Delen via


Microsoft Defender voor Cloud waarschuwingen opnemen in Microsoft Sentinel

met de geïntegreerde cloudworkloadbeveiligingen van Microsoft Defender voor Cloud kunt u bedreigingen in hybride en multicloudworkloads detecteren en snel hierop reageren. Met de Microsoft Defender voor Cloud-connector kunt u beveiligingswaarschuwingen van Defender voor Cloud opnemen in Microsoft Sentinel, zodat u Defender-waarschuwingen kunt bekijken, analyseren en erop kunt reageren, en de incidenten die ze genereren, in een bredere context van bedreigingen van de organisatie.

Microsoft Defender voor Cloud Defender-abonnementen zijn ingeschakeld per abonnement. Hoewel de verouderde connector van Microsoft Sentinel voor Defender voor Cloud Apps ook per abonnement is geconfigureerd, kunt u met de tenantgebaseerde Microsoft Defender voor Cloud-connector in preview Defender voor Cloud waarschuwingen verzamelen over uw hele tenant zonder dat u elke tenant hoeft in te schakelen afzonderlijk abonnement. De tenantconnector werkt ook met de integratie van Defender voor Cloud met Microsoft Defender XDR om ervoor te zorgen dat al uw Defender voor Cloud waarschuwingen volledig zijn opgenomen in alle incidenten die u ontvangt via Microsoft Defender XDR-incidentintegratie.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Waarschuwingssynchronisatie

  • Wanneer u Microsoft Defender voor Cloud verbindt met Microsoft Sentinel, wordt de status van beveiligingswaarschuwingen die worden opgenomen in Microsoft Sentinel gesynchroniseerd tussen de twee services. Als een waarschuwing bijvoorbeeld wordt gesloten in Defender voor Cloud, wordt die waarschuwing ook weergegeven als gesloten in Microsoft Sentinel.

  • Het wijzigen van de status van een waarschuwing in Defender voor Cloud heeft geen invloed op de status van Microsoft Sentinel-incidenten die de Microsoft Sentinel-waarschuwing bevatten, alleen die van de waarschuwing zelf.

Synchronisatie van bidirectionele waarschuwingen

Als u bidirectionele synchronisatie inschakelt, wordt de status van oorspronkelijke beveiligingswaarschuwingen automatisch gesynchroniseerd met die van de Microsoft Sentinel-incidenten die deze waarschuwingen bevatten. Wanneer bijvoorbeeld een Microsoft Sentinel-incident met een beveiligingswaarschuwing wordt gesloten, wordt de bijbehorende oorspronkelijke waarschuwing automatisch gesloten in Microsoft Defender voor Cloud.

Vereisten

  • U moet lees- en schrijfmachtigingen hebben voor uw Microsoft Sentinel-werkruimte.

  • U moet de rol Inzender of Eigenaar hebben voor het abonnement dat u wilt verbinden met Microsoft Sentinel.

  • U moet ten minste één abonnement inschakelen binnen Microsoft Defender voor Cloud voor elk abonnement waarvoor u de connector wilt inschakelen. Als u Microsoft Defender-abonnementen voor een abonnement wilt inschakelen, moet u de rol Beveiligingsbeheerder voor dat abonnement hebben.

  • U moet de SecurityInsights resourceprovider registreren voor elk abonnement waarvoor u de connector wilt inschakelen. Bekijk de richtlijnen voor de registratiestatus van de resourceprovider en de manieren om deze te registreren.

  • Als u bidirectionele synchronisatie wilt inschakelen, moet u de rol Inzender of Beveiligingsbeheerder hebben voor het relevante abonnement.

  • Installeer de oplossing voor Microsoft Defender voor Cloud vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

Verbinding maken met Microsoft Defender voor Cloud

  1. Nadat u de oplossing hebt geïnstalleerd, selecteert u > configuratiegegevensconnectors in Microsoft Sentinel.

  2. Selecteer op de pagina Gegevensconnectors de abonnementsgebaseerde Microsoft Defender voor Cloud (verouderd) of de Microsoft Defender voor Cloud connector op basis van tenants (preview) en selecteer vervolgens de pagina Connector openen.

  3. Onder Configuratie ziet u een lijst met de abonnementen in uw tenant en de status van de verbinding met Microsoft Defender voor Cloud. Selecteer de wisselknop Status naast elk abonnement waarvan u waarschuwingen wilt streamen naar Microsoft Sentinel. Als u meerdere abonnementen tegelijk wilt verbinden, kunt u dit doen door de selectievakjes naast de relevante abonnementen te markeren en vervolgens de knop Verbinding maken te selecteren op de balk boven de lijst.

    • De selectievakjes en schakelknoppen Verbinding maken zijn alleen actief voor de abonnementen waarvoor u de vereiste machtigingen hebt.
    • De knop Verbinding maken is alleen actief als het selectievakje van ten minste één abonnement is gemarkeerd.
  4. Als u bidirectionele synchronisatie voor een abonnement wilt inschakelen, zoekt u het abonnement in de lijst en kiest u Ingeschakeld in de vervolgkeuzelijst in de kolom Bidirectionele synchronisatie . Als u bidirectionele synchronisatie voor meerdere abonnementen tegelijk wilt inschakelen, markeert u de selectievakjes en schakelt u de knop Bidirectionele synchronisatie inschakelen in op de balk boven de lijst.

    • De selectievakjes en vervolgkeuzelijsten zijn alleen actief voor de abonnementen waarvoor u de vereiste machtigingen hebt.
    • De knop Bidirectionele synchronisatie inschakelen is alleen actief als het selectievakje van ten minste één abonnement is gemarkeerd.
  5. In de kolom Microsoft Defender-plannen van de lijst kunt u zien of Microsoft Defender-abonnementen zijn ingeschakeld voor uw abonnement (een vereiste voor het inschakelen van de connector).

    De waarde voor elk abonnement in deze kolom is leeg (wat betekent dat er geen Defender-abonnementen zijn ingeschakeld), Alle ingeschakeld of Sommige ingeschakeld. Als sommige zijn ingeschakeld, hebt u ook een koppeling Alles inschakelen die u kunt selecteren. Hiermee gaat u naar uw Microsoft Defender voor Cloud configuratiedashboard voor dat abonnement, waar u Defender-plannen kunt kiezen om in te schakelen.

    Met de koppelingsknop Microsoft Defender voor alle abonnementen inschakelen op de balk boven de lijst gaat u naar uw Microsoft Defender voor Cloud pagina Aan de slag, waar u kunt kiezen voor welke abonnementen u Microsoft Defender voor Cloud helemaal wilt inschakelen. Voorbeeld:

    Schermopname van Microsoft Defender voor Cloud connectorconfiguratie.

  6. U kunt selecteren of u wilt dat de waarschuwingen van Microsoft Defender voor Cloud automatisch incidenten genereren in Microsoft Sentinel. Selecteer onder Incidenten maken de optie Ingeschakeld om de standaardanalyseregel in te schakelen waarmee automatisch incidenten worden gemaakt op basis van waarschuwingen. U kunt deze regel vervolgens bewerken onder Analytics op het tabblad Actieve regels .

    Tip

    Houd bij het configureren van aangepaste analyseregels voor waarschuwingen van Microsoft Defender voor Cloud rekening met de ernst van de waarschuwing om te voorkomen dat incidenten worden geopend voor informatieve waarschuwingen.

    Informatieve waarschuwingen in Microsoft Defender voor Cloud geen beveiligingsrisico op zichzelf vertegenwoordigen en zijn alleen relevant in de context van een bestaand, open incident. Zie Beveiligingswaarschuwingen en -incidenten in Microsoft Defender voor Cloud voor meer informatie.

Uw gegevens zoeken en analyseren

Notitie

Waarschuwingssynchronisatie in beide richtingen kan enkele minuten duren. Wijzigingen in de status van waarschuwingen worden mogelijk niet onmiddellijk weergegeven.

  • Beveiligingswaarschuwingen worden opgeslagen in de tabel SecurityAlert in uw Log Analytics-werkruimte.

  • Als u beveiligingswaarschuwingen in Log Analytics wilt opvragen, kopieert u het volgende als uitgangspunt in uw queryvenster:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • Zie het tabblad Volgende stappen op de connectorpagina voor aanvullende nuttige voorbeeldquery's, sjablonen voor analyseregels en aanbevolen werkmappen.

Volgende stappen

In dit document hebt u geleerd hoe u Microsoft Defender voor Cloud verbindt met Microsoft Sentinel en waarschuwingen synchroniseert. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: