Menyerap insiden Microsoft Defender untuk Cloud dengan integrasi Microsoft Defender XDR

  • Artikel

Microsoft Defender untuk Cloud sekarang terintegrasi dengan Pertahanan Microsoft XDR, sebelumnya dikenal sebagai Pertahanan Microsoft 365. Integrasi ini memungkinkan Defender XDR untuk mengumpulkan pemberitahuan dari Defender untuk Cloud dan membuat insiden Defender XDR dari mereka.

Berkat integrasi ini, pelanggan Microsoft Azure Sentinel yang mengaktifkan integrasi insiden Defender XDR sekarang dapat menyerap dan menyinkronkan insiden Defender untuk Cloud melalui Pertahanan Microsoft XDR.

Untuk mendukung integrasi ini, Anda harus menyiapkan salah satu konektor data Microsoft Defender untuk Cloud berikut, jika tidak, insiden Anda untuk Microsoft Defender untuk Cloud yang masuk melalui konektor Microsoft Defender XDR tidak akan menampilkan pemberitahuan dan entitas terkait mereka:

  • Microsoft Sentinel memiliki konektor Microsoft Defender untuk Cloud (Pratinjau) berbasis Penyewa baru. Konektor ini memungkinkan pelanggan Microsoft Azure Sentinel untuk menerima pemberitahuan Defender untuk Cloud di seluruh penyewa mereka, tanpa harus memantau dan memelihara pendaftaran konektor ke semua langganan Defender untuk Cloud mereka. Sebaiknya gunakan konektor baru ini, karena integrasi Microsoft Defender XDR dengan Microsoft Defender untuk Cloud juga diimplementasikan di tingkat penyewa.

  • Atau, Anda dapat menggunakan konektor Microsoft Defender untuk Cloud (Warisan) berbasis Langganan. Konektor ini tidak disarankan, karena jika Anda memiliki langganan Defender untuk Cloud yang tidak tersambung ke Microsoft Azure Sentinel di konektor, insiden dari langganan tersebut tidak akan menampilkan pemberitahuan dan entitas terkait.

Kedua konektor yang disebutkan di atas dapat digunakan untuk menyerap pemberitahuan Defender untuk Cloud, terlepas dari apakah Anda mengaktifkan integrasi insiden Defender XDR.

Penting

  • Integrasi Defender untuk Cloud dengan Defender XDR sekarang tersedia secara umum (GA).

  • Konektor Microsoft Defender untuk Cloud berbasis penyewa saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Pilih cara menggunakan integrasi ini dan konektor baru

Bagaimana Anda memilih untuk menggunakan integrasi ini, dan apakah Anda ingin menyerap insiden lengkap atau hanya pemberitahuan, akan bergantung pada sebagian besar pada apa yang sudah Anda lakukan sehubungan dengan insiden Microsoft Defender XDR.

  • Jika Anda sudah menyerap insiden Defender XDR, atau jika Anda memilih untuk mulai melakukannya sekarang, Anda sangat disarankan untuk mengaktifkan konektor baru berbasis penyewa ini. Insiden Defender XDR Anda sekarang akan menyertakan insiden berbasis Defender untuk Cloud dengan pemberitahuan yang diisi penuh dari semua langganan Defender untuk Cloud di penyewa Anda.

    Jika, dalam situasi ini, Anda tetap dengan konektor Defender untuk Cloud berbasis langganan warisan dan tidak menyambungkan konektor baru berbasis penyewa, Anda mungkin menerima Defender untuk Cloud insiden yang berisi pemberitahuan kosong (dalam kasus langganan tempat konektor tidak terdaftar).

  • Jika Anda tidak berniat mengaktifkan integrasi insiden Microsoft Defender XDR, Anda masih dapat menerima pemberitahuan Defender untuk Cloud, terlepas dari versi konektor mana yang Anda aktifkan. Namun, konektor berbasis penyewa baru masih memberi Anda keuntungan karena tidak memerlukan izin untuk memantau dan memelihara daftar langganan Defender untuk Cloud Anda di konektor.

  • Jika Anda telah mengaktifkan integrasi Defender XDR, tetapi Anda hanya ingin menerima pemberitahuan Defender untuk Cloud tetapi bukan insiden, Anda dapat menggunakan aturan otomatisasi untuk segera menutup insiden Defender untuk Cloud saat tiba.

    Jika itu bukan solusi yang memadai, atau jika Anda masih ingin mengumpulkan pemberitahuan dari Defender untuk Cloud per langganan, Anda dapat sepenuhnya menolak integrasi Defender untuk Cloud di portal Microsoft Defender XDR, lalu menggunakan versi lama berbasis langganan dari Defender untuk Cloud konektor untuk menerima pemberitahuan tersebut.

Menyiapkan integrasi di Microsoft Azure Sentinel

Jika Anda belum mengaktifkan integrasi insiden di konektor Pertahanan Microsoft 365, lakukan terlebih dahulu.

Kemudian, aktifkan konektor Microsoft Defender untuk Cloud (Pratinjau) berbasis Penyewa baru. Konektor ini tersedia melalui solusi Microsoft Defender untuk Cloud, versi 3.0.0, di Hub Konten. Jika Anda memiliki versi solusi ini yang lebih lama, Anda dapat meningkatkannya di hub konten.

Jika sebelumnya Anda telah mengaktifkan konektor Defender untuk Cloud berbasis langganan warisan (yang akan ditampilkan sebagai Microsoft Defender untuk Cloud berbasis Langganan (Warisan)), maka Anda disarankan untuk menonaktifkannya untuk mencegah duplikasi pemberitahuan di log Anda.

Jika Anda memiliki aturan analitik Terjadwal atau Microsoft Security yang membuat insiden dari pemberitahuan Defender untuk Cloud, Anda dianjurkan untuk menonaktifkan aturan ini, karena Anda akan menerima insiden siap pakai yang dibuat oleh—dan disinkronkan dengan—Pertahanan Microsoft 365.

Jika ada jenis pemberitahuan Defender untuk Cloud tertentu yang tidak ingin Anda buat insidennya, Anda dapat menggunakan aturan otomatisasi untuk segera menutup insiden ini, atau Anda dapat menggunakan kemampuan penyetelan bawaan di portal Pertahanan Microsoft 365.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara menggunakan integrasi Microsoft Defender untuk Cloud dengan Microsoft Defender XDR untuk menyerap insiden dan pemberitahuan ke Microsoft Azure Sentinel.

Pelajari selengkapnya tentang integrasi Microsoft Defender untuk Cloud dengan Microsoft Defender XDR.