Microsoft Defender for Cloud w portalu Microsoft Defender
Dotyczy:
Microsoft Defender dla chmury jest teraz częścią Microsoft Defender XDR. Zespoły ds. zabezpieczeń mogą teraz uzyskiwać dostęp do alertów i zdarzeń usługi Defender for Cloud w portalu Microsoft Defender, zapewniając bogatszy kontekst do badań obejmujących zasoby, urządzenia i tożsamości w chmurze. Ponadto zespoły ds. zabezpieczeń mogą uzyskać pełny obraz ataku, w tym podejrzane i złośliwe zdarzenia występujące w środowisku chmury, dzięki natychmiastowym korelacjom alertów i zdarzeń.
Portal Microsoft Defender łączy funkcje ochrony, wykrywania, badania i reagowania, aby chronić ataki na urządzenia, pocztę e-mail, współpracę, tożsamość i aplikacje w chmurze. Możliwości wykrywania i badania w portalu są teraz rozszerzone na jednostki w chmurze, oferując zespołom ds. operacji zabezpieczeń pojedyncze okienko szkła w celu znacznego zwiększenia ich wydajności operacyjnej.
Ponadto zdarzenia i alerty usługi Defender for Cloud są teraz częścią publicznego interfejsu API Microsoft Defender XDR. Ta integracja umożliwia eksportowanie danych alertów zabezpieczeń do dowolnego systemu przy użyciu jednego interfejsu API.
Wymagania wstępne
Aby zapewnić dostęp do alertów usługi Defender for Cloud w portalu Microsoft Defender, musisz zasubskrybować dowolne plany wymienione w temacie Łączenie subskrypcji platformy Azure.
Wymagane uprawnienia
Aby wyświetlić alerty i korelacje usługi Defender for Cloud, musisz być administratorem globalnym lub administratorem zabezpieczeń w usłudze Azure Active Directory. W przypadku użytkowników, którzy nie mają tych ról, integracja jest dostępna tylko przez zastosowanie ujednoliconych ról kontroli dostępu na podstawie ról (RBAC) dla usługi Defender for Cloud.
Uwaga
Uprawnienie do wyświetlania alertów i korelacji usługi Defender for Cloud jest automatyczne dla całej dzierżawy. Wyświetlanie dla określonych subskrypcji nie jest obsługiwane.
Środowisko badania w portalu Microsoft Defender
W poniższej sekcji opisano środowisko wykrywania i badania w portalu Microsoft Defender z alertami usługi Defender for Cloud.
Uwaga
Alerty informacyjne z usługi Defender for Cloud nie są zintegrowane z portalem Microsoft Defender, aby umożliwić skoncentrowanie się na odpowiednich alertach o wysokiej ważności. Ta strategia usprawnia zarządzanie zdarzeniami i zmniejsza zmęczenie alertami.
| Obszar | Opis |
|---|---|
| Zdarzenia | Wszystkie zdarzenia usługi Defender for Cloud zostaną zintegrowane z portalem Microsoft Defender. — Wyszukiwanie zasobów zasobów w chmurze w kolejce zdarzeń jest obsługiwane. — Na wykresie scenariusza ataku zostanie wyświetlony zasób chmury. — Na karcie Zasoby na stronie zdarzenia zostanie wyświetlony zasób w chmurze. — Każda maszyna wirtualna ma własną stronę urządzenia zawierającą wszystkie powiązane alerty i działania. Nie będzie duplikowania zdarzeń z innych obciążeń usługi Defender. |
| Alerty | Wszystkie alerty usługi Defender for Cloud, w tym alerty dostawców z wieloma chmurami, wewnętrznymi i zewnętrznymi, zostaną zintegrowane z portalem Microsoft Defender. Alerty usługi Defender for Cloud będą wyświetlane w kolejce alertów portalu Microsoft Defender.Zasób zasobu w chmurze zostanie wyświetlony na karcie Zasoby alertu. Zasoby są wyraźnie identyfikowane jako zasób platformy Azure, Amazon lub google cloud.Alerty usługi Defender for Cloud zostaną automatycznie skojarzone z dzierżawą.Nie będzie duplikowania alertów z innych obciążeń usługi Defender. |
| Korelacja alertów i zdarzeń | Alerty i zdarzenia są automatycznie skorelowane, zapewniając niezawodny kontekst zespołom ds. operacji zabezpieczeń, aby zrozumieć pełną historię ataku w środowisku chmury. |
| Wykrywanie zagrożeń | Dokładne dopasowanie jednostek wirtualnych do jednostek urządzeń w celu zapewnienia precyzji i skutecznego wykrywania zagrożeń. |
| Ujednolicony interfejs API | Alerty i zdarzenia usługi Defender for Cloud są teraz uwzględniane w publicznym interfejsie API Microsoft Defender XDR, co umożliwia klientom eksportowanie danych alertów zabezpieczeń do innych systemów przy użyciu jednego interfejsu API. |
Wpływ na użytkowników usługi Microsoft Sentinel
Klienci usługi Microsoft Sentinel integrujący zdarzenia Microsoft Defender XDRi pozyskujący alerty usługi Defender for Cloud muszą wprowadzić następujące zmiany konfiguracji, aby upewnić się, że nie są tworzone zduplikowane alerty i zdarzenia:
- Połącz łącznik Microsoft Defender for Cloud (wersja zapoznawcza) oparty na dzierżawie, aby zsynchronizować zbieranie alertów ze wszystkich subskrypcji za pomocą zdarzeń usługi Defender for Cloud opartych na dzierżawie, które są przesyłane strumieniowo za pośrednictwem łącznika zdarzeń Microsoft Defender XDR.
- Odłącz łącznik alertów Microsoft Defender oparty na subskrypcji dla chmury (starsza wersja), aby zapobiec duplikatom alertów.
- Wyłącz wszystkie reguły analizy — zaplanowane (zwykły typ zapytania) lub reguły zabezpieczeń firmy Microsoft (tworzenie zdarzeń) używane do tworzenia zdarzeń z alertów usługi Defender for Cloud. Zdarzenia usługi Defender for Cloud są tworzone automatycznie w portalu usługi Defender i synchronizowane z usługą Microsoft Sentinel.
- W razie potrzeby użyj reguł automatyzacji , aby zamknąć hałaśliwe zdarzenia, lub użyj wbudowanych możliwości dostrajania w portalu usługi Defender , aby pominąć niektóre alerty.
Należy również zauważyć następującą zmianę:
- Akcja powiązana z alertami do zdarzeń portalu Microsoft Defender zostanie usunięta.
Dowiedz się więcej na temat pozyskiwania Microsoft Defender zdarzeń w chmurze z integracją Microsoft Defender XDR.
Wyłączanie alertów usługi Defender for Cloud
Alerty dla usługi Defender for Cloud są domyślnie włączone. Aby zachować ustawienia oparte na subskrypcji i uniknąć synchronizacji opartej na dzierżawie lub zrezygnować z tego środowiska, wykonaj następujące kroki:
- W portalu Microsoft Defender przejdź do pozycji Ustawienia>Microsoft Defender XDR.
- W obszarze Ustawienia usługi alertów poszukaj Microsoft Defender alertów w chmurze.
- Wybierz pozycję Brak alertów , aby wyłączyć wszystkie alerty usługi Defender for Cloud. Wybranie tej opcji powoduje zatrzymanie pozyskiwania nowych alertów usługi Defender for Cloud do portalu. Pozyskane wcześniej alerty pozostają na stronie alertu lub zdarzenia.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla