Delen via


Microsoft Defender for Cloud in de Microsoft Defender-portal

Van toepassing op:

Microsoft Defender for Cloud maakt nu deel uit van Microsoft Defender XDR. Beveiligingsteams hebben nu toegang tot Defender for Cloud-waarschuwingen en -incidenten in de Microsoft Defender-portal en bieden uitgebreidere context voor onderzoeken die cloudresources, apparaten en identiteiten omvatten. Bovendien kunnen beveiligingsteams een volledig beeld krijgen van een aanval, inclusief verdachte en schadelijke gebeurtenissen die zich in hun cloudomgeving voordoen, door directe correlaties van waarschuwingen en incidenten.

De Microsoft Defender-portal combineert beveiliging, detectie, onderzoek en reactiemogelijkheden om aanvallen op apparaten, e-mail, samenwerking, identiteit en cloud-apps te beveiligen. De detectie- en onderzoeksmogelijkheden van de portal zijn nu uitgebreid naar cloudentiteiten, waardoor beveiligingsteams één venster van glas hebben om hun operationele efficiëntie aanzienlijk te verbeteren.

Bovendien maken de Defender for Cloud-incidenten en -waarschuwingen nu deel uit van de openbare API van Microsoft Defender XDR. Met deze integratie kunt u gegevens van beveiligingswaarschuwingen exporteren naar elk systeem met behulp van één API.

Vereiste

Als u toegang wilt tot Defender for Cloud-waarschuwingen in de Microsoft Defender-portal, moet u zijn geabonneerd op een van de abonnementen die worden vermeld in Uw Azure-abonnementen verbinden.

Vereiste machtigingen

Opmerking

De machtiging voor het weergeven van Defender for Cloud-waarschuwingen en -correlaties is automatisch voor de hele tenant. Het weergeven van specifieke abonnementen wordt niet ondersteund. U kunt het filter waarschuwingsabonnements-id gebruiken om Defender for Cloud-waarschuwingen weer te geven die zijn gekoppeld aan een specifiek Defender for Cloud-abonnement in de waarschuwings- en incidentwachtrijen. Meer informatie over filters.

De integratie is alleen beschikbaar door de juiste RBAC-rol (Op rollen gebaseerd toegangsbeheer) van Microsoft Defender XDR toe te passen voor Defender for Cloud. Als u Defender for Cloud-waarschuwingen en -correlaties wilt weergeven zonder Defender XDR Unified RBAC, moet u een globale beheerder of beveiligingsbeheerder zijn in Azure Active Directory.

Belangrijk

Globale beheerder is een rol met hoge bevoegdheden die moet worden beperkt tot scenario's wanneer u een bestaande rol niet kunt gebruiken. Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren.

Onderzoekservaring in de Microsoft Defender-portal

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

In de volgende sectie wordt de detectie- en onderzoekservaring in de Microsoft Defender-portal met Defender for Cloud-waarschuwingen beschreven.

Gebied Beschrijving
Incidenten Alle Defender for Cloud-incidenten worden geïntegreerd in de Microsoft Defender-portal.

- Het zoeken naar cloudresourceassets in de incidentwachtrij wordt ondersteund.
- In de grafiek van het aanvalsverhaal wordt de cloudresource weergegeven.
- Op het tabblad Assets op een incidentpagina wordt de cloudresource weergegeven.
- Elke virtuele machine heeft een eigen apparaatpagina met alle gerelateerde waarschuwingen en activiteiten.

Er zijn geen duplicaties van incidenten van andere Defender-workloads.
Waarschuwingen Alle Defender for Cloud-waarschuwingen, inclusief waarschuwingen van meerdere clouds, interne en externe providers, worden geïntegreerd in de Microsoft Defender-portal. Defender for Cloud-waarschuwingen worden weergegeven in de waarschuwingswachtrij van de Microsoft Defender-portal.

De cloudresourceasset wordt weergegeven op het tabblad Asset van een waarschuwing. Resources worden duidelijk geïdentificeerd als een Azure-, Amazon- of Google Cloud-resource.

Defender for Cloud-waarschuwingen worden automatisch gekoppeld aan een tenant.

Er zijn geen duplicatie van waarschuwingen van andere Defender-workloads.
Correlatie van waarschuwingen en incidenten Waarschuwingen en incidenten worden automatisch gecorreleerd, waardoor beveiligingsteams een robuuste context krijgen om het volledige aanvalsverhaal in hun cloudomgeving te begrijpen.
Detectie van bedreigingen Nauwkeurige afstemming van virtuele entiteiten met apparaatentiteiten om precisie en effectieve detectie van bedreigingen te garanderen.
Geïntegreerde API Defender for Cloud-waarschuwingen en -incidenten zijn nu opgenomen in de openbare API van Microsoft Defender XDR, zodat klanten hun gegevens van beveiligingswaarschuwingen naar andere systemen kunnen exporteren met behulp van één API.
Geavanceerde opsporing (preview) Informatie over cloudcontrolegebeurtenissen voor verschillende cloudplatforms die worden beveiligd door Defender for Cloud van de organisatie, is beschikbaar via de tabel CloudAuditEvents in geavanceerde opsporing.

Opmerking

Informatieve waarschuwingen van Defender for Cloud zijn niet geïntegreerd in de Microsoft Defender-portal, zodat de aandacht kan worden gericht op de relevante waarschuwingen met hoge ernst. Deze strategie stroomlijnt het beheer van incidenten en vermindert de vermoeidheid van waarschuwingen.

Impact op Microsoft Sentinel-gebruikers

Microsoft Sentinel-klanten die Microsoft Defender XDR-incidenten integrerenen Defender for Cloud-waarschuwingen opnemen, moeten de volgende configuratiewijzigingen aanbrengen om ervoor te zorgen dat dubbele waarschuwingen en incidenten niet worden gemaakt:

  • Verbind de op tenant gebaseerde Microsoft Defender for Cloud-connector (preview) om de verzameling waarschuwingen van al uw abonnementen te synchroniseren met Defender for Cloud-incidenten op basis van tenants die worden gestreamd via de Microsoft Defender XDR-incidentenconnector.
  • Verbreek de verbinding met de connector voor waarschuwingen van Microsoft Defender for Cloud (verouderd) op basis van een abonnement om dubbele waarschuwingen te voorkomen.
  • Schakel alle analyseregels uit( geplande (reguliere querytype) of Microsoft-beveiligingsregels (incident maken) die worden gebruikt om incidenten te maken vanuit Defender for Cloud-waarschuwingen. Defender for Cloud-incidenten worden automatisch gemaakt in de Defender-portal en gesynchroniseerd met Microsoft Sentinel.
  • Gebruik zo nodig automatiseringsregels om luidruchtige incidenten te sluiten of gebruik de ingebouwde afstemmingsmogelijkheden in de Defender-portal om bepaalde waarschuwingen te onderdrukken.

De volgende wijziging moet ook worden opgemerkt:

  • De actie voor het koppelen van waarschuwingen aan de Microsoft Defender-portalincidenten wordt verwijderd.

Zie Microsoft Defender for Cloud-incidenten opnemen met Microsoft Defender XDR-integratie voor meer informatie.

Defender for Cloud-waarschuwingen uitschakelen

De waarschuwingen voor Defender for Cloud zijn standaard ingeschakeld. Voer de volgende stappen uit om uw abonnementsinstellingen te behouden en synchronisatie op basis van tenants te voorkomen of om u af te zien van de ervaring:

  1. Ga in de Microsoft Defender-portal naar Instellingen>Microsoft Defender XDR.
  2. Zoek in Instellingen voor waarschuwingsservice naar Microsoft Defender for Cloud-waarschuwingen.
  3. Selecteer Geen waarschuwingen om alle Defender for Cloud-waarschuwingen uit te schakelen. Als u deze optie selecteert, stopt u de opname van nieuwe Defender for Cloud-waarschuwingen in de portal. Waarschuwingen die eerder zijn opgenomen, blijven op een waarschuwings- of incidentpagina.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.