Pozyskiwanie alertów Microsoft Defender dla Chmury do usługi Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel

zintegrowane zabezpieczenia obciążeń w chmurze Microsoft Defender dla Chmury umożliwiają wykrywanie i szybkie reagowanie na zagrożenia w obciążeniach hybrydowych i wielochmurowych. Łącznik Microsoft Defender dla Chmury umożliwia pozyskiwanie alertów zabezpieczeń z Defender dla Chmury do usługi Microsoft Sentinel, dzięki czemu można wyświetlać, analizować i reagować na alerty usługi Defender oraz generowane przez nie zdarzenia w szerszym kontekście zagrożenia organizacyjnego.

plany usługi Microsoft Defender dla Chmury Defender są włączone dla każdej subskrypcji. Chociaż starszy łącznik usługi Microsoft Sentinel dla aplikacji Defender dla Chmury jest również skonfigurowany na subskrypcję, łącznik Microsoft Defender dla Chmury oparty na dzierżawie w wersji zapoznawczej umożliwia zbieranie alertów Defender dla Chmury w całej dzierżawie bez konieczności włączania każdego z nich subskrypcja oddzielnie. Łącznik oparty na dzierżawie współpracuje również z integracją Defender dla Chmury z usługą Microsoft Defender XDR, aby upewnić się, że wszystkie alerty Defender dla Chmury są w pełni uwzględnione we wszystkich zdarzeniach otrzymywanych za pośrednictwem integracji zdarzeń XDR w usłudze Microsoft Defender.

• Synchronizacja alertów:

  • Po nawiązaniu połączenia Microsoft Defender dla Chmury z usługą Microsoft Sentinel stan alertów zabezpieczeń pozyskanych do usługi Microsoft Sentinel jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w Defender dla Chmury alert jest wyświetlany jako zamknięty w usłudze Microsoft Sentinel.

  • Zmiana stanu alertu w Defender dla Chmury nie wpłynie na stan żadnych zdarzeń usługi Microsoft Sentinel, które zawierają alert usługi Microsoft Sentinel, tylko ten alert.

• Synchronizacja alertów dwukierunkowych: włączenie synchronizacji dwukierunkowej automatycznie synchronizuje stan oryginalnych alertów zabezpieczeń z zdarzeniami usługi Microsoft Sentinel zawierającymi te alerty. Na przykład po zamknięciu zdarzenia usługi Microsoft Sentinel zawierającego alerty zabezpieczeń odpowiedni oryginalny alert zostanie automatycznie zamknięty w Microsoft Defender dla Chmury.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Uwaga

Łącznik nie obsługuje synchronizowania alertów z subskrypcji należących do innych dzierżaw, nawet jeśli usługa Lighthouse jest włączona dla tych dzierżaw.

Wymagania wstępne

• Musisz używać usługi Microsoft Sentinel w witrynie Azure Portal. Jeśli dołączasz do platformy ujednoliconych operacji zabezpieczeń (SecOps) firmy Microsoft, alerty Defender dla Chmury są już pozyskiwane do usługi Microsoft Defender XDR, a łącznik danych Microsoft Defender dla Chmury oparty na dzierżawie (wersja zapoznawcza) nie jest wymieniony na stronie Łączniki danych w portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

  Jeśli dołączasz do ujednoliconej platformy SecOps firmy Microsoft, nadal chcesz zainstalować rozwiązanie Microsoft Defender dla Chmury do korzystania z wbudowanej zawartości zabezpieczeń w usłudze Microsoft Sentinel.

  Jeśli używasz usługi Microsoft Sentinel w portalu usługi Defender bez usługi Microsoft Defender XDR, ta procedura jest nadal odpowiednia dla Ciebie.

• Musisz mieć następujące role i uprawnienia:

  • Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

  • Musisz mieć rolę Współautor lub Właściciel w subskrypcji, którą chcesz połączyć z usługą Microsoft Sentinel.

  • Aby włączyć synchronizację dwukierunkową, musisz mieć rolę Współautor lub Administrator zabezpieczeń w odpowiedniej subskrypcji.

• Należy włączyć co najmniej jeden plan w ramach Microsoft Defender dla Chmury dla każdej subskrypcji, w której chcesz włączyć łącznik. Aby włączyć plany usługi Microsoft Defender w ramach subskrypcji, musisz mieć rolę Administratora zabezpieczeń dla tej subskrypcji.

• Musisz zarejestrować dostawcę SecurityInsights zasobów dla każdej subskrypcji, w której chcesz włączyć łącznik. Zapoznaj się ze wskazówkami dotyczącymi stanu rejestracji dostawcy zasobów oraz sposobami jego zarejestrowania.

Nawiązywanie połączenia z usługą Microsoft Defender dla Chmury

1. W usłudze Microsoft Sentinel zainstaluj rozwiązanie dla Microsoft Defender dla Chmury z centrum zawartości. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

2. Wybierz pozycję Łączniki danych konfiguracji>.

3. Na stronie Łączniki danych wybierz łącznik oparty na subskrypcji Microsoft Defender dla Chmury (starsza wersja) lub łącznik Microsoft Defender dla Chmury oparty na dzierżawie (wersja zapoznawcza), a następnie wybierz pozycję Otwórz stronę łącznika.

4. W obszarze Konfiguracja zostanie wyświetlona lista subskrypcji w dzierżawie oraz stan ich połączenia z Microsoft Defender dla Chmury. Wybierz przełącznik Stan obok każdej subskrypcji, której alerty mają być przesyłane strumieniowo do usługi Microsoft Sentinel. Jeśli chcesz połączyć kilka subskrypcji jednocześnie, możesz to zrobić, zaznaczając pola wyboru obok odpowiednich subskrypcji, a następnie wybierając przycisk Połącz na pasku nad listą.

   • Pola wyboru i Przełączanie połączenia są aktywne tylko w subskrypcjach, dla których masz wymagane uprawnienia.
   • Przycisk Połącz jest aktywny tylko wtedy, gdy co najmniej jedno pole wyboru subskrypcji zostało oznaczone.

5. Aby włączyć synchronizację dwukierunkową w ramach subskrypcji, znajdź subskrypcję na liście i wybierz pozycję Włączone z listy rozwijanej w kolumnie Synchronizacja dwukierunkowa. Aby włączyć synchronizację dwukierunkową dla kilku subskrypcji jednocześnie, zaznacz pola wyboru i wybierz przycisk Włącz dwukierunkową synchronizację na pasku powyżej listy.

   • Pola wyboru i listy rozwijane są aktywne tylko w subskrypcjach, dla których masz wymagane uprawnienia.
   • Przycisk Włącz dwukierunkową synchronizację jest aktywny tylko wtedy, gdy zaznaczono co najmniej jedno pole wyboru subskrypcji.

6. W kolumnie Plany usługi Microsoft Defender na liście można sprawdzić, czy plany usługi Microsoft Defender są włączone w ramach subskrypcji, co jest warunkiem wstępnym włączenia łącznika.

   Wartość dla każdej subskrypcji w tej kolumnie jest pusta, co oznacza, że nie są włączone żadne plany usługi Defender, Wszystkie włączone lub Niektóre włączone. Te, które mówią, że niektóre włączone mają również link Włącz wszystkie, które można wybrać, spowoduje przejście do pulpitu nawigacyjnego konfiguracji Microsoft Defender dla Chmury dla tej subskrypcji, w którym można wybrać plany usługi Defender, aby włączyć.

   Przycisk linku Włącz usługę Microsoft Defender dla wszystkich subskrypcji na pasku powyżej listy spowoduje przejście do strony wprowadzenie do Microsoft Defender dla Chmury, na której można wybrać, które subskrypcje umożliwiają całkowite włączenie Microsoft Defender dla Chmury. Na przykład:

   

7. Możesz wybrać, czy alerty z Microsoft Defender dla Chmury mają automatycznie generować zdarzenia w usłudze Microsoft Sentinel. W obszarze Tworzenie zdarzeń wybierz pozycję Włączone , aby włączyć domyślną regułę analizy, która automatycznie tworzy zdarzenia na podstawie alertów. Następnie możesz edytować tę regułę w obszarze Analiza na karcie Aktywne reguły .

   Napiwek

   Podczas konfigurowania niestandardowych reguł analizy dla alertów z Microsoft Defender dla Chmury należy wziąć pod uwagę ważność alertu, aby uniknąć otwierania zdarzeń dla alertów informacyjnych.

   Alerty informacyjne w Microsoft Defender dla Chmury nie reprezentują samodzielnie ryzyka bezpieczeństwa i są istotne tylko w kontekście istniejącego otwartego zdarzenia. Aby uzyskać więcej informacji, zobacz Alerty zabezpieczeń i zdarzenia w Microsoft Defender dla Chmury.

Znajdowanie i analizowanie danych

Alerty zabezpieczeń są przechowywane w tabeli SecurityAlert w obszarze roboczym usługi Log Analytics. Aby wysyłać zapytania dotyczące alertów zabezpieczeń w usłudze Log Analytics, skopiuj następujące elementy do okna zapytania jako punkt początkowy:

SecurityAlert 
| where ProductName == "Azure Security Center"

Synchronizacja alertów w obu kierunkach może potrwać kilka minut. Zmiany stanu alertów mogą nie być wyświetlane natychmiast.

Zobacz kartę Następne kroki na stronie łącznika, aby uzyskać bardziej przydatne przykładowe zapytania, szablony reguł analizy i zalecane skoroszyty.

Powiązana zawartość

W tym dokumencie przedstawiono sposób łączenia Microsoft Defender dla Chmury z usługą Microsoft Sentinel i synchronizowania między nimi alertów. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
• Napisz własne reguły w celu wykrywania zagrożeń.