Dela via

Mata in Microsoft Defender för molnincidenter med Microsoft Defender XDR-integrering

  • Artikel

Microsoft Defender för molnet är nu integrerat med Microsoft Defender XDR, tidigare kallat Microsoft 365 Defender. Med den här integreringen kan Defender XDR samla in aviseringar från Defender för molnet och skapa Defender XDR-incidenter från dem.

Tack vare den här integreringen kan Microsoft Sentinel-kunder som aktiverar Defender XDR-incidentintegrering nu mata in och synkronisera Defender for Cloud-incidenter via Microsoft Defender XDR.

För att stödja den här integreringen måste du konfigurera någon av följande Microsoft Defender for Cloud-dataanslutningar, annars visar dina incidenter för Microsoft Defender för molnet som kommer via Microsoft Defender XDR-anslutningsappen inte deras associerade aviseringar och entiteter:

  • Microsoft Sentinel har en ny klientbaserad Anslutningsprogram för Microsoft Defender för molnet (förhandsversion). Med den här anslutningsappen kan Microsoft Sentinel-kunder ta emot Defender for Cloud-aviseringar i hela klientorganisationen, utan att behöva övervaka och underhålla anslutningsappens registrering för alla sina Defender for Cloud-prenumerationer. Vi rekommenderar att du använder den här nya anslutningsappen eftersom Microsoft Defender XDR-integreringen med Microsoft Defender för molnet också implementeras på klientorganisationsnivå.

  • Du kan också använda den prenumerationsbaserade anslutningsappen Microsoft Defender för molnet (äldre). Den här anslutningsappen rekommenderas inte, eftersom om du har några Defender för moln-prenumerationer som inte är anslutna till Microsoft Sentinel i anslutningsappen, visar incidenter från dessa prenumerationer inte deras associerade aviseringar och entiteter.

Båda anslutningsprogram som nämns ovan kan användas för att mata in Defender for Cloud-aviseringar, oavsett om du har defender XDR-incidentintegrering aktiverat.

Viktigt!

  • Defender for Cloud-integreringen med Defender XDR är nu allmänt tillgänglig (GA).

  • Den klientbaserade Microsoft Defender for Cloud-anslutningsappen finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Välj hur du vill använda den här integreringen och den nya anslutningsappen

Hur du väljer att använda den här integreringen och om du vill mata in fullständiga incidenter eller bara aviseringar beror till stor del på vad du redan gör när det gäller Microsoft Defender XDR-incidenter.

  • Om du redan matar in Defender XDR-incidenter, eller om du väljer att börja göra det nu, rekommenderar vi starkt att du aktiverar den här nya klientbaserade anslutningsappen. Dina Defender XDR-incidenter inkluderar nu Defender för molnbaserade incidenter med fullständigt ifyllda aviseringar från alla Defender för moln-prenumerationer i din klientorganisation.

    Om du i det här fallet är kvar med den äldre prenumerationsbaserade Defender for Cloud-anslutningsappen och inte ansluter den nya klientbaserade, kan du få Defender for Cloud-incidenter som innehåller tomma aviseringar (om det gäller en prenumeration som anslutningsappen inte har registrerats för).

  • Om du inte tänker aktivera Microsoft Defender XDR-incidentintegrering kan du fortfarande ta emot Defender for Cloud-aviseringar, oavsett vilken version av anslutningsappen du aktiverar. Den nya klientbaserade anslutningsappen ger dig dock fortfarande fördelen att du inte behöver behörigheterna för att övervaka och underhålla din lista över Defender för moln-prenumerationer i anslutningsappen.

  • Om du har aktiverat Defender XDR-integrering, men bara vill ta emot Defender for Cloud-aviseringar men inte incidenter, kan du använda automatiseringsregler för att omedelbart stänga Defender for Cloud-incidenter när de anländer.

    Om det inte är en lämplig lösning, eller om du fortfarande vill samla in aviseringar från Defender för molnet per prenumeration, kan du helt välja bort Defender for Cloud-integreringen i Microsoft Defender XDR-portalen och sedan använda den äldre prenumerationsbaserade versionen av Defender for Cloud-anslutningsappen för att ta emot dessa aviseringar.

Konfigurera integreringen i Microsoft Sentinel

Om du inte redan har aktiverat incidentintegrering i din Microsoft 365 Defender-anslutningsapp gör du det först.

Aktivera sedan den nya klientbaserade anslutningsappen Microsoft Defender för molnet (förhandsversion). Den här anslutningsappen är tillgänglig via Microsoft Defender for Cloud-lösningen version 3.0.0 i innehållshubben. Om du har en tidigare version av den här lösningen kan du uppgradera den i innehållshubben.

Om du tidigare hade aktiverat den äldre prenumerationsbaserade Defender for Cloud-anslutningsappen (som visas som prenumerationsbaserad Microsoft Defender för molnet (äldre)) bör du inaktivera den för att förhindra duplicering av aviseringar i loggarna.

Om du har några schemalagda eller Microsoft Security-analysregler som skapar incidenter från Defender för moln-aviseringar uppmanas du att inaktivera dessa regler eftersom du kommer att ta emot färdiga incidenter som skapats av och synkroniserats med Microsoft 365 Defender.

Om det finns specifika typer av Defender for Cloud-aviseringar som du inte vill skapa incidenter för kan du använda automatiseringsregler för att stänga dessa incidenter omedelbart, eller så kan du använda de inbyggda justeringsfunktionerna i Microsoft 365 Defender-portalen.

Nästa steg

I den här artikeln har du lärt dig hur du använder Microsoft Defender för molnets integrering med Microsoft Defender XDR för att mata in incidenter och aviseringar i Microsoft Sentinel.

Läs mer om Microsoft Defender för molnintegrering med Microsoft Defender XDR.