Avvisi e eventi imprevisti in Microsoft Defender XDR
Microsoft Defender per il cloud è ora integrato con Microsoft Defender XDR. Questa integrazione consente ai team di sicurezza di accedere Defender per il cloud avvisi e eventi imprevisti all'interno del portale di Microsoft Defender. Questa integrazione offre un contesto più completo per le indagini che riguardano risorse, dispositivi e identità cloud.
La partnership con Microsoft Defender XDR consente ai team di sicurezza di ottenere il quadro completo di un attacco, inclusi eventi sospetti e dannosi che si verificano nel proprio ambiente cloud. I team di sicurezza possono raggiungere questo obiettivo tramite correlazioni immediate di avvisi e eventi imprevisti.
Microsoft Defender XDR offre una soluzione completa che combina funzionalità di protezione, rilevamento, indagine e risposta. La soluzione protegge da attacchi su dispositivi, posta elettronica, collaborazione, identità e app cloud. Le funzionalità di rilevamento e analisi sono ora estese alle entità cloud, offrendo ai team delle operazioni di sicurezza un unico riquadro di vetro per migliorare significativamente l'efficienza operativa.
Gli eventi imprevisti e gli avvisi fanno ora parte dell'API pubblica di Microsoft Defender XDR. Questa integrazione consente l'esportazione dei dati degli avvisi di sicurezza in qualsiasi sistema usando una singola API. Come Microsoft Defender per il cloud, ci impegniamo a fornire agli utenti le migliori soluzioni di sicurezza possibili e questa integrazione è un passo significativo verso il raggiungimento di tale obiettivo.
Esperienza di indagine in Microsoft Defender XDR
La tabella seguente descrive l'esperienza di rilevamento e indagine in Microsoft Defender XDR con avvisi Defender per il cloud.
| Area | Descrizione |
|---|---|
| Incidenti | Tutti gli eventi imprevisti Defender per il cloud sono integrati in Microsoft Defender XDR. - La ricerca di asset di risorse cloud nella coda degli eventi imprevisti è supportata. - Il grafico della storia di attacco mostra la risorsa cloud. - La scheda asset in una pagina degli eventi imprevisti mostra la risorsa cloud. - Ogni macchina virtuale ha una propria pagina di entità contenente tutti gli avvisi e le attività correlati. Non esistono duplicazioni di eventi imprevisti da altri carichi di lavoro di Defender. |
| Avvisi | Tutti gli avvisi Defender per il cloud, inclusi gli avvisi multicloud, i provider interni ed esterni, sono integrati in Microsoft Defender XDR. Gli avvisi di Defender per cloud sono visualizzati nella coda di avvisi di Microsoft Defender XDR. Microsoft Defender XDR L'asset cloud resource viene visualizzato nella scheda Asset di un avviso. Le risorse sono chiaramente identificate come una risorsa Azure, Amazon o Google Cloud. Gli avvisi di Defender for Cloud vengono associati automaticamente a un tenant. Non sono presenti duplicazioni di avvisi di altri carichi di lavoro di Defender. |
| Correlazione di avvisi e eventi imprevisti | Gli avvisi e gli eventi imprevisti vengono correlati automaticamente, fornendo un contesto affidabile ai team delle operazioni di sicurezza per comprendere la storia completa degli attacchi nell'ambiente cloud. |
| Rilevamento delle minacce | Corrispondenza accurata delle entità virtuali alle entità del dispositivo per garantire la precisione e l'efficacia del rilevamento delle minacce. |
| API unificata | Defender per il cloud avvisi e eventi imprevisti sono ora inclusi in L'API pubblica di Microsoft Defender XDR, che consente ai clienti di esportare i dati degli avvisi di sicurezza in altri sistemi usando un'API. |
Altre informazioni sulla gestione degli avvisi in Microsoft Defender XDR.
Clienti sentinel
I clienti di Microsoft Sentinel possono trarre vantaggio dall'integrazione Defender per il cloud con Microsoft 365 Defender nelle aree di lavoro usando il connettore di avvisi e eventi imprevisti di Microsoft 365 Defender.
Prima di tutto è necessario abilitare l'integrazione degli eventi imprevisti nel connettore Microsoft 365 Defender.
Abilitare quindi il Tenant-based Microsoft Defender for Cloud (Preview) connettore per sincronizzare le sottoscrizioni con gli eventi imprevisti Defender per il cloud basati su tenant per lo streaming tramite il connettore eventi imprevisti di Microsoft 365 Defender.
Il connettore è disponibile tramite la soluzione Microsoft Defender per il cloud, versione 3.0.0, nell'hub contenuto. Se si ha una versione precedente di questa soluzione, è possibile aggiornarla nell'hub contenuto.
Se è abilitato il connettore degli avvisi Microsoft Defender per il cloud basato su sottoscrizione legacy (visualizzato come Subscription-based Microsoft Defender for Cloud (Legacy)), è consigliabile disconnettere il connettore per evitare la duplicazione degli avvisi nei log.
È consigliabile disabilitare le regole analitiche abilitate (pianificate o tramite le regole di creazione Microsoft), dalla creazione di eventi imprevisti dagli avvisi Defender per il cloud.
È possibile usare le regole di automazione per chiudere immediatamente gli eventi imprevisti e impedire a specifici tipi di avvisi di Defender per il cloud di diventare eventi imprevisti. È anche possibile usare le funzionalità di ottimizzazione predefinite nel portale di Microsoft 365 Defender per impedire che gli avvisi diventino eventi imprevisti.
I clienti che hanno integrato gli eventi imprevisti di Microsoft 365 Defender in Sentinel e vogliono mantenere le impostazioni basate sulla sottoscrizione ed evitare la sincronizzazione basata su tenant possono rifiutare esplicitamente la sincronizzazione di eventi imprevisti e avvisi tramite il connettore Microsoft 365 Defender.
Informazioni su come Defender per il cloud e Microsoft 365 Defender gestiscono la privacy dei dati.