Microsoft Defender för molnet i Microsoft Defender-portalen
Gäller för:
Microsoft Defender för molnet ingår nu i Microsoft Defender XDR. Säkerhetsteam kan nu komma åt aviseringar och incidenter i Defender för molnet i Microsoft Defender-portalen, vilket ger bättre kontext till undersökningar som omfattar molnresurser, enheter och identiteter. Dessutom kan säkerhetsteam få en fullständig bild av en attack, inklusive misstänkta och skadliga händelser som inträffar i molnmiljön, genom omedelbara korrelationer mellan aviseringar och incidenter.
Microsoft Defender-portalen kombinerar funktioner för skydd, identifiering, undersökning och svar för att skydda attacker mot enhets-, e-post-, samarbets-, identitets- och molnappar. Portalens identifierings- och undersökningsfunktioner utökas nu till molnentiteter och erbjuder säkerhetsteam en enda glasruta för att avsevärt förbättra drifteffektiviteten.
Dessutom ingår incidenter och aviseringar i Defender för molnet nu i Microsoft Defender XDR offentliga API. Med den här integreringen kan du exportera säkerhetsaviseringsdata till alla system med hjälp av ett enda API.
Förutsättningar
För att säkerställa åtkomst till Defender för molnet-aviseringar i Microsoft Defender-portalen måste du prenumerera på något av de abonnemang som anges i Anslut dina Azure-prenumerationer.
Nödvändiga behörigheter
Du måste vara global administratör eller säkerhetsadministratör i Azure Active Directory för att kunna visa aviseringar och korrelationer i Defender för molnet. För användare som inte har dessa roller är integreringen endast tillgänglig genom att tillämpa rbac-roller (unified role-based access control) för Defender för molnet.
Obs!
Behörigheten att visa Aviseringar och korrelationer i Defender för molnet är automatisk för hela klientorganisationen. Visning för specifika prenumerationer stöds inte.
Undersökningsupplevelse i Microsoft Defender-portalen
I följande avsnitt beskrivs identifierings- och undersökningsupplevelsen i Microsoft Defender-portalen med Defender för molnet-aviseringar.
Obs!
Informationsaviseringar från Defender för molnet är inte integrerade i Microsoft Defender-portalen så att du kan fokusera på relevanta och allvarliga aviseringar. Den här strategin effektiviserar hanteringen av incidenter och minskar varningströttheten.
| Område | Beskrivning |
|---|---|
| Incidenter | Alla Defender for Cloud-incidenter kommer att integreras i Microsoft Defender-portalen. – Sökning efter molnresurstillgångar i incidentkön stöds. – Diagrammet med angreppsberättelsen visar molnresursen. – Fliken Tillgångar på en incidentsida visar molnresursen. – Varje virtuell dator har en egen enhetssida som innehåller alla relaterade aviseringar och aktiviteter. Det kommer inte att finnas någon duplicering av incidenter från andra Defender-arbetsbelastningar. |
| Varningar | Alla Defender for Cloud-aviseringar, inklusive aviseringar för flera moln, interna och externa leverantörer, kommer att integreras i Microsoft Defender-portalen. Defender for Cloud-aviseringar visas i Microsoft Defender portalens aviseringskö.Molnresurstillgången visas på fliken Tillgång i en avisering. Resurser identifieras tydligt som en Azure-, Amazon- eller Google Cloud-resurs.Defender for Cloud-aviseringar associeras automatiskt med en klientorganisation.Det blir ingen duplicering av aviseringar från andra Defender-arbetsbelastningar. |
| Aviserings- och incidentkorrelation | Aviseringar och incidenter korreleras automatiskt, vilket ger robust kontext till säkerhetsåtgärdsteamen för att förstå hela attackberättelsen i molnmiljön. |
| Hotidentifiering | Korrekt matchning av virtuella entiteter till enhetsentiteter för att säkerställa precision och effektiv hotidentifiering. |
| Enhetligt API | Aviseringar och incidenter i Defender för molnet ingår nu i Microsoft Defender XDR offentliga API, vilket gör det möjligt för kunder att exportera sina säkerhetsaviseringar till andra system med hjälp av ett API. |
Påverkan på Microsoft Sentinel-användare
Microsoft Sentinel-kunder som integrerar Microsoft Defender XDR incidenteroch matar in Defender for Cloud-aviseringar krävs för att göra följande konfigurationsändringar för att säkerställa att dubblettaviseringar och incidenter inte skapas:
- Anslut anslutningsappen klientbaserad Microsoft Defender för molnet (förhandsversion) för att synkronisera insamling av aviseringar från alla dina prenumerationer med klientbaserade Defender for Cloud-incidenter som strömmas via anslutningsappen Microsoft Defender XDR Incidents.
- Koppla från anslutningsappen för prenumerationsbaserade Microsoft Defender för molnaviseringar (äldre) för att förhindra aviseringsdbbletter.
- Inaktivera alla analysregler – antingen schemalagda (vanlig frågetyp) eller Microsofts säkerhetsregler (incidentskapande) – som används för att skapa incidenter från Defender för moln-aviseringar. Defender för molnincidenter skapas automatiskt i Defender-portalen och synkroniseras med Microsoft Sentinel.
- Om det behövs kan du använda automatiseringsregler för att stänga incidenter med störningar eller använda de inbyggda justeringsfunktionerna i Defender-portalen för att förhindra vissa aviseringar.
Följande ändring bör också noteras:
- Åtgärden för att koppla aviseringar till Microsoft Defender-portalincidenter tas bort.
Läs mer i Mata in Microsoft Defender för molnincidenter med Microsoft Defender XDR integrering.
Inaktivera Aviseringar för Defender för molnet
Aviseringarna för Defender för molnet är aktiverade som standard. Utför följande steg för att behålla dina prenumerationsbaserade inställningar och undvika klientbaserad synkronisering eller avanmäla dig från upplevelsen:
- I Microsoft Defender-portalen går du till Inställningar>Microsoft Defender XDR.
- Leta efter Microsoft Defender för molnaviseringar i Aviseringstjänstinställningar.
- Välj Inga aviseringar för att inaktivera alla Defender för moln-aviseringar. Om du väljer det här alternativet stoppas inmatningen av nya Defender för moln-aviseringar till portalen. Aviseringar som tidigare matats in finns kvar på en aviserings- eller incidentsida.
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för