Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir:
Bulut için Microsoft Defender, Microsoft Defender Genişletilmiş Algılama ve Yanıt (XDR) ile tümleşiktir. Bu tümleştirme, güvenlik ekiplerinin Microsoft Defender portalında Bulut için Defender uyarılarına ve olaylarına erişmesine olanak tanır. Bu tümleştirme, bulut kaynaklarını, cihazları ve kimlikleri kapsayan araştırmalara daha zengin bağlam sağlar.
Microsoft Defender XDR ile ortaklık, güvenlik ekiplerinin bulut ortamlarında gerçekleşen şüpheli ve kötü amaçlı olaylar da dahil olmak üzere bir saldırının tam resmini almasına olanak tanır. Güvenlik ekipleri, uyarıların ve olayların hemen bağıntılarıyla bu hedefe erişebilir.
Microsoft Defender XDR, koruma, algılama, araştırma ve yanıt özelliklerini birleştiren kapsamlı bir çözüm sunar. Çözüm cihazlara, e-postaya, işbirliğine, kimliğe ve bulut uygulamalarına yönelik saldırılara karşı koruma sağlar. Algılama ve araştırma özelliklerimiz artık bulut varlıklarına genişletildi ve güvenlik operasyonları ekiplerine operasyonel verimliliklerini önemli ölçüde artırmak için tek bir cam bölmesi sunuyor.
Olaylar ve uyarılar artık Microsoft Defender XDR'nin genel API'sinin bir parçasıdır. Bu tümleştirme, güvenlik uyarıları verilerinin tek bir API kullanarak herhangi bir sisteme dışarı aktarılmasına olanak tanır. Bulut için Microsoft Defender olarak, kullanıcılarımıza mümkün olan en iyi güvenlik çözümlerini sağlamayı taahhüt ediyoruz ve bu tümleştirme, bu hedefe ulaşma yolunda önemli bir adımdır.
Prerequisites
Microsoft Defender portalında Bulut için Defender uyarılarına erişim, bulut için Defender planlarının hangilerinin etkinleştirildiğine bağlıdır. Farklı Bulut için Defender plan korumaları hakkında daha fazla bilgi edinin.
Note
Bulut için Defender uyarılarını ve bağıntılarını görüntüleme izinleri kiracının tamamı için otomatiktir. Belirli abonelikleri görüntüleme desteklenmez. Uyarı ve olay kuyruklarında belirli bir Defender for Cloud aboneliğiyle ilişkili uyarıları görüntülemek için uyarı abonelik kimliği filtresini kullanın. Filtreler hakkında daha fazla bilgi edinin.
Yalnızca Bulut için Defender'a uygun Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) rolünün uygulanmasıyla tümleştirme etkinleştirilir. Defender XDR Unified RBAC olmadan Bulut için Defender uyarılarını ve bağıntılarını görüntülemek için Microsoft Entra Id'de Genel Yönetici veya Güvenlik Yöneticisi olmanız gerekir.
Microsoft Defender XDR'de araştırma deneyimi
Aşağıdaki tabloda, Bulut için Defender uyarılarla Microsoft Defender XDR'deki algılama ve araştırma deneyimi açıklanmaktadır.
| Area | Description |
|---|---|
| Incidents | Bulut için Defender'daki tüm vakalar Microsoft Defender XDR'ye entegre edilmiştir. - Olay kuyruğunda bulut kaynağı varlıklarını arama desteklenir. - Saldırı hikayesi grafiği bulut kaynağını gösterir. - Bir olay sayfasındaki varlıklar sekmesi bulut kaynağını gösterir. - Her sanal makinenin tüm ilgili uyarıları ve etkinlikleri içeren kendi varlık sayfası vardır. Diğer Defender iş yüklerinden olay tekrarı yoktur. |
| Alerts | Çoklu bulut, iç ve dış sağlayıcı uyarıları dahil olmak üzere tüm Bulut için Defender uyarıları Microsoft Defender XDR ile tümleşiktir. Bulut için Defender uyarıları, Microsoft Defender XDR uyarı kuyruğunda gösterilir. Microsoft Defender XDR Uyarının Varlık sekmesinde cloud resource varlık görünür. Kaynaklar bir Azure, Amazon veya Google Cloud kaynağı olarak açıkça tanımlanır. Bulut için Defender uyarıları otomatik olarak bir kiracıyla ilişkilendirilir. Diğer Defender iş yüklerinden gelen uyarı yinelemeleri yoktur. |
| Uyarı ve olay bağıntısı | Uyarılar ve olaylar otomatik olarak ilişkilendirilir ve güvenlik operasyonları ekiplerine bulut ortamlarındaki saldırı hikayesinin tamamını anlamaları için sağlam bağlam sağlar. |
| Tehdit algılama | Duyarlık ve etkili tehdit algılama sağlamak için sanal varlıkların cihaz varlıklarıyla doğru şekilde eşleştirilmesi. |
| Unified API | Bulut için Defender uyarıları ve olayları artık Microsoft Defender XDR genel API'sine dahil edilir ve müşterilerin güvenlik uyarısı verilerini tek bir API kullanarak diğer sistemlere aktarmasına olanak tanır. |
Note
Bulut için Defender'dan gelen bilgilendirme uyarıları, ilgili ve yüksek önem derecesine sahip uyarılara odaklanmak için Microsoft Defender portalıyla tümleştirilemez. Bu strateji olayların yönetimini kolaylaştırır ve uyarı yorgunluğunu azaltır.
Uyarı durumu senkronizasyonu
Bulut için Defender ile Microsoft Defender XDR arasındaki tümleştirme etkinleştirildiğinde uyarı durumu değişiklikleri aşağıdaki davranışlarla iki hizmet arasında eşitlenir:
| Scenario | Durum eşitlemesi |
|---|---|
| Bulut için Defender uyarı durumu Bulut için Defender'da değiştirildi | Durum, Microsoft Defender XDR'da yansıtılır: Evet |
| Microsoft Defender XDR'de Bulut için Defender uyarı durumu değiştirildi | Durum Bulut için Defender'a yansıtılır: Evet |
| Microsoft Defender for Endpoint uyarısı bulut kaynağında - Microsoft Defender for Cloud'da durum değiştirildi. | Durum Bulut için Defender'a yansıtılır: Evet Durum, Microsoft Defender XDR'da yansıtılır: Hayır |
| Bulut kaynağı hakkında Microsoft Defender for Endpoint alarmı - Microsoft Defender XDR'de durum değişti | Durum, Microsoft Defender XDR'da yansıtılır: Evet Durum Bulut için Defender'a yansıtılır: Hayır |
Important
- Bulut için Defender'da yalnızca Bulut için Defender uyarıları geçerli varlıklardır. Microsoft Defender for Cloud'daki Microsoft Defender XDR uyarılarına yapılan atıflar, yalnızca bulut kaynaklarındaki Microsoft Defender for Endpoint uyarılarına uygulanır.
- Bulut kaynaklarındaki Uç Nokta için Microsoft Defender uyarıları hem Bulut için Defender'da hem de Microsoft Defender XDR'de görünür, ancak durumları iki hizmet arasında eşitlenmez.
XDR'de gelişmiş avlanma
Microsoft Defender XDR'nin gelişmiş tehdit avcılığı özellikleri, Bulut için Defender uyarıları ve olayları içerecek şekilde genişletilir. Bu tümleştirme, güvenlik ekiplerinin tüm bulut kaynaklarını, cihazlarını ve kimliklerini tek bir sorguda aramasına olanak tanır.
Microsoft Defender XDR'deki gelişmiş tehdit avcılığı deneyimi, güvenlik ekiplerine ortamları genelinde tehditleri avlamak için özel sorgular oluşturma esnekliği sağlamak üzere tasarlanmıştır. Bulut için Defender uyarıları ve olaylarıyla entegrasyon, güvenlik ekiplerinin bulut kaynakları, cihazlar ve kimlikler genelinde tehditleri avlamasına olanak tanır.
İleri seviye avcılıkta CloudAuditEvents tablosu, denetim düzlemi olayları arasında araştırma yapmanıza ve şüpheli Azure Resource Manager ve Kubernetes (KubeAudit) denetim düzlemi etkinliklerini ortaya çıkarmak için özel algılamalar oluşturmanıza olanak tanır.
Gelişmiş tehdit avcılığındaki CloudProcessEvents tablosu , bulut altyapınızda çağrılan şüpheli etkinlikler için işlem ayrıntılarıyla ilgili ayrıntıları içeren bilgilerle önceliklendirmenize, araştırmanıza ve özel algılamalar oluşturmanıza olanak tanır.
Gelişmiş tehdit avcılığındaki CloudStorageAggregatedEvents tablosu, bulut depolama etkinliklerini araştırmanıza ve avlanmanıza ve bulut depolama kaynaklarınızda gerçekleşen şüpheli dosya işlemlerini, erişim desenlerini ve veri etkileşimlerini ortaya çıkarmanıza yardımcı olan özel algılamalar oluşturmanıza olanak tanır.
Microsoft Sentinel müşterileri
Microsoft Defender XDR olaylarını tümleştirenve Bulut için Defender uyarılarını alan Microsoft Sentinel müşterilerinin yinelenen uyarıları ve olayları önlemek için aşağıdaki adımları izlemeleri gerekir.
Microsoft Sentinel'de, Kiracı tabanlı Bulut için Microsoft Defender (Önizleme) veri bağlayıcısını yapılandırın. Bu veri bağlayıcısı, Microsoft Sentinel İçerik hub'ından edinilebilen Bulut için Microsoft Defender çözümüne dahildir.
Kiracı tabanlı Bulut için Microsoft Defender (Önizleme) veri bağlayıcısı, tüm aboneliklerinizdeki uyarı toplamayı Microsoft Defender XDR olayları bağlayıcısı üzerinden akış gerçekleştiren kiracı tabanlı Bulut için Defender olaylarıyla senkronize eder. Bulut için Defender olayları, kiracının tüm abonelikleriyle ilişkilendirilir.
Defender portalında birden fazla Microsoft Sentinel çalışma alanıyla çalışıyorsanız, ilgili Defender for Cloud olayları birincil çalışma alanına aktarılır. Daha fazla bilgi için bkz. Defender portalında Birden çok Microsoft Sentinel çalışma alanı.
Yinelenen uyarıları önlemek için Microsoft Defender for Cloud (Eski) abonelik tabanlı veri bağlayıcısının bağlantısını kesin.
Bulut için Defender uyarılarından olay oluşturmak için kullanılan zamanlanmış (normal sorgu türü) veya Microsoft güvenlik (olay oluşturma) kuralları gibi analiz kurallarını kapatın.
Gerekirse, gürültülü olayları kapatmak için otomasyon kurallarını kullanın veya belirli uyarıları engellemek için Defender portalındaki yerleşik ayarlama özelliklerini kullanın.
Microsoft Defender XDR olaylarınızı Microsoft Sentinel ile tümleştirdiyseniz ve abonelik tabanlı ayarları korumak ve kiracı tabanlı eşitlemeyi önlemek istiyorsanız, Microsoft Defender XDR'den olayları ve uyarıları eşitlemeyi devre dışı bırakabilirsiniz.
Daha fazla bilgi için bkz.
- Microsoft Defender XDR tümleştirmesi ile Bulut için Microsoft Defender olaylarını içe aktarma
- Microsoft Sentinel'in kullanıma açık içeriğini bulma ve yönetme