Mata in Microsoft Defender för molnet-aviseringar till Microsoft Sentinel
Microsoft Defender för molnet integrerade molnarbetsbelastningsskydd kan du identifiera och snabbt svara på hot i hybrid- och multimolnsarbetsbelastningar. Med Microsoft Defender för molnet-anslutningsappen kan du mata in säkerhetsaviseringar från Defender för molnet till Microsoft Sentinel, så att du kan visa, analysera och svara på Defender-aviseringar och de incidenter som de genererar i en bredare organisatorisk hotkontext.
Microsoft Defender för molnet Defender-abonnemang aktiveras per prenumeration. Även om Microsoft Sentinels äldre anslutningsapp för Defender för molnet Apps också är konfigurerad per prenumeration kan du i förhandsversionen av den klientbaserade Microsoft Defender för molnet-anslutningsappen samla in Defender för molnet-aviseringar över hela klientorganisationen utan att behöva aktivera var och en av dem prenumeration separat. Den klientbaserade anslutningsappen fungerar också med Defender för molnet integrering med Microsoft Defender XDR för att säkerställa att alla dina Defender för molnet-aviseringar ingår fullt ut i alla incidenter som du får via Microsoft Defender XDR-incidentintegrering.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Aviseringssynkronisering
När du ansluter Microsoft Defender för molnet till Microsoft Sentinel synkroniseras statusen för säkerhetsaviseringar som matas in i Microsoft Sentinel mellan de två tjänsterna. När till exempel en avisering stängs i Defender för molnet visas aviseringen som stängd även i Microsoft Sentinel.
Om du ändrar status för en avisering i Defender för molnet påverkas inte statusen för microsoft Sentinel-incidenter som innehåller Microsoft Sentinel-aviseringen, bara för själva aviseringen.
Dubbelriktad aviseringssynkronisering
Om du aktiverar dubbelriktad synkronisering synkroniseras automatiskt statusen för ursprungliga säkerhetsaviseringar med statusen för De Microsoft Sentinel-incidenter som innehåller dessa aviseringar. När till exempel en Microsoft Sentinel-incident som innehåller en säkerhetsaviseringar stängs stängs motsvarande ursprungliga avisering i Microsoft Defender för molnet automatiskt.
Förutsättningar
Du måste ha läs- och skrivbehörigheter på din Microsoft Sentinel-arbetsyta.
Du måste ha rollen Deltagare eller Ägare för den prenumeration som du vill ansluta till Microsoft Sentinel.
Du måste aktivera minst en plan inom Microsoft Defender för molnet för varje prenumeration där du vill aktivera anslutningsappen. Om du vill aktivera Microsoft Defender-planer för en prenumeration måste du ha rollen Säkerhetsadministratör för den prenumerationen.
Du måste ha resursprovidern
SecurityInsights
registrerad för varje prenumeration där du vill aktivera anslutningsappen. Läs vägledningen om registreringsstatus för resursprovidern och hur du registrerar den.Om du vill aktivera dubbelriktad synkronisering måste du ha rollen Deltagare eller Säkerhetsadministratör för den relevanta prenumerationen.
Installera lösningen för Microsoft Defender för molnet från Innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.
Anslut till Microsoft Defender för molnet
När du har installerat lösningen väljer du Konfigurationsdataanslutningar >i Microsoft Sentinel.
På sidan Dataanslutningsprogram väljer du antingen den prenumerationsbaserade Microsoft Defender för molnet (äldre) eller anslutningsappen klientbaserad Microsoft Defender för molnet (förhandsversion) och väljer sedan sidan Öppna anslutningsapp.
Under Konfiguration visas en lista över prenumerationerna i din klientorganisation och status för deras anslutning till Microsoft Defender för molnet. Välj växlingsknappen Status bredvid varje prenumeration vars aviseringar du vill strömma till Microsoft Sentinel. Om du vill ansluta flera prenumerationer samtidigt kan du göra detta genom att markera kryssrutorna bredvid relevanta prenumerationer och sedan välja knappen Anslut i fältet ovanför listan.
- Kryssrutorna och Connect-växlarna är endast aktiva för de prenumerationer som du har nödvändiga behörigheter för.
- Knappen Anslut är endast aktiv om kryssrutan för minst en prenumeration har markerats.
Om du vill aktivera dubbelriktad synkronisering för en prenumeration letar du upp prenumerationen i listan och väljer Aktiverad i listrutan i kolumnen Dubbelriktad synkronisering . Om du vill aktivera dubbelriktad synkronisering på flera prenumerationer samtidigt markerar du kryssrutorna och väljer knappen Aktivera dubbelriktad synkronisering i fältet ovanför listan.
- Kryssrutorna och listrutorna är endast aktiva för de prenumerationer som du har nödvändiga behörigheter för.
- Knappen Aktivera dubbelriktad synkronisering är endast aktiv om kryssrutan för minst en prenumeration har markerats.
I kolumnen Microsoft Defender-planer i listan kan du se om Microsoft Defender-planer är aktiverade i din prenumeration (en förutsättning för att aktivera anslutningsappen).
Värdet för varje prenumeration i den här kolumnen är antingen tomt (vilket innebär att inga Defender-planer är aktiverade), Alla aktiverade eller Vissa aktiverade. De som säger Vissa aktiverade har också en Aktivera alla-länk som du kan välja, som tar dig till din Microsoft Defender för molnet konfigurationsinstrumentpanel för den prenumerationen, där du kan välja Defender-planer att aktivera.
Länken Aktivera Microsoft Defender för alla prenumerationer i fältet ovanför listan tar dig till din Microsoft Defender för molnet Komma igång sida, där du kan välja vilka prenumerationer som ska aktivera Microsoft Defender för molnet helt och hållet. Till exempel:
Du kan välja om du vill att aviseringarna från Microsoft Defender för molnet ska generera incidenter automatiskt i Microsoft Sentinel. Under Skapa incidenter väljer du Aktiverad för att aktivera standardanalysregeln som automatiskt skapar incidenter från aviseringar. Du kan sedan redigera den här regeln under Analys på fliken Aktiva regler .
Dricks
När du konfigurerar anpassade analysregler för aviseringar från Microsoft Defender för molnet bör du överväga aviseringens allvarlighetsgrad för att undvika att öppna incidenter för informationsaviseringar.
Informationsaviseringar i Microsoft Defender för molnet utgör inte en säkerhetsrisk på egen hand och är endast relevanta i samband med en befintlig öppen incident. Mer information finns i Säkerhetsaviseringar och incidenter i Microsoft Defender för molnet.
Hitta och analysera dina data
Kommentar
Aviseringssynkronisering i båda riktningarna kan ta några minuter. Ändringar i status för aviseringar kanske inte visas omedelbart.
Säkerhetsaviseringar lagras i tabellen SecurityAlert på Log Analytics-arbetsytan.
Om du vill köra frågor mot säkerhetsaviseringar i Log Analytics kopierar du följande till frågefönstret som utgångspunkt:
SecurityAlert | where ProductName == "Azure Security Center"
Se fliken Nästa steg på anslutningssidan för ytterligare användbara exempelfrågor, analysregelmallar och rekommenderade arbetsböcker.
Nästa steg
I det här dokumentet har du lärt dig hur du ansluter Microsoft Defender för molnet till Microsoft Sentinel och synkroniserar aviseringar mellan dem. Mer information om Microsoft Sentinel finns i följande artiklar:
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång identifiera hot med Microsoft Sentinel.
- Skriv egna regler för att identifiera hot.