Microsoft Defender for Cloud a Microsoft Defender portálon
Érintett szolgáltatás:
A Microsoft Defender for Cloud mostantól a Microsoft Defender XDR része. A biztonsági csapatok mostantól hozzáférhetnek a Felhőhöz készült Defender riasztásaihoz és incidenseihez a Microsoft Defender portálon, így gazdagabb környezetet biztosíthatnak a felhőalapú erőforrásokra, eszközökre és identitásokra kiterjedő vizsgálatokhoz. Emellett a biztonsági csapatok a riasztások és incidensek azonnali korrelációja révén teljes képet kaphatnak egy támadásról, beleértve a felhőkörnyezetükben előforduló gyanús és rosszindulatú eseményeket is.
A Microsoft Defender portál a védelmi, észlelési, vizsgálati és reagálási képességeket kombinálva védi az eszközre, az e-mailre, az együttműködésre, az identitásra és a felhőalkalmazásokra irányuló támadásokat. A portál észlelési és vizsgálati képességei mostantól ki vannak terjesztve a felhőbeli entitásokra, így a biztonsági üzemeltetési csapatok egyetlen panelt kínálnak a működési hatékonyságuk jelentős javításához.
Emellett a Felhőhöz készült Defender incidensei és riasztásai mostantól a Microsoft Defender XDR nyilvános API-jának részét képezik. Ez az integráció lehetővé teszi a biztonsági riasztások adatainak exportálását bármely rendszerbe egyetlen API használatával.
Előfeltételek
A Felhőhöz készült Defender-riasztásokhoz való hozzáférés biztosításához a Microsoft Defender portálon elő kell fizetnie az Azure-előfizetések csatlakoztatása szakaszban felsorolt csomagok bármelyikére.
Szükséges engedélyek
Megjegyzés:
A Felhőhöz készült Defender riasztásainak és korrelációinak megtekintésére vonatkozó engedély automatikus a teljes bérlőre vonatkozóan. Adott előfizetések megtekintése nem támogatott. A riasztás előfizetés-azonosító szűrőjével megtekintheti a felhőhöz készült Defender-riasztásokat, amelyek egy adott Felhőhöz készült Defender-előfizetéshez kapcsolódnak a riasztási és incidenssorokban. További információ a szűrőkről.
Az integráció csak a megfelelő Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlési (RBAC) szerepkör alkalmazásával érhető el a Felhőhöz készült Defenderhez. A Defender for Cloud riasztásainak és korrelációinak a Defender XDR unified RBAC nélküli megtekintéséhez globális rendszergazdának vagy biztonsági rendszergazdának kell lennie az Azure Active Directoryban.
Fontos
A globális rendszergazda kiemelt jogosultságokkal rendelkező szerepkör, amelynek olyan forgatókönyvekre kell korlátozódnia, amelyekben nem használhat meglévő szerepkört. A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában.
Vizsgálati élmény a Microsoft Defender portálon
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
A következő szakasz a Microsoft Defender portálon a Felhőhöz készült Defender-riasztásokkal kapcsolatos észlelési és vizsgálati élményt ismerteti.
| Terület | Leírás |
|---|---|
| Incidensek | A Felhőhöz készült Defender minden incidense integrálva lesz a Microsoft Defender portálra.
– A felhőbeli erőforrás-objektumok keresése az incidenssorban támogatott. – A támadási történet grafikonja megjeleníti a felhőbeli erőforrást. – Az incidensoldal Eszközök lapja megjeleníti a felhőbeli erőforrást. – Minden virtuális gép saját eszközoldallal rendelkezik, amely az összes kapcsolódó riasztást és tevékenységet tartalmazza. Más Defender számítási feladatok incidensei nem lesznek duplikációk. |
| Riasztások | A Felhőhöz készült Defender összes riasztása, beleértve a többfelhős, a belső és a külső szolgáltatók riasztását is, integrálva lesz a Microsoft Defender portálra. A Felhőhöz készült Defender riasztásai megjelennek a Microsoft Defender portál riasztási várólistáján.
A felhőbeli erőforrás-objektum megjelenik egy riasztás Eszköz lapján. Az erőforrások egyértelműen Azure-, Amazon- vagy Google Cloud-erőforrásként vannak azonosítva. A Felhőhöz készült Defender riasztásai automatikusan társítva lesznek egy bérlőhöz. Más Defender számítási feladatok riasztásai nem lesznek duplikálásban. |
| Riasztások és incidensek korrelációja | A riasztások és incidensek automatikusan korrelálnak, és robusztus kontextust biztosítanak a biztonsági üzemeltetési csapatok számára a felhőkörnyezet teljes támadási történetének megértéséhez. |
| Fenyegetésészlelés | A virtuális entitások és az eszközentitások pontos egyeztetése a pontosság és a hatékony fenyegetésészlelés biztosítása érdekében. |
| Unified API | A Felhőhöz készült Defender riasztásai és incidensei mostantól megtalálhatók a Microsoft Defender XDR nyilvános API-jában, így az ügyfelek egyetlen API-val exportálhatják a biztonsági riasztások adatait más rendszerekbe. |
| Speciális veszélyforrás-keresés (előzetes verzió) | A szervezet Felhőhöz készült Defenderje által védett különböző felhőplatformok felhőbeli naplózási eseményeire vonatkozó információk a CloudAuditEvents táblán keresztül érhetők el a speciális veszélyforrás-keresésben. |
Megjegyzés:
A Felhőhöz készült Defender tájékoztató riasztásai nincsenek integrálva a Microsoft Defender portálra, így a releváns és nagy súlyosságú riasztásokra összpontosíthat. Ez a stratégia leegyszerűsíti az incidensek kezelését, és csökkenti a riasztások kimerültségét.
A Microsoft Sentinel felhasználóira gyakorolt hatás
A Microsoft Defender XDR-incidenseket integrálóÉs a Felhőhöz készült Defender-riasztások betöltését integráló Microsoft Sentinel-ügyfeleknek a következő konfigurációs módosításokat kell végrehajtaniuk, hogy a rendszer ne hozzon létre ismétlődő riasztásokat és incidenseket:
- Csatlakoztassa a bérlőalapú Microsoft Defender for Cloud (előzetes verzió) összekötőt, hogy szinkronizálja az összes előfizetés riasztásainak gyűjteményét a Microsoft Defender XDR Incidensek összekötőn keresztül streamelt bérlőalapú Defender for Cloud-incidensekkel.
- Válassza le az előfizetés-alapú Microsoft Defender for Cloud (örökölt) riasztások összekötőt a riasztások ismétlődésének elkerülése érdekében.
- Kapcsolja ki a Felhőhöz készült Defender riasztásaiból az incidensek létrehozásához használt elemzési szabályokat – akár ütemezett (normál lekérdezéstípusú) vagy Microsoft biztonsági (incidens-létrehozási) szabályokat. A Felhőhöz készült Defender incidensek automatikusan létrejönnek a Defender portálon, és szinkronizálódnak a Microsoft Sentinellel.
- Szükség esetén automatizálási szabályokkal zárja be a zajos incidenseket, vagy használja a Defender portál beépített hangolási képességeit bizonyos riasztások letiltásához.
A következő módosítást is meg kell jegyezni:
- A riasztások a Microsoft Defender portál incidenseihez való kapcsolására irányuló művelet el lesz távolítva.
További információ: A Microsoft Defender for Cloud incidenseinek betöltése a Microsoft Defender XDR-integrációval.
A Felhőhöz készült Defender riasztásainak kikapcsolása
A Felhőhöz készült Defender riasztásai alapértelmezés szerint be vannak kapcsolva. Az előfizetés-alapú beállítások fenntartásához és a bérlőalapú szinkronizálás elkerüléséhez vagy a felhasználói élmény letiltásához hajtsa végre az alábbi lépéseket:
- A Microsoft Defender portálon lépjen a Beállítások>Microsoft Defender XDR elemre.
- A Riasztási szolgáltatás beállításai között keresse meg a Felhőhöz készült Microsoft Defender-riasztásokat.
- Válassza a Nincs riasztás lehetőséget a Felhőhöz készült Defender összes riasztásának kikapcsolásához. Ha ezt a lehetőséget választja, azzal leállítja az új Felhőhöz készült Defender-riasztások betöltését a portálon. A korábban betöltött riasztások egy riasztási vagy incidensoldalon maradnak.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.