Pozyskiwanie alertów Microsoft Defender dla Chmury do usługi Microsoft Sentinel

zintegrowane zabezpieczenia obciążeń w chmurze Microsoft Defender dla Chmury umożliwiają wykrywanie i szybkie reagowanie na zagrożenia w obciążeniach hybrydowych i wielochmurowych.

Ten łącznik umożliwia pozyskiwanie alertów zabezpieczeń z Defender dla Chmury do usługi Microsoft Sentinel, dzięki czemu można wyświetlać, analizować i reagować na alerty usługi Defender oraz zdarzenia, które generują, w szerszym kontekście zagrożenia organizacyjnego.

Ponieważ plany usługi Defender Microsoft Defender dla Chmury są włączone dla każdej subskrypcji, ten łącznik danych jest również włączony lub wyłączony oddzielnie dla każdej subskrypcji.

Nowy łącznik Microsoft Defender dla Chmury oparty na dzierżawie w wersji zapoznawczej umożliwia zbieranie alertów Defender dla Chmury w całej dzierżawie bez konieczności oddzielnego włączania każdej subskrypcji. Wykorzystuje również integrację Defender dla Chmury z usługą Microsoft Defender XDR (dawniej Microsoft 365 Defender), aby upewnić się, że wszystkie alerty Defender dla Chmury są w pełni uwzględnione we wszystkich zdarzeniach otrzymywanych za pośrednictwem integracji z incydentami XDR w usłudze Microsoft Defender.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Synchronizacja alertów

• Po nawiązaniu połączenia Microsoft Defender dla Chmury z usługą Microsoft Sentinel stan alertów zabezpieczeń pozyskanych do usługi Microsoft Sentinel jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w Defender dla Chmury ten alert będzie również wyświetlany jako zamknięty w usłudze Microsoft Sentinel.

• Zmiana stanu alertu w Defender dla Chmury nie wpłynie na stan żadnych zdarzeń usługi Microsoft Sentinel, które zawierają alert usługi Microsoft Sentinel, tylko ten alert.

Synchronizacja alertów dwukierunkowych

Włączenie synchronizacji dwukierunkowej spowoduje automatyczne zsynchronizowanie stanu oryginalnych alertów zabezpieczeń z zdarzeniami usługi Microsoft Sentinel zawierającymi te alerty. Na przykład po zamknięciu zdarzenia usługi Microsoft Sentinel zawierającego alerty zabezpieczeń odpowiedni oryginalny alert zostanie automatycznie zamknięty w Microsoft Defender dla Chmury.

Wymagania wstępne

• Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

• Musisz mieć rolę Współautor lub Właściciel w subskrypcji, którą chcesz połączyć z usługą Microsoft Sentinel.

• Należy włączyć co najmniej jeden plan w ramach Microsoft Defender dla Chmury dla każdej subskrypcji, w której chcesz włączyć łącznik. Aby włączyć plany usługi Microsoft Defender w ramach subskrypcji, musisz mieć rolę Administracja zabezpieczeń dla tej subskrypcji.

• Należy zarejestrować dostawcę SecurityInsights zasobów dla każdej subskrypcji, w której chcesz włączyć łącznik. Zapoznaj się ze wskazówkami dotyczącymi stanu rejestracji dostawcy zasobów oraz sposobami jego zarejestrowania.

• Aby włączyć synchronizację dwukierunkową, musisz mieć rolę Współautor lub Zabezpieczenia Administracja dla odpowiedniej subskrypcji.

• Zainstaluj rozwiązanie dla Microsoft Defender dla Chmury z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Połączenie do Microsoft Defender dla Chmury

1. W usłudze Microsoft Sentinel wybierz z menu nawigacji pozycję Łączniki danych.

2. W galerii łączników danych wybierz pozycję Microsoft Defender dla Chmury, a następnie wybierz pozycję Otwórz stronę łącznika w okienku szczegółów.

3. W obszarze Konfiguracja zostanie wyświetlona lista subskrypcji w dzierżawie oraz stan ich połączenia z Microsoft Defender dla Chmury. Wybierz przełącznik Stan obok każdej subskrypcji, której alerty mają być przesyłane strumieniowo do usługi Microsoft Sentinel. Jeśli chcesz połączyć kilka subskrypcji jednocześnie, możesz to zrobić, zaznaczając pola wyboru obok odpowiednich subskrypcji, a następnie wybierając przycisk Połączenie na pasku nad listą.

   Uwaga

   • Pola wyboru i Połączenie przełączania będą aktywne tylko w subskrypcjach, dla których masz wymagane uprawnienia.
   • Przycisk Połączenie będzie aktywny tylko wtedy, gdy zaznaczono co najmniej jedno pole wyboru subskrypcji.

4. Aby włączyć synchronizację dwukierunkową w ramach subskrypcji, znajdź subskrypcję na liście i wybierz pozycję Włączone z listy rozwijanej w kolumnie Synchronizacja dwukierunkowa. Aby włączyć synchronizację dwukierunkową dla kilku subskrypcji jednocześnie, zaznacz pola wyboru i wybierz przycisk Włącz dwukierunkową synchronizację na pasku powyżej listy.

   Uwaga

   • Pola wyboru i listy rozwijane będą aktywne tylko w subskrypcjach, dla których masz wymagane uprawnienia.
   • Przycisk Włącz dwukierunkową synchronizację będzie aktywny tylko wtedy, gdy zaznaczono co najmniej jedno pole wyboru subskrypcji.

5. W kolumnie Plany usługi Microsoft Defender na liście można sprawdzić, czy plany usługi Microsoft Defender są włączone w ramach subskrypcji (wymaganie wstępne dotyczące włączania łącznika). Wartość dla każdej subskrypcji w tej kolumnie będzie pusta (co oznacza, że nie są włączone żadne plany usługi Defender), "Wszystkie włączone" lub "Niektóre włączone". Te, które mówią"Niektóre włączone" będą również mieć link Włącz wszystkie, które można wybrać, co spowoduje przejście do pulpitu nawigacyjnego konfiguracji Microsoft Defender dla Chmury dla tej subskrypcji, w którym można wybrać plany usługi Defender, aby włączyć. Przycisk Link Włącz usługę Microsoft Defender dla wszystkich subskrypcji na pasku powyżej listy spowoduje przejście do strony Microsoft Defender dla Chmury Wprowadzenie, na której można wybrać, które subskrypcje mają włączyć Microsoft Defender dla Chmury całkowicie.

   

6. Możesz wybrać, czy alerty z Microsoft Defender dla Chmury mają automatycznie generować zdarzenia w usłudze Microsoft Sentinel. W obszarze Tworzenie zdarzeń wybierz pozycję Włączone , aby włączyć domyślną regułę analizy, która automatycznie tworzy zdarzenia na podstawie alertów. Następnie możesz edytować tę regułę w obszarze Analiza na karcie Aktywne reguły .

   Napiwek

   Podczas konfigurowania niestandardowych reguł analizy dla alertów z Microsoft Defender dla Chmury należy wziąć pod uwagę ważność alertu, aby uniknąć otwierania zdarzeń dla alertów informacyjnych.

   Alerty informacyjne w Microsoft Defender dla Chmury nie reprezentują samodzielnie ryzyka bezpieczeństwa i są istotne tylko w kontekście istniejącego otwartego zdarzenia. Aby uzyskać więcej informacji, zobacz Alerty zabezpieczeń i zdarzenia w Microsoft Defender dla Chmury.

Znajdowanie i analizowanie danych

Uwaga

Synchronizacja alertów w obu kierunkach może potrwać kilka minut. Zmiany stanu alertów mogą nie być wyświetlane natychmiast.

• Alerty zabezpieczeń są przechowywane w tabeli SecurityAlert w obszarze roboczym usługi Log Analytics.

• Aby wysyłać zapytania dotyczące alertów zabezpieczeń w usłudze Log Analytics, skopiuj następujące elementy do okna zapytania jako punkt początkowy:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Zobacz kartę Następne kroki na stronie łącznika, aby uzyskać dodatkowe przydatne przykładowe zapytania, szablony reguł analizy i zalecane skoroszyty.

Następne kroki

W tym dokumencie przedstawiono sposób łączenia Microsoft Defender dla Chmury z usługą Microsoft Sentinel i synchronizowania między nimi alertów. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
• Napisz własne reguły w celu wykrywania zagrożeń.