Waarschuwingen en incidenten in Microsoft Defender XDR
Microsoft Defender voor Cloud is nu geïntegreerd met Microsoft Defender XDR. Dankzij deze integratie hebben beveiligingsteams toegang tot Defender voor Cloud waarschuwingen en incidenten in de Microsoft Defender-portal. Deze integratie biedt uitgebreidere context voor onderzoeken die betrekking hebben op cloudresources, apparaten en identiteiten.
Dankzij de samenwerking met Microsoft Defender XDR kunnen beveiligingsteams een volledig beeld krijgen van een aanval, inclusief verdachte en schadelijke gebeurtenissen die zich in hun cloudomgeving voordoen. Beveiligingsteams kunnen dit doel bereiken door directe correlaties van waarschuwingen en incidenten.
Microsoft Defender XDR biedt een uitgebreide oplossing waarin de mogelijkheden voor beveiliging, detectie, onderzoek en respons worden gecombineerd. De oplossing beschermt tegen aanvallen op apparaten, e-mail, samenwerking, identiteit en cloud-apps. Onze mogelijkheden voor detectie en onderzoek worden nu uitgebreid naar cloudentiteiten en bieden beveiligingsteams één deelvenster glas om hun operationele efficiëntie aanzienlijk te verbeteren.
Incidenten en waarschuwingen maken nu deel uit van de openbare API van Microsoft Defender XDR. Met deze integratie kunt u gegevens van beveiligingswaarschuwingen exporteren naar elk systeem met behulp van één API. Als Microsoft Defender voor Cloud streven we ernaar om onze gebruikers de best mogelijke beveiligingsoplossingen te bieden. Deze integratie is een belangrijke stap in het bereiken van dat doel.
Onderzoekservaring in Microsoft Defender XDR
In de volgende tabel wordt de detectie- en onderzoekservaring in Microsoft Defender XDR beschreven met Defender voor Cloud waarschuwingen.
| Oppervlakte | Description |
|---|---|
| Incidenten | Alle Defender voor Cloud incidenten zijn geïntegreerd in Microsoft Defender XDR. - Zoeken naar cloudresourceassets in de incidentwachtrij wordt ondersteund. - De grafiek met aanvalsverhaal toont cloudresources. - Het tabblad Assets op een incidentpagina toont de cloudresource. - Elke virtuele machine heeft een eigen entiteitspagina met alle gerelateerde waarschuwingen en activiteiten. Er zijn geen duplicaties van incidenten van andere Defender-workloads. |
| Waarschuwingen | Alle Defender voor Cloud waarschuwingen, waaronder waarschuwingen voor meerdere clouds, interne en externe providers, zijn geïntegreerd in Microsoft Defender XDR. Defenders for Cloud-waarschuwingen worden weergegeven in de Microsoft Defender XDR-waarschuwingswachtrij. Microsoft Defender XDR De cloud resource asset wordt weergegeven op het tabblad Asset van een waarschuwing. Resources worden duidelijk geïdentificeerd als een Azure-, Amazon- of Google Cloud-resource. Defenders for Cloud-waarschuwingen worden automatisch gekoppeld aan een tenant. Er zijn geen duplicaties van waarschuwingen van andere Defender-workloads. |
| Correlatie van waarschuwingen en incidenten | Waarschuwingen en incidenten worden automatisch gecorreleerd en bieden robuuste context voor beveiligingsteams om inzicht te krijgen in het volledige aanvalsverhaal in hun cloudomgeving. |
| Detectie van bedreigingen | Nauwkeurige afstemming van virtuele entiteiten op apparaatentiteiten om precisie en effectieve detectie van bedreigingen te garanderen. |
| Geïntegreerde API | Defender voor Cloud waarschuwingen en incidenten zijn nu opgenomen in Met de openbare API van Microsoft Defender XDR kunnen klanten hun beveiligingswaarschuwingsgegevens exporteren naar andere systemen met behulp van één API. |
Meer informatie over het afhandelen van waarschuwingen in Microsoft Defender XDR.
Geavanceerde opsporing in XDR
De geavanceerde opsporingsmogelijkheden van Microsoft Defender XDR worden uitgebreid met Defender voor Cloud waarschuwingen en incidenten. Dankzij deze integratie kunnen beveiligingsteams al hun cloudresources, apparaten en identiteiten in één query opsporen.
De geavanceerde opsporingservaring in Microsoft Defender XDR is ontworpen om beveiligingsteams de flexibiliteit te bieden om aangepaste query's te maken voor het opsporen van bedreigingen in hun omgeving. Dankzij de integratie met Defender voor Cloud waarschuwingen en incidenten kunnen beveiligingsteams bedreigingen opsporen in hun cloudresources, -apparaten en -identiteiten.
Met de tabel CloudAuditEvents in geavanceerde opsporing kunt u controlevlakgebeurtenissen onderzoeken en doorzoeken en aangepaste detecties maken om verdachte activiteiten van het Besturingsvlak van Azure Resource Manager en Kubernetes (KubeAudit) te laten opduiken.
Met de tabel CloudProcessEvents in geavanceerde opsporing kunt u aangepaste detecties opsporen, onderzoeken en maken voor verdachte activiteiten die worden aangeroepen in uw cloudinfrastructuur met informatie over de procesdetails.
Microsoft Sentinel-klanten
Als u een Microsoft Sentinel-klant bent die onboarding heeft uitgevoerd op het SecOps-platform (Unified Security Operations) van Microsoft, worden Defender voor Cloud waarschuwingen al rechtstreeks opgenomen in Defender XDR. Als u wilt profiteren van ingebouwde beveiligingsinhoud, moet u de Microsoft Defender voor Cloud-oplossing van de Microsoft Sentinel-inhoudshub installeren.
Microsoft Sentinel-klanten die het geïntegreerde SecOps-platform van Microsoft niet gebruiken, kunnen ook profiteren van de integratie van Defender voor Cloud met Microsoft 365 Defender in hun werkruimten met behulp van de Microsoft 365 Defender-incidenten en -waarschuwingenconnector.
Eerst moet u integratie van incidenten inschakelen in uw Microsoft 365 Defender-connector.
Schakel vervolgens de Microsoft Defender voor Cloud gegevensconnector op basis van tenants (preview) in om uw abonnementen te synchroniseren met uw Defender voor Cloud-incidenten op basis van uw tenant om te streamen via de Microsoft 365 Defender-incidentenconnector.
De Microsoft Defender voor Cloud gegevensconnector op basis van tenants (preview) is beschikbaar via de Microsoft Defender voor Cloud-oplossing, versie 3.0.0, van de Microsoft Sentinel Content Hub. Als u een eerdere versie van deze oplossing hebt, raden we u aan uw oplossingsversie bij te werken. Als u nog steeds de gegevensconnector op basis van een abonnement Microsoft Defender voor Cloud (verouderd) hebt ingeschakeld, wordt u aangeraden de connector los te koppelen om te voorkomen dat waarschuwingen in uw logboeken worden gedupliceerd.
U wordt ook aangeraden analyseregels uit te schakelen die rechtstreeks incidenten maken op basis van uw Microsoft Defender voor Cloud waarschuwingen. Gebruik Automatiseringsregels van Microsoft Sentinel om incidenten onmiddellijk te sluiten en te voorkomen dat specifieke typen Defender voor Cloud waarschuwingen incidenten worden of gebruik de ingebouwde afstemmingsmogelijkheden in de Microsoft Defender-portal om te voorkomen dat waarschuwingen incidenten worden.
Als u uw Microsoft 365 Defender-incidenten hebt geïntegreerd in Microsoft Sentinel en hun abonnementsinstellingen wilt behouden en synchronisatie op basis van tenants wilt voorkomen, kunt u zich afmelden voor het synchroniseren van incidenten en waarschuwingen met behulp van de Microsoft 365 Defender-connector.
Zie voor meer informatie:
- Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
- Microsoft Defender voor Cloud-incidenten opnemen met Microsoft Defender XDR-integratie
- Microsoft Defender voor Cloud gegevensbeveiliging.