将 Microsoft Defender for Cloud 连接到 Microsoft Sentinel 时,引入到 Microsoft Sentinel 中的安全警报的状态将在两个服务之间同步。 例如,当某个警报在 Defender for Cloud 中处于已关闭状态时,该警报在 Microsoft Sentinel 中也会显示为已关闭。
在 Defender for Cloud 中更改警报的状态不会影响包含同步 Microsoft Sentinel 警报的任何 Microsoft Sentinel 事件的状态,只会影响警报自身的状态。
双向警报同步:启用双向同步会自动将原始安全警报的状态与包含这些警报的 Microsoft Sentinel 事件的状态进行同步。 例如,当包含安全警报的 Microsoft Sentinel 事件关闭时,会自动在 Microsoft Defender for Cloud 中关闭相应的原始警报。
备注
有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。
备注
即便为这些租户启用了 Lighthouse,连接器也不支持从其他租户拥有的订阅来同步警报。
先决条件
必须在 Azure 门户中使用 Microsoft Sentinel。 如果已加入 Microsoft 的统一安全运营 (SecOps) 平台,则 Defender for Cloud 警报已引入到 Microsoft Defender XDR,并且“基于租户的 Microsoft Defender for Cloud(预览版)”数据连接器未在 Defender 门户的“数据连接器”页中列出。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
如果已加入 Microsoft 的统一 SecOps 平台,则仍需安装“Microsoft Defender for Cloud”解决方案,以便将内置安全内容与 Microsoft Sentinel 配合使用。
如果在 Defender 门户中使用 Microsoft Sentinel 而不使用 Microsoft Defender XDR,则此过程仍与你相关。
你必须具有以下角色和权限:
必须对 Microsoft Sentinel 工作区拥有读取和写入权限。
你必须拥有要将其连接到 Microsoft Sentinel 的订阅上的“参与者”或“所有者”角色。
若要启用双向同步,你必须在相关订阅上具有“参与者”或“安全管理员”角色。
需要在 Microsoft Defender for Cloud 中为你要启用连接器的每个订阅启用至少一个计划。 若要在订阅上启用 Microsoft Defender 计划,必须具有该订阅的“安全管理员”角色。
在“数据连接器”页中,选择“基于订阅的 Microsoft Defender for Cloud(旧版)”或“基于租户的 Microsoft Defender for Cloud(预览版)”连接器,然后选择“打开连接器页”。
在“配置”下,你会看到租户中的订阅的列表,以及这些订阅与 Microsoft Defender for Cloud 之间的连接的状态。 选择要将其警报流式传输到 Microsoft Sentinel 中的每个订阅旁的“状态”开关。 如果要一次连接多个订阅,可选中相关订阅旁边的复选框,然后选择列表上方的栏中的“连接”按钮。
了解如何借助 Microsoft Defender for Cloud 与 Microsoft Defender XDR 的集成,通过 Microsoft Defender XDR 引入 Microsoft Defender for Cloud 事件。 这样,便可以将 Defender for Cloud 事件添加到 Microsoft Sentinel 事件队列,同时无缝应用 Defender XDR 的优势来帮助调查所有云工作负载安全事件。