Freigeben über


Erfassen von Microsoft Defender for Cloud-Vorfällen mit der Microsoft Defender XDR-Integration

Microsoft Defender for Cloud ist jetzt in Microsoft Defender XDR integriert, früher bekannt als Microsoft 365 Defender. Diese Integration ermöglicht Defender XDR, Warnungen von Defender for Cloud zu sammeln und Defender XDR-Vorfälle daraus zu erstellen.

Dank dieser Integration können Microsoft Sentinel-Kund*innen, die die Integration von Defender XDR-Vorfällen aktivieren, jetzt Defender for Cloud-Vorfälle über Microsoft Defender XDR erfassen und synchronisieren.

Um diese Integration zu unterstützen, müssen Sie einen der folgenden Microsoft Defender for Cloud-Datenconnectors einrichten, andernfalls werden Ihre Vorfälle für Microsoft Defender for Cloud, die über den Microsoft Defender XDR-Connector kommen, nicht ihre zugehörigen Warnungen und Entitäten anzeigen:

  • Microsoft Sentinel verfügt über einen neuen mandantenbasierten Microsoft Defender for Cloud-Connector (Vorschau). Mit diesem Connector können Microsoft Sentinel-Kund*innen Defender for Cloud-Warnungen über ihre gesamten Mandanten hinweg empfangen, ohne die Registrierung des Connectors für alle ihre Defender for Cloud-Abonnements überwachen und verwalten zu müssen. Wir empfehlen die Verwendung dieses neuen Connectors, da die Microsoft Defender XDR-Integration in Microsoft Defender for Cloud auch auf Mandantenebene implementiert wird.

  • Alternativ können Sie den abonnementbasierten Microsoft Defender for Cloud-Connector (Legacy) verwenden. Dieser Connector wird nicht empfohlen. Wenn Sie über Defender for Cloud-Abonnements verfügen, die nicht mit Microsoft Sentinel im Connector verbunden sind, werden Vorfälle aus diesen Abonnements nicht ihre zugehörigen Warnungen und Entitäten anzeigen.

Beide oben erwähnten Connectors können verwendet werden, um Defender for Cloud-Warnungen zu erfassen, unabhängig davon, ob die Integration von Defender XDR-Vorfällen aktiviert ist.

Wichtig

Auswählen, wie diese Integration und der neue Connector verwendet werden sollen

Wie Sie diese Integration verwenden möchten und ob Sie vollständige Vorfälle oder nur Warnungen erfassen möchten, hängt im Großen und Ganzen davon ab, was Sie bereits in Bezug auf Microsoft Defender XDR-Vorfälle tun.

  • Wenn Sie bereits Defender XDR-Vorfälle erfassen oder sich dafür entscheiden, dies jetzt zu starten, wird dringend empfohlen, diesen neuen mandantenbasierten Connector zu aktivieren. Ihre Defender XDR-Vorfälle enthalten jetzt auf Defender for Cloud basierte Vorfälle mit vollständig ausgefüllten Warnungen von allen Defender for Cloud-Abonnements in Ihrem Mandanten.

    Wenn Sie in diesem Fall weiterhin den älteren abonnementbasierten Defender for Cloud-Connector verwenden und keine Verbindung mit den neuen mandantenbasierten Connector herstellen, erhalten Sie möglicherweise Defender for Cloud-Vorfälle, die leere Warnungen enthalten (im Falle eines Abonnements, für das der Connector nicht registriert ist).

  • Wenn Sie nicht beabsichtigen, die Integration von Microsoft Defender XDR-Vorfällen zu aktivieren, können Sie weiterhin Defender for Cloud-Warnungen erhalten, unabhängig davon, welche Version des Connectors Sie aktivieren. Der neue mandantenbasierte Connector bietet Ihnen jedoch weiterhin den Vorteil, dass Sie keine Berechtigungen benötigen, um Ihre Liste der Defender for Cloud-Abonnements im Connector zu überwachen und zu verwalten.

  • Wenn Sie die Defender XDR-Integration aktiviert haben, aber nur Defender for Cloud-Warnungen, aber nicht Vorfälle erhalten möchten, können Sie Automatisierungsregeln verwenden, um Defender for Cloud-Vorfälle sofort zu schließen, sobald sie eingehen.

    Wenn dies keine geeignete Lösung ist oder Sie weiterhin Warnungen von Defender for Cloud pro Abonnement erfassen möchten, können Sie die Defender for Cloud-Integration im Microsoft Defender XDR-Portal vollständig deaktivieren und dann die ältere, abonnementbasierte Version des Defender for Cloud-Connectors verwenden, um diese Warnungen zu erhalten.

Einrichten der Integration in Microsoft Sentinel

Wenn Sie die Vorfallsintegration noch nicht in Ihrem Microsoft 365 Defender-Connector aktiviert haben, sollten Sie dies zuerst tun.

Aktivieren Sie dann den neuen mandantenbasierten Microsoft Defender for Cloud-Connector (Vorschau). Dieser Connector ist über die Microsoft Defender for Cloud-Lösung, Version 3.0.0, im Inhaltshub verfügbar. Wenn Sie über eine frühere Version dieser Lösung verfügen, können Sie dafür ein Upgrade im Inhaltshub durchführen.

Wenn Sie zuvor den älteren, abonnementbasierten Defender for Cloud-Connector aktiviert haben (der als abonnementbasierter Microsoft Defender for Cloud-Connector [Legacy] angezeigt wird), wird empfohlen, ihn zu deaktivieren, um die Duplizierung von Warnungen in Ihren Protokollen zu verhindern.

Wenn Sie Geplante oder Microsoft Security-Analyseregeln haben, die Vorfälle aus Defender for Cloud-Warnungen erstellen, werden Sie ermutigt, diese Regeln zu deaktivieren, da Sie vorgefertigte Vorfälle erhalten, die von Microsoft 365 Defender erstellt – und synchronisiert – werden.

Wenn es bestimmte Typen von Defender for Cloud-Warnungen gibt, für die Sie keine Vorfälle erstellen möchten, können Sie Automatisierungsregeln verwenden, um diese Vorfälle sofort zu schließen, oder Sie können die integrierten Optimierungsfunktionen im Microsoft 365 Defender-Portal verwenden.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie die Integration von Microsoft Defender for Cloud in Microsoft Defender XDR zum Erfassen von Vorfällen und Warnungen in Microsoft Sentinel verwenden.

Erfahren Sie mehr über die Microsoft Defender for Cloud-Integration in Microsoft Defender XDR.