Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
aplica-se a:
O Microsoft Defender para Nuvem é integrado ao Microsoft Defender Extended Detection and Response (XDR). Essa integração permite que as equipes de segurança acessem alertas e incidentes do Defender para Nuvem no portal do Microsoft Defender. Esta integração fornece um contexto mais rico para investigações que abrangem recursos de nuvem, dispositivos e identidades.
A parceria com o Microsoft Defender XDR permite que as equipes de segurança obtenham a imagem completa de um ataque, incluindo eventos suspeitos e mal-intencionados que ocorrem em seu ambiente de nuvem. As equipes de segurança podem atingir essa meta por meio de correlações imediatas de alertas e incidentes.
O Microsoft Defender XDR oferece uma solução abrangente que combina recursos de proteção, detecção, investigação e resposta. A solução protege contra ataques a dispositivos, email, colaboração, identidade e aplicativos de nuvem. Nossos recursos de detecção e investigação agora são estendidos para entidades de nuvem, oferecendo às equipes de operações de segurança um único painel transparente para melhorar significativamente sua eficiência operacional.
Incidentes e alertas agora fazem parte da API pública do Microsoft Defender XDR. Essa integração permite exportar dados de alertas de segurança para qualquer sistema usando uma única API. Como Microsoft Defender para Nuvem, estamos empenhados em fornecer aos nossos usuários as melhores soluções de segurança possíveis; essa integração é um passo significativo para alcançar esse objetivo.
Pré-requisitos
O acesso aos alertas do Defender para Nuvem no portal do Microsoft Defender depende de quais planos do Defender para Nuvem estão habilitados. Saiba mais sobre as diferentes proteções de plano do Defender para Nuvem.
Observação
As permissões para exibir alertas e correlações do Defender para Nuvem são automáticas para todo o locatário. Não há suporte para a exibição de assinaturas específicas. Use o filtro de ID da assinatura de alerta para exibir alertas do Defender para Nuvem associados a uma assinatura específica do Defender para Nuvem nas filas de alertas e incidentes. Saiba mais sobre filtros.
A integração só está disponível pela aplicação da função RBAC (controle de acesso baseado em função) unificada do Microsoft Defender XDR para o Defender para Nuvem. Para visualizar os alertas e correlações do Defender para a Nuvem sem o RBAC Unificado do Defender XDR, você precisa ser um Administrador Global ou Administrador de Segurança no Azure Active Directory.
Experiência de investigação no Microsoft Defender XDR
A tabela a seguir descreve a experiência de detecção e investigação no Microsoft Defender XDR com alertas do Defender para Nuvem.
| Área | Descrição |
|---|---|
| Incidentes | Todos os incidentes do Defender para Nuvem são integrados ao Microsoft Defender XDR. – Há suporte à pesquisa de ativos de recursos de nuvem na fila de incidentes. - O gráfico de história do ataque mostra o recurso de nuvem. - A guia de ativos em uma página de incidente mostra o recurso de nuvem. - Cada máquina virtual tem sua própria página de entidade contendo todos os alertas e atividades relacionados. Não há duplicações de incidentes de outras cargas de trabalho do Defender. |
| Alertas | Todos os alertas do Defender para Nuvem, incluindo alertas de provedores multinuvem, internos e externos, são integrados ao Microsoft Defender XDR. Os alertas do Defender para Nuvem são mostrados na fila de alertas do Microsoft Defender XDR. Microsoft Defender XDR O ativo cloud resource aparece na guia Ativo de um alerta. Os recursos são claramente identificados como um recurso do Azure, da Amazon ou do Google Cloud. Os alertas do Defender para Nuvem são automaticamente associados a um locatário. Não há duplicações de alertas de outras cargas de trabalho do Defender. |
| Correlação entre alertas e incidentes | Alertas e incidentes são correlacionados automaticamente e fornecem contexto robusto às equipes de operações de segurança para poderem entender a história completa do ataque em seu ambiente de nuvem. |
| Detecção de ameaças | Correspondência precisa entre entidades virtuais e entidades de dispositivo para garantir a precisão e a detecção efetiva de ameaças. |
| API Unificada | Os alertas e incidentes do Defender para Nuvem agora estão incluídos na API pública do Microsoft Defender XDR, o que permite que os clientes exportem os dados de alertas de segurança para outros sistemas por meio de uma API. |
Observação
Os alertas informativos do Defender para a Cloud não estão integrados no portal do Microsoft Defender para permitir o foco nos alertas de gravidade relevantes e de alta gravidade. Esta estratégia simplifica a gestão de incidentes e reduz a fadiga dos alertas.
Busca avançada em XDR
Os recursos de busca avançada do Microsoft Defender XDR são estendidos para incluir alertas e incidentes do Defender para Nuvem. Essa integração permite que as equipes de segurança procurem todos os recursos de nuvem, dispositivos e identidades em uma única consulta.
A experiência de busca avançada no Microsoft Defender XDR foi criada para fornecer às equipes de segurança a flexibilidade de criar consultas personalizadas para buscar ameaças no ambiente. A integração com alertas e incidentes do Defender para Nuvem permite que as equipes de segurança procurem ameaças nos recursos de nuvem, dispositivos e identidades.
A tabela CloudAuditEvents na busca avançada permite que você investigue e pesquise eventos do painel de controle e crie detecções personalizadas para exibir atividades suspeitas do painel de controle do Azure Resource Manager e Kubernetes (KubeAudit).
A tabela CloudProcessEvents na busca avançada permite que você faça triagem, investigação e criação de detecções personalizadas para atividades suspeitas que são invocadas em sua infraestrutura de nuvem com informações que incluem detalhes sobre os detalhes do processo.
Clientes do Microsoft Sentinel
Os clientes do Microsoft Sentinel que estão integrando incidentes do Microsoft Defender XDRe estão ingerindo alertas do Defender para Nuvem devem seguir as etapas para evitar alertas e incidentes duplicados.
No Microsoft Sentinel, configure o conector de dados do Microsoft Defender para Nuvem baseado em locatário (versão prévia). Esse conector de dados está incluído na solução do Microsoft Defender para Nuvem , disponível no Hub de Conteúdo do Microsoft Sentinel.
O conector de dados do Microsoft Defender para Nuvem baseado em locatário (versão prévia) sincroniza a coleta de alertas de todas as suas assinaturas com os incidentes do Defender para Nuvem baseado em locatário que estão sendo transmitidos por meio do conector de incidentes do Microsoft Defender XDR. Os incidentes do Defender para Nuvem estão correlacionados em todas as assinaturas do locatário.
Se você estiver trabalhando com vários workspaces do Microsoft Sentinel no portal do Defender, os incidentes correlacionados do Defender para Nuvem serão transmitidos para o workspace primário. Para obter mais informações, veja Várias áreas de trabalho Microsoft Sentinel no portal do Defender.
Desconecte o conector de dados do Microsoft Defender para Nuvem baseado em assinatura (herdado) para evitar alertas duplicados.
Desative as regras de análise usadas para criar incidentes com base em alertas do Defender para Nuvem, regras agendadas (tipo de consulta regular) ou de segurança da Microsoft (criação de incidentes).
Se necessário, utilize regras de automatização para fechar incidentes ruidosos ou utilize as capacidades de otimização incorporadas no portal do Defender para suprimir determinados alertas.
Se você integrou seus incidentes do Microsoft Defender XDR ao Microsoft Sentinel e deseja manter as configurações baseadas em assinatura e evitar a sincronização baseada em locatário, opte por não sincronizar incidentes e alertas do Microsoft Defender XDR:
No portal do Microsoft Defender, acesse Configurações > do Microsoft Defender XDR.
Nas configurações de serviço de Alerta, procure alertas do Microsoft Defender para Nuvem.
Selecione Sem alertas para desativar todos os alertas do Defender para a Cloud. A seleção dessa opção interrompe a ingestão de novos alertas do Defender para Nuvem para o Microsoft Defender XDR. Os alertas ingeridos anteriormente permanecem numa página de alerta ou incidente.
Para saber mais, veja:
- Ingerir incidentes do Microsoft Defender para Nuvem com a integração do Microsoft Defender XDR
- Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel