Menyerap pemberitahuan Microsoft Defender untuk Cloud ke Microsoft Azure Sentinel

perlindungan beban kerja cloud terintegrasi Microsoft Defender untuk Cloud memungkinkan Anda mendeteksi dan merespons ancaman dengan cepat di seluruh beban kerja hibrid dan multicloud.

Konektor ini memungkinkan Anda menyerap pemberitahuan keamanan dari Defender untuk Cloud ke Microsoft Sentinel, sehingga Anda dapat melihat, menganalisis, dan menanggapi pemberitahuan Defender, dan insiden yang dihasilkannya, dalam konteks ancaman organisasi yang lebih luas.

Karena paket Microsoft Defender untuk Cloud Defender diaktifkan per langganan, konektor data ini juga diaktifkan atau dinonaktifkan secara terpisah untuk setiap langganan.

Konektor Microsoft Defender untuk Cloud berbasis Penyewa baru, dalam PRATINJAU, memungkinkan Anda mengumpulkan pemberitahuan Defender untuk Cloud atas seluruh penyewa Anda, tanpa harus mengaktifkan setiap langganan secara terpisah. Ini juga memanfaatkan integrasi Defender untuk Cloud dengan Pertahanan Microsoft XDR (sebelumnya Pertahanan Microsoft 365) untuk memastikan bahwa semua pemberitahuan Defender untuk Cloud Anda sepenuhnya disertakan dalam insiden apa pun yang Anda terima melalui integrasi insiden Microsoft Defender XDR.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Sinkronisasi pemberitahuan

• Saat Anda menghubungkan Pertahanan Microsoft untuk Cloud ke Microsoft Azure Sentinel, status pemberitahuan keamanan yang diserap ke dalam Microsoft Azure Sentinel disinkronkan di antara kedua layanan tersebut. Jadi, misalnya, saat pemberitahuan ditutup di Defender for Cloud, pemberitahuan itu juga akan tampil dengan kondisi tertutup di Microsoft Sentinel.

• Mengubah status pemberitahuan di Pertahanan Microsoft untuk Cloud tidak akan memengaruhi status insiden Microsoft Azure Sentinel apa pun yang berisi pemberitahuan Microsoft Azure Sentinel, hanya pemberitahuan itu sendiri.

Sinkronisasi pemberitahuan dua arah

Mengaktifkan sinkronisasi dua arah akan secara otomatis menyinkronkan status pemberitahuan keamanan awal dengan insiden Microsoft Azure Sentinel yang berisi pemberitahuan tersebut. Jadi, misalnya, saat insiden Microsoft Azure Sentinel yang berisi pemberitahuan keamanan ditutup, peringatan awal yang sesuai akan ditutup di Pertahanan Microsoft untuk Cloud secara otomatis.

Prasyarat

• Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.

• Anda harus memiliki peran Kontributor atau Pemilik pada langganan yang ingin Anda sambungkan ke Microsoft Sentinel.

• Anda perlu mengaktifkan setidaknya satu paket dalam Pertahanan Microsoft untuk Cloud untuk setiap langganan tempat Anda ingin mengaktifkan konektor. Untuk mengaktifkan paket Pertahanan Microsoft, Anda harus memiliki peran Admin Keamanan untuk langganan tersebut.

• Anda akan memerlukan SecurityInsights penyedia sumber daya untuk didaftarkan untuk setiap langganan tempat Anda ingin mengaktifkan konektor. Tinjau panduan tentang status pendaftaran penyedia sumber daya dan cara untuk mendaftarkannya.

• Untuk mengaktifkan sinkronisasi dua arah, Anda harus memiliki peran Kontributor atau Admin Keamanan pada langganan yang relevan.

• Instal solusi untuk Microsoft Defender untuk Cloud dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Terhubung ke Pertahanan Microsoft untuk Cloud

1. Di Microsoft Azure Sentinel, pilih Konektor data dari menu navigasi.

2. Dari galeri konektor data, pilih Pertahanan Microsoft untuk Cloud, lalu pilih Buka halaman konektor di panel detail.

3. Di bagian Konfigurasi, Anda akan melihat daftar langganan di penyewa Anda, dan status koneksinya ke Pertahanan Microsoft untuk Cloud. Pilih tombol Status di samping setiap langganan yang pemberitahuannya ingin dialirkan ke Microsoft Azure Sentinel. Jika Anda ingin menghubungkan beberapa langganan sekaligus, Anda dapat melakukan ini dengan menandai kotak centang di samping langganan yang relevan dan kemudian memilih tombol Hubungkan pada bilah di atas daftar.

   Catatan

   • Kotak centang dan sakelar Hubungkan hanya akan aktif pada langganan tempat Anda memiliki izin yang diperlukan.
   • Tombol Hubungkan hanya akan aktif jika setidaknya satu kotak centang langganan telah ditandai.

4. Untuk mengaktifkan sinkronisasi dua arah pada langganan, cari langganan dalam daftar, lalu pilih Aktif dari menu drop-down di kolom Sinkronisasi dua arah. Untuk mengaktifkan sinkronisasi dua arah pada beberapa langganan sekaligus, tandai kotak centang mereka dan pilih tombol Aktifkan sinkronisasi dua arah pada bilah di atas daftar.

   Catatan

   • Kotak centang dan daftar tarik-turun hanya akan aktif pada langganan tempat Anda memiliki izin yang diperlukan.
   • Tombol Aktifkan sinkronisasi dua arah hanya akan aktif jika setidaknya satu kotak centang langganan telah ditandai.

5. Di kolom Paket Pertahanan Microsoft dari daftar, Anda dapat melihat apakah paket Pertahanan Microsoft diaktifkan di langganan Anda (prasyarat untuk mengaktifkan konektor). Nilai untuk setiap langganan di kolom ini akan kosong (artinya tidak ada paket Defender yang diaktifkan), "Semua diaktifkan," atau "Beberapa diaktifkan." Kolom yang mengatakan "Beberapa diaktifkan" juga akan memiliki link Aktifkan semua yang dapat Anda pilih, yang akan membawa Anda ke dasbor konfigurasi Microsoft Defender untuk Cloud untuk langganan tersebut, tempat Anda dapat memilih paket Defender untuk diaktifkan. Tombol tautan Aktifkan Pertahanan Microsoft untuk semua langganan pada bilah di atas daftar akan mengarahkan Anda ke halaman Memulai Pertahanan Microsoft untuk Cloud, tempat Anda dapat memilih langganan untuk mengaktifkan Pertahanan Microsoft untuk Cloud sekaligus.

   

6. Anda dapat memilih apakah Anda ingin pemberitahuan dari Pertahanan Microsoft untuk Cloud menghasilkan insiden di Microsoft Azure Sentinel secara otomatis. Di bawah Buat insiden, pilih Diaktifkan untuk mengaktifkan aturan analitik default yang akan secara otomatis membuat insiden dari pemberitahuan. Anda kemudian dapat mengedit aturan ini di bagian Analitik, di tab Aturan aktif.

   Tip

   Saat mengonfigurasi aturan analitik kustom untuk pemberitahuan dari Pertahanan Microsoft untuk Cloud, pertimbangkan keparahan pemberitahuan agar tidak membuka insiden untuk pemberitahuan informatif.

   Pemberitahuan informatif di Pertahanan Microsoft untuk Cloud tidak mewakili risiko keamanan sendiri, dan hanya relevan dalam konteks insiden terbuka yang sudah ada. Untuk informasi selengkapnya, lihat Pemberitahuan dan insiden keamanan di Pertahanan Microsoft untuk Cloud.

Temukan dan analisis data Anda

Catatan

Sinkronisasi pemberitahuan di kedua arah dapat memakan waktu beberapa menit. Perubahan status pemberitahuan mungkin tidak ditampilkan segera.

• Pemberitahuan keamanan disimpan dalam tabel SecurityAlert di ruang kerja Log Analytics Anda.

• Untuk mengkueri pemberitahuan keamanan di Log Analytics, salin berikut ini ke jendela kueri Anda sebagai titik awal:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Lihat tab Langkah berikutnya di halaman konektor untuk kueri sampel tambahan yang berguna, templat aturan analitik, dan buku kerja yang direkomendasikan.

Langkah berikutnya

Dalam dokumen ini, Anda telah mempelajari cara menghubungkan Pertahanan Microsoft untuk Cloud ke Microsoft Azure Sentinel dan menyinkronkan pemberitahuan di antaranya. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari cara mendapatkan visibilitas ke data Anda dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
• Tulis aturan Anda sendiri untuk mendeteksi ancaman.