Microsoft Defender入口網站中的雲端 Microsoft Defender
適用於:
適用於雲端的 Microsoft Defender 現在是 Microsoft Defender 全面偵測回應 的一部分。 安全性小組現在可以在 Microsoft Defender 入口網站中存取適用於雲端的Defender警示和事件,為跨雲端資源、裝置和身分識別的調查提供更豐富的內容。 此外,安全性小組可以透過警示和事件的立即相互關聯,取得攻擊的完整概觀,包括在其雲端環境中發生的可疑和惡意事件。
Microsoft Defender 入口網站結合了保護、偵測、調查和回應功能,以保護裝置、電子郵件、共同作業、身分識別和雲端應用程式的攻擊。 入口網站的偵測和調查功能現在已延伸至雲端實體,為安全性作業小組提供單一窗格,以大幅提升其作業效率。
此外,適用於雲端的 Defender 事件和警示現在是 Microsoft Defender 全面偵測回應 公用 API 的一部分。 此整合可讓您使用單一 API 將安全性警示數據匯出至任何系統。
前提
若要確保在 Microsoft Defender 入口網站中存取適用於雲端的Defender警示,您必須訂閱連線您的 Azure 訂用帳戶中所列的任何方案。
必要權限
您必須是全域管理員或 Azure Active Directory 中的安全性系統管理員,才能檢視適用於雲端的 Defender 警示和相互關聯。 對於沒有這些角色的使用者,只有針對適用於雲端的Defender套用 統一的角色型訪問控制 (RBAC) 角色 ,才能進行整合。
注意事項
針對整個租用戶,檢視適用於雲端的 Defender 警示和相互關聯的許可權是自動的。 不支持檢視特定訂用帳戶。
Microsoft Defender 入口網站中的調查體驗
下一節說明使用適用於雲端的Defender警示 Microsoft Defender入口網站中的偵測和調查體驗。
注意事項
來自適用於雲端的 Defender 的資訊警示不會整合到 Microsoft Defender 入口網站,以讓您專注於相關且高嚴重性的警示。 此策略可簡化事件的管理,並減少警示疲勞。
| 區域 | 說明 |
|---|---|
| 事件 | 所有適用於雲端的Defender事件都會整合到 Microsoft Defender入口網站。 - 支援在 事件佇列 中搜尋雲端資源資產。 - 攻擊案例 圖表會顯示雲端資源。 - 事件頁面中的 [資產] 索引 標籤 會顯示雲端資源。 - 每部虛擬機都有自己的裝置頁面,其中包含所有相關的警示和活動。 不會從其他 Defender 工作負載重複事件。 |
| 警示 | 所有適用於雲端的Defender警示,包括多雲端、內部和外部提供者的警示,都會整合到 Microsoft Defender入口網站。 適用於雲端的Defender警示會顯示在 Microsoft Defender 入口網站警示佇列上。雲端資源資產會顯示在警示的 [資產] 索引標籤中。 資源會清楚識別為 Azure、Amazon 或 Google Cloud 資源。適用於雲端的Defender警示會自動與租使用者相關聯。其他 Defender 工作負載的警示不會重複。 |
| 警示和事件相互關聯 | 警示和事件會自動相互關聯,為安全性作業小組提供健全的內容,以瞭解其雲端環境中的完整攻擊案例。 |
| 威脅偵測 | 將虛擬實體精確地比對到裝置實體,以確保精確且有效的威脅偵測。 |
| 整合 API | 適用於雲端的 Defender 警示和事件現在包含在 Microsoft Defender 全面偵測回應 的公用 API 中,可讓客戶使用一個 API 將其安全性警示數據匯出至其他系統。 |
對 Microsoft Sentinel 用戶的影響
整合 Microsoft Defender 全面偵測回應 事件和擷取適用於雲端的 Defender 警示的 Microsoft Sentinel 客戶必須進行下列設定變更,以確保不會建立重複的警示和事件:
- 將雲端 (預覽版租使用者型 Microsoft Defender 連線) 連接器,以同步處理來自所有訂用帳戶的警示集合,以及透過 Microsoft Defender 全面偵測回應 事件連接器串流處理的適用於雲端的租使用者型 Defender 事件。
- 中斷雲端 (舊版) 警示連接器的訂用帳戶型 Microsoft Defender,以防止警示重複。
- 關閉任何分析規則—已排程 (一般查詢類型) 或 Microsoft 安全性 (事件建立) 規則—用來從適用於雲端的 Defender 警示建立事件。 適用於雲端事件的 Defender 會在 Defender 入口網站中自動建立,並與 Microsoft Sentinel 同步處理。
- 如有必要, 請使用自動化規則 來關閉雜訊事件,或使用Defender入口網站 中的內建微調功能 來隱藏特定警示。
您也應該注意下列變更:
- 將警示與 Microsoft Defender 入口網站事件相關聯的動作會移除。
若要深入瞭解,請參閱使用 Microsoft Defender 全面偵測回應 整合來擷取雲端事件 Microsoft Defender。
關閉適用於雲端的 Defender 警示
默認會開啟適用於雲端的 Defender 警示。 若要維護以訂用帳戶為基礎的設定,並避免租使用者型同步處理或退出體驗,請執行下列步驟:
- 在 Microsoft Defender 入口網站中,移至 [設定>Microsoft Defender 全面偵測回應]。
- 在 [警示服務設定] 中,尋找雲端警示的 Microsoft Defender。
- 選取 [沒有警示] 以關閉所有適用於雲端的Defender警示。 選取此選項會停止將新的適用於雲端的Defender警示擷取至入口網站。 先前內嵌的警示會保留在警示或事件頁面中。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應