Microsoft Defender XDR'de uyarılar ve olaylar
Bulut için Microsoft Defender artık Microsoft Defender XDR ile tümleştirilmiştir. Bu tümleştirme, güvenlik ekiplerinin Microsoft Defender Portal'da Bulut için Defender uyarılara ve olaylara erişmesine olanak tanır. Bu tümleştirme, bulut kaynaklarını, cihazları ve kimlikleri kapsayan araştırmalara daha zengin bağlam sağlar.
Microsoft Defender XDR ile ortaklık, güvenlik ekiplerinin bulut ortamlarında gerçekleşen şüpheli ve kötü amaçlı olaylar da dahil olmak üzere bir saldırının tam resmini almasına olanak tanır. Güvenlik ekipleri, uyarıların ve olayların hemen bağıntılarıyla bu hedefe erişebilir.
Microsoft Defender XDR, koruma, algılama, araştırma ve yanıt özelliklerini birleştiren kapsamlı bir çözüm sunar. Çözüm cihazlara, e-postaya, işbirliğine, kimliğe ve bulut uygulamalarına yönelik saldırılara karşı koruma sağlar. Algılama ve araştırma özelliklerimiz artık bulut varlıklarına genişletildi ve güvenlik operasyonları ekiplerine operasyonel verimliliklerini önemli ölçüde artırmak için tek bir cam bölmesi sunuyor.
Olaylar ve uyarılar artık Microsoft Defender XDR'nin genel API'sinin bir parçasıdır. Bu tümleştirme, güvenlik uyarıları verilerinin tek bir API kullanarak herhangi bir sisteme dışarı aktarılmasına olanak tanır. Bulut için Microsoft Defender olarak, kullanıcılarımıza mümkün olan en iyi güvenlik çözümlerini sağlamayı taahhüt ediyoruz ve bu tümleştirme, bu hedefe ulaşma yolunda önemli bir adımdır.
Aşağıdaki tabloda, Bulut için Defender uyarılarla Microsoft Defender XDR'deki algılama ve araştırma deneyimi açıklanmaktadır.
Alan | Açıklama |
---|---|
Olaylar | Tüm Bulut için Defender olayları Microsoft Defender XDR ile tümleşiktir. - Olay kuyruğunda bulut kaynağı varlıklarını arama desteklenir. - Saldırı hikayesi grafiği bulut kaynağını gösterir. - Bir olay sayfasındaki varlıklar sekmesi bulut kaynağını gösterir. - Her sanal makinenin tüm ilgili uyarıları ve etkinlikleri içeren kendi varlık sayfası vardır. Diğer Defender iş yüklerinden olay yinelemesi yoktur. |
Uyarılar | Çoklu bulut, iç ve dış sağlayıcı uyarıları dahil olmak üzere tüm Bulut için Defender uyarıları Microsoft Defender XDR ile tümleşiktir. Bulut için Defender uyarıları, Microsoft Defender XDR uyarı kuyruğunda gösterilir. Microsoft Defender XDR Varlık, cloud resource uyarının Varlık sekmesinde gösterilir. Kaynaklar bir Azure, Amazon veya Google Cloud kaynağı olarak açıkça tanımlanır. Bulut için Defender uyarıları otomatik olarak bir kiracıyla ilişkilendirilir. Diğer Defender iş yüklerinden gelen uyarı yinelemeleri yoktur. |
Uyarı ve olay bağıntısı | Uyarılar ve olaylar otomatik olarak ilişkilendirilir ve güvenlik operasyonları ekiplerine bulut ortamlarındaki saldırı hikayesinin tamamını anlamaları için sağlam bağlam sağlar. |
Tehdit algılama | Duyarlık ve etkili tehdit algılama sağlamak için sanal varlıkların cihaz varlıklarıyla doğru şekilde eşleştirilmesi. |
Unified API | Bulut için Defender uyarıları ve olayları artık Microsoft Defender XDR'nin genel API'sini kullanarak müşterilerin güvenlik uyarıları verilerini tek bir API kullanarak diğer sistemlere dışarı aktarmasına olanak tanır. |
Microsoft Defender XDR'de uyarıları işleme hakkında daha fazla bilgi edinin.
Microsoft Defender XDR'nin gelişmiş tehdit avcılığı özellikleri, Bulut için Defender uyarıları ve olayları içerecek şekilde genişletilir. Bu tümleştirme, güvenlik ekiplerinin tüm bulut kaynaklarını, cihazlarını ve kimliklerini tek bir sorguda aramasına olanak tanır.
Microsoft Defender XDR'deki gelişmiş tehdit avcılığı deneyimi, güvenlik ekiplerine ortamları genelinde tehditleri avlamak için özel sorgular oluşturma esnekliği sağlamak üzere tasarlanmıştır. Bulut için Defender uyarıları ve olaylarıyla tümleştirme, güvenlik ekiplerinin bulut kaynakları, cihazları ve kimlikleri genelinde tehditleri avlamasına olanak tanır.
Gelişmiş avcılıktaki CloudAuditEvents tablosu, denetim düzlemi olaylarını araştırmanıza ve avlayıp şüpheli Azure Resource Manager ve Kubernetes (KubeAudit) denetim düzlemi etkinliklerini ortaya çıkarmak için özel algılamalar oluşturmanıza olanak tanır.
Gelişmiş tehdit avcılığındaki CloudProcessEvents tablosu, bulut altyapınızda çağrılan şüpheli etkinlikler için işlem ayrıntılarıyla ilgili ayrıntıları içeren bilgilerle önceliklendirmenize, araştırmanıza ve özel algılamalar oluşturmanıza olanak tanır.
Microsoft'un birleşik güvenlik işlemleri (SecOps) platformuna eklenmiş bir Microsoft Sentinel müşterisiyseniz, Bulut için Defender uyarılar zaten doğrudan Defender XDR'ye alınır. Yerleşik güvenlik içeriğinden yararlanmak için Microsoft Sentinel İçerik hub'ından Bulut için Microsoft Defender çözümünü yüklediğinizden emin olun.
Microsoft'un birleşik SecOps platformunu kullanmayan Microsoft Sentinel müşterileri, Microsoft 365 Defender olayları ve uyarıları bağlayıcısını kullanarak çalışma alanlarında Microsoft 365 Defender ile Bulut için Defender tümleştirmesinden de yararlanabilir.
öncelikle Microsoft 365 Defender bağlayıcınızda olay tümleştirmesini etkinleştirmeniz gerekir.
Ardından, Microsoft 365 Defender olayları bağlayıcısı üzerinden akış yapmak üzere aboneliklerinizi kiracı tabanlı Bulut için Defender olaylarınızla eşitlemek için Kiracı tabanlı Bulut için Microsoft Defender (Önizleme) veri bağlayıcısını etkinleştirin.
Kiracı tabanlı Bulut için Microsoft Defender (Önizleme) veri bağlayıcısı, Microsoft Sentinel İçerik hub'ından Bulut için Microsoft Defender çözümü olan sürüm 3.0.0 aracılığıyla kullanılabilir. Bu çözümün önceki bir sürümüne sahipseniz çözüm sürümünüzü güncelleştirmenizi öneririz. Abonelik tabanlı Bulut için Microsoft Defender (Eski) veri bağlayıcısı hala etkinse, günlüklerinizde uyarıların çoğaltılmasını önlemek için bağlayıcının bağlantısını kesmenizi öneririz.
Ayrıca, doğrudan Bulut için Microsoft Defender uyarılarınızdan olay oluşturan analiz kurallarını devre dışı bırakmanızı öneririz. Olayları hemen kapatmak ve belirli türde Bulut için Defender uyarılarının olay haline gelmesini önlemek için Microsoft Sentinel otomasyon kurallarını kullanın veya uyarıların olay haline gelmesini önlemek için Microsoft Defender portalındaki yerleşik ayarlama özelliklerini kullanın.
Microsoft 365 Defender olaylarınızı Microsoft Sentinel ile tümleştirdiyseniz ve abonelik tabanlı ayarlarını korumak ve kiracı tabanlı eşitlemeyi önlemek istiyorsanız Microsoft 365 Defender bağlayıcısını kullanarak olayları ve uyarıları eşitlemeyi geri çevirebilirsiniz.
Daha fazla bilgi için bkz.