Ingestování upozornění Microsoft Defenderu pro cloud do Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel

Ochrana integrovaných cloudových úloh v programu Microsoft Defender for Cloud umožňuje detekovat hrozby napříč hybridními a multicloudovými úlohami a rychle na ně reagovat. Konektor Microsoft Defender for Cloud umožňuje ingestovat výstrahy zabezpečení z defenderu pro cloud do Microsoft Sentinelu, abyste mohli zobrazit, analyzovat a reagovat na výstrahy Defenderu a incidenty, které vygenerují, v širším kontextu organizační hrozby.

Plány Programu Microsoft Defender for Cloud Defender jsou povolené pro každé předplatné. I když je starší konektor Microsoft Sentinelu pro Defender for Cloud Apps nakonfigurovaný pro každé předplatné, konektor Microsoft Defenderu pro cloud založený na tenantech ve verzi Preview umožňuje shromažďovat výstrahy Defenderu for Cloud pro celého tenanta, aniž byste museli každé předplatné povolovat samostatně. Konektor založený na tenantovi také funguje s integrací Defenderu for Cloud s XDR v programu Microsoft Defender, aby se zajistilo, že všechny výstrahy defenderu pro cloud jsou plně zahrnuté do všech incidentů, které obdržíte prostřednictvím integrace incidentů XDR v programu Microsoft Defender.

• Synchronizace upozornění:

  • Když připojíte Microsoft Defender for Cloud ke službě Microsoft Sentinel, stav výstrah zabezpečení přijatých do Služby Microsoft Sentinel se synchronizuje mezi těmito dvěma službami. Pokud je například výstraha v programu Defender for Cloud zavřená, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinelu.

  • Změna stavu výstrahy v defenderu pro cloud neovlivní stav žádných incidentů Microsoft Sentinelu, které obsahují výstrahu Microsoft Sentinelu, pouze výstrahy samotné.

• Obousměrná synchronizace upozornění: Povolení obousměrné synchronizace automaticky synchronizuje stav původních výstrah zabezpečení s incidenty Služby Microsoft Sentinel, které tyto výstrahy obsahují. Takže když se například zavře incident Microsoft Sentinelu obsahující výstrahy zabezpečení, odpovídající původní výstraha se automaticky zavře v programu Microsoft Defender for Cloud.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Poznámka:

Konektor nepodporuje synchronizaci upozornění z předplatných vlastněných jinými tenanty, i když je pro tyto tenanty povolená služba Lighthouse.

Požadavky

• Na webu Azure Portal musíte používat Microsoft Sentinel. Pokud jste onboardovali k platformě Microsoftu sjednocených operací zabezpečení (SecOps), výstrahy Defenderu pro cloud se už ingestují do XDR v programu Microsoft Defender a datový konektor Microsoft Defender pro cloud (Preview) založený na tenantovi není uvedený na stránce Datové konektory na portálu Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

  Pokud jste onboardovali na sjednocenou platformu SecOps od Microsoftu, budete stále chtít nainstalovat řešení Microsoft Defender for Cloud tak, aby používalo integrovaný obsah zabezpečení se službou Microsoft Sentinel.

  Pokud používáte Microsoft Sentinel na portálu Defender bez XDR v programu Microsoft Defender, je tento postup pro vás stále relevantní.

• Musíte mít následující role a oprávnění:

  • V pracovním prostoru Microsoft Sentinelu musíte mít oprávnění ke čtení a zápisu.

  • U předplatného, ke kterému se chcete připojit ke službě Microsoft Sentinel, musíte mít roli Přispěvatel nebo Vlastník .

  • Pokud chcete povolit obousměrnou synchronizaci, musíte mít v příslušném předplatném roli Přispěvatel nebo Správce zabezpečení.

• Pro každé předplatné, ve kterém chcete konektor povolit, musíte povolit aspoň jeden plán v programu Microsoft Defender for Cloud. Pokud chcete povolit plány Microsoft Defenderu pro předplatné, musíte mít pro toto předplatné roli správce zabezpečení.

• Budete potřebovat SecurityInsights , aby byl poskytovatel prostředků zaregistrovaný pro každé předplatné, ve kterém chcete konektor povolit. Projděte si pokyny ke stavu registrace poskytovatele prostředků a způsoby, jak ho zaregistrovat.

Připojení k Programu Microsoft Defender for Cloud

1. V Microsoft Sentinelu nainstalujte řešení pro Microsoft Defender for Cloud z centra obsahu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

2. Vyberte konektory konfiguračních> dat.

3. Na stránce Datové konektory vyberte konektor Microsoft Defender for Cloud založený na předplatném (starší verze) nebo konektor Microsoft Defender pro cloud (Preview) založený na tenantovi a pak vyberte otevřít stránku konektoru.

4. V části Konfigurace se zobrazí seznam předplatných ve vašem tenantovi a stav jejich připojení ke službě Microsoft Defender for Cloud. Vyberte přepínač Stav vedle každého předplatného, jehož upozornění chcete streamovat do Služby Microsoft Sentinel. Pokud chcete připojit několik předplatných najednou, můžete to udělat tak, že zaškrtnete políčka vedle příslušných předplatných a pak vyberete tlačítko Připojit na panelu nad seznamem.

   • Zaškrtávací políčka a přepínače Připojit jsou aktivní pouze u předplatných, pro která máte požadovaná oprávnění.
   • Tlačítko Připojit je aktivní jenom v případě, že je zaškrtnuté políčko alespoň jednoho předplatného.

5. Pokud chcete u předplatného povolit obousměrnou synchronizaci, vyhledejte předplatné v seznamu a v rozevíracím seznamu ve sloupci Obousměrná synchronizace zvolte Povoleno. Pokud chcete povolit obousměrnou synchronizaci u několika předplatných najednou, označte jejich zaškrtávací políčka a na panelu nad seznamem zaškrtněte tlačítko Povolit obousměrnou synchronizaci .

   • Zaškrtávací políčka a rozevírací seznamy jsou aktivní jenom u předplatných, pro která máte požadovaná oprávnění.
   • Tlačítko Povolit obousměrnou synchronizaci je aktivní jenom v případě, že je zaškrtnuté políčko alespoň jednoho předplatného.

6. Ve sloupci plánů Programu Microsoft Defender v seznamu můžete zjistit, jestli jsou ve vašem předplatném povolené plány Microsoft Defenderu, což je předpokladem pro povolení konektoru.

   Hodnota pro každé předplatné v tomto sloupci je buď prázdná, což znamená, že nejsou povolené žádné plány Defenderu, Všechny povoleny nebo Některé povolené. Ti, kteří říkají , že některé povolené mají také možnost Povolit všechny odkazy, které můžete vybrat, vás přenese na řídicí panel konfigurace Microsoft Defenderu pro cloud pro toto předplatné, kde můžete zvolit plány Defenderu, které chcete povolit.

   Tlačítko Povolit Microsoft Defender pro všechna předplatná na panelu nad seznamem vás přenese na stránku Začínáme s programem Microsoft Defender for Cloud, kde si můžete vybrat, pro která předplatná povolíte Microsoft Defender pro cloud úplně. Příklad:

   

7. Můžete vybrat, jestli chcete, aby výstrahy z programu Microsoft Defender for Cloud automaticky generovaly incidenty v Microsoft Sentinelu. V části Vytvořit incidenty vyberte Povoleno, pokud chcete zapnout výchozí analytické pravidlo, které automaticky vytváří incidenty z výstrah. Toto pravidlo pak můžete upravit v části Analýza na kartě Aktivní pravidla .

   Tip

   Při konfiguraci vlastních analytických pravidel pro výstrahy z Programu Microsoft Defender pro cloud zvažte závažnost upozornění, abyste se vyhnuli otevření incidentů pro informační výstrahy.

   Informační výstrahy v programu Microsoft Defender for Cloud nepředstavují vlastní bezpečnostní riziko a jsou relevantní pouze v kontextu existujícího otevřeného incidentu. Další informace najdete v tématu Výstrahy zabezpečení a incidenty v programu Microsoft Defender for Cloud.

Vyhledání a analýza dat

Výstrahy zabezpečení jsou uloženy v tabulce SecurityAlert v pracovním prostoru služby Log Analytics. Pokud chcete dotazovat výstrahy zabezpečení v Log Analytics, zkopírujte následující údaje do okna dotazu jako výchozí bod:

SecurityAlert 
| where ProductName == "Azure Security Center"

Synchronizace výstrah v obou směrech může trvat několik minut. Změny stavu výstrah se nemusí zobrazit okamžitě.

Na kartě Další kroky na stránce konektoru najdete užitečnější ukázkové dotazy, šablony analytických pravidel a doporučené sešity.

Související obsah

V tomto dokumentu jste zjistili, jak propojit Microsoft Defender for Cloud s Microsoft Sentinelem a synchronizovat mezi nimi výstrahy. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.
• Napište vlastní pravidla pro detekci hrozeb.