Freigeben über


Warnungen und Incidents in Microsoft Defender XDR

Defender for Cloud ist jetzt in Microsoft Defender XDR integriert. Diese Integration ermöglicht Sicherheitsteams den Zugriff auf Warnungen und Vorfälle von Defender for Cloud im Microsoft Defender-Portal. Diese Integration bietet tiefgründigeren Kontext, welcher Untersuchungen, Cloudressourcen, Geräte und Identitäten umfasst.

Die Partnerschaft mit Microsoft Defender XDR ermöglicht es Sicherheitsteams, das vollständige Bild eines Angriffs zu erhalten, einschließlich verdächtiger und schädlicher Ereignisse, die in ihrer Cloudumgebung auftreten. Sicherheitsteams können dieses Ziel durch sofortige Korrelationen von Warnungen und Vorfällen erreichen.

Microsoft Defender XDR bietet eine umfassende Lösung, die Schutz-, Erkennungs-, Untersuchungs- und Reaktionsfunktionen kombiniert. Die Lösung schützt vor Angriffen auf Geräte, E-Mails, Zusammenarbeit, Identität und Cloud-Apps. Unsere Erkennungs- und Untersuchungsfunktionen werden nun auf Cloud-Entitäten erweitert und bieten Sicherheitsbetriebsteams ein Single-Pane-of-Glass, um ihre betriebliche Effizienz erheblich zu verbessern.

Vorfälle und Warnungen sind jetzt Teil der öffentlichen API von Microsoft Defender XDR. Diese Integration ermöglicht das Exportieren von Sicherheitswarnungsdaten in jedes System mithilfe einer einzelnen API. Als Microsoft Defender for Cloud verpflichten wir uns, unseren Benutzern die bestmöglichen Sicherheitslösungen bereitzustellen, und diese Integration ist ein wichtiger Schritt zum Erreichen dieses Ziels.

Untersuchungserfahrung in Microsoft Defender XDR

Die folgende Tabelle beschreibt die Erkennungs- und Untersuchungserfahrung in Microsoft Defender XDR mit Warnungen von Defender for Cloud.

Bereich Beschreibung
Vorfälle Alle Vorfälle von Defender for Cloud sind in Microsoft Defender XDR integriert.
– Die Suche nach Cloudressourcenobjekten in der Vorfallwarteschlange wird unterstützt.
– Das Diagramm zum Angriffsverlauf zeigt Cloudressourcen.
– In der Registerkarte „Ressourcen“ auf einer Vorfallseite wird die Cloudressource angezeigt.
– Jede virtuelle Maschine verfügt über eine eigene Entitätsseite, die alle zugehörigen Warnungen und Aktivitäten enthält.

Es gibt keine Duplizierungen von Vorfällen aus anderen Defender-Workloads.
Alerts Alle Defender for Cloud-Warnungen, einschließlich Multicloud-Warnungen und Warnungen von internen und externen Anbietern, sind in Microsoft Defender XDR integriert. Warnungen von Defender for Cloud werden in der Microsoft Defender XDR-Warnungswarteschlange angezeigt.
Microsoft Defender XDR
Die Ressource cloud resource wird auf der Registerkarte „Ressource“ einer Warnung angezeigt. Ressourcen werden eindeutig als Azure-, Amazon- oder Google Cloud-Ressource identifiziert.

Defender for Cloud Warnungen werden automatisch einem Mandanten zugeordnet.

Es gibt keine Duplizierungen von Warnungen von anderen Defender-Workloads.
Warnungs- und Vorfallkorrelation Warnungen und Vorfälle werden automatisch korreliert und bieten einen robusten Kontext für Security Operations Teams, um den vollständigen Angriffsverlauf in ihrer Cloudumgebung zu verstehen.
Bedrohungserkennung Genaue Übereinstimmung virtueller Entitäten mit Geräte-Entitäten, um eine präzise und effektive Bedrohungserkennung sicherzustellen.
Unified API Warnungen und Vorfälle von Defender for Cloud sind jetzt in der öffentlichen API von Microsoft Defender XDR enthalten, sodass Kunden ihre Sicherheitswarnungsdaten mithilfe einer API in andere Systeme exportieren können.

Erfahren Sie mehr über die Behandlung von Warnungen in Microsoft Defender XDR.

Erweitertes Hunting in XDR

Die erweiterten Huntingfunktionen von Microsoft Defender XDR werden um Defender for Cloud-Warnungen und -Vorfälle ausgeweitet. Diese Integration ermöglicht es Sicherheitsteams, mit einer einzigen Abfrage alle Cloud-Ressourcen, Geräte und Identitäten zu durchsuchen.

Die erweiterte Huntingfunktion in Microsoft Defender XDR bietet Sicherheitsteams die Flexibilität, benutzerdefinierte Abfragen zu erstellen, um in ihrer gesamten Umgebung nach Bedrohungen zu suchen. Die Integration mit den Warnmeldungen und Vorfällen von Defender for Cloud ermöglicht Sicherheitsteams die Suche nach Bedrohungen über ihre Cloudressourcen, Geräte und Identitäten hinweg.

Mit der Tabelle CloudAuditEvents in dem erweiterten Hunting können Sie Ereignisse auf der Steuerungsebene untersuchen und durchsuchen und benutzerdefinierte Erkennungen erstellen, um verdächtige Aktivitäten auf der Steuerungsebene von Azure Resource Manager und Kubernetes (KubeAudit) aufzudecken.  

Die Tabelle CloudProcessEvents in der erweiterten Suche ermöglicht es Ihnen, verdächtige Aktivitäten, die in Ihrer Cloud-Infrastruktur aufgerufen werden, zu sichten, zu untersuchen und benutzerdefinierte Erkennungen zu erstellen, die Informationen zu den Prozessdetails enthalten.   

Sentinel-Kunden

Microsoft Sentinel-Kunden können von der Defender for Cloud-Integration in Microsoft 365 Defender in ihren Arbeitsbereichen mit dem Microsoft 365 Defender-Connector für Vorfälle und Warnungen profitieren.

Zunächst müssen Sie die Vorfallsintegration in Ihrem Microsoft 365 Defender-Connector aktivieren.

Aktivieren Sie dann den Tenant-based Microsoft Defender for Cloud (Preview)-Connector, um Ihre Abonnements mit Ihren mandantenbasierten Defender for Cloud-Vorfällen zu synchronisieren und so über den Microsoft 365 Defender-Vorfallsconnector zu streamen.

Dieser Connector ist über die Microsoft Defender for Cloud-Lösung, Version 3.0.0, im Inhaltshub verfügbar. Wenn Sie über eine frühere Version dieser Lösung verfügen, können Sie dafür ein Upgrade im Inhaltshub durchführen.

Wenn Sie den älteren abonnementbasierten Microsoft Defender for Cloud-Warnungsconnector aktiviert haben (der als Subscription-based Microsoft Defender for Cloud (Legacy) angezeigt wird), empfehlen wir, den Connector zu trennen, um zu verhindern, dass Warnungen in Ihren Protokollen dupliziert werden.

Es wird empfohlen, aktivierte Analyseregeln zu deaktivieren (entweder geplant oder durch Microsoft-Erstellungsregeln), um Vorfälle aus Ihrem Defender for Cloud-Warnungen zu erstellen.

Sie können Automatisierungsregeln verwenden, um Vorfälle sofort zu schließen und zu verhindern, dass bestimmte Arten von Defender for Cloud-Warnungen Vorfälle werden. Sie können auch die integrierten Optimierungsfunktionen im Microsoft 365 Defender-Portal verwenden, um zu verhindern, dass Warnungen zu Vorfällen werden.

Kunden, die ihre Microsoft 365 Defender-Vorfälle in Sentinel integriert haben und ihre abonnementbasierten Einstellungen beibehalten und die mandantenbasierte Synchronisierung vermeiden möchten, können die Synchronisierung von Vorfällen und Warnungen über den Microsoft 365 Defender-Connector deaktivieren.

Erfahren Sie mehr über den Datenschutz in Defender for Cloud und Microsoft 365 Defender.

Sicherheitswarnungen (Referenzhandbuch)