Anslut Microsoft Defender för molnet aviseringar till Microsoft Sentinel

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om microsofts senaste säkerhetsförbättringar.

Bakgrund

Anteckning

  • Microsoft Defender för molnet kallades tidigare Azure Security Center.
  • Defender för molnet förbättrade säkerhetsfunktioner kallades tidigare gemensamt För Azure Defender.

Microsoft Defender för molnet integrerade arbetsbelastningsskydd i molnet kan du identifiera och snabbt reagera på hot i hybridarbetsbelastningar och arbetsbelastningar i flera moln.

Med den här anslutningsappen kan du strömma säkerhetsaviseringar från Defender för molnet till Microsoft Sentinel, så att du kan visa, analysera och svara på Defender-aviseringar och de incidenter som de genererar i en bredare kontext för organisationshot.

Eftersom Microsoft Defender för molnet utökade säkerhetsfunktioner aktiveras per prenumeration aktiveras eller inaktiveras även den här dataanslutningsappen separat för varje prenumeration.

Anteckning

Information om funktionstillgänglighet i US Government-moln finns i Microsoft Sentinel-tabeller i molnfunktionstillgänglighet för amerikanska myndighetskunder.

Aviseringssynkronisering

  • När du ansluter Microsoft Defender för molnet till Microsoft Sentinel synkroniseras statusen för säkerhetsaviseringar som matas in i Microsoft Sentinel mellan de två tjänsterna. När en avisering till exempel stängs i Defender för molnet visas den aviseringen som stängd även i Microsoft Sentinel.

  • Om du ändrar status för en avisering i Defender för molnet påverkas inte statusen för microsoft Sentinel-incidenter som innehåller Microsoft Sentinel-aviseringen, bara för själva aviseringen.

Dubbelriktad aviseringssynkronisering

  • Om du aktiverar dubbelriktad synkronisering synkroniseras automatiskt statusen för ursprungliga säkerhetsaviseringar med statusen för De Microsoft Sentinel-incidenter som innehåller dessa aviseringar. När till exempel en Microsoft Sentinel-incident som innehåller en säkerhetsavisering stängs stängs motsvarande ursprungliga avisering i Microsoft Defender för molnet automatiskt.

Förutsättningar

  • Du måste ha läs- och skrivbehörighet på din Microsoft Sentinel-arbetsyta.

  • Du måste ha rollen Säkerhetsläsare i prenumerationerna för loggarna som du strömmar.

  • Du måste aktivera minst en plan inom Microsoft Defender för molnet för varje prenumeration där du vill aktivera anslutningsappen. Om du vill aktivera Microsoft Defender-planer för en prenumeration måste du ha rollen Säkerhetsadministratör för den prenumerationen.

  • Om du vill aktivera dubbelriktad synkronisering måste du ha rollen Deltagare eller Säkerhetsadministratör för den relevanta prenumerationen.

Anslut till Microsoft Defender för molnet

  1. I Microsoft Sentinel väljer du Dataanslutningsprogram på navigeringsmenyn.

  2. I galleriet för dataanslutningsappar väljer du Microsoft Defender för molnet och väljer Öppna anslutningssidan i informationsfönstret.

  3. Under Konfiguration visas en lista över prenumerationerna i din klientorganisation och status för deras anslutning till Microsoft Defender för molnet. Välj växlingsknappen Status bredvid varje prenumeration vars aviseringar du vill strömma till Microsoft Sentinel. Om du vill ansluta flera prenumerationer samtidigt kan du göra detta genom att markera kryssrutorna bredvid relevanta prenumerationer och sedan välja knappen Anslut i fältet ovanför listan.

    Anteckning

    • Kryssrutorna och Anslut växlingsknapparna är endast aktiva för de prenumerationer som du har nödvändiga behörigheter för.
    • Knappen Anslut är endast aktiv om minst en prenumerations kryssruta har markerats.
  4. Om du vill aktivera dubbelriktad synkronisering för en prenumeration letar du upp prenumerationen i listan och väljer Aktiverad i listrutan i kolumnen Dubbelriktad synkronisering . Om du vill aktivera dubbelriktad synkronisering för flera prenumerationer samtidigt markerar du kryssrutorna och väljer knappen Aktivera dubbelriktad synkronisering i fältet ovanför listan.

    Anteckning

    • Kryssrutorna och listrutorna är endast aktiva för de prenumerationer som du har nödvändiga behörigheter för.
    • Knappen Aktivera dubbelriktad synkronisering är endast aktiv om minst en prenumerations kryssruta har markerats.
  5. I kolumnen Microsoft Defender-planer i listan kan du se om Microsoft Defender-planer är aktiverade för din prenumeration (ett krav för att aktivera anslutningsappen). Värdet för varje prenumeration i den här kolumnen är antingen tomt (vilket innebär att inga Defender-planer är aktiverade), "Alla aktiverade" eller "Vissa aktiverade". De som säger "Vissa aktiverade" har också en Aktivera alla-länk som du kan välja, som tar dig till din Microsoft Defender för molnet konfigurationsinstrumentpanel för den prenumerationen, där du kan välja Defender-planer att aktivera. Länken Aktivera Microsoft Defender för alla prenumerationer i fältet ovanför listan tar dig till din Microsoft Defender för molnet Komma igång sida, där du kan välja vilka prenumerationer som ska aktivera Microsoft Defender för molnet helt och hållet.

    Screenshot of Microsoft Defender for Cloud connector configuration

  6. Du kan välja om du vill att aviseringarna från Microsoft Defender för molnet ska generera incidenter automatiskt i Microsoft Sentinel. Under Skapa incidenter väljer du Aktiverad för att aktivera standardanalysregeln som automatiskt skapar incidenter från aviseringar. Du kan sedan redigera den här regeln under Analys på fliken Aktiva regler .

    Tips

    När du konfigurerar anpassade analysregler för aviseringar från Microsoft Defender för molnet bör du överväga aviseringens allvarlighetsgrad för att undvika att öppna incidenter för informationsaviseringar.

    Informationsaviseringar i Microsoft Defender för molnet utgör inte en säkerhetsrisk på egen hand och är endast relevanta i samband med en befintlig öppen incident. Mer information finns i Säkerhetsaviseringar och incidenter i Microsoft Defender för molnet.

Hitta och analysera dina data

Anteckning

Aviseringssynkronisering i båda riktningarna kan ta några minuter. Ändringar i status för aviseringar kanske inte visas omedelbart.

  • Säkerhetsaviseringar lagras i tabellen SecurityAlert på Log Analytics-arbetsytan.

  • Om du vill köra frågor mot säkerhetsaviseringar i Log Analytics kopierar du följande till frågefönstret som utgångspunkt:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • Se fliken Nästa steg på anslutningssidan för ytterligare användbara exempelfrågor, analysregelmallar och rekommenderade arbetsböcker.

Nästa steg

I det här dokumentet har du lärt dig hur du ansluter Microsoft Defender för molnet till Microsoft Sentinel och synkroniserar aviseringar mellan dem. Mer information om Microsoft Sentinel finns i följande artiklar: