共用方式為

擷取適用於雲端的 Microsoft Defender 事件與 Microsoft Defender 全面偵測回應整合

  • 發行項

適用於雲端的 Microsoft Defender 現在已與 Microsoft Defender 全面偵測回應整合,而後者先前稱為 Microsoft 365 Defender。 此整合可讓 Defender 全面偵測回應從適用於雲端的 Defender 收集警示,並從中建立 Defender 全面偵測回應事件。

基於這項整合,啟用 Defender 全面偵測回應事件整合的 Microsoft Sentinel 客戶現在可以透過 Microsoft Defender 全面偵測回應來內嵌和同步處理適用於雲端的 Defender 事件。

若要支援此整合,您必須設定下列其中一個適用於雲端的 Microsoft Defender 資料連接器,否則您透過 Microsoft Defender 全面偵測回應連接器所推出的適用於雲端的 Microsoft Defender 事件將不會顯示其相關聯的警示和實體:

  • Microsoft Sentinel 具有新的「租用戶型適用於雲端的 Microsoft Defender (預覽)」連接器。 此連接器可讓 Microsoft Sentinel 客戶在整個租用戶中接收適用於雲端的 Defender 警示,而不需要監視和維護連接器對其所有適用於雲端的 Defender 訂用帳戶的註冊。 建議使用這個新的連接器,因為 Microsoft Defender 全面偵測回應與適用於雲端的 Microsoft Defender 的整合也會在租用戶層級進行實作。

  • 或者,您可以使用訂用帳戶型適用於雲端的 Microsoft Defender (舊版) 連接器。 不建議使用此連接器,因為如果您在連接器中有任何未連線至 Microsoft Sentinel 的適用於雲端的 Defender 訂用帳戶,則這些訂用帳戶的事件將不會顯示其相關聯的警示和實體。

不論您是否已啟用 Defender 全面偵測回應事件整合,上述兩個連接器都可以用來內嵌適用於雲端的 Defender 警示。

重要

  • 適用於雲端的 Defender 與 Defender 全面偵測回應的整合現在已正式發行 (GA)

  • 「租用戶型適用於雲端的 Microsoft Defender 連接器」目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

選擇如何使用此和新的連接器

選擇使用此整合的方式,以及您想要內嵌完整事件還是只想要內嵌警示,在很大程度上將取決於您對 Microsoft Defender 全面偵測回應事件執行的動作。

  • 如果您已經內嵌 Defender 全面偵測回應事件,或您要選擇立即開始這麼做,則強烈建議您啟用這個新的租用戶型連接器。 您的 Defender 全面偵測回應事件現在將會包括適用於雲端的 Defender 型事件,其中包含租用戶中所有適用於雲端的 Defender 訂用帳戶的完全填入警示。

    在此情況下,如果您仍然使用舊版訂用帳戶型適用於雲端的 Defender 連接器,而且未連線新的租用戶型連接器,則可能會收到包含空白警示的適用於雲端的 Defender 事件 (若是未註冊連接器的訂用帳戶)。

  • 如果您不打算啟用 Microsoft Defender 全面偵測回應事件整合,則不論啟用的連接器版本為何,仍然可以接收適用於雲端的 Defender「警示」。 不過,新的租用戶型連接器仍然提供不需要在連接器中監視和維護適用於雲端的 Defender 訂用帳戶清單的優點。

  • 如果您「已」啟用 Defender 全面偵測回應整合,但只想要接收適用於雲端的 Defender「警示」,而不是「事件」,即可使用自動化規則,以在適用於雲端的 Defender 事件抵達後立即將其關閉。

    如果這不是適當的解決方案,或您仍然想要根據每個訂用帳戶以從適用於雲端的 Defender 來收集警示,即可在 Microsoft Defender 全面偵測回應入口網站中完全退出適用於雲端的 Defender 整合,然後使用適用於雲端的 Defender 連接器的舊版訂用帳戶型版本來接收這些警示。

在 Microsoft Sentinel 中設定整合

如果您尚未在 Microsoft 365 Defender 連接器中啟用事件整合,請先這麼做。

然後,啟用新的「租用戶型適用於雲端的 Microsoft Defender (預覽)」連接器。 此連接器可透過內容中樞內的「適用於雲端的 Microsoft Defender 解決方案」3.0.0 版取得。 如果您有此解決方案的舊版本,即可在內容中樞內將其升級。

如果您先前已啟用舊版訂用帳戶型適用於雲端的 Defender 連接器 (這將會顯示為 [訂用帳戶型適用於雲端的 Microsoft Defender (舊版)]),則建議您將其停用,以防止記錄中的警示重複。

如果您有任何從適用於雲端的 Defender 警示建立事件的已排程或 Microsoft 安全性分析規則,則建議您停用這些規則,因為您將會收到 Microsoft 365 Defender 所建立和同步處理的現成事件。

如果您不想建立事件的適用於雲端的 Defender 警示特定類型,即可使用自動化規則以立即關閉這些事件,或使用 Microsoft 365 Defender 入口網站中的內建微調功能。

下一步

在本文中,您已了解如何使用適用於雲端的 Microsoft Defender 與 Microsoft Defender 全面偵測回應的整合,以將事件和警示內嵌至 Microsoft Sentinel。

深入了解適用於雲端的 Microsoft Defender 與 Microsoft Defender 全面偵測回應的整合。