Прием оповещений Microsoft Defender для облака в Microsoft Sentinel

интегрированные средства защиты облачных рабочих нагрузок Microsoft Defender для облака позволяют обнаруживать и быстро реагировать на угрозы в гибридных и многооблачных рабочих нагрузках.

Этот соединитель позволяет получать оповещения системы безопасности из Defender для облака в Microsoft Sentinel, чтобы просматривать, анализировать и реагировать на оповещения Defender, а также инциденты, которые они создают, в более широком контексте угроз организации.

Так как планы Защитника Microsoft Defender для облака включены для каждой подписки, этот соединитель данных также включен или отключен отдельно для каждой подписки.

Новый соединитель Microsoft Defender для облака на основе клиента в предварительной версии позволяет собирать оповещения Defender для облака по всему клиенту без необходимости включать каждую подписку отдельно. Она также использует интеграцию Defender для облака с XDR в Microsoft Defender (ранее Microsoft 365 Defender) для обеспечения полного включения всех оповещений Defender для облака в любые инциденты, которые вы получаете через интеграцию инцидентов XDR в Microsoft Defender.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Синхронизация оповещений

• При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности, принимаемых в Microsoft Sentinel, синхронизируется между этими двумя службами. Например, если оповещение закрывается в Defender для облака, оно также отображается как закрытое в Microsoft Sentinel.

• Изменение состояния оповещения в Defender для облака не приведет к изменению состояния содержащих его инцидентов Microsoft Sentinel (меняется только состояние самого оповещения).

Двунаправленная синхронизация оповещений

При включении двунаправленной синхронизации будет автоматически выполнена синхронизация состояния исходных оповещений безопасности с инцидентами Microsoft Sentinel, содержащими эти оповещения. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещения системы безопасности, соответствующее исходное оповещение будет автоматически закрыто в Microsoft Defender для облака.

Необходимые компоненты

• У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.

• У вас должна быть роль участника или владельца подписки, которую вы хотите подключить к Microsoft Sentinel.

• Для каждой подписки, для которой нужно включить соединитель, потребуется по меньшей мере один план в Microsoft Defender для облака. Чтобы включить планы Microsoft Defender в подписке, вы должны иметь роль Администратор безопасности для нее.

• Вам потребуется SecurityInsights , чтобы поставщик ресурсов был зарегистрирован для каждой подписки, в которой требуется включить соединитель. Ознакомьтесь с рекомендациями по состоянию регистрации поставщика ресурсов и способам его регистрации.

• Чтобы включить двунаправленную синхронизацию, вы должны иметь роль Участник или Администратор безопасности в соответствующей подписке.

• Установите решение для Microsoft Defender для облака из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

Подключение к Microsoft Defender для облака

1. В меню навигации Microsoft Sentinel выберите Соединители данных.

2. В коллекции соединителей данных выберите Microsoft Defender для облака, а затем щелкните Открыть страницу соединителя в области сведений.

3. В разделе Конфигурация вы увидите список подписок в клиенте и состояние их подключения к Microsoft Defender для облака. Выберите переключатель Состояние рядом с каждой подпиской, чьи оповещения требуется передать в Microsoft Sentinel в потоковом режиме. Если вы хотите подключить сразу несколько подписок, это можно сделать, установив флажки рядом с соответствующими подписками, а затем нажав кнопку Подключить на панели над списком.

   Примечание.

   • Флажки и переключатели Подключить будут активны только для подписок, на которые у вас есть необходимые разрешения.
   • Кнопка Подключить будет активна только в том случае, если установлен флажок по крайней мере одной подписки.

4. Чтобы включить двунаправленную синхронизацию для подписки, найдите эту подписку в списке и затем выберите Enabled (Включено) в раскрывающемся списке в столбце Bi-directional sync (Двунаправленная синхронизация). Чтобы включить двунаправленную синхронизацию для нескольких подписок одновременно, установите их флажки и нажмите кнопку Enable bi-directional sync (Включить двунаправленную синхронизацию) на панели над списком.

   Примечание.

   • Флажки и раскрывающиеся списки будут активны только для подписок, на которые у вас есть необходимые разрешения.
   • Кнопка Enable bi-directional sync (Включить двунаправленную синхронизацию) будет активна только в том случае, если установлен флажок по крайней мере одной подписки.

5. В столбце Microsoft Defender plans (Планы Microsoft Defender) списка можно узнать, включены ли планы Microsoft Defender для вашей подписки (необходимое условие для активации соединителя). Значение для каждой подписки в этом столбце будет пустым (это означает, что планы Defender не включены) либо All enabled (Все включены), либо Some enabled (Некоторые включены). Для значения Some enabled (Некоторые включены) будет также доступна ссылка Enable all (Включить все), которая позволит перейти на информационную панель настроек Microsoft Defender для облака для этой подписки, где можно выбрать планы Defender для их активации. Кнопка ссылки Enable Microsoft Defender for all subscriptions (Включить Microsoft Defender для всех подписок) на панели выше позволяет перейти на страницу начала работы с Microsoft Defender для облака, где можно выбрать подписки для включения Microsoft Defender для облака.

   

6. Вы можете выбрать, будут ли оповещения из Microsoft Defender для облака автоматически создавать инциденты в Microsoft Sentinel. В разделе Create incidents (Создание инцидентов) выберите Включено, чтобы включить правило аналитики по умолчанию, которое автоматически создает инциденты на основе оповещений. Позднее это правило можно будет изменить в разделе Analytics (Аналитика) на вкладке Активные правила (Active rules).

   Совет

   При выборе настраиваемых правил аналитики для оповещений из Microsoft Defender для облака учитывайте серьезность предупреждения, чтобы избежать открытия инцидентов для информационных оповещений.

   Информационные оповещения в Microsoft Defender для облака сами по себе не представляют угрозу безопасности и важны только в контексте существующего открытого инцидента. Подробную информацию см. в статье Оповещения и инциденты, связанные с безопасностью, в Microsoft Defender для облака.

Проверка и анализ данных

Примечание.

Синхронизация оповещений в обоих направлениях может занять несколько минут. Изменения состояния оповещений могут отображаться не сразу.

• Оповещения по безопасности хранятся в таблице SecurityAlert в рабочей области Log Analytics.

• Чтобы запросить оповещения по безопасности в Log Analytics, в качестве отправной точки скопируйте в окно запроса следующее:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• См. вкладку Дальнейшие действия на странице соединителя для ознакомления с полезными примерами запросов, шаблонами правил аналитики и рекомендуемыми книгами.

Следующие шаги

В этом документе описано, как подключить Microsoft Defender для облака к Microsoft Sentinel и синхронизировать оповещения между ними. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
• Создавайте собственные правила для обнаружения угроз.