Ingerir incidentes do Microsoft Defender para Nuvem com a integração do Microsoft Defender XDR

  • Artigo

O Microsoft Defender para Nuvem agora está integrado ao Microsoft Defender XDR, anteriormente conhecido como Microsoft 365 Defender. Essa integração permite que o Defender XDR colete alertas do Defender para Nuvem e crie incidentes do Defender XDR deles.

Graças a essa integração, os clientes do Microsoft Sentinel que habilitam integração de incidentes do Defender XDR agora podem ingerir e sincronizar incidentes do Defender para Nuvem por meio do Microsoft Defender XDR.

Para dar suporte a essa integração, você deve configurar um dos seguintes conectores de dados do Microsoft Defender para Nuvem, caso contrário, seus incidentes para o Microsoft Defender para Nuvem que vêm por meio do conector do Microsoft Defender XDR não exibirão seus alertas e entidades associados:

  • O Microsoft Sentinel tem um novo conector do Microsoft Defender para Nuvem (versão prévia) baseado em locatário. Esse conector permitirá que os clientes do Microsoft Sentinel recebam alertas do Defender para Nuvem em todos os locatários, sem precisar monitorar e manter o registro do conector em todas as assinaturas do Defender para Nuvem. É recomendável usar esse novo conector, pois a integração do Microsoft Defender XDR ao Microsoft Defender para Nuvem também é implementada no nível do locatário.

  • Como alternativa, você pode usar o conector do Microsoft Defender para Nuvem (Herdado) baseado em assinatura. Esse conector não é recomendado, pois se você tiver assinaturas do Defender para Nuvem que não estejam conectadas ao Microsoft Sentinel no conector, os incidentes dessas assinaturas não exibirão seus alertas e entidades associados.

Ambos os conectores mencionados acima podem ser usados para ingerir alertas do Defender para Nuvem, independentemente de você ter a integração de incidentes do Defender XDR habilitada.

Importante

  • A integração do Defender para Nuvem com o Defender XDR agora está disponível em geral (GA).

  • O Microsoft Defender para Nuvem (versão prévia) baseado em locatário está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Escolha como usar essa integração e o novo conector

A maneira como você opta por usar essa integração e se deseja ingerir incidentes completos ou apenas alertas dependerá, em grande parte, do que você já está fazendo em relação aos incidentes do Microsoft Defender XDR.

  • Se você já estiver ingerindo incidentes do Defender XDR ou se estiver optando por começar a fazer isso agora, é altamente recomendável habilitar esse novo conector baseado em locatário. Seus incidentes do Defender XDR agora incluirão incidentes baseados no Defender para Nuvem com alertas totalmente preenchidos de todas as assinaturas do Defender para Nuvem em seu locatário.

    Se, nessa situação, você permanecer com o conector do Defender para Nuvem baseado em assinatura herdado e não conectar o novo baseado em locatário, poderá receber incidentes do Defender para Nuvem que contêm alertas vazios (no caso de uma assinatura à qual o conector não está registrado).

  • Se você não pretende habilitar a integração de incidentes do Microsoft Defender XDR, ainda poderá receber alertas do Defender para Nuvem, independentemente de qual versão do conector você habilitar. No entanto, o novo conector baseado em locatário ainda oferece a vantagem de não precisar das permissões para monitorar e manter sua lista de assinaturas do Defender para Nuvem no conector.

  • Se você tiver habilitado a integração do Defender XDR, mas quiser receber apenas alertas do Defender para Nuvem, e não incidentes, poderá usar regras de automação para fechar imediatamente os incidentes do Defender para Nuvem conforme eles chegam.

    Se essa não for uma solução adequada ou se você ainda quiser coletar alertas do Defender para Nuvem por assinatura, poderá recusar completamente a integração do Defender para Nuvem no portal do Microsoft Defender XDR e, em seguida, usar a versão herdada baseada em assinatura do conector do Defender para Nuvem para receber esses alertas.

Configurar a integração no Microsoft Sentinel

Se você ainda não habilitou a integração de incidentes no conector do Microsoft 365 Defender, faça isso primeiro.

Em seguida, habilite o novo conector do Microsoft Defender para Nuvem (versão prévia) baseado em locatário. Esse conector está disponível por meio da solução do Microsoft Defender para Nuvem, versão 3.0.0, no Hub de Conteúdo. Se você tiver uma versão anterior dessa solução, poderá atualizá-la no hub de conteúdo.

Se você já tiver habilitado o conector herdado baseado em assinatura do Defender para Nuvem [que será exibido como Microsoft Defender para Nuvem (herdado) baseado em assinatura], será recomendável desabilitá-lo para evitar a duplicação de alertas em seus logs.

Se você tiver regras de análise agendadas ou de Segurança da Microsoft que criem incidentes com base em alertas do Defender para Nuvem, você será incentivado a desabilitar essas regras, já que receberá incidentes prontos criados pelo Microsoft 365 Defender e sincronizados com o Microsoft 365 Defender.

Se houver tipos específicos de alertas do Defender para Nuvem para os quais você não deseja criar incidentes, você pode usar regras de automação para fechar esses incidentes imediatamente ou usar os recursos de ajuste internos no portal do Microsoft 365 Defender.

Próximas etapas

Neste artigo, você aprendeu a usar a integração do Microsoft Defender para Nuvem com o Microsoft Defender XDR para ingerir incidentes e alertas no Microsoft Sentinel.

Saiba mais sobre a integração do Microsoft Defender para Nuvem com o Microsoft Defender XDR.