共用方式為

擷取Microsoft Sentinel 的警示 適用於雲端的 Microsoft Defender

  • 發行項

適用於雲端的 Microsoft Defender的整合式雲端工作負載保護可讓您偵測並快速回應混合式和多雲端工作負載的威脅。 適用於雲端的 Microsoft Defender 連接器可讓您將安全性警示從 適用於雲端的 Defender 內嵌到 Microsoft Sentinel,讓您可以在更廣泛的組織威脅內容中檢視、分析及回應 Defender 警示及其產生的事件。

每個訂用帳戶都啟用 適用於雲端的 Microsoft Defender Defender 方案。 雖然Microsoft Sentinel 針對 適用於雲端的 Defender Apps 的舊版連接器也會針對每個訂用帳戶進行設定,但租使用者型 適用於雲端的 Microsoft Defender 連接器在預覽版中可讓您收集整個租使用者的 適用於雲端的 Defender 警示,而不需要個別啟用每個訂用帳戶。 租使用者型連接器也可與 適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應 整合,以確保所有 適用於雲端的 Defender 警示都完全包含在您收到的任何事件中Microsoft Defender 全面偵測回應 事件整合

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

警示同步處理

  • 當您將 適用於雲端的 Microsoft Defender 連線到 Microsoft Sentinel 時,兩個服務之間會同步處理擷取至 Microsoft Sentinel 的安全性警示狀態。 因此,例如,當警示在 適用於雲端的 Defender 中關閉時,該警示也會顯示為關閉Microsoft Sentinel。

  • 變更 適用於雲端的 Defender 中警示的狀態不會影響包含Microsoft Sentinel 警示之任何Microsoft Sentinel 事件的狀態,只影響警示本身的狀態。

雙向警示同步處理

啟用 雙向同步 處理會自動同步處理原始安全性警示的狀態,以及包含這些警示的Microsoft Sentinel 事件狀態。 因此,例如,當包含安全性警示的Microsoft Sentinel 事件關閉時,會自動關閉對應的原始警示 適用於雲端的 Microsoft Defender。

必要條件

  • 您必須擁有您 Microsoft Sentinel 工作區的讀取和寫入權限。

  • 您必須在想要連線到 Sentinel Microsoft 的訂用帳戶上具有 參與者擁有者 角色。

  • 您必須針對想要啟用連接器的每個訂用帳戶,在 適用於雲端的 Microsoft Defender 內至少啟用一個方案。 若要在訂用帳戶上啟用 Microsoft Defender 方案,您必須擁有 該訂用帳戶的安全性系統管理員 角色。

  • SecurityInsights您必須為想要啟用連接器的每個訂用帳戶註冊資源提供者。 檢閱資源提供者註冊狀態和註冊方式的指引

  • 若要啟用雙向同步處理,您必須在相關的訂用帳戶上擁有 參與者安全性系統管理員 角色。

  • 在 Microsoft Sentinel 中,從內容中樞安裝 適用於雲端的 Microsoft Defender 的解決方案。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容

線上至 適用於雲端的 Microsoft Defender

  1. 安裝解決方案之後,在 Microsoft Sentinel 中,選取 [組態 > 數據連接器]。

  2. 從 [數據連接器] 頁面中,選取 [訂用帳戶型 適用於雲端的 Microsoft Defender (舊版)租使用者型 適用於雲端的 Microsoft Defender [預覽] 連接器,然後選取 [開啟連接器] 頁面

  3. 在 [設定] 底下,您會看到租使用者中的訂用帳戶清單,以及其與 適用於雲端的 Microsoft Defender 連線的狀態。 選取您要串流至 sentinel Microsoft警示的每個訂用帳戶旁的 [狀態] 切換開關。 如果您想要一次連接數個訂用帳戶,可以藉由標記相關訂用帳戶旁邊的複選框,然後選取 清單上方列上的 [連線 ] 按鈕來執行這項操作。

    • 複選框和 [連線] 切換只會在您具有必要許可權訂用帳戶上使用。
    • 只有在至少標記一個訂用帳戶的複選框時,[連線] 按鈕才會作用中。

  4. 若要在訂用帳戶上啟用雙向同步處理,請在清單中找出訂用帳戶,然後從雙向同步數據行的下拉式清單中選擇 [已啟用]。 若要一次在數個訂用帳戶上啟用雙向同步處理,請標示其複選框,然後選取 清單上方列上的 [啟用雙向同步處理 ] 按鈕。

    • 複選框和下拉式清單只會在您具有必要許可權訂用帳戶上使用。
    • [啟用雙向同步處理] 按鈕只有在至少標記一個訂用帳戶複選框時,才會作用中。

  5. 在清單的 [Microsoft Defender 方案] 欄中,您可以看到您的訂用帳戶上是否已啟用 Microsoft Defender 方案(啟用連接器的必要條件)。

    此數據行中每個訂用帳戶的值都是空白的(表示未啟用任何 Defender 方案)、 全部啟用,或 已啟用某些方案。 那些說某些已啟用的人也有一個 [啟用所有連結] 可供您選取,這會帶您前往該訂用帳戶的 適用於雲端的 Microsoft Defender 組態儀錶板,您可以在其中選擇 [Defender 方案] 來啟用。

    清單上方列上列的 [啟用Microsoft Defender] 鏈接按鈕會帶您前往 [適用於雲端的 Microsoft Defender 使用者入門] 頁面,您可以在其中選擇要啟用 適用於雲端的 Microsoft Defender 的訂用帳戶。 例如:

    適用於雲端的 Microsoft Defender 連接器設定的螢幕快照。

  6. 您可以選取是否要 適用於雲端的 Microsoft Defender 警示在 Sentinel Microsoft自動產生事件。 在 [建立事件] 下,選取 [已啟用] 以開啟自動從警示建立事件的預設分析規則。 然後,您可以在 [使用中規則] 索引標籤的 [分析] 底下編輯此規則

    提示

    設定 適用於雲端的 Microsoft Defender 警示的自定義分析規則時,請考慮警示嚴重性,以避免開啟資訊警示的事件。

    適用於雲端的 Microsoft Defender 中的資訊警示本身並不代表安全性風險,而且只與現有開啟事件的內容相關。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 中的安全性警示和事件。

尋找和分析您的數據

注意

雙向的警示同步處理可能需要幾分鐘的時間。 警示狀態的變更可能不會立即顯示。

  • 安全性警示會儲存在 Log Analytics工作區的 SecurityAlert 資料表中。

  • 若要在 Log Analytics 中查詢安全性警示,請將下列內容複製到查詢視窗中作為起點:

    SecurityAlert 
| where ProductName == "Azure Security Center"

  • 如需其他實用的範例查詢、分析規則範本和建議活頁簿,請參閱連接器頁面中的 [後續步驟] 索引標籤。

下一步

在本檔中,您已瞭解如何將 適用於雲端的 Microsoft Defender 連線到Microsoft Sentinel,並同步處理它們之間的警示。 若要深入了解 Microsoft Sentinel,請參閱下列文章: