Microsoft Defender for Cloud בפורטל Microsoft Defender
חל על:
Microsoft Defender for Cloud מהווה כעת חלק מ- Microsoft Defender XDR. צוותי אבטחה יכולים כעת לגשת להתראות ולתקריות בענן בפורטל Microsoft Defender, ומספקים הקשר עשיר יותר לחקירות שמשתרעות על פני משאבים, מכשירים וזהויות בענן. בנוסף, צוותי אבטחה יכולים לקבל את התמונה המלאה של מתקפה, כולל אירועים חשודים זדוניים שקורים בסביבה שלהם בענן, באמצעות מיתאם מיידי של התראות ותקריות.
פורטל Microsoft Defender משלב יכולות הגנה, זיהוי, חקירה ותגובה כדי להגן על התקפות במכשיר, בדואר אלקטרוני, בשיתוף פעולה, זהות ואפליקציות ענן. יכולות הזיהוי והחקירה של הפורטל מורחבות כעת לישויות ענן, ומציעות לצוותי פעולות אבטחה חלונית זכוכית אחת כדי לשפר באופן משמעותי את היעילות התפעולית שלהם.
בנוסף, האירועים וההתראות של Defender for Cloud הם כעת חלק מה- API הציבורי של Microsoft Defender XDR. שילוב זה מאפשר ייצוא של נתוני התראות אבטחה לכל מערכת באמצעות API יחיד.
דרישה מוקדמת
כדי להבטיח גישה להתראות של Defender for Cloud בפורטל Microsoft Defender, עליך להיות רשום כמנוי לכל אחת מהתוכניות המפורטות תחת חיבור מנויי Azure שלך.
הרשאות נדרשות
הערה
ההרשאה להציג התראות ומתאם של Defender עבור ענן היא אוטומטית עבור הדייר כולו. אין תמיכה בהצגת מנויים ספציפיים. באפשרותך להשתמש במסנן מזהה מנוי ההתראה כדי להציג התראות של Defender for Cloud המשויכות למנוי ספציפי של Defender for Cloud בתורי התראה ותקריות. קבל מידע נוסף על מסננים.
השילוב זמין רק על-ידי החלת התפקיד המתאים של בקרת גישה מבוססת תפקידים (RBAC) של Microsoft Defender XDR עבור Cloud. כדי להציג התראות ומתאם של Defender for Cloud ללא Defender XDR Unified RBAC, עליך להיות מנהל מערכת כללי או מנהל אבטחה ב- Azure Active Directory.
חשוב
מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישים כאשר אין באפשרותך להשתמש בתפקיד קיים. Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך.
חוויית חקירה בפורטל Microsoft Defender
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
הסעיף הבא מתאר את חוויית הזיהוי והחקירה בפורטל Microsoft Defender עם התראות Defender for Cloud.
| אזור | תיאור |
|---|---|
| מקרים | כל אירועי Defender for Cloud ישותלבו בפורטל Microsoft Defender.
- חיפוש נכסי משאבי ענן בתור האירועים נתמך . - הגרף של סיפור ההתקפה יראה את משאב הענן. - הכרטיסיה נכסים בדף אירוע תציג את משאב הענן. - לכל מחשב וירטואלי יש דף מכשיר משלו המכיל את כל ההתראות והפעילות הקשורות. לא יהיה שכפול של אירועים מעומסי עבודה אחרים של Defender. |
| התראות | כל ההתראות של Defender for Cloud, כולל התראות של ריבוי ענן, ספקים פנימיים וספקים חיצוניים, ישותלבו בפורטל Microsoft Defender. התראות של Defender for Cloud יוצגו בתור ההתראות בפורטל של Microsoft Defender.
נכס משאב הענן יופיע בכרטיסיה נכס של התראה. משאבים מזוהים בבירור כ- Azure, Amazon או Google Cloud. התראות Defender for Cloud ישויכו באופן אוטומטי לדייר. לא תהיה שכפול של התראות מעומסי עבודה אחרים של Defender. |
| התאמה של התראות ותקריות | התראות ותקריות מותאמים באופן אוטומטי, ומספקים הקשר חזק לצוותי פעולות אבטחה כדי להבין את סיפור ההתקפה המלא בסביבות הענן שלהם. |
| זיהוי איומים | התאמה מדויקת של ישויות וירטואליות לישויות מכשירים כדי להבטיח זיהוי מדויק ויעיל של איומים. |
| API מאוחד | התראות ותקריות בענן כלולים כעת ב- API הציבורי של Microsoft Defender XDR, ומאפשר ללקוחות לייצא את נתוני התראות האבטחה שלהם למערכות אחרות באמצעות API אחד. |
| ציד מתקדם (תצוגה מקדימה) | מידע על אירועי ביקורת בענן עבור פלטפורמות ענן שונות המוגנות על-ידי Defender for Cloud של הארגון זמין באמצעות הטבלה CloudAuditEventsבשלבי ציד מתקדמים. |
הערה
התראות מידע מ- Defender for Cloud אינן משולבות בפורטל Microsoft Defender כדי לאפשר התמקדות בהתראות הרלוונטיות ובהתראות ברמת חומרה גבוהה. אסטרטגיה זו מיעלת את הניהול של אירועים ומפחיתה את העייפות בהתראות.
השפעה על משתמשי Microsoft Sentinel
לקוחות Microsoft Sentinel שמשלבים אירועי XDR של Microsoft Defender וצורך שליחה של התראות Defender עבור ענן נדרשים כדי לבצע את שינויי התצורה הבאים כדי להבטיח שלא ייווצרו התראות ותקריות כפולות:
- חבר את מחבר Microsoft Defender for Cloud (Preview) המבוסס על דיירים כדי לסנכרן אוסף של התראות מכל המנויים שלך עם אירועי Defender עבור ענן המבוססים על דיירים המזרים דרך מחבר אירועי XDR של Microsoft Defender.
- נתק את מחבר ההתראות של Microsoft Defender for Cloud (דור קודם) המבוסס על המנוי כדי למנוע כפילויות של התראה.
- בטל את כל כללי הניתוח – מתוזמן (סוג שאילתה רגיל) או כללי אבטחה של Microsoft (יצירת אירועים) - המשמשים ליצירת אירועים מהתראות Defender for Cloud. אירועי Defender for Cloud נוצרים באופן אוטומטי בפורטל Defender ומסונכרנות עם Microsoft Sentinel.
- במידת הצורך, השתמש בכללי אוטומציה כדי לסגור אירועים רעשנים, או השתמש ביכולות הכוונון המוכללות בפורטל Defender כדי להעלים התראות מסוימות.
יש להוסיף רשום גם את השינוי הבא:
- הפעולה הקשורה להתראות לתקריות הפורטל של Microsoft Defender מוסרת.
קבל מידע נוסף בנושא Ingest Microsoft Defender for Cloud incidents עם שילוב XDR של Microsoft Defender.
ביטול התראות של Defender for Cloud
ההתראות עבור Defender for Cloud מופעלות כברירת מחדל. כדי לשמור על ההגדרות מבוססות המנוי שלך ולהימנע מסינכרון מבוסס-דיירים או לבטל את ההצטרפות לחוויה, בצע את השלבים הבאים:
- בפורטל Microsoft Defender, עבור אל הגדרות>XDR של Microsoft Defender.
- תחת הגדרות שירות התראה, חפש את התראות Microsoft Defender עבור ענן.
- בחר ללא התראות כדי לבטל את כל התראות Defender for Cloud. בחירה באפשרות זו מפסיקה את ההכללה של התראות Defender for Cloud חדשות לפורטל. התראות שהוכנסו בעבר נשארות בדף התראה או אירוע.
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.