible aplicando roles unificados de control de acceso basado en rol (RBAC) para Defender for Cloud.
Nota:
El permiso para ver las alertas y correlaciones de Defender for Cloud es automático para todo el inquilino. No se admite la visualización de suscripciones específicas.
Experiencia de investigación en el portal de Microsoft Defender
En la sección siguiente se describe la experiencia de detección e investigación en el portal de Microsoft Defender con alertas de Defender for Cloud.
Nota:
Las alertas informativas de Defender for Cloud no se integran en el portal de Microsoft Defender para permitir centrarse en las alertas pertinentes y de alta gravedad. Esta estrategia simplifica la administración de incidentes y reduce la fatiga de alertas.
| Área | Descripción |
|---|---|
| Incidentes | Todos los incidentes de Defender for Cloud se integrarán en el portal de Microsoft Defender. : se admite la búsqueda de recursos en la nube en la cola de incidentes . - El gráfico del caso de ataque mostrará el recurso en la nube. - La pestaña recursos de una página de incidente mostrará el recurso en la nube. - Cada máquina virtual tiene su propia página de dispositivo que contiene todas las alertas y actividades relacionadas. No habrá duplicación de incidentes de otras cargas de trabajo de Defender. |
| Alertas | Todas las alertas de Defender for Cloud, incluidas las alertas de proveedores externos e internos de varias nubes, se integrarán en el portal de Microsoft Defender. Las alertas de Defender for Cloud se mostrarán en la cola de alertas del portal de Microsoft Defender. El recurso de recurso en la nube se mostrará en la pestaña Recurso de una alerta. Los recursos se identifican claramente como recursos de Azure, Amazon o Google Cloud.Las alertas de Defender for Cloud se asociarán automáticamente a un inquilino.No habrá duplicación de alertas de otras cargas de trabajo de Defender. |
| Correlación de alertas e incidentes | Las alertas e incidentes se correlacionan automáticamente, lo que proporciona un contexto sólido a los equipos de operaciones de seguridad para comprender la historia completa de ataques en su entorno en la nube. |
| Detección de amenazas | Coincidencia precisa de entidades virtuales con entidades de dispositivo para garantizar la precisión y la detección eficaz de amenazas. |
| API unificada | Las alertas e incidentes de Defender for Cloud ahora se incluyen en la API pública de Microsoft Defender XDR, lo que permite a los clientes exportar sus datos de alertas de seguridad a otros sistemas mediante una API. |
Impacto para los usuarios de Microsoft Sentinel
Los clientes de Microsoft Sentinel que integran Microsoft Defender XDR incidentese ingieren alertas de Defender for Cloud son necesarios para realizar los siguientes cambios de configuración para asegurarse de que no se crean alertas e incidentes duplicados:
- Conecte el conector de Microsoft Defender basado en inquilinos para la nube (versión preliminar) para sincronizar la recopilación de alertas de todas las suscripciones con incidentes de Defender for Cloud basados en inquilinos que se transmiten a través del conector Microsoft Defender XDR Incidents.
- Desconecte el conector de alertas de Microsoft Defender basadas en suscripciones para la nube (heredado) para evitar duplicados de alertas.
- Desactive las reglas de análisis (programadas (tipo de consulta normal) o de seguridad de Microsoft (creación de incidentes) que se usen para crear incidentes a partir de alertas de Defender for Cloud. Los incidentes de Defender for Cloud se crean automáticamente en el portal de Defender y se sincronizan con Microsoft Sentinel.
- Si es necesario, use reglas de automatización para cerrar incidentes ruidosos o use las funcionalidades de optimización integradas en el portal de Defender para suprimir determinadas alertas.
También debe tenerse en cuenta el siguiente cambio:
- Se quita la acción para relacionar alertas con los incidentes del portal de Microsoft Defender.
Obtenga más información en Ingesta de Microsoft Defender para incidentes en la nube con Microsoft Defender XDR integración.
Desactivar alertas de Defender for Cloud
Las alertas de Defender for Cloud están activadas de forma predeterminada. Para mantener la configuración basada en suscripciones y evitar la sincronización basada en inquilinos o no participar en la experiencia, siga estos pasos:
- En el portal de Microsoft Defender, vaya a Configuración>Microsoft Defender XDR.
- En Configuración del servicio de alertas, busque Microsoft Defender para las alertas en la nube.
- Seleccione Sin alertas para desactivar todas las alertas de Defender for Cloud. Al seleccionar esta opción, se detiene la ingesta de nuevas alertas de Defender for Cloud en el portal. Las alertas ingeridas anteriormente permanecen en una página de alerta o incidente.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de