Подключение оповещений Microsoft Defender для облака к Microsoft Sentinel

Примечание

Azure Sentinel теперь называется Microsoft Sentinel, и мы будем обновлять эти страницы в ближайшие недели. Узнайте подробнее о последних усовершенствованиях в системе безопасности Майкрософт.

История

Примечание

  • Microsoft Defender для облака ранее назывался центром безопасности Azure.
  • Расширенные функции безопасности в Defender для облака ранее именовались Azure Defender.

Интегрированная облачная защита рабочих нагрузок в Microsoft Defender для облака позволяет обнаруживать и быстро реагировать на угрозы в гибридных и многооблачных рабочих нагрузках.

Этот соединитель позволяет передавать оповещения системы безопасности из Defender для облака в Microsoft Sentinel, чтобы вы могли просматривать, анализировать оповещения Defender и инциденты, которые они создают, и реагировать на них в более широком контексте угроз организации.

Так как улучшенные функции безопасности Microsoft Defender для облака включены для каждой подписки, этот соединитель данных также включается или отключается отдельно для каждой подписки.

Примечание

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Синхронизация оповещений

  • При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности, принимаемых в Microsoft Sentinel, синхронизируется между этими двумя службами. Например, если оповещение закрывается в Defender для облака, оно также отображается как закрытое в Microsoft Sentinel.

  • Изменение состояния оповещения в Defender для облака не приведет к изменению состояния содержащих его инцидентов Microsoft Sentinel (меняется только состояние самого оповещения).

Двунаправленная синхронизация оповещений

  • При включении двунаправленной синхронизации будет автоматически выполнена синхронизация состояния исходных оповещений безопасности с инцидентами Microsoft Sentinel, содержащими эти оповещения. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещения системы безопасности, соответствующее исходное оповещение будет автоматически закрыто в Microsoft Defender для облака.

Предварительные требования

  • У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.

  • У вас должна быть роль "Читатель сведений о безопасности" в подписке на журналы для потоковой передачи.

  • Для каждой подписки, для которой нужно включить соединитель, потребуется по меньшей мере один план в Microsoft Defender для облака. Чтобы включить планы Microsoft Defender в подписке, вы должны иметь роль Администратор безопасности для нее.

  • Чтобы включить двунаправленную синхронизацию, вы должны иметь роль Участник или Администратор безопасности в соответствующей подписке.

Подключение к Microsoft Defender для облака

  1. В меню навигации Microsoft Sentinel выберите Соединители данных.

  2. В коллекции соединителей данных выберите Microsoft Defender для облака, а затем щелкните Открыть страницу соединителя в области сведений.

  3. В разделе Конфигурация вы увидите список подписок в клиенте и состояние их подключения к Microsoft Defender для облака. Выберите переключатель Состояние рядом с каждой подпиской, чьи оповещения требуется передать в Microsoft Sentinel в потоковом режиме. Если вы хотите подключить сразу несколько подписок, это можно сделать, установив флажки рядом с соответствующими подписками, а затем нажав кнопку Подключить на панели над списком.

    Примечание

    • Флажки и переключатели Подключить будут активны только для подписок, на которые у вас есть необходимые разрешения.
    • Кнопка Подключить будет активна только в том случае, если установлен флажок по крайней мере одной подписки.
  4. Чтобы включить двунаправленную синхронизацию для подписки, найдите эту подписку в списке и затем выберите Enabled (Включено) в раскрывающемся списке в столбце Bi-directional sync (Двунаправленная синхронизация). Чтобы включить двунаправленную синхронизацию для нескольких подписок одновременно, установите их флажки и нажмите кнопку Enable bi-directional sync (Включить двунаправленную синхронизацию) на панели над списком.

    Примечание

    • Флажки и раскрывающиеся списки будут активны только для подписок, на которые у вас есть необходимые разрешения.
    • Кнопка Enable bi-directional sync (Включить двунаправленную синхронизацию) будет активна только в том случае, если установлен флажок по крайней мере одной подписки.
  5. В столбце Microsoft Defender plans (Планы Microsoft Defender) списка можно узнать, включены ли планы Microsoft Defender для вашей подписки (необходимое условие для активации соединителя). Значение для каждой подписки в этом столбце будет пустым (это означает, что планы Defender не включены) либо All enabled (Все включены), либо Some enabled (Некоторые включены). Для значения Some enabled (Некоторые включены) будет также доступна ссылка Enable all (Включить все), которая позволит перейти на информационную панель настроек Microsoft Defender для облака для этой подписки, где можно выбрать планы Defender для их активации. Кнопка ссылки Enable Microsoft Defender for all subscriptions (Включить Microsoft Defender для всех подписок) на панели выше позволяет перейти на страницу начала работы с Microsoft Defender для облака, где можно выбрать подписки для включения Microsoft Defender для облака.

    Screenshot of Microsoft Defender for Cloud connector configuration

  6. Вы можете выбрать, будут ли оповещения из Microsoft Defender для облака автоматически создавать инциденты в Microsoft Sentinel. В разделе Create incidents (Создание инцидентов) выберите Включено, чтобы включить правило аналитики по умолчанию, которое автоматически создает инциденты на основе оповещений. Позднее это правило можно будет изменить в разделе Analytics (Аналитика) на вкладке Активные правила (Active rules).

    Совет

    При выборе настраиваемых правил аналитики для оповещений из Microsoft Defender для облака учитывайте серьезность предупреждения, чтобы избежать открытия инцидентов для информационных оповещений.

    Информационные оповещения в Microsoft Defender для облака сами по себе не представляют угрозу безопасности и важны только в контексте существующего открытого инцидента. Подробную информацию см. в статье Оповещения и инциденты, связанные с безопасностью, в Microsoft Defender для облака.

Проверка и анализ данных

Примечание

Синхронизация оповещений в обоих направлениях может занять несколько минут. Изменения состояния оповещений могут отображаться не сразу.

  • Оповещения по безопасности хранятся в таблице SecurityAlert в рабочей области Log Analytics.

  • Чтобы запросить оповещения по безопасности в Log Analytics, в качестве отправной точки скопируйте в окно запроса следующее:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • См. вкладку Дальнейшие действия на странице соединителя для ознакомления с полезными примерами запросов, шаблонами правил аналитики и рекомендуемыми книгами.

Дальнейшие действия

В этом документе описано, как подключить Microsoft Defender для облака к Microsoft Sentinel и синхронизировать оповещения между ними. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: