Microsoft Defender för molnet i Microsoft Defender-portalen
Gäller för:
Microsoft Defender för molnet är nu en del av Microsoft Defender XDR. Säkerhetsteam kan nu komma åt Aviseringar och incidenter i Defender för molnet i Microsoft Defender-portalen, vilket ger bättre kontext till undersökningar som omfattar molnresurser, enheter och identiteter. Dessutom kan säkerhetsteam få en fullständig bild av en attack, inklusive misstänkta och skadliga händelser som inträffar i molnmiljön, genom omedelbara korrelationer mellan aviseringar och incidenter.
Microsoft Defender-portalen kombinerar skydds-, identifierings-, undersöknings- och svarsfunktioner för att skydda attacker på enheter, e-post, samarbete, identiteter och molnappar. Portalens identifierings- och undersökningsfunktioner utökas nu till molnentiteter och erbjuder säkerhetsteam en enda glasruta för att avsevärt förbättra drifteffektiviteten.
Dessutom ingår incidenter och aviseringar i Defender för molnet nu i Microsoft Defender XDR:s offentliga API. Med den här integreringen kan du exportera säkerhetsaviseringsdata till alla system med hjälp av ett enda API.
Förutsättningar
För att säkerställa åtkomst till Defender för molnet-aviseringar i Microsoft Defender-portalen måste du prenumerera på något av de abonnemang som anges i Anslut dina Azure-prenumerationer.
Nödvändiga behörigheter
Obs!
Behörigheten att visa Aviseringar och korrelationer i Defender för molnet är automatisk för hela klientorganisationen. Visning för specifika prenumerationer stöds inte. Du kan använda aviseringsprenumerations-ID-filtret för att visa Defender for Cloud-aviseringar som är associerade med en specifik Defender för molnet-prenumeration i aviserings- och incidentköerna. Läs mer om filter.
Integreringen är endast tillgänglig genom att använda lämplig Rollbaserad åtkomstkontroll (RBAC) för Microsoft Defender XDR Unified för Defender för molnet. Om du vill visa aviseringar och korrelationer i Defender för molnet utan Defender XDR Unified RBAC måste du vara global administratör eller säkerhetsadministratör i Azure Active Directory.
Viktigt
Global administratör är en mycket privilegierad roll som bör begränsas till scenarier när du inte kan använda en befintlig roll. Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation.
Undersökningsupplevelse i Microsoft Defender-portalen
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
I följande avsnitt beskrivs identifierings- och undersökningsupplevelsen i Microsoft Defender-portalen med Defender för molnet-aviseringar.
| Område | Beskrivning |
|---|---|
| Incidenter | Alla Defender för moln-incidenter kommer att integreras i Microsoft Defender-portalen.
– Sökning efter molnresurstillgångar i incidentkön stöds. – Diagrammet med angreppsberättelsen visar molnresursen. – Fliken Tillgångar på en incidentsida visar molnresursen. – Varje virtuell dator har en egen enhetssida som innehåller alla relaterade aviseringar och aktiviteter. Det kommer inte att finnas någon duplicering av incidenter från andra Defender-arbetsbelastningar. |
| Varningar | Alla Defender för molnet-aviseringar, inklusive aviseringar för flera moln, interna och externa leverantörer, kommer att integreras i Microsoft Defender-portalen. Aviseringar för Defender för molnet visas i microsoft Defender-portalens aviseringskö.
Molnresurstillgången visas på fliken Tillgång i en avisering. Resurser identifieras tydligt som en Azure-, Amazon- eller Google Cloud-resurs. Defender for Cloud-aviseringar associeras automatiskt med en klientorganisation. Det blir ingen duplicering av aviseringar från andra Defender-arbetsbelastningar. |
| Aviserings- och incidentkorrelation | Aviseringar och incidenter korreleras automatiskt, vilket ger robust kontext till säkerhetsåtgärdsteamen för att förstå hela attackberättelsen i molnmiljön. |
| Hotidentifiering | Korrekt matchning av virtuella entiteter till enhetsentiteter för att säkerställa precision och effektiv hotidentifiering. |
| Enhetligt API | Aviseringar och incidenter i Defender för molnet ingår nu i Microsoft Defender XDR:s offentliga API, vilket gör det möjligt för kunder att exportera sina säkerhetsaviseringsdata till andra system med hjälp av ett API. |
| Avancerad jakt (förhandsversion) | Information om händelser för molngranskning för olika molnplattformar som skyddas av organisationens Defender för molnet finns i tabellen CloudAuditEvents i avancerad jakt. |
Obs!
Informationsaviseringar från Defender för molnet är inte integrerade i Microsoft Defender-portalen för att ge fokus på relevanta och allvarliga aviseringar. Den här strategin effektiviserar hanteringen av incidenter och minskar varningströttheten.
Påverkan på Microsoft Sentinel-användare
Microsoft Sentinel-kunder som integrerar Microsoft Defender XDR-incidenteroch matar in Defender för molnet-aviseringar krävs för att göra följande konfigurationsändringar för att säkerställa att dubblettaviseringar och incidenter inte skapas:
- Anslut anslutningsappen klientbaserad Microsoft Defender för molnet (förhandsversion) för att synkronisera insamling av aviseringar från alla dina prenumerationer med klientbaserade Defender for Cloud-incidenter som strömmas via anslutningsappen Microsoft Defender XDR Incidents.
- Koppla från anslutningsappen för prenumerationsbaserade Microsoft Defender for Cloud-aviseringar (äldre) för att förhindra aviseringsdbbletter.
- Inaktivera alla analysregler – antingen schemalagda (vanlig frågetyp) eller Microsofts säkerhetsregler (incidentskapande) – som används för att skapa incidenter från Defender för moln-aviseringar. Defender för molnincidenter skapas automatiskt i Defender-portalen och synkroniseras med Microsoft Sentinel.
- Om det behövs kan du använda automatiseringsregler för att stänga incidenter med störningar eller använda de inbyggda justeringsfunktionerna i Defender-portalen för att förhindra vissa aviseringar.
Följande ändring bör också noteras:
- Åtgärden för att koppla aviseringar till incidenter i Microsoft Defender-portalen tas bort.
Läs mer i Mata in Microsoft Defender för moln-incidenter med Microsoft Defender XDR-integrering.
Inaktivera Aviseringar för Defender för molnet
Aviseringarna för Defender för molnet är aktiverade som standard. Utför följande steg för att behålla dina prenumerationsbaserade inställningar och undvika klientbaserad synkronisering eller avanmäla dig från upplevelsen:
- I Microsoft Defender-portalen går du till Inställningar>Microsoft Defender XDR.
- Leta efter Aviseringar för Microsoft Defender för molnet i Inställningar för aviseringstjänsten.
- Välj Inga aviseringar för att inaktivera alla Defender för moln-aviseringar. Om du väljer det här alternativet stoppas inmatningen av nya Defender för moln-aviseringar till portalen. Aviseringar som tidigare matats in finns kvar på en aviserings- eller incidentsida.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.