擷取Microsoft Sentinel 的警示 適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 整合式雲端工作負載保護可讓您偵測並快速回應混合式和多重雲端工作負載的威脅。
此連接器可讓您從 適用於雲端的 Defender 擷取安全性警示到 Microsoft Sentinel,讓您可以在更廣泛的組織威脅內容中檢視、分析和回應 Defender 警示及其產生的事件。
隨著每個訂用帳戶啟用 適用於雲端的 Microsoft Defender Defender 方案,每個訂用帳戶也會個別啟用或停用此數據連接器。
預覽版中新的租使用者型 適用於雲端的 Microsoft Defender 連接器可讓您收集整個租使用者的 適用於雲端的 Defender 警示,而不需要個別啟用每個訂用帳戶。 它也利用 適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應 整合(先前稱為 Microsoft 365 Defender),以確保所有 適用於雲端的 Defender 警示都完全包含在您透過 Microsoft Defender 全面偵測回應 收到的任何事件中事件整合。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
警示同步處理
當您將 適用於雲端的 Microsoft Defender 連線到 Microsoft Sentinel 時,兩個服務之間會同步處理擷取至 Microsoft Sentinel 的安全性警示狀態。 因此,例如,當警示在 適用於雲端的 Defender 中關閉時,該警示也會顯示為關閉Microsoft Sentinel。
變更 適用於雲端的 Defender 中警示的狀態不會影響包含Microsoft Sentinel 警示之任何Microsoft Sentinel 事件的狀態,只會影響警示本身的狀態。
雙向警示同步處理
啟用 雙向同步 處理會自動同步處理原始安全性警示的狀態,以及包含這些警示的Microsoft Sentinel 事件狀態。 因此,例如,當包含安全性警示的Microsoft Sentinel 事件關閉時,對應的原始警示會自動關閉 適用於雲端的 Microsoft Defender。
必要條件
您必須擁有您 Microsoft Sentinel 工作區的讀取和寫入權限。
您必須在想要連線到 Sentinel Microsoft 的訂用帳戶上具有 參與者 或 擁有者 角色。
您必須針對想要啟用連接器的每個訂用帳戶,在 適用於雲端的 Microsoft Defender 內至少啟用一個方案。 若要在訂用帳戶上啟用 Microsoft Defender 方案,您必須擁有 該訂用帳戶的安全性系統管理員 角色。
SecurityInsights
您必須為想要啟用連接器的每個訂用帳戶註冊資源提供者。 檢閱資源提供者註冊狀態和註冊方式的指引。若要啟用雙向同步處理,您必須在相關的訂用帳戶上擁有 參與者 或 安全性系統管理員 角色。
在 Sentinel 中,從內容中樞安裝 Microsoft 適用於雲端的 Microsoft Defender 的解決方案。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容。
線上至 適用於雲端的 Microsoft Defender
在 Microsoft Sentinel 中,從導覽功能表選取 [資料連接器]。
從數據連接器資源庫,選取 [適用於雲端的 Microsoft Defender],然後在詳細數據窗格中選取 [開啟連接器] 頁面。
在 [組態] 下,您會看到租使用者中的訂用帳戶清單,以及其聯機至 適用於雲端的 Microsoft Defender 的狀態。 選取您要串流至 sentinel Microsoft警示的每個訂用帳戶旁的 [狀態] 切換開關。 如果您想要一次連接數個訂用帳戶,可以藉由標記相關訂用帳戶旁邊的複選框,然後選取 清單上方列上的 [連線 ] 按鈕來執行這項操作。
注意
- 複選框和 [連線 ] 切換只會在您具有必要許可權的訂用帳戶上使用。
- 只有在至少標記一個訂用帳戶的複選框時,[ 連線 ] 按鈕才會作用中。
若要在訂用帳戶上啟用雙向同步處理,請在清單中找出訂用帳戶,然後從雙向同步數據行的下拉式清單中選擇 [已啟用]。 若要一次在數個訂用帳戶上啟用雙向同步處理,請標示其複選框,然後選取 清單上方列上的 [啟用雙向同步處理 ] 按鈕。
注意
- 複選框和下拉式清單只會在您具有必要許可權的訂用帳戶上使用。
- [啟用雙向同步處理] 按鈕只有在至少標記一個訂用帳戶複選框時,才會作用中。
在清單的 [Microsoft Defender 方案] 欄中,您可以看到您的訂用帳戶上是否已啟用 Microsoft Defender 方案(啟用連接器的必要條件)。 此數據行中每個訂用帳戶的值都會是空白的(表示未啟用任何 Defender 方案)、「全部啟用」或「某些已啟用」。那些說「某些已啟用」的人也會有 [啟用所有] 連結,您可以選取,這會帶您前往該訂用帳戶的 適用於雲端的 Microsoft Defender 組態儀錶板,您可以在其中選擇 [Defender 方案] 來啟用。 清單上方列上列的 [為所有訂用帳戶啟用 Microsoft Defender] 鏈接按鈕會帶您前往 [適用於雲端的 Microsoft Defender 使用者入門] 頁面,您可以在其中選擇要啟用 適用於雲端的 Microsoft Defender 的訂用帳戶。
您可以選取是否要 適用於雲端的 Microsoft Defender 警示在 Sentinel Microsoft自動產生事件。 在 [建立事件] 下,選取 [已啟用] 以開啟自動從警示建立事件的預設分析規則。 然後,您可以在 [使用中規則] 索引標籤的 [分析] 底下編輯此規則。
提示
設定 適用於雲端的 Microsoft Defender 警示的自定義分析規則時,請考慮警示嚴重性,以避免開啟資訊警示的事件。
適用於雲端的 Microsoft Defender 中的資訊警示本身並不代表安全性風險,而且只與現有開啟事件的內容相關。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 中的安全性警示和事件。
尋找和分析您的數據
注意
雙向的警示同步處理可能需要幾分鐘的時間。 警示狀態的變更可能不會立即顯示。
安全性警示會儲存在 Log Analytics工作區的 SecurityAlert 資料表中。
若要在 Log Analytics 中查詢安全性警示,請將下列內容複製到查詢視窗中作為起點:
SecurityAlert | where ProductName == "Azure Security Center"
如需其他實用的範例查詢、分析規則範本和建議活頁簿,請參閱連接器頁面中的 [後續步驟] 索引標籤。
下一步
在本檔中,您已瞭解如何將 適用於雲端的 Microsoft Defender 連線到 sentinel Microsoft,並在兩者之間同步處理警示。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 學習如何洞察資料及潛在威脅。
- 開始 使用 Microsoft Sentinel 來偵測威脅。
- 撰寫您自己的規則來 偵測威脅。