Share via

Pozyskiwanie zdarzeń Microsoft Defender dla Chmury za pomocą integracji usługi Microsoft Defender XDR

  • Artykuł

Microsoft Defender dla Chmury jest teraz zintegrowana z usługą Microsoft Defender XDR, wcześniej znaną jako Microsoft 365 Defender. Ta integracja umożliwia usłudze Defender XDR zbieranie alertów z Defender dla Chmury i tworzenie z nich zdarzeń XDR w usłudze Defender.

Dzięki tej integracji klienci usługi Microsoft Sentinel, którzy włączają integrację z incydentami usługi Defender XDR, mogą teraz pozyskiwać i synchronizować zdarzenia Defender dla Chmury za pośrednictwem usługi Microsoft Defender XDR.

Aby zapewnić obsługę tej integracji, należy skonfigurować jeden z następujących łączników danych Microsoft Defender dla Chmury. W przeciwnym razie zdarzenia dotyczące Microsoft Defender dla Chmury przechodzących przez łącznik XDR usługi Microsoft Defender nie będą wyświetlać skojarzonych alertów i jednostek:

  • Usługa Microsoft Sentinel ma nowy łącznik Microsoft Defender dla Chmury oparty na dzierżawie (wersja zapoznawcza). Ten łącznik umożliwia klientom usługi Microsoft Sentinel otrzymywanie alertów Defender dla Chmury w całej dzierżawie bez konieczności monitorowania i obsługi rejestracji łącznika we wszystkich subskrypcjach Defender dla Chmury. Zalecamy użycie tego nowego łącznika, ponieważ integracja usługi Microsoft Defender XDR z Microsoft Defender dla Chmury jest również implementowana na poziomie dzierżawy.

  • Alternatywnie możesz użyć łącznika Microsoft Defender dla Chmury opartego na subskrypcji (starsza wersja). Ten łącznik nie jest zalecany, ponieważ jeśli masz jakiekolwiek subskrypcje Defender dla Chmury, które nie są połączone z usługą Microsoft Sentinel w łączniku, zdarzenia z tych subskrypcji nie będą wyświetlać skojarzonych alertów i jednostek.

Oba łączniki wymienione powyżej mogą służyć do pozyskiwania alertów Defender dla Chmury niezależnie od tego, czy włączono integrację z incydentami usługi Defender XDR.

Ważne

  • Integracja Defender dla Chmury z usługą Defender XDR jest teraz ogólnie dostępna.

  • Łącznik Microsoft Defender dla Chmury oparty na dzierżawie jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wybieranie sposobu korzystania z tej integracji i nowego łącznika

Sposób korzystania z tej integracji i tego, czy chcesz pozyskiwać kompletne zdarzenia, czy tylko alerty, będzie zależeć od tego, co już robisz w odniesieniu do zdarzeń XDR w usłudze Microsoft Defender.

  • Jeśli już pozyskujesz zdarzenia XDR usługi Defender lub chcesz zacząć to robić teraz, zdecydowanie zaleca się włączenie tego nowego łącznika opartego na dzierżawie. Zdarzenia XDR w usłudze Defender będą teraz obejmować zdarzenia oparte na Defender dla Chmury z w pełni wypełnionymi alertami ze wszystkich subskrypcji Defender dla Chmury w dzierżawie.

    Jeśli w takiej sytuacji pozostaniesz ze starszym łącznikiem Defender dla Chmury opartym na subskrypcji i nie połączysz nowego łącznika opartego na dzierżawie, możesz otrzymać Defender dla Chmury zdarzenia zawierające puste alerty (w przypadku subskrypcji, do której łącznik nie jest zarejestrowany).

  • Jeśli nie zamierzasz włączyć integracji zdarzeń XDR w usłudze Microsoft Defender, nadal możesz otrzymywać alerty Defender dla Chmury niezależnie od wersji włączonego łącznika. Jednak nowy łącznik oparty na dzierżawie nadal zapewnia korzyści, że nie potrzebujesz uprawnień do monitorowania i obsługi listy subskrypcji Defender dla Chmury w łączniku.

  • Jeśli włączono integrację usługi Defender XDR, ale chcesz otrzymywać alerty Defender dla Chmury, ale nie incydenty, możesz użyć reguł automatyzacji, aby natychmiast zamknąć Defender dla Chmury zdarzenia po ich nadejściu.

    Jeśli nie jest to odpowiednie rozwiązanie lub nadal chcesz zbierać alerty z Defender dla Chmury dla poszczególnych subskrypcji, możesz całkowicie zrezygnować z integracji Defender dla Chmury w portalu XDR usługi Microsoft Defender, a następnie użyć starszej, opartej na subskrypcji wersji Defender dla Chmury łącznik do odbierania tych alertów.

Konfigurowanie integracji w usłudze Microsoft Sentinel

Jeśli jeszcze nie włączono integracji zdarzeń w łączniku usługi Microsoft 365 Defender, najpierw wykonaj tę czynność.

Następnie włącz nowy łącznik Microsoft Defender dla Chmury oparty na dzierżawie (wersja zapoznawcza). Ten łącznik jest dostępny za pośrednictwem rozwiązania Microsoft Defender dla Chmury w wersji 3.0.0 w centrum zawartości. Jeśli masz starszą wersję tego rozwiązania, możesz uaktualnić je w centrum zawartości.

Jeśli wcześniej włączono starszy łącznik Defender dla Chmury oparty na subskrypcji (który będzie wyświetlany jako Microsoft Defender dla Chmury oparta na subskrypcji (starsza wersja), zaleca się wyłączenie go, aby zapobiec duplikowaniu alertów w dziennikach.

Jeśli masz jakiekolwiek reguły analizy zabezpieczeń zaplanowanej lub firmy Microsoft, które tworzą zdarzenia na podstawie alertów Defender dla Chmury, zachęcamy do wyłączenia tych reguł, ponieważ będziesz otrzymywać gotowe zdarzenia utworzone przez usługę Microsoft 365 Defender i synchronizować je z usługą Microsoft 365 Defender.

Jeśli istnieją określone typy alertów Defender dla Chmury, dla których nie chcesz tworzyć zdarzeń, możesz użyć reguł automatyzacji, aby natychmiast zamknąć te zdarzenia lub użyć wbudowanych funkcji dostrajania w portalu usługi Microsoft 365 Defender.

Następne kroki

W tym artykule przedstawiono sposób korzystania z integracji Microsoft Defender dla Chmury z usługą Microsoft Defender XDR w celu pozyskiwania zdarzeń i alertów w usłudze Microsoft Sentinel.

Dowiedz się więcej o integracji Microsoft Defender dla Chmury z usługą Microsoft Defender XDR.