Menyerap pemberitahuan Microsoft Defender untuk Cloud ke Microsoft Azure Sentinel

perlindungan beban kerja cloud terintegrasi Microsoft Defender untuk Cloud memungkinkan Anda mendeteksi dan merespons ancaman dengan cepat di seluruh beban kerja hibrid dan multicloud. Konektor Microsoft Defender untuk Cloud memungkinkan Anda menyerap pemberitahuan keamanan dari Defender untuk Cloud ke Microsoft Azure Sentinel, sehingga Anda dapat melihat, menganalisis, dan menanggapi pemberitahuan Defender, dan insiden yang dihasilkan, dalam konteks ancaman organisasi yang lebih luas.

Microsoft Defender untuk Cloud paket Defender diaktifkan per langganan. Meskipun konektor warisan Microsoft Sentinel untuk aplikasi Defender untuk Cloud juga dikonfigurasi per langganan, konektor Microsoft Defender untuk Cloud berbasis penyewa, dalam pratinjau, memungkinkan Anda mengumpulkan Defender untuk Cloud pemberitahuan atas seluruh penyewa Anda tanpa harus mengaktifkan setiap langganan secara terpisah. Konektor berbasis penyewa juga bekerja dengan integrasi Defender untuk Cloud dengan Microsoft Defender XDR untuk memastikan bahwa semua pemberitahuan Defender untuk Cloud Anda sepenuhnya disertakan dalam insiden apa pun yang Anda terima melalui integrasi insiden Microsoft Defender XDR.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Sinkronisasi pemberitahuan

• Saat Anda menghubungkan Pertahanan Microsoft untuk Cloud ke Microsoft Azure Sentinel, status pemberitahuan keamanan yang diserap ke dalam Microsoft Azure Sentinel disinkronkan di antara kedua layanan tersebut. Jadi, misalnya, saat pemberitahuan ditutup di Defender for Cloud, pemberitahuan itu juga akan tampil dengan kondisi tertutup di Microsoft Sentinel.

• Mengubah status pemberitahuan di Pertahanan Microsoft untuk Cloud tidak akan memengaruhi status insiden Microsoft Azure Sentinel apa pun yang berisi pemberitahuan Microsoft Azure Sentinel, hanya pemberitahuan itu sendiri.

Sinkronisasi pemberitahuan dua arah

Mengaktifkan sinkronisasi dua arah akan secara otomatis menyinkronkan status pemberitahuan keamanan awal dengan insiden Microsoft Azure Sentinel yang berisi pemberitahuan tersebut. Jadi, misalnya, saat insiden Microsoft Azure Sentinel yang berisi pemberitahuan keamanan ditutup, peringatan awal yang sesuai akan ditutup di Pertahanan Microsoft untuk Cloud secara otomatis.

Prasyarat

• Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.

• Anda harus memiliki peran Kontributor atau Pemilik pada langganan yang ingin Anda sambungkan ke Microsoft Sentinel.

• Anda perlu mengaktifkan setidaknya satu paket dalam Pertahanan Microsoft untuk Cloud untuk setiap langganan tempat Anda ingin mengaktifkan konektor. Untuk mengaktifkan paket Pertahanan Microsoft, Anda harus memiliki peran Admin Keamanan untuk langganan tersebut.

• Anda akan memerlukan SecurityInsights penyedia sumber daya untuk didaftarkan untuk setiap langganan tempat Anda ingin mengaktifkan konektor. Tinjau panduan tentang status pendaftaran penyedia sumber daya dan cara untuk mendaftarkannya.

• Untuk mengaktifkan sinkronisasi dua arah, Anda harus memiliki peran Kontributor atau Admin Keamanan pada langganan yang relevan.

• Instal solusi untuk Microsoft Defender untuk Cloud dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Terhubung ke Pertahanan Microsoft untuk Cloud

1. Setelah menginstal solusi, di Microsoft Azure Sentinel, pilih Konektor Data Konfigurasi>.

2. Dari halaman Konektor data, pilih konektor Microsoft Defender untuk Cloud berbasis Langganan (Warisan) atau konektor Microsoft Defender untuk Cloud berbasis Penyewa (Pratinjau), lalu pilih Buka halaman konektor.

3. Di bagian Konfigurasi, Anda akan melihat daftar langganan di penyewa Anda, dan status koneksinya ke Pertahanan Microsoft untuk Cloud. Pilih tombol Status di samping setiap langganan yang pemberitahuannya ingin dialirkan ke Microsoft Azure Sentinel. Jika Anda ingin menghubungkan beberapa langganan sekaligus, Anda dapat melakukan ini dengan menandai kotak centang di samping langganan yang relevan dan kemudian memilih tombol Hubungkan pada bilah di atas daftar.

   • Kotak centang dan Tombol sambungkan hanya aktif pada langganan tempat Anda memiliki izin yang diperlukan.
   • Tombol Sambungkan hanya aktif jika setidaknya satu kotak centang langganan telah ditandai.

4. Untuk mengaktifkan sinkronisasi dua arah pada langganan, cari langganan dalam daftar, lalu pilih Aktif dari menu drop-down di kolom Sinkronisasi dua arah. Untuk mengaktifkan sinkronisasi dua arah pada beberapa langganan sekaligus, tandai kotak centang mereka dan pilih tombol Aktifkan sinkronisasi dua arah pada bilah di atas daftar.

   • Kotak centang dan daftar tarik-turun hanya akan aktif pada langganan tempat Anda memiliki izin yang diperlukan.
   • Tombol Aktifkan sinkronisasi dua arah hanya akan aktif jika setidaknya satu kotak centang langganan telah ditandai.

5. Di kolom Paket Pertahanan Microsoft dari daftar, Anda dapat melihat apakah paket Pertahanan Microsoft diaktifkan di langganan Anda (prasyarat untuk mengaktifkan konektor).

   Nilai untuk setiap langganan di kolom ini kosong (artinya tidak ada paket Defender yang diaktifkan), Semua diaktifkan, atau Beberapa diaktifkan. Mereka yang mengatakan Beberapa diaktifkan juga memiliki tautan Aktifkan semua yang dapat Anda pilih, yang akan membawa Anda ke dasbor konfigurasi Microsoft Defender untuk Cloud Anda untuk langganan tersebut, di mana Anda dapat memilih paket Defender untuk diaktifkan.

   Tombol tautan Aktifkan Pertahanan Microsoft untuk semua langganan pada bilah di atas daftar akan mengarahkan Anda ke halaman Memulai Pertahanan Microsoft untuk Cloud, tempat Anda dapat memilih langganan untuk mengaktifkan Pertahanan Microsoft untuk Cloud sekaligus. Contohnya:

   

6. Anda dapat memilih apakah Anda ingin pemberitahuan dari Pertahanan Microsoft untuk Cloud menghasilkan insiden di Microsoft Azure Sentinel secara otomatis. Di bawah Buat insiden, pilih Diaktifkan untuk mengaktifkan aturan analitik default yang akan secara otomatis membuat insiden dari pemberitahuan. Anda kemudian dapat mengedit aturan ini di bagian Analitik, di tab Aturan aktif.

   Tip

   Saat mengonfigurasi aturan analitik kustom untuk pemberitahuan dari Pertahanan Microsoft untuk Cloud, pertimbangkan keparahan pemberitahuan agar tidak membuka insiden untuk pemberitahuan informatif.

   Pemberitahuan informatif di Pertahanan Microsoft untuk Cloud tidak mewakili risiko keamanan sendiri, dan hanya relevan dalam konteks insiden terbuka yang sudah ada. Untuk informasi selengkapnya, lihat Pemberitahuan dan insiden keamanan di Pertahanan Microsoft untuk Cloud.

Temukan dan analisis data Anda

Catatan

Sinkronisasi pemberitahuan di kedua arah dapat memakan waktu beberapa menit. Perubahan status pemberitahuan mungkin tidak ditampilkan segera.

• Pemberitahuan keamanan disimpan dalam tabel SecurityAlert di ruang kerja Log Analytics Anda.

• Untuk mengkueri pemberitahuan keamanan di Log Analytics, salin berikut ini ke jendela kueri Anda sebagai titik awal:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Lihat tab Langkah berikutnya di halaman konektor untuk kueri sampel tambahan yang berguna, templat aturan analitik, dan buku kerja yang direkomendasikan.

Langkah berikutnya

Dalam dokumen ini, Anda telah mempelajari cara menghubungkan Pertahanan Microsoft untuk Cloud ke Microsoft Azure Sentinel dan menyinkronkan pemberitahuan di antaranya. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari cara mendapatkan visibilitas ke data Anda dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
• Tulis aturan Anda sendiri untuk mendeteksi ancaman.