Dela via


Mata in Microsoft Defender for Cloud-aviseringar till Microsoft Sentinel

Med Microsoft Defender för molnets integrerade molnskydd kan du identifiera och snabbt svara på hot i hybrid- och multimolnsarbetsbelastningar.

Med den här anslutningsappen kan du mata in säkerhetsaviseringar från Defender för molnet i Microsoft Sentinel, så att du kan visa, analysera och svara på Defender-aviseringar och de incidenter de genererar i en bredare kontext för organisationshot.

Eftersom Microsoft Defender för Cloud Defender-planer är aktiverade per prenumeration aktiveras eller inaktiveras även den här dataanslutningen separat för varje prenumeration.

Med den nya klientbaserade Microsoft Defender for Cloud-anslutningsappen i FÖRHANDSVERSION kan du samla in Defender for Cloud-aviseringar över hela klientorganisationen, utan att behöva aktivera varje prenumeration separat. Det utnyttjar också Defender for Cloud-integreringen med Microsoft Defender XDR (tidigare Microsoft 365 Defender) för att säkerställa att alla dina Defender for Cloud-aviseringar ingår fullt ut i alla incidenter som du får via Microsoft Defender XDR-incidentintegrering.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Aviseringssynkronisering

  • När du ansluter Microsoft Defender för molnet till Microsoft Sentinel synkroniseras statusen för säkerhetsaviseringar som matas in i Microsoft Sentinel mellan de två tjänsterna. När till exempel en avisering stängs i Defender för molnet visas aviseringen som stängd även i Microsoft Sentinel.

  • Om du ändrar status för en avisering i Defender för molnet påverkas inte statusen för microsoft sentinel-incidenter som innehåller Microsoft Sentinel-aviseringen, bara för själva aviseringen.

Dubbelriktad aviseringssynkronisering

Om du aktiverar dubbelriktad synkronisering synkroniseras automatiskt statusen för ursprungliga säkerhetsaviseringar med statusen för De Microsoft Sentinel-incidenter som innehåller dessa aviseringar. När till exempel en Microsoft Sentinel-incident som innehåller säkerhetsaviseringar stängs stängs motsvarande ursprungliga avisering automatiskt i Microsoft Defender för molnet.

Förutsättningar

  • Du måste ha läs- och skrivbehörigheter på din Microsoft Sentinel-arbetsyta.

  • Du måste ha rollen Deltagare eller Ägare för den prenumeration som du vill ansluta till Microsoft Sentinel.

  • Du måste aktivera minst en plan i Microsoft Defender för molnet för varje prenumeration där du vill aktivera anslutningsappen. Om du vill aktivera Microsoft Defender-planer för en prenumeration måste du ha rollen Säkerhetsadministratör för den prenumerationen.

  • Du måste ha resursprovidern SecurityInsights registrerad för varje prenumeration där du vill aktivera anslutningsappen. Läs vägledningen om registreringsstatus för resursprovidern och hur du registrerar den.

  • Om du vill aktivera dubbelriktad synkronisering måste du ha rollen Deltagare eller Säkerhetsadministratör för den relevanta prenumerationen.

  • Installera lösningen för Microsoft Defender för molnet från Innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

Ansluta till Microsoft Defender för molnet

  1. I Microsoft Sentinel väljer du Dataanslutningsprogram i navigeringsmenyn.

  2. I galleriet för dataanslutningsappar väljer du Microsoft Defender för molnet och väljer Sidan Öppna anslutningsapp i informationsfönstret.

  3. Under Konfiguration visas en lista över prenumerationerna i din klientorganisation och status för deras anslutning till Microsoft Defender för molnet. Välj växlingsknappen Status bredvid varje prenumeration vars aviseringar du vill strömma till Microsoft Sentinel. Om du vill ansluta flera prenumerationer samtidigt kan du göra detta genom att markera kryssrutorna bredvid relevanta prenumerationer och sedan välja knappen Anslut i fältet ovanför listan.

    Kommentar

    • Kryssrutorna och Connect-växlarna är endast aktiva för de prenumerationer som du har nödvändiga behörigheter för.
    • Knappen Anslut är endast aktiv om kryssrutan för minst en prenumeration har markerats.
  4. Om du vill aktivera dubbelriktad synkronisering för en prenumeration letar du upp prenumerationen i listan och väljer Aktiverad i listrutan i kolumnen Dubbelriktad synkronisering . Om du vill aktivera dubbelriktad synkronisering på flera prenumerationer samtidigt markerar du kryssrutorna och väljer knappen Aktivera dubbelriktad synkronisering i fältet ovanför listan.

    Kommentar

    • Kryssrutorna och listrutorna är endast aktiva för de prenumerationer som du har nödvändiga behörigheter för.
    • Knappen Aktivera dubbelriktad synkronisering är endast aktiv om kryssrutan för minst en prenumeration har markerats.
  5. I kolumnen Microsoft Defender-planer i listan kan du se om Microsoft Defender-planer är aktiverade i din prenumeration (en förutsättning för att aktivera anslutningsappen). Värdet för varje prenumeration i den här kolumnen är antingen tomt (vilket innebär att inga Defender-planer är aktiverade), "Alla aktiverade" eller "Vissa aktiverade". De som säger "Vissa aktiverade" har också en Aktivera alla-länk som du kan välja, som tar dig till din Microsoft Defender för moln-konfigurationsinstrumentpanel för den prenumerationen, där du kan välja Defender-planer att aktivera. Länken Aktivera Microsoft Defender för alla prenumerationer i fältet ovanför listan tar dig till sidan Komma igång med Microsoft Defender för molnet, där du kan välja vilka prenumerationer som ska aktivera Microsoft Defender för molnet helt och hållet.

    Skärmbild av konfiguration av Anslutningsprogram för Microsoft Defender för molnet

  6. Du kan välja om du vill att aviseringarna från Microsoft Defender för molnet ska generera incidenter automatiskt i Microsoft Sentinel. Under Skapa incidenter väljer du Aktiverad för att aktivera standardanalysregeln som automatiskt skapar incidenter från aviseringar. Du kan sedan redigera den här regeln under Analysfliken Aktiva regler .

    Dricks

    När du konfigurerar anpassade analysregler för aviseringar från Microsoft Defender för molnet bör du överväga varningens allvarlighetsgrad för att undvika att öppna incidenter för informationsaviseringar.

    Informationsaviseringar i Microsoft Defender för molnet utgör inte en säkerhetsrisk på egen hand och är endast relevanta i samband med en befintlig öppen incident. Mer information finns i Säkerhetsaviseringar och incidenter i Microsoft Defender för molnet.

Hitta och analysera dina data

Kommentar

Aviseringssynkronisering i båda riktningarna kan ta några minuter. Ändringar i status för aviseringar kanske inte visas omedelbart.

  • Säkerhetsaviseringar lagras i tabellen SecurityAlert på Log Analytics-arbetsytan.

  • Om du vill köra frågor mot säkerhetsaviseringar i Log Analytics kopierar du följande till frågefönstret som utgångspunkt:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • Se fliken Nästa steg på anslutningssidan för ytterligare användbara exempelfrågor, analysregelmallar och rekommenderade arbetsböcker.

Nästa steg

I det här dokumentet har du lärt dig hur du ansluter Microsoft Defender för molnet till Microsoft Sentinel och synkroniserar aviseringar mellan dem. Mer information om Microsoft Sentinel finns i följande artiklar: