Delen via


Waarschuwingen en incidenten in Microsoft Defender XDR

Microsoft Defender voor Cloud is nu geïntegreerd met Microsoft Defender XDR. Dankzij deze integratie hebben beveiligingsteams toegang tot Defender voor Cloud waarschuwingen en incidenten in de Microsoft Defender-portal. Deze integratie biedt uitgebreidere context voor onderzoeken die betrekking hebben op cloudresources, apparaten en identiteiten.

Dankzij de samenwerking met Microsoft Defender XDR kunnen beveiligingsteams een volledig beeld krijgen van een aanval, inclusief verdachte en schadelijke gebeurtenissen die zich in hun cloudomgeving voordoen. Beveiligingsteams kunnen dit doel bereiken door directe correlaties van waarschuwingen en incidenten.

Microsoft Defender XDR biedt een uitgebreide oplossing waarin de mogelijkheden voor beveiliging, detectie, onderzoek en respons worden gecombineerd. De oplossing beschermt tegen aanvallen op apparaten, e-mail, samenwerking, identiteit en cloud-apps. Onze mogelijkheden voor detectie en onderzoek worden nu uitgebreid naar cloudentiteiten en bieden beveiligingsteams één deelvenster glas om hun operationele efficiëntie aanzienlijk te verbeteren.

Incidenten en waarschuwingen maken nu deel uit van de openbare API van Microsoft Defender XDR. Met deze integratie kunt u gegevens van beveiligingswaarschuwingen exporteren naar elk systeem met behulp van één API. Als Microsoft Defender voor Cloud streven we ernaar om onze gebruikers de best mogelijke beveiligingsoplossingen te bieden. Deze integratie is een belangrijke stap in het bereiken van dat doel.

Onderzoekservaring in Microsoft Defender XDR

In de volgende tabel wordt de detectie- en onderzoekservaring in Microsoft Defender XDR beschreven met Defender voor Cloud waarschuwingen.

Oppervlakte Description
Incidenten Alle Defender voor Cloud incidenten zijn geïntegreerd in Microsoft Defender XDR.
- Zoeken naar cloudresourceassets in de incidentwachtrij wordt ondersteund.
- De grafiek met aanvalsverhaal toont cloudresources.
- Het tabblad Assets op een incidentpagina toont de cloudresource.
- Elke virtuele machine heeft een eigen entiteitspagina met alle gerelateerde waarschuwingen en activiteiten.

Er zijn geen duplicaties van incidenten van andere Defender-workloads.
Waarschuwingen Alle Defender voor Cloud waarschuwingen, waaronder waarschuwingen voor meerdere clouds, interne en externe providers, zijn geïntegreerd in Microsoft Defender XDR. Defenders for Cloud-waarschuwingen worden weergegeven in de Microsoft Defender XDR-waarschuwingswachtrij.
Microsoft Defender XDR
De cloud resource asset wordt weergegeven op het tabblad Asset van een waarschuwing. Resources worden duidelijk geïdentificeerd als een Azure-, Amazon- of Google Cloud-resource.

Defenders for Cloud-waarschuwingen worden automatisch gekoppeld aan een tenant.

Er zijn geen duplicaties van waarschuwingen van andere Defender-workloads.
Correlatie van waarschuwingen en incidenten Waarschuwingen en incidenten worden automatisch gecorreleerd en bieden robuuste context voor beveiligingsteams om inzicht te krijgen in het volledige aanvalsverhaal in hun cloudomgeving.
Detectie van bedreigingen Nauwkeurige afstemming van virtuele entiteiten op apparaatentiteiten om precisie en effectieve detectie van bedreigingen te garanderen.
Geïntegreerde API Defender voor Cloud waarschuwingen en incidenten zijn nu opgenomen in Met de openbare API van Microsoft Defender XDR kunnen klanten hun beveiligingswaarschuwingsgegevens exporteren naar andere systemen met behulp van één API.

Meer informatie over het afhandelen van waarschuwingen in Microsoft Defender XDR.

Geavanceerde opsporing in XDR

De geavanceerde opsporingsmogelijkheden van Microsoft Defender XDR worden uitgebreid met Defender voor Cloud waarschuwingen en incidenten. Dankzij deze integratie kunnen beveiligingsteams al hun cloudresources, apparaten en identiteiten in één query opsporen.

De geavanceerde opsporingservaring in Microsoft Defender XDR is ontworpen om beveiligingsteams de flexibiliteit te bieden om aangepaste query's te maken voor het opsporen van bedreigingen in hun omgeving. Dankzij de integratie met Defender voor Cloud waarschuwingen en incidenten kunnen beveiligingsteams bedreigingen opsporen in hun cloudresources, -apparaten en -identiteiten.

Met de tabel CloudAuditEvents in geavanceerde opsporing kunt u controlevlakgebeurtenissen onderzoeken en doorzoeken en aangepaste detecties maken om verdachte activiteiten van het Besturingsvlak van Azure Resource Manager en Kubernetes (KubeAudit) te laten opduiken.  

Met de tabel CloudProcessEvents in geavanceerde opsporing kunt u aangepaste detecties opsporen, onderzoeken en maken voor verdachte activiteiten die worden aangeroepen in uw cloudinfrastructuur met informatie over de procesdetails.   

Sentinel-klanten

Microsoft Sentinel-klanten kunnen profiteren van de Defender voor Cloud-integratie met Microsoft 365 Defender in hun werkruimten met behulp van de Microsoft 365 Defender-incidenten en -waarschuwingenconnector.

Eerst moet u integratie van incidenten in uw Microsoft 365 Defender-connector inschakelen.

Schakel vervolgens de Tenant-based Microsoft Defender for Cloud (Preview) connector in om uw abonnementen te synchroniseren met uw tenantgebaseerde Defender voor Cloud incidenten om te streamen via de Microsoft 365 Defender-incidentenconnector.

De connector is beschikbaar via de Microsoft Defender voor Cloud-oplossing, versie 3.0.0, in de Content Hub. Als u een eerdere versie van deze oplossing hebt, kunt u deze upgraden in de Content Hub.

Als u de verouderde Microsoft Defender voor Cloud connector voor waarschuwingen op basis van een abonnement hebt ingeschakeld (die wordt weergegeven alsSubscription-based Microsoft Defender for Cloud (Legacy)), raden we u aan de connector los te koppelen om te voorkomen dat waarschuwingen in uw logboeken worden gedupliceerd.

We raden u aan analytische regels uit te schakelen die zijn ingeschakeld (gepland of via regels voor het maken van Microsoft), van het maken van incidenten op basis van uw Defender voor Cloud-waarschuwingen.

U kunt automatiseringsregels gebruiken om incidenten onmiddellijk te sluiten en te voorkomen dat specifieke typen Defender voor Cloud waarschuwingen incidenten worden. U kunt ook de ingebouwde afstemmingsmogelijkheden in de Microsoft 365 Defender-portal gebruiken om te voorkomen dat waarschuwingen incidenten worden.

Klanten die hun Microsoft 365 Defender-incidenten hebben geïntegreerd in Sentinel en hun abonnementsinstellingen willen behouden en synchronisatie op basis van tenants willen voorkomen, kunnen zich afmelden voor het synchroniseren van incidenten en waarschuwingen via de Microsoft 365 Defender-connector.

Meer informatie over hoe Defender voor Cloud en Microsoft 365 Defender de privacy van uw gegevens verwerken.

Referentiegids met beveiligingswaarschuwingen