Dela via

Mata in Microsoft Defender för molnet incidenter med Microsoft Defender XDR-integrering

  • Artikel

Microsoft Defender för molnet är nu integrerat med Microsoft Defender XDR, tidigare kallat Microsoft 365 Defender. Med den här integreringen kan Defender XDR samla in aviseringar från Defender för molnet och skapa Defender XDR-incidenter från dem.

Tack vare den här integreringen kan Microsoft Sentinel-kunder som aktiverar Defender XDR-incidentintegrering nu mata in och synkronisera Defender för molnet incidenter via Microsoft Defender XDR.

För att stödja den här integreringen måste du konfigurera någon av följande Microsoft Defender för molnet dataanslutningar, annars visas inte dina incidenter för Microsoft Defender för molnet som kommer via Microsoft Defender XDR-anslutningsappen deras associerade aviseringar och entiteter:

  • Microsoft Sentinel har en ny anslutningsapp för klientbaserad Microsoft Defender för molnet (förhandsversion). Med den här anslutningsappen kan Microsoft Sentinel-kunder ta emot Defender för molnet aviseringar i hela klientorganisationen, utan att behöva övervaka och underhålla anslutningsappens registrering för alla sina Defender för molnet prenumerationer. Vi rekommenderar att du använder den här nya anslutningsappen eftersom Microsoft Defender XDR-integreringen med Microsoft Defender för molnet också implementeras på klientnivå.

  • Du kan också använda anslutningsappen Prenumerationsbaserad Microsoft Defender för molnet (äldre). Den här anslutningsappen rekommenderas inte, eftersom om du har några Defender för molnet prenumerationer som inte är anslutna till Microsoft Sentinel i anslutningsappen, visar incidenter från dessa prenumerationer inte deras associerade aviseringar och entiteter.

Båda anslutningsprogram som nämns ovan kan användas för att mata in Defender för molnet aviseringar, oavsett om du har defender XDR-incidentintegrering aktiverat.

Viktigt!

  • Den Defender för molnet integreringen med Defender XDR är nu allmänt tillgänglig (GA)..

  • Den klientbaserade Microsoft Defender för molnet-anslutningsappen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Välj hur du vill använda den här integreringen och den nya anslutningsappen

Hur du väljer att använda den här integreringen och om du vill mata in fullständiga incidenter eller bara aviseringar beror till stor del på vad du redan gör när det gäller Microsoft Defender XDR-incidenter.

  • Om du redan matar in Defender XDR-incidenter, eller om du väljer att börja göra det nu, rekommenderar vi starkt att du aktiverar den här nya klientbaserade anslutningsappen. Dina Defender XDR-incidenter inkluderar nu Defender för molnet-baserade incidenter med fullständigt ifyllda aviseringar från alla Defender för molnet prenumerationer i klientorganisationen.

    Om du i det här fallet är kvar med den äldre prenumerationsbaserade Defender för molnet-anslutningsappen och inte ansluter den nya klientbaserade, kan du få Defender för molnet incidenter som innehåller tomma aviseringar (om det gäller en prenumeration som anslutningsappen inte har registrerats för).

  • Om du inte tänker aktivera Microsoft Defender XDR-incidentintegrering kan du fortfarande få Defender för molnet aviseringar, oavsett vilken version av anslutningsappen du aktiverar. Den nya klientbaserade anslutningsappen ger dig dock fortfarande fördelen att du inte behöver behörigheterna för att övervaka och underhålla din lista över Defender för molnet prenumerationer i anslutningsappen.

  • Om du har aktiverat Defender XDR-integrering, men bara vill ta emot Defender för molnet aviseringar men inte incidenter, kan du använda automatiseringsregler för att omedelbart stänga Defender för molnet incidenter när de anländer.

    Om det inte är en lämplig lösning, eller om du fortfarande vill samla in aviseringar från Defender för molnet per prenumeration, kan du helt välja bort Defender för molnet integrering i Microsoft Defender XDR-portalen och sedan använda den äldre prenumerationsbaserade versionen av Defender för molnet anslutningsappen för att ta emot dessa aviseringar.

Konfigurera integreringen i Microsoft Sentinel

Om du inte redan har aktiverat incidentintegrering i din Microsoft 365 Defender-anslutningsapp gör du det först.

Aktivera sedan den nya klientbaserade Microsoft Defender för molnet-anslutningsappen (förhandsversion). Den här anslutningsappen är tillgänglig via Microsoft Defender för molnet lösning, version 3.0.0, i innehållshubben. Om du har en tidigare version av den här lösningen kan du uppgradera den i innehållshubben.

Om du tidigare hade aktiverat den äldre, prenumerationsbaserade Defender för molnet-anslutningsappen (som visas som prenumerationsbaserad Microsoft Defender för molnet (äldre)) bör du inaktivera den för att förhindra duplicering av aviseringar i loggarna.

Om du har några schemalagda eller Microsoft Security-analysregler som skapar incidenter från Defender för molnet aviseringar uppmanas du att inaktivera dessa regler eftersom du kommer att ta emot färdiga incidenter som skapats av och synkroniserats med Microsoft 365 Defender.

Om det finns specifika typer av Defender för molnet aviseringar som du inte vill skapa incidenter för kan du använda automatiseringsregler för att stänga dessa incidenter omedelbart, eller så kan du använda de inbyggda justeringsfunktionerna i Microsoft 365 Defender-portalen.

Nästa steg

I den här artikeln har du lärt dig hur du använder Microsoft Defender för molnet integrering med Microsoft Defender XDR för att mata in incidenter och aviseringar i Microsoft Sentinel.

Läs mer om Microsoft Defender för molnet integrering med Microsoft Defender XDR.