Del via


Microsoft Defender for Cloud i Microsoft Defender-portalen

Gjelder for:

Microsoft Defender for Cloud er nå en del av Microsoft Defender XDR. Sikkerhetsteam kan nå få tilgang til Defender for skyvarsler og hendelser i Microsoft Defender-portalen, noe som gir rikere kontekst til undersøkelser som dekker skyressurser, enheter og identiteter. I tillegg kan sikkerhetsteam få hele bildet av et angrep, inkludert mistenkelige og ondsinnede hendelser som skjer i skymiljøet, gjennom umiddelbare korrelasjoner mellom varsler og hendelser.

Microsoft Defender-portalen kombinerer funksjoner for beskyttelse, gjenkjenning, undersøkelse og respons for å beskytte angrep på enheter, e-post, samarbeid, identitet og skyapper. Portalens gjenkjennings- og undersøkelsesfunksjoner er nå utvidet til skyenheter, og tilbyr sikkerhetsoperasjonsteam en enkelt glassrute for å forbedre driftseffektiviteten betydelig.

Videre er Defender for Cloud-hendelser og varsler nå en del av Microsoft Defender XDRs offentlige API. Denne integreringen gjør det mulig å eksportere sikkerhetsvarsler til ethvert system ved hjelp av én enkelt API.

Forutsetning

Hvis du vil sikre tilgang til Defender for skyvarsler i Microsoft Defender-portalen, må du abonnere på alle planene som er oppført i Koble til Azure-abonnementene dine.

Nødvendige tillatelser

Obs!

Tillatelsen til å vise Defender for skyvarsler og -korrelasjoner er automatisk for hele leieren. Visning for bestemte abonnementer støttes ikke. Du kan bruke ID-filteret for varselabonnement til å vise Defender for skyvarsler som er knyttet til et bestemt Defender for Cloud-abonnement i varsel- og hendelseskøene. Finn ut mer om filtre.

Integreringen er bare tilgjengelig ved å bruke den riktige rollen Microsoft Defender XDR Unified role-based access control (RBAC) for Defender for Cloud. Hvis du vil vise Defender for skyvarsler og korrelasjoner uten Defender XDR Unified RBAC, må du være global administrator eller sikkerhetsadministrator i Azure Active Directory.

Viktig

Global administrator er en svært privilegert rolle som bør begrenses til scenarioer når du ikke kan bruke en eksisterende rolle. Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen.

Undersøkelsesopplevelse i Microsoft Defender-portalen

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Den følgende delen beskriver gjenkjennings- og undersøkelsesopplevelsen i Microsoft Defender-portalen med Defender for skyvarsler.

Område Beskrivelse
Hendelser Alle Defender for skyhendelser integreres i Microsoft Defender-portalen.

– Søk etter ressurser i skyen i hendelseskøen støttes.
Grafen over angrepshistorier viser skyressursen.
Aktiva-fanen på en hendelsesside viser skyressursen.
– Hver virtuelle maskin har sin egen enhetsside som inneholder alle relaterte varsler og aktiviteter.

Det blir ingen duplisering av hendelser fra andre Defender-arbeidsbelastninger.
Varsler Alle Varsler for Defender for skyen, inkludert varsler for flere skyer, interne og eksterne leverandører, integreres i Microsoft Defender-portalen. Defender for skyvarsler vises i varselkøen for Microsoft Defender-portalen.

Ressursressursressursen i skyen vises i Aktiva-fanen i et varsel. Ressurser identifiseres tydelig som en Azure-, Amazon- eller Google Cloud-ressurs.

Defender for skyvarsler knyttes automatisk til en leier.

Det blir ingen duplisering av varsler fra andre Defender-arbeidsbelastninger.
Varslings- og hendelseskorrelasjon Varsler og hendelser er automatisk korrelert, noe som gir robust kontekst til sikkerhetsoperasjonsteamene for å forstå hele angrepshistorien i skymiljøet.
Trusselregistrering Nøyaktig samsvar av virtuelle enheter til enhetsenheter for å sikre presisjon og effektiv trusselregistrering.
Enhetlig API Defender for skyvarsler og -hendelser er nå inkludert i Microsoft Defender XDRs offentlige API, slik at kunder kan eksportere sikkerhetsvarslingsdataene til andre systemer ved hjelp av én API.
Avansert jakt (forhåndsvisning) Informasjon om skyovervåkingshendelser for ulike skyplattformer som er beskyttet av organisasjonens Defender for Cloud, er tilgjengelig via CloudAuditEvents-tabellen i avansert jakt.

Obs!

Informasjonsvarsler fra Defender for Cloud er ikke integrert i Microsoft Defender-portalen for å tillate fokus på relevante varsler og varsler med høy alvorlighetsgrad. Denne strategien effektiviserer håndteringen av hendelser og reduserer varslingstretthet.

Innvirkning på Microsoft Sentinel-brukere

Microsoft Sentinel-kunder som integrerer Microsoft Defender XDR-hendelserog inntar Defender for skyvarsler, kreves for å gjøre følgende konfigurasjonsendringer for å sikre at dupliserte varsler og hendelser ikke opprettes:

Følgende endring bør også noteres:

  • Handlingen for å relatere varsler til Microsoft Defender Portal-hendelser fjernes.

Finn ut mer på Ingest Microsoft Defender for Cloud-hendelser med Microsoft Defender XDR-integrering.

Slå av Defender for skyvarsler

Varslene for Defender for Sky er aktivert som standard. Hvis du vil vedlikeholde abonnementsbaserte innstillinger og unngå leierbasert synkronisering eller for å melde deg ut av opplevelsen, utfører du følgende trinn:

  1. Gå til Innstillinger>Microsoft Defender XDR i Microsoft Defender-portalen.
  2. Se etter Microsoft Defender for skyvarsler i innstillinger for varslingstjeneste.
  3. Velg Ingen varsler for å deaktivere alle Defender for skyvarsler. Hvis du velger dette alternativet, stoppes inntak av nye Defender for Skyvarsler til portalen. Varsler som tidligere ble inntatt, forblir på en varslings- eller hendelsesside.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.