Partilhar via


Microsoft Defender para Cloud no portal do Microsoft Defender

Aplica-se a:

O Microsoft Defender para Cloud faz agora parte do Microsoft Defender XDR. As equipas de segurança podem agora aceder a alertas e incidentes do Defender para a Cloud no portal do Microsoft Defender, fornecendo contexto mais avançado para investigações que abrangem recursos, dispositivos e identidades da cloud. Além disso, as equipas de segurança podem obter a imagem completa de um ataque, incluindo eventos suspeitos e maliciosos que ocorrem no seu ambiente na cloud, através de correlações imediatas de alertas e incidentes.

O portal do Microsoft Defender combina as capacidades de proteção, deteção, investigação e resposta para proteger ataques a aplicações de dispositivo, e-mail, colaboração, identidade e cloud. As capacidades de deteção e investigação do portal são agora expandidas para entidades na cloud, oferecendo às equipas de operações de segurança um único painel de vidro para melhorar significativamente a eficiência operacional.

Além disso, os alertas e incidentes do Defender para a Cloud fazem agora parte da API pública do Microsoft Defender XDR. Esta integração permite a exportação de dados de alertas de segurança para qualquer sistema através de uma única API.

Pré-requisito

Para garantir o acesso aos alertas do Defender para a Cloud no portal do Microsoft Defender, tem de subscrever qualquer um dos planos listados em Ligar as suas subscrições do Azure.

Permissões necessárias

Nota

A permissão para ver alertas e correlações do Defender para a Cloud é automática para todo o inquilino. A visualização de subscrições específicas não é suportada. Pode utilizar o filtro de ID da subscrição de alerta para ver os alertas do Defender para a Cloud associados a uma subscrição específica do Defender para Cloud nas filas de alertas e incidentes. Saiba mais sobre filtros.

A integração só está disponível ao aplicar a função de controlo de acesso baseado em funções (RBAC) unificada do Microsoft Defender XDR adequada para o Defender para a Cloud. Para ver os alertas e correlações do Defender para a Cloud sem o RBAC Unificado do Defender XDR, tem de ser Administrador Global ou Administrador de Segurança no Azure Active Directory.

Importante

O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários em que não pode utilizar uma função existente. A Microsoft recomenda que utilize funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização.

Experiência de investigação no portal do Microsoft Defender

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

A secção seguinte descreve a experiência de deteção e investigação no portal do Microsoft Defender com alertas do Defender para Cloud.

Área Descrição
Incidentes Todos os incidentes do Defender para a Cloud serão integrados no portal do Microsoft Defender.

- A pesquisa de recursos da cloud na fila de incidentes é suportada.
- O gráfico do bloco de ataque mostrará o recurso da cloud.
- O separador recursos numa página de incidente mostrará o recurso da cloud.
- Cada máquina virtual tem a sua própria página de dispositivo que contém todos os alertas e atividades relacionados.

Não haverá duplicação de incidentes de outras cargas de trabalho do Defender.
Alertas Todos os alertas do Defender para a Cloud, incluindo alertas de fornecedores externos, internos e multi cloud, serão integrados no portal do Microsoft Defender. Os alertas do Defender para a Cloud serão apresentados na fila de alertas do portal do Microsoft Defender.

O recurso de recurso da cloud será apresentado no separador Recurso de um alerta. Os recursos são claramente identificados como um recurso do Azure, Amazon ou Google Cloud.

Os alertas do Defender para a Cloud serão automaticamente associados a um inquilino.

Não haverá duplicação de alertas de outras cargas de trabalho do Defender.
Correlação de alertas e incidentes Os alertas e incidentes são automaticamente correlacionados, proporcionando um contexto robusto às equipas de operações de segurança para compreender a história completa do ataque no respetivo ambiente na cloud.
Deteção de ameaças Correspondência precisa de entidades virtuais com entidades de dispositivos para garantir a precisão e a deteção eficaz de ameaças.
API Unificada Os alertas e incidentes do Defender para a Cloud estão agora incluídos na API pública do Microsoft Defender XDR, permitindo que os clientes exportem os respetivos dados de alertas de segurança para outros sistemas através de uma API.
Investigação avançada (Pré-visualização) As informações sobre eventos de auditoria na cloud para várias plataformas na cloud protegidas pelo Defender para a Cloud da organização estão disponíveis através da tabela CloudAuditEvents na investigação avançada.

Nota

Os alertas informativos do Defender para a Cloud não estão integrados no portal do Microsoft Defender para permitir o foco nos alertas de gravidade relevantes e de alta gravidade. Esta estratégia simplifica a gestão de incidentes e reduz a fadiga dos alertas.

Impacto para os utilizadores do Microsoft Sentinel

Os clientes do Microsoft Sentinel que integram incidentes XDR do Microsoft Defendere ingerem alertas do Defender para a Cloud são obrigados a fazer as seguintes alterações de configuração para garantir que não são criados alertas e incidentes duplicados:

  • Ligue o conector do Microsoft Defender for Cloud (Pré-visualização) baseado no inquilino para sincronizar a coleção de alertas de todas as suas subscrições com incidentes do Defender para Cloud baseados no inquilino que estão a ser transmitidos através do conector Incidentes XDR do Microsoft Defender.
  • Desligue o conector de alertas do Microsoft Defender for Cloud (Legado) baseado na subscrição para evitar duplicados de alertas.
  • Desative quaisquer regras de análise ( agendadas (tipo de consulta regular) ou regras de segurança da Microsoft (criação de incidentes) — utilizadas para criar incidentes a partir de alertas do Defender para a Cloud. Os Incidentes do Defender para a Cloud são criados automaticamente no portal do Defender e sincronizados com o Microsoft Sentinel.
  • Se necessário, utilize regras de automatização para fechar incidentes ruidosos ou utilize as capacidades de otimização incorporadas no portal do Defender para suprimir determinados alertas.

A seguinte alteração também deve ser notada:

  • A ação para relacionar alertas com os incidentes do portal do Microsoft Defender é removida.

Saiba mais em Ingerir incidentes do Microsoft Defender para Cloud com a integração do Microsoft Defender XDR.

Desativar alertas do Defender para a Cloud

Os alertas do Defender para Cloud estão ativados por predefinição. Para manter as definições baseadas na subscrição e evitar a sincronização baseada no inquilino ou optar ativamente por não participar na experiência, execute os seguintes passos:

  1. No portal do Microsoft Defender, aceda a Definições>Microsoft Defender XDR.
  2. Nas definições do Serviço de alertas, procure alertas do Microsoft Defender para Cloud.
  3. Selecione Sem alertas para desativar todos os alertas do Defender para a Cloud. Selecionar esta opção interrompe a ingestão de novos alertas do Defender para a Cloud no portal. Os alertas ingeridos anteriormente permanecem numa página de alerta ou incidente.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.