Microsoft Defender 入口網站中的 Microsoft Defender for Cloud
適用於:
Microsoft適用於雲端的 Defender 現在是 Microsoft Defender XDR 的一部分。 安全性小組現在可以在 Microsoft Defender 入口網站中存取適用於雲端的 Defender 警示和事件,為跨雲端資源、裝置和身分識別的調查提供更豐富的內容。 此外,安全性小組可以透過警示和事件的立即相互關聯,取得攻擊的完整概觀,包括在其雲端環境中發生的可疑和惡意事件。
Microsoft Defender 入口網站結合了保護、偵測、調查和回應功能,以保護裝置、電子郵件、共同作業、身分識別和雲端應用程式的攻擊。 入口網站的偵測和調查功能現在已延伸至雲端實體,為安全性作業小組提供單一窗格,以大幅提升其作業效率。
此外,適用於雲端的Defender事件和警示現在是 Microsoft Defender XDR 公用 API 的一部分。 此整合可讓您使用單一 API 將安全性警示數據匯出至任何系統。
先決條件
若要確保在 Microsoft Defender 入口網站中存取適用於雲端的 Defender 警示,您必須訂閱 連線您的 Azure 訂用帳戶中所列的任何方案。
必要權限
注意事項
針對整個租用戶,檢視適用於雲端的 Defender 警示和相互關聯的許可權是自動的。 不支持檢視特定訂用帳戶。 您可以使用 警示訂 用帳戶標識符篩選器,在警示和事件佇列中檢視與特定適用於雲端的 Defender 訂用帳戶相關聯的適用於雲端的 Defender 警示。 深入了解 篩選。
只有針對適用於雲端的 Defender 套用適當的 Microsoft Defender XDR 整合角色型存取控制 (RBAC) 角色,才能使用此整合。 若要在沒有 Defender XDR Unified RBAC 的情況下檢視適用於雲端的 Defender 警示和相互關聯,您必須是 Azure Active Directory 中的全域管理員或安全性系統管理員。
重要事項
全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應限於案例。 Microsoft 建議您使用權限最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。
Microsoft Defender 入口網站中的調查體驗
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
下一節說明 Microsoft Defender 入口網站中具有適用於雲端的 Defender 警示的偵測和調查體驗。
區域 | 說明 |
---|---|
事件 | 所有適用於雲端的Defender事件都會整合到 Microsoft Defender 入口網站。
- 支援在 事件佇列 中搜尋雲端資源資產。 - 攻擊案例 圖表會顯示雲端資源。 - 事件頁面中的 [資產] 索引 標籤 會顯示雲端資源。 - 每部虛擬機都有自己的裝置頁面,其中包含所有相關的警示和活動。 不會從其他 Defender 工作負載重複事件。 |
警示 | 所有適用於雲端的 Defender 警示,包括多雲端、內部和外部提供者的警示,都會整合到 Microsoft Defender 入口網站。 適用於雲端的 Defender 警示會顯示在 Microsoft Defender 入口網站 警示佇列上。
雲端資源資產會顯示在警示的 [資產] 索引標籤中。 資源會清楚識別為 Azure、Amazon 或 Google Cloud 資源。 適用於雲端的Defender警示會自動與租使用者相關聯。 其他 Defender 工作負載的警示不會重複。 |
警示和事件相互關聯 | 警示和事件會自動相互關聯,為安全性作業小組提供健全的內容,以瞭解其雲端環境中的完整攻擊案例。 |
威脅偵測 | 將虛擬實體精確地比對到裝置實體,以確保精確且有效的威脅偵測。 |
整合 API | 適用於雲端的 Defender 警示和事件現在包含在 Microsoft Defender XDR 的公用 API 中,可讓客戶使用一個 API 將其安全性警示數據導出至其他系統。 |
進階搜捕 (預覽) | 您可以透過進階搜捕中的 CloudAuditEvents 數據表,取得受組織適用於雲端的 Defender 保護之各種雲端平臺的雲端稽核事件相關信息。 |
注意事項
來自適用於雲端的 Defender 的資訊警示不會整合到 Microsoft Defender 入口網站,以讓您專注於相關且高嚴重性的警示。 此策略可簡化事件的管理,並減少警示疲勞。
對 Sentinel 使用者Microsoft影響
Microsoft Sentinel 客戶 必須整合 Microsoft Defender XDR 事件和 內嵌適用於雲端的 Defender 警示,才能進行下列設定變更,以確保不會建立重複的警示和事件:
- 將 租使用者型 Microsoft Defender for Cloud (Preview) 連接器連線,以同步處理來自所有訂用帳戶的警示集合,以及透過 Microsoft Defender XDR 事件連接器串流處理的適用於雲端的租使用者型 Defender 事件。
- 中斷訂閱 型 Microsoft Defender for Cloud (舊版) 警示連接器的連線,以防止警示重複。
- 關閉任何分析規則—已排程 (一般查詢類型) 或Microsoft安全性 (事件建立) 規則—用來從適用於雲端的 Defender 警示建立事件。 適用於雲端事件的 Defender 會在 Defender 入口網站中自動建立,並與 Microsoft Sentinel 同步處理。
- 如有必要, 請使用自動化規則 來關閉雜訊事件,或使用Defender入口網站 中的內建微調功能 來隱藏特定警示。
您也應該注意下列變更:
- 將警示與 Microsoft Defender 入口網站事件相關聯的動作會移除。
若要深入瞭解 ,請參閱使用 Microsoft Defender XDR 整合擷取適用於雲端Microsoft Defender 事件。
關閉適用於雲端的 Defender 警示
默認會開啟適用於雲端的 Defender 警示。 若要維護以訂用帳戶為基礎的設定,並避免租使用者型同步處理或退出體驗,請執行下列步驟:
- 在 Microsoft Defender 入口網站中,移至 [ 設定>Microsoft Defender XDR]。
- 在 [警示服務設定] 中,尋找Microsoft適用於雲端的Defender警示。
- 選取 [沒有警示] 以關閉所有適用於雲端的Defender警示。 選取此選項會停止將新的適用於雲端的Defender警示擷取至入口網站。 先前內嵌的警示會保留在警示或事件頁面中。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。