使用 Microsoft Defender 全面偵測回應整合內嵌 適用於雲端的 Microsoft Defender 事件

  • 發行項

適用於雲端的 Microsoft Defender 現在已與 Microsoft Defender 全面偵測回應 整合,先前稱為 Microsoft 365 Defender。 此整合可讓 Defender XDR 從 適用於雲端的 Defender 收集警示,並從中建立 Defender XDR 事件。

由於這項整合,啟用Defender XDR事件整合的 Microsoft Sentinel 客戶現在可以透過 Microsoft Defender 全面偵測回應 內嵌和同步處理 適用於雲端的 Defender 事件。

若要支援這項整合,您必須設定下列其中一個 適用於雲端的 Microsoft Defender 數據連接器,否則透過 Microsoft Defender 全面偵測回應 連接器 適用於雲端的 Microsoft Defender 的事件將不會顯示其相關聯的警示和實體:

  • Microsoft Sentinel 有新的租使用者型 適用於雲端的 Microsoft Defender (預覽) 連接器。 此連接器可讓 Microsoft Sentinel 客戶在整個租使用者中接收 適用於雲端的 Defender 警示,而不需要監視和維護連接器的所有 適用於雲端的 Defender 訂用帳戶註冊。 我們建議使用這個新的連接器,因為 Microsoft Defender 全面偵測回應 與 適用於雲端的 Microsoft Defender的整合也會在租用戶層級實作。

  • 或者,您可以使用訂用帳戶型 適用於雲端的 Microsoft Defender (舊版) 連接器。 不建議使用此連接器,因為如果您有任何未連線到連接器中 Microsoft Sentinel 的 適用於雲端的 Defender 訂用帳戶,這些訂用帳戶的事件將不會顯示其相關聯的警示和實體。

上述兩個連接器都可以用來擷取 適用於雲端的 Defender 警示,不論您是否已啟用Defender XDR事件整合。

重要

  • 適用於雲端的 Defender 與 Defender XDR 的整合現已正式推出(GA)。

  • 使用者型 適用於雲端的 Microsoft Defender 連接器目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

選擇如何使用這項整合和新的連接器

您選擇使用此整合的方式,以及您想要內嵌完整事件或只擷取警示的方式,在很大程度上取決於您在 Microsoft Defender 全面偵測回應 事件方面已經執行的工作。

  • 如果您已經擷取 Defender XDR 事件,或如果您選擇立即開始這麼做,強烈建議您啟用這個以租用戶為基礎的新連接器。 您的 Defender XDR 事件現在會包含以 適用於雲端的 Defender 為基礎的事件,其中包含租使用者中所有 適用於雲端的 Defender 訂用帳戶中已填入的警示。

    如果在此情況下,您仍會與舊版訂用帳戶型 適用於雲端的 Defender 連接器保持一起,且未連線器新的租使用者型連接器,您可能會收到包含空白警示的 適用於雲端的 Defender 事件(若未註冊連接器的訂用帳戶)。

  • 如果您不打算啟用 Microsoft Defender 全面偵測回應 事件整合,您仍然可以接收 適用於雲端的 Defender 警示,不論您啟用的連接器版本為何。 不過,新的租用戶型連接器仍然提供您不需要監視和維護連接器中 適用於雲端的 Defender 訂用帳戶清單的優點。

  • 如果您已啟用 Defender XDR 整合,但只想要接收 適用於雲端的 Defender 警示,但未收到事件,您可以使用自動化規則,在事件送達時立即關閉 適用於雲端的 Defender 事件。

    如果這不是適當的解決方案,或您仍想要根據每個訂用帳戶收集 適用於雲端的 Defender 警示,則可以完全退出 Microsoft Defender 全面偵測回應 入口網站中的 適用於雲端的 Defender 整合,然後使用舊版的訂用帳戶型版本適用於雲端的 Defender 連接器來接收這些警示。

在 Microsoft Sentinel 中設定整合

如果您尚未在 Microsoft 365 Defender 連接器中啟用事件整合,請先這麼做。

然後,啟用新的租使用者型 適用於雲端的 Microsoft Defender (預覽) 連接器。 此連接器可透過內容中樞的 適用於雲端的 Microsoft Defender 解決方案3.0.0版取得。 如果您有此解決方案的舊版,您可以在內容中樞升級它。

如果您先前已啟用舊版的訂用帳戶型 適用於雲端的 Defender 連接器(這會顯示為訂用帳戶型 適用於雲端的 Microsoft Defender(舊版),建議您將其停用,以防止記錄中的警示重複。

如果您有任何從 適用於雲端的 Defender 警示建立事件的已排程或 Microsoft 安全性分析規則,建議您停用這些規則,因為您會收到由 Microsoft 365 Defender 所建立且同步處理的現成事件。

如果您不想建立事件的特定 適用於雲端的 Defender 警示類型,您可以使用自動化規則立即關閉這些事件,或使用 Microsoft 365 Defender 入口網站中的內建微調功能。

下一步

在本文中,您已瞭解如何使用 適用於雲端的 Microsoft Defender 與 Microsoft Defender 全面偵測回應 整合,將事件和警示內嵌至 Microsoft Sentinel。

深入瞭解與 Microsoft Defender 全面偵測回應 的 適用於雲端的 Microsoft Defender 整合。