Microsoft Defender for Cloud Microsoft Defender portaalissa

Koskee seuraavia:

• Microsoft Defender XDR
• Microsoft Defender for Cloud

Microsoft Defender pilvipalvelussa käyttävät suojaustiimit voivat nyt tarkastella Defender for Cloud -ilmoituksia ja -tapauksia Microsoft Defender portaalissa. Tämä auttaa suojaustiimejä saamaan monipuolisemman kontekstin tutkimuksiin, jotka sisältävät pilvikuormituksia. Lisäksi tietoturvatiimit voivat saada kokonaiskuvan hyökkäyksestä, mukaan lukien epäilyttävistä ja haitallisista tapahtumista, jotka tapahtuvat heidän pilviympäristössään, ilmoitusten ja tapausten välittömien korrelaatioiden kautta.

Microsoft Defender portaali yhdistää suojaus-, tunnistamis-, tutkinta- ja reagointiominaisuudet laite-, sähköposti-, yhteistyö-, käyttäjätieto- ja pilvisovelluksiin kohdistuvien hyökkäysten suojaamiseksi. Portaalin tunnistamis- ja tutkintaominaisuudet on nyt laajennettu pilvientiteetteihin, mikä tarjoaa suojaustoimintatiimeille yhden lasiruudun, joka parantaa merkittävästi niiden toiminnan tehokkuutta.

Lisäksi Defender for Cloudin tapaukset ja hälytykset ovat nyt osa Microsoft Defender XDR julkista ohjelmointirajapintaa. Tämän integroinnin avulla suojausilmoitusten tiedot voidaan viedä mihin tahansa järjestelmään yksittäisen ohjelmointirajapinnan avulla.

Edellytys

Jotta voit varmistaa Defenderin pilvipalveluilmoitusten käytön Microsoft Defender-portaalissa, sinun on oltava tilaanut jonkin Azure-tilausten yhdistäminen -kohdassa luetelluista palvelupaketeista.

Vaaditut käyttöoikeudet

Huomautus

Oikeus tarkastella Defenderin pilvipalveluilmoituksia ja korrelaatioita on automaattinen koko vuokraajalle. Tiettyjen tilausten tarkastelemista ei tueta. Hälytystilauksen tunnussuodattimen avulla voit tarkastella Defenderin pilvipalveluilmoituksia, jotka on liitetty tiettyyn Defender for Cloud -tilaukseen hälytys- ja tapausjonoissa. Lue lisätietoja suodattimista.

Integrointi on käytettävissä vain ottamalla käyttöön asianmukainen Microsoft Defender XDR Unified role-based access control (RBAC) -rooli Defender for Cloudille. Jotta voit tarkastella Defenderin pilvipalveluilmoituksia ja korrelaatioita ilman Defender XDR Unified RBAC:tä, sinun on oltava Azure Active Directoryn yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja.

Tärkeää

Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata tilanteisiin, joissa et voi käyttää olemassa olevaa roolia. Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta.

tutkimuskokemus Microsoft Defender portaalissa

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Seuraavassa osiossa kuvataan Microsoft Defender portaalin tunnistamis- ja tutkimuskokemus Defender for Cloud -ilmoitusten avulla.

Alue	Kuvaus
Tapaukset	Kaikki Defender for Cloud -tapaukset integroidaan Microsoft Defender-portaaliin. - Pilviresurssiresurssien hakemista tapahtumajonosta tuetaan. - Hyökkäystarinakaavio näyttää pilviresurssin. - Tapaussivun Assets-välilehdessä näkyy pilviresurssi. - Jokaisella näennäiskoneella on oma laitesivunsa, joka sisältää kaikki liittyvät ilmoitukset ja toiminnan. Muista Defender-kuormituksista ei tule päällekkäisiä välikohtauksia.
Ilmoitukset	Kaikki Defender for Cloud -hälytykset, mukaan lukien usean pilvipalvelun sekä sisäisen ja ulkoisen palveluntarjoajan hälytykset, integroidaan Microsoft Defender portaaliin. Defender for Cloud -hälytykset näkyvät Microsoft Defender portaalin ilmoitusjonossa. Pilviresurssiresurssin resurssi näkyy hälytyksen Kohde-välilehdessä. Resurssit on selvästi tunnistettu Azure-, Amazon- tai Google Cloud -resursseiksi. Defender for Cloud -hälytykset liitetään automaattisesti vuokraajaan. Muiden Defender-kuormitusten ilmoituksia ei kahdenneta.
Hälytysten ja tapausten korrelaatio	Ilmoitukset ja tapaukset korreloivat automaattisesti, mikä tarjoaa vankan kontekstin suojaustoimintaryhmille, jotta he voivat ymmärtää koko hyökkäystarinan pilviympäristössään.
Uhkien tunnistaminen	Virtuaalisten entiteettien tarkka vastaavuus laitteen entiteetteihin tarkan ja tehokkaan uhkien tunnistamisen varmistamiseksi.
Yhdistetty ohjelmointirajapinta	Defender for Cloud -hälytykset ja -tapaukset sisältyvät nyt Microsoft Defender XDR julkiseen ohjelmointirajapintaan, jolloin asiakkaat voivat viedä suojaushälytystietonsa muihin järjestelmiin yhden ohjelmointirajapinnan avulla.
Kehittynyt metsästys (esikatselu)	Tietoja organisaation Defender for Cloudin suojaamien eri pilvipalveluympäristöjen pilvivalvontatapahtumista on saatavilla CloudAuditEvents-taulukostakehittyneessä metsästyksessä.

Huomautus

Defender for Cloudin tietoilmoituksia ei integroida Microsoft Defender-portaaliin, jotta voidaan keskittyä asianmukaisiin ja suuren vakavuuden hälytyksiin. Tämä strategia tehostaa tapausten hallintaa ja vähentää hälytysväsymystä.

Vaikutus Microsoft Sentinel käyttäjiin

Microsoft Sentinel asiakkaiden, jotka integroivat Microsoft Defender XDR tapauksiaja käyttävät Defenderin pilvipalveluilmoituksia, on tehtävä seuraavat määritysmuutokset sen varmistamiseksi, että päällekkäisiä ilmoituksia ja tapauksia ei luoda:

• Yhdistä Vuokraajapohjainen Microsoft Defender for Cloud (esikatselu) -liitin, jotta voit synkronoida kaikkien tilausten ilmoitusten kokoelman vuokraajapohjaisen Defenderin kanssa pilvitapahtumille, jotka suoratoistavat Microsoft Defender XDR Incidents -liittimen kautta.
• Katkaise Tilauspohjainen Microsoft Defender cloud (legacy) -ilmoitusten yhdistin ilmoitusten kaksoiskappaleiden estämiseksi.
• Poista käytöstä kaikki analytiikkasäännöt – joko ajoitetut (tavalliset kyselytyypit) tai Microsoftin tietoturvasäännöt (tapausten luontisäännöt), joita käytetään tapausten luomiseen Defenderin pilvihälytyksille. Defender for Cloud Incidents luodaan automaattisesti Defender-portaalissa ja synkronoidaan Microsoft Sentinel kanssa.
• Jos se on tarpeen, sulje meluisat tapaukset automaatiosäännöillä tai piilota tietyt hälytykset Defender-portaalin sisäisillä viritystoiminnoilla .

Huomioi myös seuraavat muutokset:

• Toiminto ilmoitusten liimiseksi Microsoft Defender portaalin tapauksiin poistetaan.

Lue lisää Ingest Microsoft Defender pilvipalvelutapauksista, joissa on Microsoft Defender XDR integrointi.

Poista käytöstä Defender pilvipalveluilmoituksia varten

Defender for Cloudin hälytykset ovat oletusarvoisesti käytössä. Jos haluat säilyttää tilauspohjaiset asetuksesi ja välttää vuokraajaan perustuvaa synkronointia tai kieltäytyä käyttökokemuksesta, toimi seuraavasti:

1. Valitse Microsoft Defender portaalissa Asetukset>Microsoft Defender XDR.
2. Etsi ilmoituspalvelun asetuksistaMicrosoft Defender pilvipalveluilmoituksia varten.
3. Valitse Ei ilmoituksia , jos haluat poistaa käytöstä kaikki Defenderin pilvipalveluilmoitukset. Jos valitset tämän vaihtoehdon, uuden Defender for Cloud -ilmoitusten käsittely portaaliin lopetetaan. Aiemmin sisäänotetut hälytykset pysyvät hälytys- tai tapaussivulla.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.