你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender XDR 中的警报和事件
Microsoft Defender for Cloud 现已与 Microsoft Defender XDR 集成。 此集成使安全团队可以访问 Microsoft Defender 门户中的 Defender for Cloud 警报和事件。 该集成为跨云资源、设备和标识的调查提供了更丰富的上下文。
与 Microsoft Defender XDR 的合作伙伴关系使安全团队能够全面了解攻击,包括在云环境中发生的可疑和恶意事件。 安全团队可以通过直接关联警报和事件来实现此目标。
Microsoft Defender XDR 提供了一个全面的解决方案,将保护、检测、调查和响应功能结合使用。 该解决方案可防范对设备、电子邮件、协作、标识和云应用的攻击。 我们的检测和调查功能现已扩展到云实体,为安全运营团队提供单一管理平台,可以显著提高其运营效率。
事件和警报现在是 Microsoft Defender XDR 的公共 API 的一部分。 这种集成允许使用单个 API 将安全警报数据导出到任何系统。 作为 Microsoft Defender for Cloud 的开发者,我们致力于为用户提供最佳的安全解决方案,这种集成是实现该目标的重要一步。
Microsoft Defender XDR 中的调查体验
下表介绍了在 Microsoft Defender XDR 中使用 Defender for Cloud 警报进行检测和调查的体验。
范围 | 说明 |
---|---|
事故 | 所有 Defender for Cloud 事件都已集成到 Microsoft Defender XDR。 - 支持在事件队列中搜索云资源资产。 - 攻击情景图表显示云资源。 - 事件页中的“资产”选项卡显示云资源。 - 每个虚拟机都有自己的实体页面,其中包含所有相关的警报和活动。 其他 Defender 工作负荷中不存在重复事件。 |
警报 | 所有 Defender for Cloud 警报(包括多云、内部和外部提供程序的警报)都集成到 Microsoft Defender XDR。 Defender for Cloud 警报在 Microsoft Defender XDR 警报队列上显示。 Microsoft Defender XDR cloud resource 资产显示在警报的“资产”选项卡中。 资源明确标识为 Azure、Amazon 或 Google Cloud 资源。 Defender for Cloud 警报会自动与租户关联。 其他 Defender 工作负荷中不存在重复警报。 |
警报和事件关联 | 警报和事件自动关联,为安全运营团队提供强大的上下文,让其了解其云环境中的完整攻击情景。 |
威胁检测 | 虚拟实体与设备实体精准匹配,确保威胁检测精准有效。 |
Unified API | Defender for Cloud 警报和事件现在包含在 Microsoft Defender XDR 的公共 API 中,客户可使用一个 API 将其安全警报数据导出到其他系统。 |
了解有关在 Microsoft Defender XDR 中处理警报的详细信息。
XDR 中的高级搜寻
Microsoft Defender XDR 的高级搜寻功能已扩展为包括 Defender for Cloud 警报和事件。 此集成允许安全团队在单个查询中搜寻其所有云资源、设备和标识。
Microsoft Defender XDR 中的高级搜寻体验旨在为安全团队提供创建自定义查询的灵活性,以在其环境中搜寻威胁。 与 Defender for Cloud 警报和事件的集成允许安全团队在其云资源、设备和标识中搜寻威胁。
在高级搜寻中使用 CloudAuditEvents 表,可以在 Microsoft Defender for Cloud 中搜寻云审核事件,并创建自定义检测来显示可疑的 Azure 资源管理器和 Kubernetes (KubeAudit) 控制平面活动。
Sentinel 客户
Microsoft Sentinel 客户可以使用 Microsoft 365 Defender 事件和警报连接器在其工作区中受益于 Defender for Cloud 与 Microsoft 365 Defender 的集成。
首先,需要在 Microsoft 365 Defender 连接器中启用事件集成。
然后,启用 Tenant-based Microsoft Defender for Cloud (Preview)
连接器,将订阅与基于租户的 Defender for Cloud 事件同步,以通过 Microsoft 365 Defender 事件连接器进行流式传输。
连接器可通过内容中心中的 Microsoft Defender for Cloud 解决方案 3.0.0 版提供。 如果你有此解决方案的早期版本,可以在内容中心对其进行升级。
如果已启用旧版基于订阅的 Microsoft Defender for Cloud 警报连接器(显示为 Subscription-based Microsoft Defender for Cloud (Legacy)
),建议断开连接器的连接,以防止日志中出现重复警报。
建议禁用已启用的分析规则(计划规则或通过 Microsoft 创建规则),以防止从 Defender for Cloud 警报创建事件。
可以使用自动化规则立即关闭事件,并防止特定类型的 Defender for Cloud 警报成为事件。 还可以使用 Microsoft 365 Defender 门户中的内置优化功能来防止警报成为事件。
将 Microsoft 365 Defender 事件集成到 Sentinel、希望保留基于订阅的设置并避免基于租户的同步的客户,可以选择不通过 Microsoft 365 Defender 连接器同步事件和警报。
了解 Defender for Cloud 和 Microsoft 365 Defender 如何处理数据隐私。