Microsoft Defender för molnet i Microsoft Defender-portalen
Gäller för:
Microsoft Defender för molnet är nu en del av Microsoft Defender XDR. Säkerhetsteam kan nu komma åt Aviseringar och incidenter i Defender för molnet i Microsoft Defender-portalen, vilket ger bättre kontext till undersökningar som omfattar molnresurser, enheter och identiteter. Dessutom kan säkerhetsteam få en fullständig bild av en attack, inklusive misstänkta och skadliga händelser som inträffar i molnmiljön, genom omedelbara korrelationer mellan aviseringar och incidenter.
Microsoft Defender-portalen kombinerar skydds-, identifierings-, undersöknings- och svarsfunktioner för att skydda attacker på enheter, e-post, samarbete, identiteter och molnappar. Portalens identifierings- och undersökningsfunktioner utökas nu till molnentiteter och erbjuder säkerhetsteam en enda glasruta för att avsevärt förbättra drifteffektiviteten.
Dessutom ingår incidenter och aviseringar i Defender för molnet nu i Microsoft Defender XDR:s offentliga API. Med den här integreringen kan du exportera säkerhetsaviseringsdata till alla system med hjälp av ett enda API.
Förutsättningar
För att säkerställa åtkomst till Defender för molnet-aviseringar i Microsoft Defender-portalen måste du prenumerera på något av de abonnemang som anges i Anslut dina Azure-prenumerationer.
Nödvändiga behörigheter
Du måste vara global administratör eller säkerhetsadministratör i Azure Active Directory för att kunna visa aviseringar och korrelationer i Defender för molnet. För användare som inte har dessa roller är integreringen endast tillgänglig genom att tillämpa rbac-roller (unified role-based access control) för Defender för molnet.
Obs!
Behörigheten att visa Aviseringar och korrelationer i Defender för molnet är automatisk för hela klientorganisationen. Visning för specifika prenumerationer stöds inte. Du kan använda aviseringsprenumerations-ID-filtret för att visa Defender for Cloud-aviseringar som är associerade med en specifik Defender för molnet-prenumeration i aviserings- och incidentköerna. Läs mer om filter.
Undersökningsupplevelse i Microsoft Defender-portalen
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
I följande avsnitt beskrivs identifierings- och undersökningsupplevelsen i Microsoft Defender-portalen med Defender för molnet-aviseringar.
Obs!
Informationsaviseringar från Defender för molnet är inte integrerade i Microsoft Defender-portalen för att ge fokus på relevanta och allvarliga aviseringar. Den här strategin effektiviserar hanteringen av incidenter och minskar varningströttheten.
| Område | Beskrivning |
|---|---|
| Incidenter | Alla Defender för moln-incidenter kommer att integreras i Microsoft Defender-portalen. – Sökning efter molnresurstillgångar i incidentkön stöds. – Diagrammet med angreppsberättelsen visar molnresursen. – Fliken Tillgångar på en incidentsida visar molnresursen. – Varje virtuell dator har en egen enhetssida som innehåller alla relaterade aviseringar och aktiviteter. Det kommer inte att finnas någon duplicering av incidenter från andra Defender-arbetsbelastningar. |
| Varningar | Alla Defender för molnet-aviseringar, inklusive aviseringar för flera moln, interna och externa leverantörer, kommer att integreras i Microsoft Defender-portalen. Aviseringar för Defender för molnet visas i microsoft Defender-portalens aviseringskö. Molnresurstillgången visas på fliken Tillgång i en avisering. Resurser identifieras tydligt som en Azure-, Amazon- eller Google Cloud-resurs.Defender for Cloud-aviseringar associeras automatiskt med en klientorganisation.Det blir ingen duplicering av aviseringar från andra Defender-arbetsbelastningar. |
| Aviserings- och incidentkorrelation | Aviseringar och incidenter korreleras automatiskt, vilket ger robust kontext till säkerhetsåtgärdsteamen för att förstå hela attackberättelsen i molnmiljön. |
| Hotidentifiering | Korrekt matchning av virtuella entiteter till enhetsentiteter för att säkerställa precision och effektiv hotidentifiering. |
| Enhetligt API | Aviseringar och incidenter i Defender för molnet ingår nu i Microsoft Defender XDR:s offentliga API, vilket gör det möjligt för kunder att exportera sina säkerhetsaviseringsdata till andra system med hjälp av ett API. |
| Avancerad jakt (förhandsversion) | Information om händelser för molngranskning för olika molnplattformar som skyddas av organisationens Defender för molnet finns i tabellen CloudAuditEvents i avancerad jakt. |
Påverkan på Microsoft Sentinel-användare
Microsoft Sentinel-kunder som integrerar Microsoft Defender XDR-incidenteroch matar in Defender för molnet-aviseringar krävs för att göra följande konfigurationsändringar för att säkerställa att dubblettaviseringar och incidenter inte skapas:
- Anslut anslutningsappen klientbaserad Microsoft Defender för molnet (förhandsversion) för att synkronisera insamling av aviseringar från alla dina prenumerationer med klientbaserade Defender for Cloud-incidenter som strömmas via anslutningsappen Microsoft Defender XDR Incidents.
- Koppla från anslutningsappen för prenumerationsbaserade Microsoft Defender for Cloud-aviseringar (äldre) för att förhindra aviseringsdbbletter.
- Inaktivera alla analysregler – antingen schemalagda (vanlig frågetyp) eller Microsofts säkerhetsregler (incidentskapande) – som används för att skapa incidenter från Defender för moln-aviseringar. Defender för molnincidenter skapas automatiskt i Defender-portalen och synkroniseras med Microsoft Sentinel.
- Om det behövs kan du använda automatiseringsregler för att stänga incidenter med störningar eller använda de inbyggda justeringsfunktionerna i Defender-portalen för att förhindra vissa aviseringar.
Följande ändring bör också noteras:
- Åtgärden för att koppla aviseringar till incidenter i Microsoft Defender-portalen tas bort.
Läs mer i Mata in Microsoft Defender för moln-incidenter med Microsoft Defender XDR-integrering.
Inaktivera Aviseringar för Defender för molnet
Aviseringarna för Defender för molnet är aktiverade som standard. Utför följande steg för att behålla dina prenumerationsbaserade inställningar och undvika klientbaserad synkronisering eller avanmäla dig från upplevelsen:
- I Microsoft Defender-portalen går du till Inställningar>Microsoft Defender XDR.
- Leta efter Aviseringar för Microsoft Defender för molnet i Inställningar för aviseringstjänsten.
- Välj Inga aviseringar för att inaktivera alla Defender för moln-aviseringar. Om du väljer det här alternativet stoppas inmatningen av nya Defender för moln-aviseringar till portalen. Aviseringar som tidigare matats in finns kvar på en aviserings- eller incidentsida.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för