Microsoft Defender для облака на портале Microsoft Defender
Область применения:
Microsoft Defender для облака теперь является частью Microsoft Defender XDR. Теперь группы безопасности могут получать доступ к оповещениям и инцидентам Defender для облака на портале Microsoft Defender, предоставляя расширенный контекст для расследований, охватывающих облачные ресурсы, устройства и удостоверения. Кроме того, группы безопасности могут получить полную картину атаки, включая подозрительные и вредоносные события, происходящие в облачной среде, путем немедленной корреляции оповещений и инцидентов.
Портал Microsoft Defender объединяет возможности защиты, обнаружения, исследования и реагирования для защиты атак на устройства, электронную почту, совместную работу, удостоверения и облачные приложения. Возможности обнаружения и исследования портала теперь распространяются на облачные сущности, предоставляя командам по операциям безопасности единую панель, чтобы значительно повысить эффективность их работы.
Кроме того, инциденты и оповещения Defender для облака теперь являются частью общедоступного API Microsoft Defender XDR. Эта интеграция позволяет экспортировать данные оповещений системы безопасности в любую систему с помощью одного API.
Предварительное условие
Чтобы обеспечить доступ к оповещениям Defender для облака на портале Microsoft Defender, необходимо подписаться на любой из планов, перечисленных в разделе Подключение подписок Azure.
Необходимые разрешения
Для просмотра оповещений и корреляций Defender для облака необходимо быть глобальным администратором или администратором безопасности в Azure Active Directory. Для пользователей, у которых нет этих ролей, интеграция доступна только путем применения унифицированных ролей управления доступом на основе ролей (RBAC) для Defender для облака.
Примечание.
Разрешение на просмотр оповещений и корреляций Defender для облака является автоматическим для всего клиента. Просмотр определенных подписок не поддерживается.
Опыт исследования на портале Microsoft Defender
В следующем разделе описывается обнаружение и исследование на портале Microsoft Defender с оповещениями Defender для облака.
Примечание.
Информационные оповещения из Defender для облака не интегрируются с Microsoft Defender порталом, чтобы можно было сосредоточиться на соответствующих оповещениях с высоким уровнем серьезности. Эта стратегия упрощает управление инцидентами и снижает усталость от оповещений.
| Область | Описание |
|---|---|
| Инциденты | Все инциденты Defender для облака будут интегрированы с порталом Microsoft Defender. — поддерживается поиск ресурсов облачных ресурсов в очереди инцидентов . — На графике истории атаки будет отображаться облачный ресурс. — На вкладке активы на странице инцидента будет отображаться облачный ресурс. — Каждая виртуальная машина имеет собственную страницу устройства, содержащую все связанные оповещения и действия. Дублирование инцидентов из других рабочих нагрузок Defender не будет. |
| Оповещения | Все оповещения Defender для облака, включая оповещения нескольких облаков, внутренних и внешних поставщиков, будут интегрированы на портал Microsoft Defender. Оповещения Defender для облака будут отображаться в очереди оповещений Microsoft Defender портала. Ресурс облачных ресурсов будет отображаться на вкладке Актив оповещения. Ресурсы четко определены как ресурсы Azure, Amazon или Google Cloud.Оповещения Defender для облака будут автоматически связаны с клиентом.Дублирование оповещений из других рабочих нагрузок Defender не будет. |
| Корреляция оповещений и инцидентов | Оповещения и инциденты автоматически сопоставляются, обеспечивая надежный контекст для команд по операциям с безопасностью, чтобы понять полную историю атак в их облачной среде. |
| Обнаружение угроз | Точное сопоставление виртуальных сущностей с сущностями устройства для обеспечения точности и эффективного обнаружения угроз. |
| Унифицированный API | Оповещения и инциденты Defender для облака теперь включены в общедоступный API Microsoft Defender XDR, что позволяет клиентам экспортировать свои данные оповещений системы безопасности в другие системы с помощью одного API. |
Влияние на пользователей Microsoft Sentinel
Клиенты Microsoft Sentinel, интегрирующие Microsoft Defender XDR инцидентыи прием оповещений Defender для облака, должны внести следующие изменения в конфигурацию, чтобы гарантировать, что повторяющиеся оповещения и инциденты не создаются:
- Подключите соединитель Microsoft Defender для облака на основе клиента (предварительная версия) для синхронизации сбора оповещений из всех подписок с инцидентами Defender для облака на основе клиента, которые передаются через соединитель инцидентов Microsoft Defender XDR.
- Отключите соединитель оповещений Microsoft Defender на основе подписки для облака (устаревшая версия), чтобы предотвратить дублирование оповещений.
- Отключите любые правила аналитики ( запланированные (обычные запросы) или правила безопасности ( создание инцидентов) Майкрософт , используемые для создания инцидентов из оповещений Defender для облака. Инциденты Defender для облака создаются автоматически на портале Defender и синхронизируются с Microsoft Sentinel.
- При необходимости используйте правила автоматизации для закрытия шумных инцидентов или используйте встроенные возможности настройки на портале Defender для подавления определенных оповещений.
Следует также отметить следующее изменение:
- Действие по связыванию оповещений с инцидентами Microsoft Defender портала удаляется.
Дополнительные сведения см. в статье Прием Microsoft Defender для инцидентов в облаке с интеграцией Microsoft Defender XDR.
Отключение оповещений Defender для облака
Оповещения для Defender для облака включены по умолчанию. Чтобы сохранить параметры на основе подписки и избежать синхронизации на основе клиента или отказаться от взаимодействия, выполните следующие действия.
- На портале Microsoft Defender перейдите в раздел Параметры>Microsoft Defender XDR.
- В разделе Параметры службы оповещений найдите Microsoft Defender для облачных оповещений.
- Выберите Нет оповещений , чтобы отключить все оповещения Defender для облака. Выбор этого параметра останавливает прием новых оповещений Defender для облака на портале. Ранее обработанные оповещения остаются на странице оповещений или инцидентов.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по