Pemberitahuan dan insiden di Microsoft Defender XDR
Microsoft Defender untuk Cloud sekarang terintegrasi dengan Pertahanan Microsoft XDR. Integrasi ini memungkinkan tim keamanan untuk mengakses pemberitahuan dan insiden Defender untuk Cloud dalam Portal Pertahanan Microsoft. Integrasi ini menyediakan konteks yang lebih kaya untuk penyelidikan yang mencakup sumber daya, perangkat, dan identitas cloud.
Kemitraan dengan Microsoft Defender XDR memungkinkan tim keamanan untuk mendapatkan gambaran lengkap tentang serangan, termasuk peristiwa mencurigakan dan berbahaya yang terjadi di lingkungan cloud mereka. Tim keamanan dapat mencapai tujuan ini melalui korelasi langsung pemberitahuan dan insiden.
Microsoft Defender XDR menawarkan solusi komprehensif yang menggabungkan kemampuan perlindungan, deteksi, investigasi, dan respons. Solusi ini melindungi dari serangan pada perangkat, email, kolaborasi, identitas, dan aplikasi cloud. Kemampuan deteksi dan investigasi kami sekarang diperluas ke entitas cloud, menawarkan tim operasi keamanan satu panel kaca untuk secara signifikan meningkatkan efisiensi operasional mereka.
Insiden dan pemberitahuan sekarang menjadi bagian dari API publik Microsoft Defender XDR. Integrasi ini memungkinkan ekspor data pemberitahuan keamanan ke sistem apa pun menggunakan satu API. Sebagai Microsoft Defender untuk Cloud, kami berkomitmen untuk menyediakan solusi keamanan terbaik kepada pengguna kami, dan integrasi ini adalah langkah signifikan untuk mencapai tujuan tersebut.
Pengalaman investigasi di Pertahanan Microsoft XDR
Tabel berikut ini menjelaskan pengalaman deteksi dan investigasi di Microsoft Defender XDR dengan pemberitahuan Defender untuk Cloud.
| Area | Deskripsi |
|---|---|
| Insiden | Semua insiden Defender untuk Cloud diintegrasikan ke Microsoft Defender XDR. - Mencari aset sumber daya cloud dalam antrean insiden didukung. - Grafik cerita serangan menunjukkan sumber daya cloud. - Tab aset di halaman insiden menunjukkan sumber daya cloud. - Setiap komputer virtual memiliki halaman entitasnya sendiri yang berisi semua pemberitahuan dan aktivitas terkait. Tidak ada duplikasi insiden dari beban kerja Defender lainnya. |
| Peringatan | Semua pemberitahuan Defender untuk Cloud, termasuk pemberitahuan multicloud, penyedia internal dan eksternal, terintegrasi ke Microsoft Defender XDR. Pemberitahuan Defenders for Cloud ditampilkan pada antrean pemberitahuan Microsoft Defender XDR. Microsoft Defender XDR Aset cloud resource muncul di tab Aset pemberitahuan. Sumber daya diidentifikasi dengan jelas sebagai sumber daya Azure, Amazon, atau Google Cloud. Pemberitahuan Defenders for Cloud secara otomatis dikaitkan dengan penyewa. Tidak ada duplikasi pemberitahuan dari beban kerja Defender lainnya. |
| Korelasi pemberitahuan dan insiden | Pemberitahuan dan insiden secara otomatis berkorelasi, memberikan konteks yang kuat kepada tim operasi keamanan untuk memahami kisah serangan lengkap di lingkungan cloud mereka. |
| Deteksi ancaman | Pencocokan entitas virtual yang akurat dengan entitas perangkat untuk memastikan deteksi ancaman yang presisi dan efektif. |
| API Terpadu | Defender untuk Cloud pemberitahuan dan insiden sekarang disertakan dalam API publik Microsoft Defender XDR, memungkinkan pelanggan untuk mengekspor data pemberitahuan keamanan mereka ke sistem lain menggunakan satu API. |
Pelajari selengkapnya tentang menangani pemberitahuan di Microsoft Defender XDR.
Pelanggan Sentinel
Pelanggan Microsoft Azure Sentinel dapat memperoleh manfaat dari integrasi Defender untuk Cloud dengan Pertahanan Microsoft 365 di ruang kerja mereka menggunakan konektor insiden dan pemberitahuan Pertahanan Microsoft 365.
Pertama, Anda perlu mengaktifkan integrasi insiden di konektor Pertahanan Microsoft 365 Anda.
Kemudian, aktifkan Tenant-based Microsoft Defender for Cloud (Preview) konektor untuk menyinkronkan langganan Anda dengan insiden Defender untuk Cloud berbasis penyewa Anda untuk melakukan streaming melalui konektor insiden Pertahanan Microsoft 365.
Konektor tersedia melalui solusi Microsoft Defender untuk Cloud, versi 3.0.0, di Hub Konten. Jika Anda memiliki versi solusi yang lebih lama, Anda dapat meningkatkannya di Hub Konten.
Jika Anda mengaktifkan konektor pemberitahuan Microsoft Defender untuk Cloud berbasis langganan warisan (yang ditampilkan sebagai Subscription-based Microsoft Defender for Cloud (Legacy)), kami sarankan Anda memutuskan sambungan konektor untuk mencegah pemberitahuan duplikat di log Anda.
Sebaiknya nonaktifkan aturan analitik yang diaktifkan (baik terjadwal atau melalui aturan pembuatan Microsoft), dari membuat insiden dari pemberitahuan Defender untuk Cloud Anda.
Anda dapat menggunakan aturan otomatisasi untuk segera menutup insiden dan mencegah jenis pemberitahuan Defender untuk Cloud tertentu menjadi insiden. Anda juga dapat menggunakan kemampuan penyetelan bawaan di portal Pertahanan Microsoft 365 untuk mencegah pemberitahuan menjadi insiden.
Pelanggan yang mengintegrasikan insiden Pertahanan Microsoft 365 mereka ke Sentinel dan ingin mempertahankan pengaturan berbasis langganan mereka dan menghindari sinkronisasi berbasis penyewa dapat menolak menyinkronkan insiden dan pemberitahuan melalui konektor Pertahanan Microsoft 365.
Pelajari cara Defender untuk Cloud dan Pertahanan Microsoft 365 menangani privasi data Anda.