Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
интегрированные средства защиты облачных рабочих нагрузок Microsoft Defender для облака позволяют обнаруживать и быстро реагировать на угрозы в гибридных и многооблачных рабочих нагрузках. Соединитель Microsoft Defender для облака позволяет получать оповещения системы безопасности из Defender для облака в Microsoft Sentinel, чтобы просматривать, анализировать и реагировать на оповещения Defender, а также инциденты, которые они создают, в более широком контексте организационной угрозы.
Планы Microsoft Defender в Cloud Defender активированы для каждой подписки. Хотя устаревший соединитель Microsoft Sentinel для Defender для облачных приложений также настраивается для каждой подписки, соединитель Microsoft Defender на основе клиента для Cloud в предварительной версии позволяет собирать оповещения Defender для облака во всем клиенте без необходимости включать каждую подписку отдельно. Соединитель на основе клиента также работает с интеграцией Defender для облака с Microsoft Defender XDR , чтобы обеспечить полное включение всех оповещений Defender для облака через интеграцию инцидентов XDR в Microsoft Defender.
Синхронизация оповещений:
При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности, принимаемых в Microsoft Sentinel, синхронизируется между этими двумя службами. Например, если оповещение закрыто в Defender для облака, это оповещение также отображается как закрытое в Microsoft Sentinel.
Изменение статуса оповещения в Defender для Cloud не повлияет на статус каких-либо инцидентов Microsoft Sentinel, содержащих оповещение Microsoft Sentinel, будет изменен только статус самого оповещения.
Двунаправленная синхронизация оповещений: включение двунаправленной синхронизации автоматически синхронизирует состояние исходных оповещений системы безопасности с инцидентами Microsoft Sentinel, содержащими эти оповещения. Например, если инцидент Microsoft Sentinel, содержащий оповещения системы безопасности, закрыт, соответствующий исходный оповещение закрывается в Microsoft Defender для облака автоматически.
Примечание.
Сведения о доступности функций в облаках для государственных клиентов США см. в таблицах Microsoft Sentinel в доступность облачных функций для государственных клиентов США.
Примечание.
Соединитель не поддерживает синхронизацию оповещений из подписок, принадлежащих другим клиентам, даже если Lighthouse включен для этих клиентов.
Необходимые компоненты
Необходимо использовать Microsoft Sentinel в портал Azure. При подключении Microsoft Sentinel к порталу Defender оповещения Defender для облака уже передаются в Microsoft Defender XDR, а соединитель данных Microsoft Defender для облака (предварительная версия) не указан на странице соединителей данных на портале Defender. Для получения дополнительной информации см. Microsoft Sentinel на портале Microsoft Defender.
Если вы интегрировали Microsoft Sentinel в портал Defender, вам всё равно следует установить решение Microsoft Defender для облака для использования встроенного контента безопасности с Microsoft Sentinel.
Если вы используете Microsoft Sentinel на портале Defender без XDR в Microsoft Defender, эта процедура по-прежнему актуальна для вас.
У вас должны быть следующие роли и разрешения:
У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
У вас должна быть роль участника или владельца подписки, которую вы хотите подключить к Microsoft Sentinel.
Чтобы включить двунаправленную синхронизацию, необходимо иметь роль участника или администратора безопасности в соответствующей подписке.
Необходимо включить по крайней мере один план в Microsoft Defender для облака для каждой подписки, в которой необходимо включить соединитель. Чтобы включить планы Microsoft Defender в подписке, необходимо иметь роль администратора безопасности для этой подписки.
Вам потребуется
SecurityInsights, чтобы поставщик ресурсов был зарегистрирован для каждой подписки, в которой требуется включить соединитель. Ознакомьтесь с рекомендациями по состоянию регистрации поставщика ресурсов и способам его регистрации.
Подключение к Microsoft Defender для облака
В Microsoft Sentinel установите решение Microsoft Defender для облака из Центра содержимого. Дополнительные сведения см. в статье "Обнаружение и управление готовым содержимым Microsoft Sentinel".
Выберите Конфигурация > Соединители данных.
На странице соединителей данных выберите соединитель либо Microsoft Defender для облака (устаревшая версия), либо Microsoft Defender для облака (предварительная версия) на основе арендатора, а затем выберите Открыть страницу соединителя.
В разделе "Конфигурация" вы увидите список подписок в клиенте и состояние подключения к Microsoft Defender для облака. Выберите переключатель "Состояние " рядом с каждой подпиской, оповещения которой нужно передавать в Microsoft Sentinel. Если вы хотите подключить несколько подписок одновременно, это можно сделать, пометив флажки рядом с соответствующими подписками, а затем нажав кнопку "Подключиться " на панели над списком.
- Флажки и переключатели подключения активны только в подписках, для которых у вас есть необходимые разрешения.
- Кнопка "Подключить " активна только в том случае, если установлен флажок хотя бы одной подписки.
Чтобы включить двунаправленную синхронизацию в подписке, найдите подписку в списке и выберите "Включено " в раскрывающемся списке в столбце двунаправленной синхронизации . Чтобы включить двунаправленную синхронизацию для нескольких подписок одновременно, пометьте их флажки и нажмите кнопку "Включить двунаправленную синхронизацию " на панели над списком.
- Флажки и раскрывающиеся списки активны только в подписках, для которых у вас есть необходимые разрешения.
- Кнопка "Включить двунаправленную синхронизацию" активна только в том случае, если установлен флажок хотя бы одной подписки.
В столбце планов Microsoft Defender списка можно увидеть, включены ли планы Microsoft Defender в подписке, что является необходимым условием для включения соединителя.
Значение каждой подписки в этом столбце либо пустое, что означает, что планы Defender не включены, Все включены, или Некоторые включены. Те пункты, которые отмечены как Некоторые включены, также содержат ссылку "Включить все", нажав на которую вы перейдете на панель конфигурации Microsoft Defender для облака для этой подписки, где сможете выбрать, какие планы Defender включить.
Кнопка " Включить Microsoft Defender для всех подписок " на панели выше списка позволяет перейти на страницу "Начало работы с Microsoft Defender для облака", где можно выбрать, какие подписки будут полностью включать Microsoft Defender для облака. Например:
Вы можете выбрать, будут ли оповещения из Microsoft Defender для облака автоматически создавать инциденты в Microsoft Sentinel. В разделе "Создание инцидентов" выберите "Включено ", чтобы включить правило аналитики по умолчанию, которое автоматически создает инциденты из оповещений. Затем вы можете изменить это правило в разделе "Аналитика" на вкладке "Активные правила ".
Совет
При настройке правил пользовательской аналитики для оповещений из Microsoft Defender для облака следует учитывать серьезность оповещений, чтобы избежать открытия инцидентов для информационных оповещений.
Информационные оповещения в Microsoft Defender для облака сами по себе не представляют угрозу безопасности и важны только в контексте существующего открытого инцидента. Дополнительные сведения см. в разделе "Оповещения системы безопасности" и инциденты в Microsoft Defender для облака.
Проверка и анализ данных
Оповещения системы безопасности хранятся в таблице SecurityAlert в рабочей области Log Analytics. Чтобы запросить оповещения по безопасности в Log Analytics, в качестве отправной точки скопируйте в окно запроса следующее:
SecurityAlert
| where ProductName == "Azure Security Center"
Синхронизация оповещений в обоих направлениях может занять несколько минут. Изменения состояния оповещений могут отображаться не сразу.
Перейдите на вкладку "Дальнейшие действия " на странице соединителя для получения более полезных примеров запросов, шаблонов правил аналитики и рекомендуемых книг.
Связанный контент
В этом документе описано, как подключить Microsoft Defender для облака к Microsoft Sentinel и синхронизировать оповещения между ними. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как получить представление о данных и потенциальных угрозах.
- Начните обнаружение угроз с помощью Microsoft Sentinel.
- Создайте собственные правила для обнаружения угроз.