Microsoft Defender para a Cloud no portal do Microsoft Defender
Aplica-se a:
Microsoft Defender para a Cloud faz agora parte do Microsoft Defender XDR. As equipas de segurança podem agora aceder a alertas e incidentes do Defender para a Cloud no portal do Microsoft Defender, fornecendo contexto mais avançado para investigações que abrangem recursos, dispositivos e identidades da cloud. Além disso, as equipas de segurança podem obter a imagem completa de um ataque, incluindo eventos suspeitos e maliciosos que ocorrem no seu ambiente na cloud, através de correlações imediatas de alertas e incidentes.
O portal Microsoft Defender combina capacidades de proteção, deteção, investigação e resposta para proteger ataques em aplicações de dispositivo, e-mail, colaboração, identidade e cloud. As capacidades de deteção e investigação do portal são agora expandidas para entidades na cloud, oferecendo às equipas de operações de segurança um único painel de vidro para melhorar significativamente a eficiência operacional.
Além disso, os alertas e incidentes do Defender para a Cloud fazem agora parte da API pública do Microsoft Defender XDR. Esta integração permite a exportação de dados de alertas de segurança para qualquer sistema através de uma única API.
Pré-requisito
Para garantir o acesso aos alertas do Defender para a Cloud no portal do Microsoft Defender, tem de subscrever qualquer um dos planos listados em Ligar as suas subscrições do Azure.
Permissões necessárias
Tem de ser um administrador global ou um administrador de segurança no Azure Active Directory para ver os alertas e correlações do Defender para a Cloud. Para os utilizadores que não têm estas funções, a integração só está disponível através da aplicação de funções de controlo de acesso baseado em funções (RBAC) unificadas para o Defender para a Cloud.
Nota
A permissão para ver alertas e correlações do Defender para a Cloud é automática para todo o inquilino. A visualização de subscrições específicas não é suportada.
Experiência de investigação no portal do Microsoft Defender
A secção seguinte descreve a experiência de deteção e investigação no portal Microsoft Defender com alertas do Defender para a Cloud.
Nota
Os alertas informativos do Defender para a Cloud não estão integrados no portal do Microsoft Defender para permitir o foco nos alertas de gravidade relevantes e de alta gravidade. Esta estratégia simplifica a gestão de incidentes e reduz a fadiga dos alertas.
| Área | Descrição |
|---|---|
| Incidentes | Todos os incidentes do Defender para Cloud serão integrados no portal do Microsoft Defender. - A pesquisa de recursos da cloud na fila de incidentes é suportada. - O gráfico do bloco de ataque mostrará o recurso da cloud. - O separador recursos numa página de incidente mostrará o recurso da cloud. - Cada máquina virtual tem a sua própria página de dispositivo que contém todos os alertas e atividades relacionados. Não haverá duplicação de incidentes de outras cargas de trabalho do Defender. |
| Alertas | Todos os alertas do Defender para a Cloud, incluindo alertas de fornecedores externos, internos e multi cloud, serão integrados no portal Microsoft Defender. Os alertas do Defender para a Cloud serão apresentados na fila de alertas do portal do Microsoft Defender. O recurso de recurso da cloud será apresentado no separador Recurso de um alerta. Os recursos são claramente identificados como um recurso do Azure, Amazon ou Google Cloud.Os alertas do Defender para a Cloud serão automaticamente associados a um inquilino.Não haverá duplicação de alertas de outras cargas de trabalho do Defender. |
| Correlação de alertas e incidentes | Os alertas e incidentes são automaticamente correlacionados, proporcionando um contexto robusto às equipas de operações de segurança para compreender a história completa do ataque no respetivo ambiente na cloud. |
| Deteção de ameaças | Correspondência precisa de entidades virtuais com entidades de dispositivos para garantir a precisão e a deteção eficaz de ameaças. |
| API Unificada | Os alertas e incidentes do Defender para a Cloud estão agora incluídos na API pública do Microsoft Defender XDR, permitindo que os clientes exportem os respetivos dados de alertas de segurança para outros sistemas com uma API. |
Impacto para os utilizadores do Microsoft Sentinel
Os clientes do Microsoft Sentinel que integram Microsoft Defender XDR incidentese ingerem alertas do Defender para a Cloud são necessários para fazer as seguintes alterações de configuração para garantir que não são criados alertas e incidentes duplicados:
- Ligue o conector Microsoft Defender baseado no inquilino para a Cloud (Pré-visualização) para sincronizar a coleção de alertas de todas as suas subscrições com incidentes do Defender para Cloud baseados no inquilino que estão a ser transmitidos através do conector incidentes do Microsoft Defender XDR.
- Desligue o conector de alertas do Microsoft Defender baseado na subscrição para a Cloud (Legado) para impedir duplicados de alertas.
- Desative quaisquer regras de análise ( agendadas (tipo de consulta regular) ou regras de segurança da Microsoft (criação de incidentes) — utilizadas para criar incidentes a partir de alertas do Defender para a Cloud. Os Incidentes do Defender para a Cloud são criados automaticamente no portal do Defender e sincronizados com o Microsoft Sentinel.
- Se necessário, utilize regras de automatização para fechar incidentes ruidosos ou utilize as capacidades de otimização incorporadas no portal do Defender para suprimir determinados alertas.
A seguinte alteração também deve ser notada:
- A ação para relacionar alertas com os incidentes do portal do Microsoft Defender é removida.
Saiba mais em Ingerir Microsoft Defender para incidentes na Cloud com integração Microsoft Defender XDR.
Desativar alertas do Defender para a Cloud
Os alertas do Defender para Cloud estão ativados por predefinição. Para manter as definições baseadas na subscrição e evitar a sincronização baseada no inquilino ou optar ativamente por não participar na experiência, execute os seguintes passos:
- No portal Microsoft Defender, aceda a Definições>Microsoft Defender XDR.
- Nas definições do Serviço de alertas, procure Microsoft Defender para alertas da Cloud.
- Selecione Sem alertas para desativar todos os alertas do Defender para a Cloud. Selecionar esta opção interrompe a ingestão de novos alertas do Defender para a Cloud no portal. Os alertas ingeridos anteriormente permanecem numa página de alerta ou incidente.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários