Share via

將 適用於雲端的 Microsoft Defender 警示內嵌至 Microsoft Sentinel

  • 發行項

適用於雲端的 Microsoft Defender的整合式雲端工作負載保護可讓您偵測並快速回應混合式和多重雲端工作負載的威脅。

此連接器可讓您從 適用於雲端的 Defender 擷取安全性警示到 Microsoft Sentinel,以便您可以在更廣泛的組織威脅內容中檢視、分析及回應 Defender 警示及其產生的事件。

隨著每個訂用帳戶啟用 適用於雲端的 Microsoft Defender Defender 方案,每個訂用帳戶也會個別啟用或停用此數據連接器。

預覽版中新的租使用者型 適用於雲端的 Microsoft Defender 連接器可讓您收集整個租使用者的 適用於雲端的 Defender 警示,而不需要個別啟用每個訂用帳戶。 它也利用 適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應 (先前稱為 Microsoft 365 Defender) 整合,以確保所有 適用於雲端的 Defender 警示都完全包含在您透過 Microsoft Defender 全面偵測回應 收到的任何事件中事件整合

注意

如需美國政府雲端中功能可用性的相關信息,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 數據表。

警示同步處理

  • 當您將 適用於雲端的 Microsoft Defender 連線到 Microsoft Sentinel 時,擷取至 Microsoft Sentinel 的安全性警示狀態會在兩個服務之間同步處理。 因此,例如,當警示在 適用於雲端的 Defender 中關閉時,該警示也會在 Microsoft Sentinel 中顯示為已關閉。

  • 變更 適用於雲端的 Defender 中警示的狀態不會影響包含 Microsoft Sentinel 警示的任何 Microsoft Sentinel 事件狀態,而只會影響警示本身的狀態。

雙向警示同步處理

啟用 雙向同步 處理會自動同步處理原始安全性警示的狀態,以及包含這些警示的 Microsoft Sentinel 事件狀態。 例如,當包含安全性警示的 Microsoft Sentinel 事件關閉時,會自動關閉對應的原始警示 適用於雲端的 Microsoft Defender。

必要條件

  • 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入許可權。

  • 您必須在想要連線到 Microsoft Sentinel 的訂用帳戶上擁有 參與者擁有者 角色。

  • 您必須針對想要啟用連接器的每個訂用帳戶,在 適用於雲端的 Microsoft Defender 內至少啟用一個方案。 若要在訂用帳戶上啟用 Microsoft Defender 方案,您必須擁有該訂用帳戶的安全性 管理員 角色。

  • SecurityInsights您必須為想要啟用連接器的每個訂用帳戶註冊資源提供者。 檢閱資源提供者註冊狀態和註冊方式的指引

  • 若要啟用雙向同步處理,您必須在相關的訂用帳戶上具有參與者安全性 管理員 角色。

  • Microsoft Sentinel 中的內容中樞安裝 適用於雲端的 Microsoft Defender 的解決方案。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容

要 適用於雲端的 Microsoft Defender 連線

  1. 在 Microsoft Sentinel 中,從導覽功能表選取 [資料連接器]

  2. 從數據連接器資源庫,選取 [適用於雲端的 Microsoft Defender],然後在詳細數據窗格中選取 [開啟連接器] 頁面

  3. 在 [組態] 下,您會看到租使用者中的訂用帳戶清單,以及其聯機至 適用於雲端的 Microsoft Defender 的狀態。 選取您要串流至 Microsoft Sentinel 之警示的每個訂用帳戶旁的 [狀態] 切換開關。 如果您想要一次連接數個訂用帳戶,您可以標記相關訂用帳戶旁的複選框,然後選取清單上方列上的 [連線] 按鈕來執行此動作。

    注意

    • 複選框和 連線 切換只會在您具有必要許可權的訂用帳戶上使用。
    • 只有在至少標記一個訂用帳戶的複選框時,連線 按鈕才會作用中。

  4. 若要在訂用帳戶上啟用雙向同步處理,請在清單中找出訂用帳戶,然後從雙向同步數據行的下拉式清單中選擇 [已啟用]。 若要一次在數個訂用帳戶上啟用雙向同步處理,請標示其複選框,然後選取 清單上方列上的 [啟用雙向同步處理 ] 按鈕。

    注意

    • 複選框和下拉式清單只會在您具有必要許可權訂用帳戶上使用。
    • [啟用雙向同步處理] 按鈕只有在至少標記一個訂用帳戶複選框時,才會作用中。

  5. 在清單的 [Microsoft Defender 方案 ] 欄中,您可以看到您的訂用帳戶上是否已啟用 Microsoft Defender 方案(啟用連接器的必要條件)。 此數據行中每個訂用帳戶的值都會是空白的(表示未啟用任何 Defender 方案)、「全部啟用」或「某些已啟用」。那些說「某些已啟用」的人也會有 [啟用所有] 連結,您可以將您帶到該訂用帳戶的 適用於雲端的 Microsoft Defender 設定儀錶板,您可以在其中選擇 [Defender 方案] 來啟用。 清單上方列上的 [啟用所有訂用帳戶的 Microsoft Defender] 鏈接按鈕會帶您前往 [適用於雲端的 Microsoft Defender 使用者入門] 頁面,您可以在其中選擇要啟用 適用於雲端的 Microsoft Defender 的訂用帳戶。

    Screenshot of Microsoft Defender for Cloud connector configuration

  6. 您可以選取是否希望來自 適用於雲端的 Microsoft Defender 的警示在 Microsoft Sentinel 中自動產生事件。 在 [建立事件] 下,選取 [已啟用] 以開啟自動從警示建立事件的預設分析規則。 然後,您可以在 [使用中規則] 索引標籤的 [分析] 底下編輯此規則

    提示

    設定 適用於雲端的 Microsoft Defender 警示的自定義分析規則時,請考慮警示嚴重性,以避免開啟資訊警示的事件。

    適用於雲端的 Microsoft Defender 中的資訊警示本身並不代表安全性風險,而且只與現有開啟事件的內容相關。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 中的安全性警示和事件。

尋找和分析您的數據

注意

雙向的警示同步處理可能需要幾分鐘的時間。 警示狀態的變更可能不會立即顯示。

  • 安全性警示會儲存在 Log Analytics工作區的 SecurityAlert 資料表中。

  • 若要在 Log Analytics 中查詢安全性警示,請將下列內容複製到查詢視窗中作為起點:

    SecurityAlert 
| where ProductName == "Azure Security Center"

  • 如需其他實用的範例查詢、分析規則範本和建議活頁簿,請參閱連接器頁面中的 [後續步驟] 索引標籤。

下一步

在本檔中,您已瞭解如何將 適用於雲端的 Microsoft Defender 連線到 Microsoft Sentinel,並在兩者之間同步處理警示。 若要深入了解 Microsoft Sentinel,請參閱下列文章: