你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

借助 Microsoft Defender XDR 集成引入 Microsoft Defender for Cloud 事件

Microsoft Defender for Cloud 现已与 Microsoft Defender XDR 集成,后者以前称为 Microsoft 365 Defender。 通过此集成,Defender XDR 能够从 Defender for Cloud 收集警报,并基于它们创建 Defender XDR 事件。

得益于这项集成,已启用 Defender XDR 事件集成的 Microsoft Sentinel 客户现在可以通过 Microsoft Defender XDR 引入和同步 Defender for Cloud 事件。

要支持此集成,必须设置以下 Microsoft Defender for Cloud 数据连接器之一,否则通过 Microsoft Defender XDR 连接器传入的 Microsoft Defender for Cloud 事件不会显示其关联的警报和实体:

  • Microsoft Sentinel 具有新的基于租户的 Microsoft Defender for Cloud(预览版)新连接器。 使用此连接器,Microsoft Sentinel 客户能够在其整个租户中接收 Defender for Cloud 警报,而无需监视和维护连接器对其所有 Defender for Cloud 订阅的注册。 建议使用此新连接器,因为 Microsoft Defender XDR 与 Microsoft Defender for Cloud 的集成也是在租户级别实现的。

  • 或者,可以使用基于订阅的 Microsoft Defender for Cloud(旧版)连接器。 不建议使用此连接器,因为如果你有任何未连接到连接器中 Microsoft Sentinel 的 Defender for Cloud 订阅,则来自这些订阅的事件不会显示其关联的警报和实体。

无论你是否启用了 Defender XDR 事件集成,上述两种连接器均可用于引入 Defender for Cloud 警报。

重要

  • Defender for Cloud 与 Defender XDR 的集成现已正式发布

  • 基于租户的 Microsoft Defender for Cloud 连接器目前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

选择如何使用此集成和新连接器

关于此集成的使用方式的选择以及是要引入完整事件还是仅引入警报,将在很大程度上取决于你已对 Microsoft Defender XDR 事件所做的操作。

  • 如果你已引入 Defender XDR 事件,或者选择现在开始这样做,则强烈建议启用此基于租户的新连接器。 Defender XDR 事件现在将包括基于 Defender for Cloud 的事件,其中包含租户中所有 Defender for Cloud 订阅所涉及的全部警报。

    在这种情况下,如果保留基于订阅的 Defender for Cloud 旧连接器,并且不连接基于租户的新连接器,则可能会收到包含空警报的 Defender for Cloud 事件(如果是连接器未注册的订阅)。

  • 如果不打算启用 Microsoft Defender XDR 事件集成,你将仍然可以接收 Defender for Cloud 警报,无论启用的是哪个版本的连接器。 但是,基于租户的新连接器仍可提供一项优势,即不需要监视和维护连接器中 Defender for Cloud 订阅列表的权限。

  • 如果已启用 Defender XDR 集成,但只想接收 Defender for Cloud 警报(而不想接收事件),则可以使用自动化规则来在 Defender for Cloud 事件到达后立即将其关闭。

    如果该解决方案还不够理想,或者你仍希望基于每个订阅从 Defender for Cloud 收集警报,则可以在 Microsoft Defender XDR 门户中完全取消 Defender for Cloud 集成,然后使用基于订阅的旧版 Defender for Cloud 连接器来接收这些警报。

在 Microsoft Sentinel 中设置集成

如果尚未在 Microsoft 365 Defender 连接器中启用事件集成,请先执行此操作。

然后,启用基于租户的 Microsoft Defender for Cloud(预览版)新连接器。 此连接器可通过内容中心中的 Microsoft Defender for Cloud 解决方案 3.0.0 版提供。 如果你有此解决方案的早期版本,可以在内容中心对其进行升级。

如果以前启用了基于订阅的 Defender for Cloud 旧连接器(将显示为“基于订阅的 Microsoft Defender for Cloud (旧版)”),则建议禁用该连接器,以防止日志中存在重复警报。

如果有任何基于 Defender for Cloud 警报创建事件的计划规则或 Microsoft 安全分析规则,建议禁用这些规则,因为你将收到由 Microsoft 365 Defender 创建或与之同步的现成事件。

如果你不想为特定类型的 Defender for Cloud 警报创建事件,则可以使用自动化规则来立即关闭这些事件,也可以在 Microsoft 365 Defender 门户中使用内置优化功能。

后续步骤

本文介绍了如何借助 Microsoft Defender for Cloud 与 Microsoft Defender XDR 的集成将事件和警报引入 Microsoft Sentinel。

详细了解 Microsoft Defender for Cloud 与 Microsoft Defender XDR 的集成。