Microsoft Defender for Cloud Microsoft Defender portaalissa
Koskee seuraavia:
Microsoft Defender for Cloud on nyt osa Microsoft Defender XDR. Suojaustiimit voivat nyt käyttää Defenderiä pilvipalveluhälytyksiä ja -tapauksia varten Microsoft Defender portaalissa tarjoten monipuolisemman kontekstin tutkimuksille, jotka kattavat pilviresurssit, laitteet ja käyttäjätiedot. Lisäksi tietoturvatiimit voivat saada kokonaiskuvan hyökkäyksestä, mukaan lukien epäilyttävistä ja haitallisista tapahtumista, jotka tapahtuvat heidän pilviympäristössään, ilmoitusten ja tapausten välittömien korrelaatioiden kautta.
Microsoft Defender portaali yhdistää suojaus-, tunnistamis-, tutkinta- ja reagointiominaisuudet laite-, sähköposti-, yhteistyö-, käyttäjätieto- ja pilvisovelluksiin kohdistuvien hyökkäysten suojaamiseksi. Portaalin tunnistamis- ja tutkintaominaisuudet on nyt laajennettu pilvientiteetteihin, mikä tarjoaa suojaustoimintatiimeille yhden lasiruudun, joka parantaa merkittävästi niiden toiminnan tehokkuutta.
Lisäksi Defender for Cloudin tapaukset ja hälytykset ovat nyt osa Microsoft Defender XDR julkista ohjelmointirajapintaa. Tämän integroinnin avulla suojausilmoitusten tiedot voidaan viedä mihin tahansa järjestelmään yksittäisen ohjelmointirajapinnan avulla.
Edellytys
Jotta voit varmistaa Defenderin pilvipalveluilmoitusten käytön Microsoft Defender-portaalissa, sinun on oltava tilaanut jonkin Azure-tilausten yhdistäminen -kohdassa luetelluista palvelupaketeista.
Vaaditut käyttöoikeudet
Sinun on oltava Azure Active Directoryn yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja, jotta voit tarkastella Defender for Cloud -ilmoituksia ja korrelaatioita. Käyttäjille, joilla ei ole näitä rooleja, integrointi on käytettävissä vain ottamalla käyttöön RBAC (Unified Role Based Access Control) -roolit Defender for Cloudille.
Huomautus
Oikeus tarkastella Defenderin pilvipalveluilmoituksia ja korrelaatioita on automaattinen koko vuokraajalle. Tiettyjen tilausten tarkastelemista ei tueta.
tutkimuskokemus Microsoft Defender portaalissa
Seuraavassa osiossa kuvataan Microsoft Defender portaalin tunnistamis- ja tutkimuskokemus Defender for Cloud -ilmoitusten avulla.
Huomautus
Defender for Cloudin tietoilmoituksia ei integroida Microsoft Defender-portaaliin, jotta voidaan keskittyä asianmukaisiin ja suuren vakavuuden hälytyksiin. Tämä strategia tehostaa tapausten hallintaa ja vähentää hälytysväsymystä.
| Alue | Kuvaus |
|---|---|
| Tapaukset | Kaikki Defender for Cloud -tapaukset integroidaan Microsoft Defender-portaaliin. - Pilviresurssiresurssien hakemista tapahtumajonosta tuetaan. - Hyökkäystarinakaavio näyttää pilviresurssin. - Tapaussivun Assets-välilehdessä näkyy pilviresurssi. - Jokaisella näennäiskoneella on oma laitesivunsa, joka sisältää kaikki liittyvät ilmoitukset ja toiminnan. Muista Defender-kuormituksista ei tule päällekkäisiä välikohtauksia. |
| Ilmoitukset | Kaikki Defender for Cloud -hälytykset, mukaan lukien usean pilvipalvelun sekä sisäisen ja ulkoisen palveluntarjoajan hälytykset, integroidaan Microsoft Defender portaaliin. Defender for Cloud -hälytykset näkyvät Microsoft Defender portaalin ilmoitusjonossa.Pilviresurssiresurssin resurssi näkyy hälytyksen Kohde-välilehdessä. Resurssit on selvästi tunnistettu Azure-, Amazon- tai Google Cloud -resursseiksi.Defender for Cloud -hälytykset liitetään automaattisesti vuokraajaan.Muiden Defender-kuormitusten ilmoituksia ei kahdenneta. |
| Hälytysten ja tapausten korrelaatio | Ilmoitukset ja tapaukset korreloivat automaattisesti, mikä tarjoaa vankan kontekstin suojaustoimintaryhmille, jotta he voivat ymmärtää koko hyökkäystarinan pilviympäristössään. |
| Uhkien tunnistaminen | Virtuaalisten entiteettien tarkka vastaavuus laitteen entiteetteihin tarkan ja tehokkaan uhkien tunnistamisen varmistamiseksi. |
| Yhdistetty ohjelmointirajapinta | Defender for Cloud -hälytykset ja -tapaukset sisältyvät nyt Microsoft Defender XDR julkiseen ohjelmointirajapintaan, jolloin asiakkaat voivat viedä suojaushälytystietonsa muihin järjestelmiin yhden ohjelmointirajapinnan avulla. |
Vaikutus Microsoft Sentinel -käyttäjiin
Microsoft Sentinel -asiakkaat, jotka integroivat Microsoft Defender XDR tapauksiaja käyttävät Defender for Cloud -hälytyksiä, tekevät seuraavat määritysmuutokset sen varmistamiseksi, että päällekkäisiä ilmoituksia ja tapauksia ei luoda:
- Yhdistä Vuokraajapohjainen Microsoft Defender for Cloud (esikatselu) -liitin, jotta voit synkronoida kaikkien tilausten ilmoitusten kokoelman vuokraajapohjaisen Defenderin kanssa pilvitapahtumille, jotka suoratoistavat Microsoft Defender XDR Incidents -liittimen kautta.
- Katkaise Tilauspohjainen Microsoft Defender cloud (legacy) -ilmoitusten yhdistin ilmoitusten kaksoiskappaleiden estämiseksi.
- Poista käytöstä kaikki analytiikkasäännöt – joko ajoitetut (tavalliset kyselytyypit) tai Microsoftin tietoturvasäännöt (tapausten luontisäännöt), joita käytetään tapausten luomiseen Defenderin pilvihälytyksille. Defender for Cloud Incidents luodaan automaattisesti Defender-portaalissa ja synkronoidaan Microsoft Sentinelin kanssa.
- Jos se on tarpeen, sulje meluisat tapaukset automaatiosäännöillä tai piilota tietyt hälytykset Defender-portaalin sisäisillä viritystoiminnoilla .
Huomioi myös seuraavat muutokset:
- Toiminto ilmoitusten liimiseksi Microsoft Defender portaalin tapauksiin poistetaan.
Lue lisää Ingest Microsoft Defender pilvipalvelutapauksista, joissa on Microsoft Defender XDR integrointi.
Poista käytöstä Defender pilvipalveluilmoituksia varten
Defender for Cloudin hälytykset ovat oletusarvoisesti käytössä. Jos haluat säilyttää tilauspohjaiset asetuksesi ja välttää vuokraajaan perustuvaa synkronointia tai kieltäytyä käyttökokemuksesta, toimi seuraavasti:
- Valitse Microsoft Defender portaalissa Asetukset>Microsoft Defender XDR.
- Etsi ilmoituspalvelun asetuksistaMicrosoft Defender pilvipalveluilmoituksia varten.
- Valitse Ei ilmoituksia , jos haluat poistaa käytöstä kaikki Defenderin pilvipalveluilmoitukset. Jos valitset tämän vaihtoehdon, uuden Defender for Cloud -ilmoitusten käsittely portaaliin lopetetaan. Aiemmin sisäänotetut hälytykset pysyvät hälytys- tai tapaussivulla.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle