Warnungen und Incidents in Microsoft Defender XDR
Defender for Cloud ist jetzt in Microsoft Defender XDR integriert. Diese Integration ermöglicht Sicherheitsteams den Zugriff auf Warnungen und Vorfälle von Defender for Cloud im Microsoft Defender-Portal. Diese Integration bietet tiefgründigeren Kontext, welcher Untersuchungen, Cloudressourcen, Geräte und Identitäten umfasst.
Die Partnerschaft mit Microsoft Defender XDR ermöglicht es Sicherheitsteams, das vollständige Bild eines Angriffs zu erhalten, einschließlich verdächtiger und schädlicher Ereignisse, die in ihrer Cloudumgebung auftreten. Sicherheitsteams können dieses Ziel durch sofortige Korrelationen von Warnungen und Vorfällen erreichen.
Microsoft Defender XDR bietet eine umfassende Lösung, die Schutz-, Erkennungs-, Untersuchungs- und Reaktionsfunktionen kombiniert. Die Lösung schützt vor Angriffen auf Geräte, E-Mails, Zusammenarbeit, Identität und Cloud-Apps. Unsere Erkennungs- und Untersuchungsfunktionen werden nun auf Cloud-Entitäten erweitert und bieten Sicherheitsbetriebsteams ein Single-Pane-of-Glass, um ihre betriebliche Effizienz erheblich zu verbessern.
Vorfälle und Warnungen sind jetzt Teil der öffentlichen API von Microsoft Defender XDR. Diese Integration ermöglicht das Exportieren von Sicherheitswarnungsdaten in jedes System mithilfe einer einzelnen API. Als Microsoft Defender for Cloud verpflichten wir uns, unseren Benutzern die bestmöglichen Sicherheitslösungen bereitzustellen, und diese Integration ist ein wichtiger Schritt zum Erreichen dieses Ziels.
Untersuchungserfahrung in Microsoft Defender XDR
Die folgende Tabelle beschreibt die Erkennungs- und Untersuchungserfahrung in Microsoft Defender XDR mit Warnungen von Defender for Cloud.
| Bereich | Beschreibung |
|---|---|
| Vorfälle | Alle Vorfälle von Defender for Cloud sind in Microsoft Defender XDR integriert. – Die Suche nach Cloudressourcenobjekten in der Vorfallwarteschlange wird unterstützt. – Das Diagramm zum Angriffsverlauf zeigt Cloudressourcen. – In der Registerkarte „Ressourcen“ auf einer Vorfallseite wird die Cloudressource angezeigt. – Jede virtuelle Maschine verfügt über eine eigene Entitätsseite, die alle zugehörigen Warnungen und Aktivitäten enthält. Es gibt keine Duplizierungen von Vorfällen aus anderen Defender-Workloads. |
| Alerts | Alle Defender for Cloud-Warnungen, einschließlich Multicloud-Warnungen und Warnungen von internen und externen Anbietern, sind in Microsoft Defender XDR integriert. Warnungen von Defender for Cloud werden in der Microsoft Defender XDR-Warnungswarteschlange angezeigt. Microsoft Defender XDR Die Ressource cloud resource wird auf der Registerkarte „Ressource“ einer Warnung angezeigt. Ressourcen werden eindeutig als Azure-, Amazon- oder Google Cloud-Ressource identifiziert. Defender for Cloud Warnungen werden automatisch einem Mandanten zugeordnet. Es gibt keine Duplizierungen von Warnungen von anderen Defender-Workloads. |
| Warnungs- und Vorfallkorrelation | Warnungen und Vorfälle werden automatisch korreliert und bieten einen robusten Kontext für Security Operations Teams, um den vollständigen Angriffsverlauf in ihrer Cloudumgebung zu verstehen. |
| Bedrohungserkennung | Genaue Übereinstimmung virtueller Entitäten mit Geräte-Entitäten, um eine präzise und effektive Bedrohungserkennung sicherzustellen. |
| Unified API | Warnungen und Vorfälle von Defender for Cloud sind jetzt in der öffentlichen API von Microsoft Defender XDR enthalten, sodass Kunden ihre Sicherheitswarnungsdaten mithilfe einer API in andere Systeme exportieren können. |
Erfahren Sie mehr über die Behandlung von Warnungen in Microsoft Defender XDR.
Erweitertes Hunting in XDR
Die erweiterten Huntingfunktionen von Microsoft Defender XDR werden um Defender for Cloud-Warnungen und -Vorfälle ausgeweitet. Diese Integration ermöglicht es Sicherheitsteams, mit einer einzigen Abfrage alle Cloud-Ressourcen, Geräte und Identitäten zu durchsuchen.
Die erweiterte Huntingfunktion in Microsoft Defender XDR bietet Sicherheitsteams die Flexibilität, benutzerdefinierte Abfragen zu erstellen, um in ihrer gesamten Umgebung nach Bedrohungen zu suchen. Die Integration mit den Warnmeldungen und Vorfällen von Defender for Cloud ermöglicht Sicherheitsteams die Suche nach Bedrohungen über ihre Cloudressourcen, Geräte und Identitäten hinweg.
Mit der Tabelle CloudAuditEvents in dem erweiterten Hunting können Sie Ereignisse auf der Steuerungsebene untersuchen und durchsuchen und benutzerdefinierte Erkennungen erstellen, um verdächtige Aktivitäten auf der Steuerungsebene von Azure Resource Manager und Kubernetes (KubeAudit) aufzudecken.
Die Tabelle CloudProcessEvents in der erweiterten Suche ermöglicht es Ihnen, verdächtige Aktivitäten, die in Ihrer Cloud-Infrastruktur aufgerufen werden, zu sichten, zu untersuchen und benutzerdefinierte Erkennungen zu erstellen, die Informationen zu den Prozessdetails enthalten.
Microsoft Sentinel-Kunden
Wenn Sie Teil der Microsoft Sentinel-Kundschaft sind und sich in die einheitliche Security Operations (SecOps)-Plattform von Microsoft integriert haben, werden Defender for Cloud-Warnungen bereits direkt in Defender XDR aufgenommen. Um von den integrierten Sicherheitsinhalten zu profitieren, müssen Sie die Lösung Microsoft Defender for Cloud über den Microsoft Sentinel-Inhaltshub installieren.
Die Kundschaft von Microsoft Sentinel, die die einheitliche SecOps-Plattform von Microsoft nicht verwendet, kann von der Defender for Cloud-Integration in Microsoft 365 Defender in ihren Arbeitsbereichen mit dem Microsoft 365 Defender-Connector für Vorfälle und Warnungen profitieren.
Zunächst müssen Sie die Vorfallsintegration in Ihrem Microsoft 365 Defender-Connector aktivieren.
Aktivieren Sie dann den mandantenbasierten Datenconnector für Microsoft Defender für Cloud (Vorschau), um Ihre Abonnements mit Ihren mandantenbasierten Defender for Cloud-Vorfällen zu synchronisieren und so über den Microsoft 365 Defender-Vorfallsconnector zu streamen.
Der mandantenbasierte Datenconnector für Microsoft Defender for Cloud (Preview) ist über die Microsoft Defender for Cloud-Lösung, Version 3.0.0, im Microsoft Sentinel Inhaltshub verfügbar. Wenn Sie über eine frühere Version dieser Lösung verfügen, empfehlen wir, Ihre Lösungsversion zu aktualisieren. Wenn der abonnementbasierte Datenconnector für Microsoft Defender for Cloud (Legacyversion) weiterhin aktiviert ist, empfehlen wir, den Connector zu trennen, um die Duplizierung von Warnungen in Ihren Protokollen zu verhindern.
Außerdem wird empfohlen, alle Analyseregeln zu deaktivieren, die Vorfälle aus Ihrem Microsoft Defender für Cloud-Warnungen direkt erstellen. Verwenden Sie die Automatisierungsregeln von Microsoft Sentinel, um Vorfälle sofort zu schließen und zu verhindern, dass bestimmte Arten von Defender for Cloud-Warnungen zu Vorfällen werden, oder verwenden Sie die integrierten Optimierungsfunktionen im Microsoft Defender-Portal, um zu verhindern, dass Warnmeldungen zu Vorfällen werden.
Wenn Sie ihre Microsoft 365 Defender-Vorfälle in Microsoft Sentinel integriert haben und ihre abonnementbasierten Einstellungen beibehalten und die mandantenbasierte Synchronisierung vermeiden möchten, können Sie die Synchronisierung von Vorfällen und Warnungen über den Microsoft 365 Defender-Connector deaktivieren.
Weitere Informationen finden Sie unter:
- Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte
- Erfassen von Microsoft Defender for Cloud-Incidents mit der Microsoft Defender XDR-Integration
- Datensicherheit in Microsoft Defender for Cloud.