Microsoft Defender pro cloud na portálu Microsoft Defender
Platí pro:
Bezpečnostní týmy používající Microsoft Defender for Cloud teď můžou zobrazit výstrahy a incidenty defenderu for Cloud na portálu Microsoft Defender. To pomáhá bezpečnostním týmům získat širší kontext pro šetření, která zahrnují cloudové úlohy. Kromě toho můžou bezpečnostní týmy získat úplnou představu o útoku, včetně podezřelých a škodlivých událostí, ke kterým dochází v jejich cloudovém prostředí, prostřednictvím okamžitých korelací výstrah a incidentů.
Portál Microsoft Defender kombinuje možnosti ochrany, detekce, vyšetřování a reakce na ochranu útoků na zařízení, e-mail, spolupráci, identitu a cloudové aplikace. Možnosti zjišťování a prověřování portálu jsou teď rozšířené na cloudové entity a nabízejí týmům pro operace zabezpečení jedno podokno, které výrazně vylepšuje jejich provozní efektivitu.
Kromě toho jsou teď incidenty a výstrahy defenderu pro cloud součástí veřejného rozhraní API Microsoft Defender XDR. Tato integrace umožňuje exportovat data výstrah zabezpečení do libovolného systému pomocí jednoho rozhraní API.
Předpoklady
Pokud chcete zajistit přístup k upozorněním defenderu pro cloud na portálu Microsoft Defender, musíte se přihlásit k odběru všech plánů uvedených v tématu Připojení předplatných Azure.
Požadovaná oprávnění
Poznámka
Oprávnění k zobrazení výstrah a korelací defenderu pro cloud je automatické pro celého tenanta. Zobrazení konkrétních předplatných se nepodporuje. Filtr ID předplatného upozornění můžete použít k zobrazení výstrah Defenderu for Cloud přidružených ke konkrétnímu předplatnému Defenderu for Cloud ve frontách výstrah a incidentů. Přečtěte si další informace o filtrech.
Integrace je dostupná jenom po použití příslušné role Microsoft Defender XDR sjednocené role řízení přístupu na základě role (RBAC) pro Defender for Cloud. Pokud chcete zobrazit výstrahy a korelace Defenderu for Cloud bez Defender XDR Sjednocené řízení přístupu na základě role na základě role, musíte být globálním správcem nebo správcem zabezpečení v Azure Active Directory.
Důležité
Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře, kdy nemůžete použít existující roli. Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace.
Prostředí pro šetření na portálu Microsoft Defender
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Následující část popisuje možnosti zjišťování a šetření na portálu Microsoft Defender s upozorněními defenderu pro cloud.
| Oblast | Popis |
|---|---|
| Incidenty | Všechny incidenty Defenderu for Cloud se integrují do portálu Microsoft Defender.
– Podporuje se vyhledávání prostředků cloudových prostředků ve frontě incidentů . – V grafu příběhu útoku se zobrazí cloudový prostředek. – Na kartě Assets (Prostředky ) na stránce incidentu se zobrazí cloudový prostředek. – Každý virtuální počítač má vlastní stránku zařízení, která obsahuje všechna související upozornění a aktivity. Nedojde k duplikaci incidentů z jiných úloh Defenderu. |
| Upozornění | Všechna upozornění Defenderu for Cloud, včetně upozornění pro více cloudů, interních a externích poskytovatelů, budou integrovaná na portálu Microsoft Defender. Upozornění Defenderu pro cloud se zobrazí ve frontě upozornění portálu Microsoft Defender.
Prostředek cloudu se zobrazí na kartě Prostředek výstrahy. Prostředky jsou jasně identifikovány jako prostředek Azure, Amazon nebo Google Cloud. Upozornění Defenderu pro cloud se automaticky přidruží k tenantovi. Upozornění z jiných úloh Defenderu se nebudou duplikovat. |
| Korelace výstrah a incidentů | Výstrahy a incidenty se automaticky korelují a poskytují robustní kontext týmům pro operace zabezpečení, aby porozuměly kompletnímu scénáři útoku v jejich cloudovém prostředí. |
| Detekce hrozeb | Přesné porovnávání virtuálních entit s entitami zařízení, aby se zajistila přesnost a efektivní detekce hrozeb. |
| Sjednocené rozhraní API | Výstrahy a incidenty Defenderu for Cloud jsou teď součástí veřejného rozhraní API Microsoft Defender XDR, což zákazníkům umožňuje exportovat data výstrah zabezpečení do jiných systémů pomocí jednoho rozhraní API. |
| Rozšířené proaktivní vyhledávání (Preview) | Informace o událostech auditu cloudu pro různé cloudové platformy chráněné službou Defender for Cloud organizace jsou k dispozici prostřednictvím tabulky CloudAuditEvents v rámci rozšířeného proaktivního vyhledávání. |
Poznámka
Informační výstrahy z Defenderu pro cloud nejsou integrované na portálu Microsoft Defender, aby se mohly soustředit na relevantní a vysoce závažná upozornění. Tato strategie zjednodušuje správu incidentů a snižuje únavu výstrah.
Dopad na Microsoft Sentinel uživatele
Microsoft Sentinel zákazníci, kteří integrují incidenty Microsoft Defender XDRa ingestují výstrahy Defenderu pro cloud, musí provést následující změny konfigurace, aby se zajistilo, že se nevytvořily duplicitní výstrahy a incidenty:
- Připojte konektor Microsoft Defender pro cloud založený na tenantovi (Preview) a synchronizujte kolekci upozornění ze všech vašich předplatných s incidenty Defenderu for Cloud založenými na tenantovi, které se streamují přes konektor Microsoft Defender XDR Incidents.
- Pokud chcete zabránit duplicitním výstrahám, odpojte konektor upozornění Microsoft Defender pro cloud založený na předplatném (starší verze).
- Vypněte všechna analytická pravidla – plánovaná (běžný typ dotazu) nebo pravidla zabezpečení Microsoftu (vytváření incidentů) používaná k vytváření incidentů z výstrah Defenderu for Cloud. Incidenty defenderu pro cloud se automaticky vytvářejí na portálu Defender a synchronizují se s Microsoft Sentinel.
- V případě potřeby použijte pravidla automatizace k ukončení rušicích incidentů nebo použijte integrované možnosti ladění na portálu Defender k potlačení určitých výstrah.
Je také třeba poznamenat následující změnu:
- Akce, která má propojit výstrahy s incidenty na portálu Microsoft Defender, se odebere.
Další informace najdete v tématu Ingestování Microsoft Defender pro cloudové incidenty s integrací Microsoft Defender XDR.
Vypnutí upozornění Defenderu pro cloud
Upozornění pro Defender for Cloud jsou ve výchozím nastavení zapnutá. Pokud chcete zachovat nastavení na základě předplatného a vyhnout se synchronizaci na základě tenanta nebo se z tohoto prostředí odhlásit, proveďte následující kroky:
- Na portálu Microsoft Defender přejděte na Nastavení>Microsoft Defender XDR.
- V části Nastavení služby upozornění vyhledejte Microsoft Defender pro cloudová upozornění.
- Výběrem možnosti Žádné výstrahy vypněte všechna upozornění Defenderu pro cloud. Výběrem této možnosti zastavíte příjem nových upozornění Defenderu pro cloud na portál. Dříve ingestované výstrahy zůstanou na stránce upozornění nebo incidentu.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.