Megosztás a következőn keresztül:

Felhőhöz készült Microsoft Defender incidensek betöltése a Microsoft Defender XDR-integrációval

  • Cikk

Felhőhöz készült Microsoft Defender mostantól integrálva van a Microsoft Defender XDR-sel, korábbi nevén Microsoft 365 Defenderrel. Ez az integráció lehetővé teszi a Defender XDR számára, hogy riasztásokat gyűjtsön a Felhőhöz készült Defender és létrehozhasson Defender XDR-incidenseket tőlük.

Ennek az integrációnak köszönhetően a Defender XDR-incidensek integrációját engedélyező Microsoft Sentinel-ügyfelek mostantól betölthetik és szinkronizálhatják Felhőhöz készült Defender incidenseket a Microsoft Defender XDR-n keresztül.

Az integráció támogatásához az alábbi Felhőhöz készült Microsoft Defender adatösszekötők egyikét kell beállítania, ellenkező esetben a Microsoft Defender XDR-összekötőn keresztül érkező Felhőhöz készült Microsoft Defender incidensei nem jelenítik meg a hozzájuk tartozó riasztásokat és entitásokat:

  • A Microsoft Sentinel új bérlőalapú Felhőhöz készült Microsoft Defender (előzetes verzió) összekötővel rendelkezik. Ez az összekötő lehetővé teszi, hogy a Microsoft Sentinel ügyfelei Felhőhöz készült Defender riasztásokat kapjanak a teljes bérlőjükön anélkül, hogy az összekötő regisztrációját monitorozniuk és fenntartaniuk kellene az összes Felhőhöz készült Defender-előfizetésükben. Javasoljuk, hogy használja ezt az új összekötőt, mivel a Microsoft Defender XDR integrációja Felhőhöz készült Microsoft Defender bérlői szinten is implementálva van.

  • Másik lehetőségként használhatja az előfizetés-alapú Felhőhöz készült Microsoft Defender (örökölt) összekötőt. Ez az összekötő nem ajánlott, mert ha olyan Felhőhöz készült Defender előfizetéssel rendelkezik, amely nem csatlakozik a Microsoft Sentinelhez az összekötőben, az előfizetések incidensei nem jelenítik meg a hozzájuk tartozó riasztásokat és entitásokat.

A fent említett mindkét összekötő használható Felhőhöz készült Defender riasztások betöltésére, függetlenül attól, hogy engedélyezve van-e a Defender XDR incidensintegrációja.

Fontos

Az integráció és az új összekötő használatának kiválasztása

Az integráció használata, valamint a teljes incidensek vagy csak a riasztások betöltésének lehetősége nagyban függ attól, hogy mit csinál már a Microsoft Defender XDR-incidensekkel kapcsolatban.

  • Ha már betölti a Defender XDR-incidenseket, vagy ha most kezdi el ezt megtenni, javasoljuk, hogy engedélyezze ezt az új bérlőalapú összekötőt. A Defender XDR-incidensek mostantól Felhőhöz készült Defender-alapú incidenseket tartalmaznak a bérlő összes Felhőhöz készült Defender-előfizetéséből származó teljes körűen kitöltött riasztásokkal.

    Ha ebben a helyzetben az örökölt előfizetés-alapú Felhőhöz készült Defender-összekötővel marad, és nem csatlakoztatja az új bérlőalapú összekötőt, Felhőhöz készült Defender olyan incidenseket kaphat, amelyek üres riasztásokat tartalmaznak (olyan előfizetés esetén, amelyre az összekötő nincs regisztrálva).

  • Ha nem kívánja engedélyezni a Microsoft Defender XDR incidensintegrációját, akkor is kaphat Felhőhöz készült Defender riasztásokat, függetlenül attól, hogy az összekötő melyik verzióját engedélyezi. Az új bérlőalapú összekötő azonban továbbra is biztosítja azt az előnyt, hogy nincs szüksége az összekötőben lévő Felhőhöz készült Defender-előfizetések listájának figyeléséhez és karbantartásához szükséges engedélyekre.

  • Ha engedélyezte a Defender XDR-integrációt, de csak Felhőhöz készült Defender riasztásokat szeretne kapni, incidenseket azonban nem, automatizálási szabályokkal azonnal lezárhatja Felhőhöz készült Defender incidenseket.

    Ha ez nem megfelelő megoldás, vagy ha továbbra is előfizetésenként szeretne riasztásokat gyűjteni Felhőhöz készült Defender, teljesen kikapcsolhatja a Felhőhöz készült Defender integrációt a Microsoft Defender XDR portálon, majd használhatja a régi, előfizetés-alapú verziót Felhőhöz készült Defender összekötőt a riasztások fogadásához.

Az integráció beállítása a Microsoft Sentinelben

Ha még nem engedélyezte az incidensek integrációját a Microsoft 365 Defender-összekötőben, először tegye meg.

Ezután engedélyezze az új bérlőalapú Felhőhöz készült Microsoft Defender (előzetes verzió) összekötőt. Ez az összekötő a Content Hub Felhőhöz készült Microsoft Defender 3.0.0-s verzióján keresztül érhető el. Ha rendelkezik a megoldás egy korábbi verziójával, frissítheti a tartalomközpontban.

Ha korábban engedélyezte az örökölt, előfizetés-alapú Felhőhöz készült Defender-összekötőt (amely előfizetés-alapú Felhőhöz készült Microsoft Defender (örökölt)ként jelenik meg, akkor javasoljuk, hogy tiltsa le, hogy ne ismétlődjenek meg a riasztások a naplókban.

Ha rendelkezik olyan ütemezett vagy Microsoft Security-elemzési szabályokkal, amelyek incidenseket hoznak létre Felhőhöz készült Defender riasztásokból, javasoljuk, hogy tiltsa le ezeket a szabályokat, mivel a Microsoft 365 Defender által létrehozott és szinkronizált kész incidenseket fog kapni.

Ha vannak bizonyos típusú Felhőhöz készült Defender riasztások, amelyekhez nem szeretne incidenseket létrehozni, automatizálási szabályokkal azonnal bezárhatja ezeket az incidenseket, vagy használhatja a beépített hangolási képességeket a Microsoft 365 Defender portálon.

Következő lépések

Ebben a cikkben megtanulta, hogyan használhatja Felhőhöz készült Microsoft Defender Microsoft Defender XDR-vel való integrációját incidensek és riasztások Microsoft Sentinelbe való betöltéséhez.

További információ a Microsoft Defender XDR Felhőhöz készült Microsoft Defender integrációjáról.