Ingesta de incidentes de Microsoft Defender for Cloud con la integración con Microsoft Defender XDR
Microsoft Defender for Cloud ahora está integrado con Microsoft Defender XDR, anteriormente conocido como Microsoft 365 Defender. Esta integración permite a Defender XDR recopilar alertas de Defender for Cloud y crear incidentes de Defender XDR a partir de ellos.
Gracias a esta integración, los clientes de Microsoft Sentinel que habilitaron la integración de incidentes de Defender XDR ya pueden ingerir y sincronizar incidentes de Defender for Cloud a través de Microsoft Defender XDR.
Para admitir esta integración, es necesario configurar uno de los siguientes conectores de datos de Microsoft Defender for Cloud, de lo contrario, los incidentes de Microsoft Defender for Cloud que lleguen a través del conector de Microsoft Defender XDR no mostrarán sus alertas y entidades asociadas:
Microsoft Sentinel tiene un nuevo conector de Microsoft Defender for Cloud basado en inquilinos (versión preliminar). Este conector permite a los clientes de Microsoft Sentinel recibir alertas de Defender for Cloud en todos sus inquilinos, sin tener que supervisar y mantener la inscripción del conector en todas las suscripciones de Defender for Cloud. Se recomienda usar este nuevo conector, ya que la integración de Microsoft Defender XDR con Microsoft Defender for Cloud también se implementa en el nivel de inquilino.
Como alternativa, use el conector de Microsoft Defender for Cloud (heredado) basado en suscripciones. No se recomienda este conector, ya que si tiene suscripciones de Defender for Cloud que no estén conectadas a Microsoft Sentinel en el conector, los incidentes de esas suscripciones no mostrarán las alertas y entidades asociadas.
Ambos conectores mencionados anteriormente se pueden usar para ingerir alertas de Defender for Cloud, independientemente de si tiene habilitada la integración de incidentes de Defender XDR.
Importante
La integración de Defender for Cloud con Defender XDR ya está disponible con carácter general (GA).
El conector de Microsoft Defender for Cloud basado en inquilinos está actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Elegir cómo usar esta integración y el nuevo conector
La forma en que decida usar esta integración, o si desea ingerir incidentes completos o solo alertas, dependerá en gran parte de lo que ya esté haciendo con respecto a los incidentes de Microsoft Defender XDR.
Si ya ingiere incidentes de Defender XDR, o si opta por empezar a hacerlo ahora, se recomienda habilitar este nuevo conector basado en inquilinos. Los incidentes de XDR de Defender ahora incluirán incidentes basados en Defender for Cloud con alertas completas de todas las suscripciones de Defender for Cloud en el inquilino.
Si, en esta situación, conserva el conector de Defender for Cloud basado en suscripciones heredado y no conecta el nuevo inquilino, puede recibir incidentes de Defender for Cloud que contengan alertas vacías (en el caso de una suscripción a la que el conector no está inscrito).
Si no tiene previsto habilitar la integración de incidentes de Microsoft Defender XDR, todavía puede recibir alertas de Defender for Cloud, independientemente de la versión del conector que habilite. Sin embargo, el nuevo conector basado en inquilinos sigue teniendo la ventaja de no necesitar los permisos para supervisar y mantener la lista de suscripciones de Defender for Cloud en el conector.
Si tiene la integración con Defender XDR habilitada, pero solo quiere recibir alertas de Defender for Cloud pero no incidentes, puede usar reglas de automatización para cerrar inmediatamente los incidentes de Defender for Cloud a medida que llegan.
Si no es una solución adecuada o si desea recopilar alertas de Defender for Cloud por suscripción, puede optar por no participar completamente en la integración de Defender for Cloud en el portal de Microsoft Defender XDR y, a continuación, usar la versión heredada basada en suscripciones del conector de Defender for Cloud para recibir esas alertas.
Configurar la integración en Microsoft Sentinel
Si aún no ha habilitado la integración de incidentes en el conector de Microsoft 365 Defender, hágalo primero.
A continuación, habilite el nuevo conector de Microsoft Defender for Cloud basado en inquilinos (versión preliminar). Este conector está disponible a través de la solución Microsoft Defender for Cloud, versión 3.0.0, en el Centro de contenido. Si tiene una versión anterior de esta solución, puede actualizarla en el centro de contenido.
Si ha habilitado previamente el conector heredado de Defender for Cloud basado en suscripciones (que se mostrará como Microsoft Defender for Cloud basado en suscripciones (heredado)), se recomienda deshabilitarlo para evitar la duplicación de alertas en los registros.
Si tiene alguna regla de análisis programada o de Microsoft Security que cree incidentes a partir de alertas de Defender for Cloud, se recomienda deshabilitar estas reglas, ya que recibirá incidentes listos creados por (y sincronizados con) Microsoft 365 Defender.
Si hay tipos específicos de alertas de Defender for Cloud para las que no desea crear incidentes, puede usar reglas de automatización para cerrar estos incidentes inmediatamente o puede usar las funcionalidades de ajuste integradas en el portal de Microsoft 365 Defender.
Pasos siguientes
En este artículo, ha aprendido a usar la integración de Microsoft Defender for Cloud con Microsoft Defender XDR para ingerir incidentes y alertas en Microsoft Sentinel.
Obtenga más información sobre la integración de Microsoft Defender for Cloud con Microsoft Defender XDR.
- Consulte Microsoft Defender for Cloud en Microsoft Defender XDR y, especialmente, la sección Impacto en los usuarios de Microsoft Sentinel, en la documentación de Microsoft Defender XDR.
- Consulte Alertas e incidentes en Microsoft 365 Defender (versión preliminar) en la documentación de Microsoft Defender for Cloud.