Alerty i zdarzenia w usłudze Microsoft Defender XDR
Microsoft Defender dla Chmury jest teraz zintegrowana z usługą Microsoft Defender XDR. Ta integracja umożliwia zespołom ds. zabezpieczeń dostęp do alertów i zdarzeń Defender dla Chmury w witrynie Microsoft Defender Portal. Ta integracja zapewnia bogatszy kontekst do badań obejmujących zasoby, urządzenia i tożsamości w chmurze.
Współpraca z usługą Microsoft Defender XDR umożliwia zespołom ds. zabezpieczeń uzyskanie pełnego obrazu ataku, w tym podejrzanych i złośliwych zdarzeń występujących w środowisku chmury. Zespoły ds. zabezpieczeń mogą osiągnąć ten cel poprzez natychmiastowe korelacje alertów i zdarzeń.
Usługa Microsoft Defender XDR oferuje kompleksowe rozwiązanie, które łączy funkcje ochrony, wykrywania, badania i reagowania. Rozwiązanie chroni przed atakami na urządzenia, pocztę e-mail, współpracę, tożsamość i aplikacje w chmurze. Nasze możliwości wykrywania i badania są teraz rozszerzane na jednostki w chmurze, oferując zespołom ds. operacji zabezpieczeń pojedyncze okienko szkła w celu znacznego zwiększenia wydajności operacyjnej.
Zdarzenia i alerty są teraz częścią publicznego interfejsu API usługi Microsoft Defender XDR. Ta integracja umożliwia eksportowanie danych alertów zabezpieczeń do dowolnego systemu przy użyciu jednego interfejsu API. W Microsoft Defender dla Chmury dokładamy wszelkich starań, aby zapewnić naszym użytkownikom najlepsze możliwe rozwiązania zabezpieczeń, a integracja ta stanowi znaczący krok w kierunku osiągnięcia tego celu.
Środowisko badania w usłudze Microsoft Defender XDR
W poniższej tabeli opisano środowisko wykrywania i badania w usłudze Microsoft Defender XDR z alertami Defender dla Chmury.
| Obszar | opis |
|---|---|
| Zdarzenia | Wszystkie zdarzenia Defender dla Chmury są zintegrowane z usługą Microsoft Defender XDR. — Wyszukiwanie zasobów zasobów w chmurze w kolejce zdarzeń jest obsługiwane. — Wykres scenariusza ataku przedstawia zasób w chmurze. — Karta Zasoby na stronie zdarzenia zawiera zasób w chmurze. — Każda maszyna wirtualna ma własną stronę jednostki zawierającą wszystkie powiązane alerty i działania. Nie ma duplikacji zdarzeń z innych obciążeń usługi Defender. |
| Alerty | Wszystkie alerty Defender dla Chmury, w tym alerty wielochmurowych, wewnętrznych i zewnętrznych dostawców, są zintegrowane z usługą Microsoft Defender XDR. Alerty usługi Defenders for Cloud są wyświetlane w kolejce alertów XDR w usłudze Microsoft Defender. Microsoft Defender XDR Zasób cloud resource jest wyświetlany na karcie Zasób alertu. Zasoby są wyraźnie identyfikowane jako zasoby platformy Azure, Amazon lub Usługi Google Cloud. Alerty usługi Defenders for Cloud są automatycznie kojarzone z dzierżawą. Brak duplikacji alertów z innych obciążeń usługi Defender. |
| Korelacja alertów i zdarzeń | Alerty i zdarzenia są automatycznie skorelowane, zapewniając niezawodny kontekst zespołom ds. operacji zabezpieczeń, aby zrozumieć pełną historię ataków w środowisku chmury. |
| Wykrywanie zagrożeń | Dokładne dopasowywanie jednostek wirtualnych do jednostek urządzeń w celu zapewnienia precyzji i efektywnego wykrywania zagrożeń. |
| Ujednolicony interfejs API | Defender dla Chmury alerty i zdarzenia są teraz uwzględniane w Publiczny interfejs API usługi Microsoft Defender XDR umożliwiający klientom eksportowanie danych alertów zabezpieczeń do innych systemów przy użyciu jednego interfejsu API. |
Dowiedz się więcej o obsłudze alertów w usłudze Microsoft Defender XDR.
Klienci usługi Sentinel
Klienci usługi Microsoft Sentinel mogą korzystać z integracji Defender dla Chmury z usługą Microsoft 365 Defender w swoich obszarach roboczych przy użyciu łącznika zdarzeń i alertów usługi Microsoft 365 Defender.
Najpierw należy włączyć integrację z incydentami w łączniku usługi Microsoft 365 Defender.
Następnie włącz Tenant-based Microsoft Defender for Cloud (Preview) łącznik, aby zsynchronizować subskrypcje z zdarzeniami Defender dla Chmury opartymi na dzierżawie, aby przesyłać strumieniowo za pośrednictwem łącznika zdarzeń usługi Microsoft 365 Defender.
Łącznik jest dostępny za pośrednictwem rozwiązania Microsoft Defender dla Chmury w wersji 3.0.0 w centrum zawartości. Jeśli masz starszą wersję tego rozwiązania, możesz uaktualnić je w Centrum zawartości.
Jeśli masz włączony łącznik alertów opartych na starszej subskrypcji Microsoft Defender dla Chmury (który jest wyświetlany jako Subscription-based Microsoft Defender for Cloud (Legacy)), zalecamy odłączenie łącznika, aby zapobiec duplikowaniu alertów w dziennikach.
Zalecamy wyłączenie reguł analitycznych, które są włączone (zaplanowane lub za pośrednictwem reguł tworzenia firmy Microsoft), od tworzenia zdarzeń z alertów Defender dla Chmury.
Reguły automatyzacji umożliwiają natychmiastowe zamykanie zdarzeń i zapobieganie wystąpieniu określonych typów alertów Defender dla Chmury. Możesz również użyć wbudowanych funkcji dostrajania w portalu usługi Microsoft 365 Defender, aby zapobiec wystąpieniu alertów.
Klienci, którzy zintegrowali swoje zdarzenia usługi Microsoft 365 Defender z usługą Sentinel i chcą zachować ustawienia oparte na subskrypcji i uniknąć synchronizacji opartej na dzierżawie, mogą zrezygnować z synchronizacji zdarzeń i alertów za pośrednictwem łącznika usługi Microsoft 365 Defender.
Dowiedz się, jak Defender dla Chmury i usługa Microsoft 365 Defender obsługują prywatność danych.