Microsoft Defender for Cloud az Microsoft Defender portálon
Érintett szolgáltatás:
Microsoft Defender for Cloud mostantól a Microsoft Defender XDR része. A biztonsági csapatok mostantól hozzáférhetnek a Felhőhöz készült Defender riasztásaihoz és incidenseihez a Microsoft Defender portálon, így részletesebb kontextust biztosíthatnak a felhőalapú erőforrásokra, eszközökre és identitásokra kiterjedő vizsgálatokhoz. Emellett a biztonsági csapatok a riasztások és incidensek azonnali korrelációja révén teljes képet kaphatnak egy támadásról, beleértve a felhőkörnyezetükben előforduló gyanús és rosszindulatú eseményeket is.
A Microsoft Defender portál a védelmi, észlelési, vizsgálati és reagálási képességeket kombinálva védi az eszközre, az e-mailre, az együttműködésre, az identitásra és a felhőalkalmazásokra irányuló támadásokat. A portál észlelési és vizsgálati képességei mostantól ki vannak terjesztve a felhőbeli entitásokra, így a biztonsági üzemeltetési csapatok egyetlen panelt kínálnak a működési hatékonyságuk jelentős javításához.
Emellett a Felhőhöz készült Defender incidensei és riasztásai mostantól Microsoft Defender XDR nyilvános API-jának részét képezik. Ez az integráció lehetővé teszi a biztonsági riasztások adatainak exportálását bármely rendszerbe egyetlen API használatával.
Előfeltételek
A Felhőhöz készült Defender-riasztásokhoz való hozzáférés biztosításához az Microsoft Defender portálon elő kell fizetnie az Azure-előfizetések csatlakoztatása című szakaszban felsorolt csomagok egyikére.
Szükséges engedélyek
A Felhőhöz készült Defender riasztásainak és korrelációinak megtekintéséhez globális rendszergazdának vagy biztonsági rendszergazdának kell lennie az Azure Active Directoryban. Az ilyen szerepkörök nélküli felhasználók esetében az integráció csak a Felhőhöz készült Defender egyesített szerepköralapú hozzáférés-vezérlési (RBAC) szerepköreinek alkalmazásával érhető el.
Megjegyzés:
A Felhőhöz készült Defender riasztásainak és korrelációinak megtekintésére vonatkozó engedély automatikus a teljes bérlőre vonatkozóan. Adott előfizetések megtekintése nem támogatott.
Vizsgálati élmény a Microsoft Defender portálon
A következő szakasz a felhőhöz készült Defender-riasztásokat tartalmazó Microsoft Defender portál észlelési és vizsgálati élményét ismerteti.
Megjegyzés:
A Felhőhöz készült Defender tájékoztató riasztásai nem integrálódnak a Microsoft Defender portálra, így a releváns és nagy súlyosságú riasztásokra összpontosíthat. Ez a stratégia leegyszerűsíti az incidensek kezelését, és csökkenti a riasztások kimerültségét.
| Terület | Leírás |
|---|---|
| Incidensek | A Felhőhöz készült Defender összes incidense integrálva lesz a Microsoft Defender portálra. – A felhőbeli erőforrás-objektumok keresése az incidenssorban támogatott. – A támadási történet grafikonja megjeleníti a felhőbeli erőforrást. – Az incidensoldal Eszközök lapja megjeleníti a felhőbeli erőforrást. – Minden virtuális gép saját eszközoldallal rendelkezik, amely az összes kapcsolódó riasztást és tevékenységet tartalmazza. Más Defender számítási feladatok incidensei nem lesznek duplikációk. |
| Riasztások | A Felhőhöz készült Defender összes riasztása, beleértve a többfelhős, a belső és a külső szolgáltatók riasztását is, integrálva lesz a Microsoft Defender portálra. A Felhőhöz készült Defender riasztásai megjelennek a Microsoft Defender portál riasztási várólistáján. A felhőbeli erőforrás-objektum megjelenik egy riasztás Eszköz lapján. Az erőforrások egyértelműen Azure-, Amazon- vagy Google Cloud-erőforrásként vannak azonosítva.A Felhőhöz készült Defender riasztásai automatikusan társítva lesznek egy bérlőhöz.Más Defender számítási feladatok riasztásai nem lesznek duplikálásban. |
| Riasztások és incidensek korrelációja | A riasztások és incidensek automatikusan korrelálnak, és robusztus kontextust biztosítanak a biztonsági üzemeltetési csapatok számára a felhőkörnyezet teljes támadási történetének megértéséhez. |
| Fenyegetésészlelés | A virtuális entitások és az eszközentitások pontos egyeztetése a pontosság és a hatékony fenyegetésészlelés biztosítása érdekében. |
| Unified API | A Felhőhöz készült Defender riasztásai és incidensei mostantól megtalálhatók Microsoft Defender XDR nyilvános API-jában, így az ügyfelek egyetlen API-val exportálhatják a biztonsági riasztások adatait más rendszerekbe. |
A Microsoft Sentinel felhasználóira gyakorolt hatás
A Microsoft Sentinel-ügyfeleknek integrálniuk kell Microsoft Defender XDR incidenseketés a Felhőhöz készült Defender-riasztásokat, hogy a következő konfigurációs módosításokat hajthassák végre, hogy a rendszer ne hozzon létre ismétlődő riasztásokat és incidenseket:
- Csatlakoztassa a bérlőalapú Microsoft Defender for Cloud (előzetes verzió) összekötőt, hogy szinkronizálja az összes előfizetés riasztásainak gyűjteményét a Microsoft Defender XDR Incidensek összekötőn keresztül streamelt bérlőalapú Defender for Cloud-incidensekkel.
- Válassza le az Előfizetés-alapú Microsoft Defender a Felhőhöz (örökölt) riasztások összekötőt a riasztások ismétlődésének elkerülése érdekében.
- Kapcsolja ki a Felhőhöz készült Defender riasztásaiból az incidensek létrehozásához használt elemzési szabályokat – akár ütemezett (normál lekérdezéstípusú) vagy Microsoft biztonsági (incidens-létrehozási) szabályokat. A Felhőhöz készült Defender incidensek automatikusan létrejönnek a Defender portálon, és szinkronizálódnak a Microsoft Sentinellel.
- Szükség esetén automatizálási szabályokkal zárja be a zajos incidenseket, vagy használja a Defender portál beépített hangolási képességeit bizonyos riasztások letiltásához.
A következő módosítást is meg kell jegyezni:
- A riasztások a Microsoft Defender portál incidenseihez való kapcsolására irányuló művelet el lesz távolítva.
További információ: Microsoft Defender betöltése felhőbeli incidensekhez Microsoft Defender XDR integrációval.
A Felhőhöz készült Defender riasztásainak kikapcsolása
A Felhőhöz készült Defender riasztásai alapértelmezés szerint be vannak kapcsolva. Az előfizetés-alapú beállítások fenntartásához és a bérlőalapú szinkronizálás elkerüléséhez vagy a felhasználói élmény letiltásához hajtsa végre az alábbi lépéseket:
- A Microsoft Defender portálon válassza a Beállítások>Microsoft Defender XDR lehetőséget.
- A Riasztási szolgáltatás beállításai között keresse meg a felhőbeli riasztások Microsoft Defender.
- Válassza a Nincs riasztás lehetőséget a Felhőhöz készült Defender összes riasztásának kikapcsolásához. Ha ezt a lehetőséget választja, azzal leállítja az új Felhőhöz készült Defender-riasztások betöltését a portálon. A korábban betöltött riasztások egy riasztási vagy incidensoldalon maradnak.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: