Výstrahy a incidenty v XDR v programu Microsoft Defender
Microsoft Defender for Cloud je teď integrovaný s XDR v programu Microsoft Defender. Tato integrace umožňuje týmům zabezpečení přistupovat k výstrahám a incidentům v programu Defender for Cloud na portálu Microsoft Defender. Tato integrace poskytuje širší kontext pro šetření, která zahrnují cloudové prostředky, zařízení a identity.
Partnerství s XDR v programu Microsoft Defender umožňuje bezpečnostním týmům získat úplný přehled o útoku, včetně podezřelých a škodlivých událostí, ke kterým dochází ve svém cloudovém prostředí. Týmy zabezpečení můžou tohoto cíle dosáhnout prostřednictvím okamžitých korelací výstrah a incidentů.
XDR v programu Microsoft Defender nabízí komplexní řešení, které kombinuje možnosti ochrany, detekce, vyšetřování a reakce. Řešení chrání před útoky na zařízení, e-mail, spolupráci, identitu a cloudové aplikace. Naše možnosti detekce a vyšetřování jsou nyní rozšířeny na cloudové entity, které nabízejí týmům operací zabezpečení jediné podokno skla, aby výrazně zlepšily provozní efektivitu.
Incidenty a výstrahy jsou teď součástí veřejného rozhraní API XDR v programu Microsoft Defender. Tato integrace umožňuje exportovat data výstrah zabezpečení do libovolného systému pomocí jednoho rozhraní API. Jako Microsoft Defender pro cloud jsme se zavázali poskytovat našim uživatelům nejlepší možná řešení zabezpečení a tato integrace je významným krokem k dosažení tohoto cíle.
Prostředí pro šetření v XDR v programu Microsoft Defender
Následující tabulka popisuje možnosti detekce a prověřování v XDR v programu Microsoft Defender s upozorněními Defenderu pro cloud.
| Oblast | Popis |
|---|---|
| Incidenty | Všechny incidenty Defenderu pro cloud jsou integrované do XDR v programu Microsoft Defender. – Vyhledávání prostředků cloudu ve frontě incidentů je podporováno. – Graf scénáře útoku zobrazuje cloudový prostředek. – Karta Prostředky na stránce incidentu zobrazuje cloudový prostředek. – Každý virtuální počítač má vlastní stránku entity obsahující všechny související výstrahy a aktivitu. Neexistují žádné duplikace incidentů z jiných úloh Defenderu. |
| Výstrahy | Všechny výstrahy Defenderu pro cloud, včetně upozornění multicloudu, interních a externích poskytovatelů, jsou integrované do XDR v programu Microsoft Defender. Výstrahy Defenderu pro cloud se zobrazují ve frontě upozornění XDR v programu Microsoft Defender. Microsoft Defender XDR Prostředek cloud resource se zobrazí na kartě Asset výstrahy. Prostředky jsou jasně označené jako prostředek Azure, Amazon nebo Google Cloud. Výstrahy Defenderu pro cloud se automaticky přidružují k tenantovi. Z jiných úloh Defenderu neexistují žádné duplicity výstrah. |
| Korelace výstrah a incidentů | Výstrahy a incidenty se automaticky korelují a poskytují robustní kontext týmům operací zabezpečení, aby porozuměly kompletnímu scénáři útoku ve svém cloudovém prostředí. |
| Detekce hrozeb | Přesné porovnávání virtuálních entit s entitami zařízení za účelem zajištění přesnosti a efektivní detekce hrozeb. |
| Unified API | Ve veřejném rozhraní API XDR v programu Microsoft Defender jsou teď zahrnutá upozornění a incidenty Defenderu pro cloud, což zákazníkům umožňuje exportovat data výstrah zabezpečení do jiných systémů pomocí jednoho rozhraní API. |
Přečtěte si další informace o zpracování výstrah v XDR v programu Microsoft Defender.
Pokročilé proaktivní vyhledávání v XDR
Rozšířené možnosti proaktivního vyhledávání v programu Microsoft Defender pro XDR jsou rozšířeny tak, aby zahrnovaly výstrahy a incidenty v programu Defender for Cloud. Tato integrace umožňuje týmům zabezpečení prohledávat všechny cloudové prostředky, zařízení a identity v jednom dotazu.
Pokročilé prostředí proaktivního vyhledávání v XDR v programu Microsoft Defender je navržené tak, aby poskytovalo týmům zabezpečení flexibilitu při vytváření vlastních dotazů pro vyhledávání hrozeb v celém jejich prostředí. Integrace s výstrahami a incidenty v programu Defender for Cloud umožňuje týmům zabezpečení vyhledávat hrozby napříč cloudovými prostředky, zařízeními a identitami.
Tabulka CloudAuditEvents v rozšířeném proaktivním vyhledávání umožňuje prošetřit a proaktivní vyhledávání událostí řídicí roviny a vytvářet vlastní detekce, které umožňují odhalit podezřelé aktivity řídicí roviny Azure Resource Manageru a Kubernetes (KubeAudit).
Tabulka CloudProcessEvents v rozšířeném proaktivním vyhledávání umožňuje třídění, zkoumání a vytváření vlastních detekcí podezřelých aktivit, které jsou vyvolány v cloudové infrastruktuře, s informacemi, které obsahují podrobnosti o podrobnostech procesu.
Zákazníci Microsoft Sentinelu
Pokud jste zákazník Microsoft Sentinelu, který se zaregistroval k platformě Microsoftu sjednocených operací zabezpečení (SecOps), program Defender for Cloud se už ingestuje přímo do XDR v programu Defender. Pokud chcete těžit z integrovaného obsahu zabezpečení, nezapomeňte nainstalovat řešení Microsoft Defender for Cloud z centra obsahu Služby Microsoft Sentinel.
Zákazníci Microsoft Sentinelu, kteří nepoužívají jednotnou platformu SecOps od Microsoftu, můžou využít také integraci defenderu pro cloud s Microsoft 365 Defenderem ve svých pracovních prostorech pomocí konektoru incidentů a upozornění v programu Microsoft 365 Defender.
Nejdřív musíte povolit integraci incidentů v konektoru Microsoft 365 Defender.
Potom povolte datovému konektoru Microsoft Defenderu pro cloud (Preview) založeného na tenantovi, aby synchronizoval vaše předplatná s incidenty Defenderu pro cloud, které se budou streamovat prostřednictvím konektoru incidentů Microsoftu 365 Defenderu.
Datový konektor Microsoft Defender for Cloud (Preview) založený na tenantovi je k dispozici prostřednictvím řešení Microsoft Defender for Cloud verze 3.0.0 z centra obsahu Microsoft Sentinelu. Pokud máte starší verzi tohoto řešení, doporučujeme aktualizovat verzi řešení. Pokud máte stále povolený datový konektor Microsoft Defender pro cloud založený na předplatném (starší verze ), doporučujeme konektor odpojit, abyste zabránili duplikování výstrah v protokolech.
Doporučujeme také zakázat všechna analytická pravidla, která vytvářejí incidenty z vašeho programu Microsoft Defender for Cloud. Pomocí pravidel automatizace Microsoft Sentinelu můžete okamžitě zavřít incidenty a zabránit tomu, aby se konkrétní typy upozornění v programu Defender for Cloud staly incidenty, nebo pomocí integrovaných možností ladění na portálu Microsoft Defender zabráníte tomu, aby se výstrahy staly incidenty.
Pokud jste integrovali incidenty Microsoft 365 Defenderu do Microsoft Sentinelu a chcete zachovat jejich nastavení založená na předplatném a vyhnout se synchronizaci na základě tenanta, můžete se odhlásit ze synchronizace incidentů a upozornění pomocí konektoru Microsoft 365 Defender.
Další informace naleznete v tématu:
- Zjišťování a správa zastaralého obsahu služby Microsoft Sentinel
- Ingestování incidentů v programu Microsoft Defender for Cloud s integrací XDR v programu Microsoft Defender
- Zabezpečení dat v programu Microsoft Defender for Cloud