Riasztások és incidensek a Microsoft Defender XDR-ben
Felhőhöz készült Microsoft Defender mostantól integrálva van a Microsoft Defender XDR-sel. Ez az integráció lehetővé teszi, hogy a biztonsági csapatok hozzáférjenek Felhőhöz készült Defender riasztásokhoz és incidensekhez a Microsoft Defender portálon. Ez az integráció gazdagabb környezetet biztosít a felhőalapú erőforrásokat, eszközöket és identitásokat felölelő vizsgálatokhoz.
A Microsoft Defender XDR-szel való együttműködés lehetővé teszi, hogy a biztonsági csapatok teljes képet kaphassanak egy támadásról, beleértve a felhőkörnyezetükben előforduló gyanús és rosszindulatú eseményeket is. A biztonsági csapatok a riasztások és incidensek azonnali korrelációjával érik el ezt a célt.
A Microsoft Defender XDR átfogó megoldást kínál, amely egyesíti a védelmi, észlelési, vizsgálati és válaszképességeket. A megoldás védelmet nyújt az eszközök, az e-mailek, az együttműködés, az identitás és a felhőalkalmazások elleni támadások ellen. Észlelési és vizsgálati képességeink mostantól ki vannak terjesztve a felhőbeli entitásokra, így a biztonsági üzemeltetési csapatok egyetlen üvegablakot kínálnak a működési hatékonyságuk jelentős javítása érdekében.
Az incidensek és riasztások mostantól a Microsoft Defender XDR nyilvános API-jának részét képezik. Ez az integráció lehetővé teszi a biztonsági riasztások adatainak exportálását bármely rendszerbe egyetlen API használatával. Ahogy Felhőhöz készült Microsoft Defender, elkötelezettek vagyunk a felhasználók számára a lehető legjobb biztonsági megoldások biztosítása mellett, és ez az integráció jelentős lépés e cél elérése felé.
A Microsoft Defender XDR vizsgálati tapasztalatai
Az alábbi táblázat a Microsoft Defender XDR észlelési és vizsgálati tapasztalatait ismerteti Felhőhöz készült Defender riasztásokkal.
Terület | Leírás |
---|---|
Incidensek | Minden Felhőhöz készült Defender incidens integrálva van a Microsoft Defender XDR-be. – A felhőbeli erőforrás-objektumok keresése az incidenssorban támogatott. - A támadási történet grafikonja a felhőbeli erőforrást mutatja. – Az incidensoldal Eszközök lapja a felhőbeli erőforrást jeleníti meg. - Minden virtuális gép saját entitásoldallal rendelkezik, amely az összes kapcsolódó riasztást és tevékenységet tartalmazza. Más Defender-számítási feladatok incidensei nem ismétlődnek. |
Riasztások | Minden Felhőhöz készült Defender riasztás, beleértve a többfelhős, belső és külső szolgáltatók riasztását, integrálva van a Microsoft Defender XDR-be. A Defenders for Cloud riasztások megjelennek a Microsoft Defender XDR riasztási üzenetsorán. Microsoft Defender XDR Az cloud resource objektum megjelenik egy riasztás Eszköz lapján. Az erőforrások egyértelműen Azure-, Amazon- vagy Google Cloud-erőforrásként vannak azonosítva. A felhőbeli riasztások defenderei automatikusan társítva lesznek egy bérlőhöz. Más Defender-számítási feladatok riasztásai nem ismétlődnek. |
Riasztások és incidensek korrelációja | A riasztások és incidensek automatikusan korrelálnak, és robusztus környezetet biztosítanak a biztonsági műveleti csapatoknak a felhőkörnyezet teljes támadási történetének megértéséhez. |
Fenyegetések észlelése | A virtuális entitások és az eszközentitások pontos egyeztetése a pontosság és a hatékony fenyegetésészlelés érdekében. |
Egyesített API | Felhőhöz készült Defender riasztások és incidensek mostantól a A Microsoft Defender XDR nyilvános API-ja lehetővé teszi, hogy az ügyfelek egy API használatával exportálhassák a biztonsági riasztások adatait más rendszerekbe. |
További információ a Riasztások kezeléséről a Microsoft Defender XDR-ben.
Sentinel-ügyfelek
A Microsoft Sentinel ügyfelei a Microsoft 365 Defender incidensek és riasztások összekötőjével élvezhetik a Microsoft 365 Defenderrel való Felhőhöz készült Defender integrációt a munkaterületükön.
Először engedélyeznie kell az incidensek integrációját a Microsoft 365 Defender-összekötőben.
Ezután engedélyezze az Tenant-based Microsoft Defender for Cloud (Preview)
összekötőnek, hogy szinkronizálja az előfizetéseit a bérlőalapú Felhőhöz készült Defender incidensekkel a Microsoft 365 Defender incidensek összekötőjén keresztül történő streameléshez.
Az összekötő a Content Hub Felhőhöz készült Microsoft Defender 3.0.0-s verzióján keresztül érhető el. Ha rendelkezik a megoldás egy korábbi verziójával, frissítheti azt a Content Hubban.
Ha engedélyezve van az örökölt előfizetés-alapú Felhőhöz készült Microsoft Defender-riasztások összekötője (amely így jelenik megSubscription-based Microsoft Defender for Cloud (Legacy)
), javasoljuk, hogy bontsa le az összekötőt, hogy megakadályozza a riasztások duplikálását a naplókban.
Javasoljuk, hogy tiltsa le az engedélyezett elemzési szabályokat (akár ütemezett, akár a Microsoft létrehozási szabályain keresztül), hogy incidenseket hozzon létre a Felhőhöz készült Defender riasztásokból.
Automatizálási szabályokkal azonnal lezárhatja az incidenseket, és megakadályozhatja, hogy bizonyos típusú Felhőhöz készült Defender riasztások incidensekké váljanak. A Microsoft 365 Defender portál beépített hangolási képességeivel megakadályozhatja, hogy a riasztások incidensekká váljanak.
Azok az ügyfelek, akik a Microsoft 365 Defender-incidenseiket integrálták a Sentinelbe, és meg szeretnék tartani az előfizetés-alapú beállításokat, és szeretnék elkerülni a bérlőalapú szinkronizálást, a Microsoft 365 Defender-összekötőn keresztül letilthatják az incidensek és riasztások szinkronizálását.
Megtudhatja, hogyan kezeli a Felhőhöz készült Defender és a Microsoft 365 Defender az adatok védelmét.