閱讀英文

共用方式為

擷取 適用於雲端的 Microsoft Defender 警示至 Microsoft Sentinel

  • 發行項
  • 適用於:
    Microsoft Sentinel

適用於雲端的 Microsoft Defender的整合式雲端工作負載保護可讓您偵測並快速回應混合式和多重雲端工作負載的威脅。 適用於雲端的 Microsoft Defender 連接器可讓您將安全性警示從 適用於雲端的 Defender 內嵌到 Microsoft Sentinel,以便您可以在更廣泛的組織威脅內容中檢視、分析及回應 Defender 警示及其產生的事件。

每個訂用帳戶都啟用 適用於雲端的 Microsoft Defender Defender 方案。 雖然Microsoft Sentinel 針對 適用於雲端的 Defender Apps 的舊版連接器也會針對每個訂用帳戶進行設定,但租使用者型 適用於雲端的 Microsoft Defender 連接器在預覽版中可讓您收集整個租使用者的 適用於雲端的 Defender 警示,而不需要個別啟用每個訂用帳戶。 租使用者型連接器也可與 適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應 整合,以確保您收到的所有 適用於雲端的 Defender 警示都完全包含在您收到的任何事件中Microsoft Defender 全面偵測回應 事件整合

  • 警示同步處理

    • 當您將 適用於雲端的 Microsoft Defender 連線至 Microsoft Sentinel 時,兩個服務之間會同步處理內嵌至 Microsoft Sentinel 中的安全性警示狀態。 例如,當警示在 適用於雲端的 Defender 中關閉時,該警示也會在 Sentinel Microsoft 顯示為已關閉。

    • 變更 適用於雲端的 Defender 中警示的狀態不會影響包含Microsoft Sentinel 警示之任何Microsoft Sentinel 事件的狀態,只影響警示本身的狀態。

  • 雙向警示同步處理:啟用 雙向同步 處理會自動同步處理原始安全性警示的狀態,以及包含這些警示之Microsoft Sentinel 事件的狀態。 例如,當包含安全性警示的Microsoft Sentinel 事件關閉時,會自動關閉對應的原始警示 適用於雲端的 Microsoft Defender。

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

注意

連接器不支援從其他租使用者所擁有的訂用帳戶同步處理警示,即使為這些租使用者啟用 Lighthouse 也一樣。

必要條件

  • 您必須在 Azure 入口網站 中使用 Microsoft Sentinel。 當您將Microsoft Sentinel 上線至 Defender 入口網站時,適用於雲端的 Defender 警示已內嵌至 Microsoft Defender 全面偵測回應,且租使用者型 適用於雲端的 Microsoft Defender (預覽) 數據連接器未列在 Defender 入口網站的 [數據連接器] 頁面中。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

    如果您已將Microsoft Sentinel 上線至 Defender 入口網站,您仍會想要安裝 適用於雲端的 Microsoft Defender 解決方案,以搭配 Microsoft Sentinel 使用內建的安全性內容。

    如果您在 Defender 入口網站中使用 Microsoft Sentinel 而不需 Microsoft Defender 全面偵測回應,則此程式仍然與您相關。

  • 您必須具有下列角色和權限:

    • 您必須擁有您 Microsoft Sentinel 工作區的讀取和寫入權限。

    • 您必須在想要連線到 Sentinel Microsoft 的訂用帳戶上具有 參與者擁有者 角色。

    • 若要啟用雙向同步處理,您必須在相關的訂用帳戶上擁有 參與者安全性系統管理員 角色。

  • 您必須針對想要啟用連接器的每個訂用帳戶,在 適用於雲端的 Microsoft Defender 內至少啟用一個方案。 若要在訂用帳戶上啟用 Microsoft Defender 方案,您必須擁有 該訂用帳戶的安全性系統管理員 角色。

  • SecurityInsights您必須為想要啟用連接器的每個訂用帳戶註冊資源提供者。 檢閱資源提供者註冊狀態和註冊方式的指引

線上至 適用於雲端的 Microsoft Defender

  1. 在 Microsoft Sentinel 中,安裝內容中樞 適用於雲端的 Microsoft Defender 的解決方案。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容

  2. 選取 [ 設定 > 數據連接器]。

  3. 從 [數據連接器] 頁面中,選取 [訂用帳戶型 適用於雲端的 Microsoft Defender [舊版][租使用者型 適用於雲端的 Microsoft Defender [預覽] 連接器,然後選取 [開啟連接器] 頁面

  4. 在 [設定] 底下,您會看到租使用者中的訂用帳戶清單,以及其與 適用於雲端的 Microsoft Defender 連線的狀態。 選取您要串流至 sentinel Microsoft警示的每個訂用帳戶旁的 [狀態] 切換開關。 如果您想要一次連接數個訂用帳戶,可以藉由標記相關訂用帳戶旁邊的複選框,然後選取 清單上方列上的 [連線 ] 按鈕來執行這項作。

    • 複選框和 [連線] 切換只會在您具有必要許可權訂用帳戶上使用。
    • 只有在至少標記一個訂用帳戶的複選框時,[連線] 按鈕才會作用中。

  5. 若要在訂用帳戶上啟用雙向同步處理,請在清單中找出訂用帳戶,然後從雙向同步數據行的下拉式清單中選擇 [已啟用]。 若要一次在數個訂用帳戶上啟用雙向同步處理,請標示其複選框,然後選取 清單上方列上的 [啟用雙向同步處理 ] 按鈕。

    • 複選框和下拉式清單僅適用於您具有必要許可權訂用帳戶。
    • [啟用雙向同步處理] 按鈕只有在至少標記一個訂用帳戶的複選框時才會作用中。

  6. 在清單的 [Microsoft Defender 方案] 欄中,您可以看到您的訂用帳戶上是否已啟用 Microsoft Defender 方案,這是啟用連接器的必要條件

    此數據行中每個訂用帳戶的值都是空白的,這表示未啟用任何 Defender 方案、 [全部啟用] 或 [部分啟用]。 那些說某些已啟用者也有一個 [啟用所有] 連結,可讓您前往該訂用帳戶的 適用於雲端的 Microsoft Defender 設定儀錶板,您可以在其中選擇 [Defender 方案] 來啟用。

    清單上方列上列的 [啟用Microsoft Defender] 鏈接按鈕會帶您前往 [適用於雲端的 Microsoft Defender 使用者入門] 頁面,您可以在其中選擇要啟用 適用於雲端的 Microsoft Defender 的訂用帳戶。 例如:

    適用於雲端的 Microsoft Defender 連接器組態的螢幕快照。

  7. 您可以選取是否希望來自 適用於雲端的 Microsoft Defender 的警示在 Sentinel Microsoft自動產生事件。 在 [建立事件] 下,選取 [已啟用] 以開啟自動從警示建立事件的預設分析規則。 然後,您可以在 [使用中規則] 索引標籤的 [分析] 底下編輯此規則

    提示

    設定 適用於雲端的 Microsoft Defender 警示的自定義分析規則時,請考慮警示嚴重性,以避免開啟資訊警示的事件。

    適用於雲端的 Microsoft Defender 中的資訊警示本身並不代表安全性風險,而且只與現有開啟事件的內容相關。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 中的安全性警示和事件。

尋找和分析您的數據

安全性警示會儲存在 Log Analytics工作區的 SecurityAlert 資料表中。 若要在 Log Analytics 中查詢安全性警示,請將下列內容複製到查詢視窗中作為起點:

Kusto 
SecurityAlert 
| where ProductName == "Azure Security Center"

雙向的警示同步處理可能需要幾分鐘的時間。 警示狀態的變更可能不會立即顯示。

如需更實用的範例查詢、分析規則範本和建議活頁簿,請參閱連接器頁面中的 [後續步驟] 索引標籤。

相關內容

在本檔中,您已瞭解如何將 適用於雲端的 Microsoft Defender 連線到 sentinel Microsoft,並同步處理它們之間的警示。 若要深入了解 Microsoft Sentinel,請參閱下列文章: