Udostępnij za pośrednictwem

Usługa Microsoft Defender dla Chmury w portalu usługi Microsoft Defender

  • Artykuł

Dotyczy:

Usługa Microsoft Defender dla Chmury jest teraz częścią usługi Microsoft Defender XDR. Zespoły ds. zabezpieczeń mogą teraz uzyskiwać dostęp do alertów i zdarzeń usługi Defender for Cloud w portalu usługi Microsoft Defender, zapewniając bogatszy kontekst do badań obejmujących zasoby, urządzenia i tożsamości w chmurze. Ponadto zespoły ds. zabezpieczeń mogą uzyskać pełny obraz ataku, w tym podejrzane i złośliwe zdarzenia występujące w środowisku chmury, dzięki natychmiastowym korelacjom alertów i zdarzeń.

Portal usługi Microsoft Defender łączy funkcje ochrony, wykrywania, badania i reagowania, aby chronić ataki na urządzenia, pocztę e-mail, współpracę, tożsamość i aplikacje w chmurze. Możliwości wykrywania i badania w portalu są teraz rozszerzone na jednostki w chmurze, oferując zespołom ds. operacji zabezpieczeń pojedyncze okienko szkła w celu znacznego zwiększenia ich wydajności operacyjnej.

Ponadto zdarzenia i alerty usługi Defender for Cloud są teraz częścią publicznego interfejsu API usługi Microsoft Defender XDR. Ta integracja umożliwia eksportowanie danych alertów zabezpieczeń do dowolnego systemu przy użyciu jednego interfejsu API.

Wymagania wstępne

Aby zapewnić dostęp do alertów usługi Defender for Cloud w portalu usługi Microsoft Defender, musisz zasubskrybować dowolne plany wymienione w temacie Łączenie subskrypcji platformy Azure.

Wymagane uprawnienia

Uwaga

Uprawnienie do wyświetlania alertów i korelacji usługi Defender for Cloud jest automatyczne dla całej dzierżawy. Wyświetlanie dla określonych subskrypcji nie jest obsługiwane. Filtr identyfikatora subskrypcji alertów umożliwia wyświetlanie alertów usługi Defender for Cloud skojarzonych z określoną subskrypcją usługi Defender for Cloud w kolejkach alertów i zdarzeń. Dowiedz się więcej o filtrach.

Integracja jest dostępna tylko przez zastosowanie odpowiedniej roli kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Defender XDR Unified dla usługi Defender for Cloud. Aby wyświetlić alerty i korelacje usługi Defender for Cloud bez ujednoliconej kontroli dostępu opartej na rolach usługi Defender XDR, musisz być administratorem globalnym lub administratorem zabezpieczeń w usłudze Azure Active Directory.

Ważna

Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy, gdy nie można użyć istniejącej roli. Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji.

Doświadczenie w badaniu w portalu usługi Microsoft Defender

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

W poniższej sekcji opisano środowisko wykrywania i badania w portalu usługi Microsoft Defender przy użyciu alertów usługi Defender for Cloud.

Obszar Opis
Zdarzenia Wszystkie zdarzenia usługi Defender for Cloud zostaną zintegrowane z portalem usługi Microsoft Defender.

— Wyszukiwanie zasobów zasobów w chmurze w kolejce zdarzeń jest obsługiwane.
— Na wykresie scenariusza ataku zostanie wyświetlony zasób chmury.
Na karcie Zasoby na stronie zdarzenia zostanie wyświetlony zasób w chmurze.
— Każda maszyna wirtualna ma własną stronę urządzenia zawierającą wszystkie powiązane alerty i działania.

Nie będzie duplikowania zdarzeń z innych obciążeń usługi Defender.
Alerty Wszystkie alerty usługi Defender for Cloud, w tym alerty dostawców z wieloma chmurami, wewnętrznymi i zewnętrznymi, zostaną zintegrowane z portalem usługi Microsoft Defender. Alerty usługi Defender for Cloud będą wyświetlane w kolejce alertów portalu usługi Microsoft Defender.

Zasób zasobu w chmurze zostanie wyświetlony na karcie Zasoby alertu. Zasoby są wyraźnie identyfikowane jako zasób platformy Azure, Amazon lub google cloud.

Alerty usługi Defender for Cloud zostaną automatycznie skojarzone z dzierżawą.

Nie będzie duplikowania alertów z innych obciążeń usługi Defender.
Korelacja alertów i zdarzeń Alerty i zdarzenia są automatycznie skorelowane, zapewniając niezawodny kontekst zespołom ds. operacji zabezpieczeń, aby zrozumieć pełną historię ataku w środowisku chmury.
Wykrywanie zagrożeń Dokładne dopasowanie jednostek wirtualnych do jednostek urządzeń w celu zapewnienia precyzji i skutecznego wykrywania zagrożeń.
Ujednolicony interfejs API Alerty i zdarzenia usługi Defender for Cloud są teraz uwzględniane w publicznym interfejsie API XDR usługi Microsoft Defender, co umożliwia klientom eksportowanie danych alertów zabezpieczeń do innych systemów przy użyciu jednego interfejsu API.
Zaawansowane wyszukiwanie zagrożeń (wersja zapoznawcza) Informacje o zdarzeniach inspekcji chmury dla różnych platform w chmurze chronionych przez usługę Defender for Cloud organizacji są dostępne za pośrednictwem tabeli CloudAuditEvents w ramach zaawansowanego wyszukiwania zagrożeń.

Uwaga

Alerty informacyjne z usługi Defender for Cloud nie są zintegrowane z portalem usługi Microsoft Defender, aby umożliwić skoncentrowanie się na odpowiednich alertach o wysokiej ważności. Ta strategia usprawnia zarządzanie zdarzeniami i zmniejsza zmęczenie alertami.

Wpływ na użytkowników usługi Microsoft Sentinel

Klienci usługi Microsoft Sentinel integrujący zdarzenia XDR usługi Microsoft Defenderi pozyskujący alerty usługi Defender for Cloud muszą wprowadzić następujące zmiany konfiguracji, aby upewnić się, że nie są tworzone zduplikowane alerty i zdarzenia:

  • Połącz łącznik Microsoft Defender for Cloud (wersja zapoznawcza) oparty na dzierżawie , aby zsynchronizować zbieranie alertów ze wszystkich subskrypcji za pomocą zdarzeń usługi Defender for Cloud opartych na dzierżawie, które są przesyłane strumieniowo za pośrednictwem łącznika zdarzeń XDR usługi Microsoft Defender.
  • Odłącz łącznik alertów usługi Microsoft Defender for Cloud (Starsza wersja) oparty na subskrypcji , aby zapobiec duplikowaniu alertów.
  • Wyłącz wszystkie reguły analizy — zaplanowane (zwykły typ zapytania) lub reguły zabezpieczeń firmy Microsoft (tworzenie zdarzeń) używane do tworzenia zdarzeń z alertów usługi Defender for Cloud. Zdarzenia usługi Defender for Cloud są tworzone automatycznie w portalu usługi Defender i synchronizowane z usługą Microsoft Sentinel.
  • W razie potrzeby użyj reguł automatyzacji , aby zamknąć hałaśliwe zdarzenia, lub użyj wbudowanych możliwości dostrajania w portalu usługi Defender , aby pominąć niektóre alerty.

Należy również zauważyć następującą zmianę:

  • Akcja powiązana z alertami z incydentami w portalu usługi Microsoft Defender zostanie usunięta.

Dowiedz się więcej na temat pozyskiwania zdarzeń usługi Microsoft Defender for Cloud przy użyciu integracji usługi Microsoft Defender XDR.

Wyłączanie alertów usługi Defender for Cloud

Alerty dla usługi Defender for Cloud są domyślnie włączone. Aby zachować ustawienia oparte na subskrypcji i uniknąć synchronizacji opartej na dzierżawie lub zrezygnować z tego środowiska, wykonaj następujące kroki:

  1. W portalu usługi Microsoft Defender przejdź do pozycji Ustawienia>usługi Microsoft Defender XDR.
  2. W obszarze Ustawienia usługi alertów poszukaj alertów usługi Microsoft Defender for Cloud.
  3. Wybierz pozycję Brak alertów , aby wyłączyć wszystkie alerty usługi Defender for Cloud. Wybranie tej opcji powoduje zatrzymanie pozyskiwania nowych alertów usługi Defender for Cloud do portalu. Pozyskane wcześniej alerty pozostają na stronie alertu lub zdarzenia.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.