你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 Microsoft Defender for Cloud 警报与 Microsoft Sentinel 相连接

注意

Azure Sentinel 现在称为 Microsoft Sentinel,我们将在几周内更新相关页面。 详细了解最近的 Microsoft 安全性增强

背景

注意

  • Microsoft Defender for Cloud 以前称为 Azure 安全中心。
  • Defender for Cloud 增强安全功能以前统称为 Azure Defender。

Microsoft Defender for Cloud 的集成云工作负载保护支持检测和快速响应混合和多云工作负载中的威胁。

此连接器允许你将安全警报从 Defender for Cloud 流式传输到 Microsoft Sentinel,以便可以在更广泛的组织威胁上下文中查看、分析和应对 Defender 警报及其生成的事件。

由于每个订阅都启用了 Microsoft Defender for Cloud 增强安全功能,因此还可以为每个订阅单独启用或禁用此数据连接器。

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

警报同步

  • 将 Microsoft Defender for Cloud 连接到 Microsoft Sentinel 时,引入到 Microsoft Sentinel 中的安全警报的状态将在两个服务之间同步。 例如,当某个警报在 Defender for Cloud 中处于已关闭状态时,该警报在 Microsoft Sentinel 中也会显示为已关闭。

  • 在 Defender for Cloud 中更改警报的状态不会影响包含同步 Microsoft Sentinel 警报的任何 Microsoft Sentinel 事件的状态,只会影响同步警报自身的状态。

双向警报同步

  • 启用双向同步会自动将原始安全警报的状态与包含这些警报的 Microsoft Sentinel 事件的状态进行同步。 例如,当包含安全警报的 Microsoft Sentinel 事件关闭时,会自动在 Microsoft Defender for Cloud 中关闭相应的原始警报。

先决条件

  • 必须对 Microsoft Sentinel 工作区拥有读取和写入权限。

  • 你必须在流式传输的日志的订阅中具有“安全读取者”角色。

  • 需要在 Microsoft Defender for Cloud 中为你要启用连接器的每个订阅启用至少一个计划。 若要在订阅上启用 Microsoft Defender 计划,必须具有该订阅的“安全管理员”角色。

  • 若要启用双向同步,你必须在相关订阅上具有“参与者”或“安全管理员”角色。

连接到 Microsoft Defender for Cloud

  1. 在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。

  2. 从数据连接器库中,选择“Microsoft Defender for Cloud”,并在详细信息窗格中选择“打开连接器页面” 。

  3. 在“配置”下,你会看到租户中的订阅的列表,以及这些订阅与 Microsoft Defender for Cloud 之间的连接的状态。 选择要将其警报流式传输到 Microsoft Sentinel 中的每个订阅旁的“状态”开关。 如果要一次连接多个订阅,可选中相关订阅旁边的复选框,然后选择列表上方的栏中的“连接”按钮。

    注意

    • 复选框和“连接”开关将仅在你拥有所需权限的订阅上处于活动状态。
    • 只有选中了至少一个订阅的复选框时,“连接”按钮才会处于活动状态。
  4. 若要在某个订阅上启用双向同步,请在列表中定位到该订阅,并从“双向同步”列的下拉列表中选择“已启用” 。 若要一次在多个订阅上启用双向同步,请选中它们的复选框,然后在列表上方的栏中选择“启用双向同步”按钮。

    注意

    • 复选框和下拉列表将仅在你拥有所需权限的订阅上处于活动状态。
    • 只有选中了至少一个订阅的复选框时,“启用双向同步”按钮才会处于活动状态。
  5. 在列表的“Microsoft Defender 计划”列中,可以看到订阅上是否启用了 Microsoft Defender 计划(这是启用连接器的先决条件)。 此列中每个订阅的值将为空白(表示未启用任何 Defender 计划)、“全部启用”或“部分启用”。声称“部分启用”的用户还会有一个“全部启用”链接可以选择,该链接将引导你前往该订阅的 Microsoft Defender for Cloud 配置仪表板,你可以在其中选择要启用的 Defender 计划。 使用列表上方的栏中的“为所有订阅启用 Microsoft Defender”链接按钮,可以前往 Microsoft Defender for Cloud 入门页面,在其中选择要一起启用 Microsoft Defender for Cloud 的订阅。

    Screenshot of Microsoft Defender for Cloud connector configuration

  6. 可以选择是否希望 Microsoft Defender for Cloud 中的警报在 Microsoft Sentinel 中自动生成事件。 在“创建事件”下,选择“启用”以启用自动根据警报创建事件的默认分析规则。 然后,可以在“分析”下的“活动规则”选项卡中编辑此规则。

    提示

    为来自 Microsoft Defender for Cloud 的警报配置自定义分析规则时,请考虑警报严重性,避免为信息性警报创建事件。

    Microsoft Defender for Cloud 中的信息性警报并不代表其自身的安全风险,它们仅与现有的开放事件的上下文有关。 有关更多信息,请参阅 Microsoft Defender for Cloud 中的安全警告和事件

查找并分析数据

注意

双向警报同步可能需要几分钟的时间。 警报状态的更改可能不会立即显示。

  • 安全警报存储在 Log Analytics 工作区中的 SecurityAlert 表中。

  • 若要在 Log Analytics 中查询安全警报,请先将以下内容复制到查询窗口中:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • 如需其他有用的示例查询、分析规则模板和建议的工作簿,请参阅连接器页中的“后续步骤”选项卡。

后续步骤

在本文档中,你已了解如何将 Microsoft Defender for Cloud 连接到 Microsoft Sentinel 并在它们之间同步警报。 若要详细了解 Microsoft Sentinel,请参阅以下文章: