Alerty i zdarzenia w usłudze Microsoft Defender XDR
Microsoft Defender dla Chmury jest teraz zintegrowana z usługą Microsoft Defender XDR. Ta integracja umożliwia zespołom ds. zabezpieczeń dostęp do alertów i zdarzeń Defender dla Chmury w witrynie Microsoft Defender Portal. Ta integracja zapewnia bogatszy kontekst do badań obejmujących zasoby, urządzenia i tożsamości w chmurze.
Współpraca z usługą Microsoft Defender XDR umożliwia zespołom ds. zabezpieczeń uzyskanie pełnego obrazu ataku, w tym podejrzanych i złośliwych zdarzeń występujących w środowisku chmury. Zespoły ds. zabezpieczeń mogą osiągnąć ten cel poprzez natychmiastowe korelacje alertów i zdarzeń.
Usługa Microsoft Defender XDR oferuje kompleksowe rozwiązanie, które łączy funkcje ochrony, wykrywania, badania i reagowania. Rozwiązanie chroni przed atakami na urządzenia, pocztę e-mail, współpracę, tożsamość i aplikacje w chmurze. Nasze możliwości wykrywania i badania są teraz rozszerzane na jednostki w chmurze, oferując zespołom ds. operacji zabezpieczeń pojedyncze okienko szkła w celu znacznego zwiększenia wydajności operacyjnej.
Zdarzenia i alerty są teraz częścią publicznego interfejsu API usługi Microsoft Defender XDR. Ta integracja umożliwia eksportowanie danych alertów zabezpieczeń do dowolnego systemu przy użyciu jednego interfejsu API. W Microsoft Defender dla Chmury dokładamy wszelkich starań, aby zapewnić naszym użytkownikom najlepsze możliwe rozwiązania zabezpieczeń, a integracja ta stanowi znaczący krok w kierunku osiągnięcia tego celu.
Środowisko badania w usłudze Microsoft Defender XDR
W poniższej tabeli opisano środowisko wykrywania i badania w usłudze Microsoft Defender XDR z alertami Defender dla Chmury.
Obszar | opis |
---|---|
Zdarzenia | Wszystkie zdarzenia Defender dla Chmury są zintegrowane z usługą Microsoft Defender XDR. — Wyszukiwanie zasobów zasobów w chmurze w kolejce zdarzeń jest obsługiwane. — Wykres scenariusza ataku przedstawia zasób w chmurze. — Karta Zasoby na stronie zdarzenia zawiera zasób w chmurze. — Każda maszyna wirtualna ma własną stronę jednostki zawierającą wszystkie powiązane alerty i działania. Nie ma duplikacji zdarzeń z innych obciążeń usługi Defender. |
Alerty | Wszystkie alerty Defender dla Chmury, w tym alerty wielochmurowych, wewnętrznych i zewnętrznych dostawców, są zintegrowane z usługą Microsoft Defender XDR. Alerty usługi Defenders for Cloud są wyświetlane w kolejce alertów XDR w usłudze Microsoft Defender. Microsoft Defender XDR Zasób cloud resource jest wyświetlany na karcie Zasób alertu. Zasoby są wyraźnie identyfikowane jako zasoby platformy Azure, Amazon lub Usługi Google Cloud. Alerty usługi Defenders for Cloud są automatycznie kojarzone z dzierżawą. Brak duplikacji alertów z innych obciążeń usługi Defender. |
Korelacja alertów i zdarzeń | Alerty i zdarzenia są automatycznie skorelowane, zapewniając niezawodny kontekst zespołom ds. operacji zabezpieczeń, aby zrozumieć pełną historię ataków w środowisku chmury. |
Wykrywanie zagrożeń | Dokładne dopasowywanie jednostek wirtualnych do jednostek urządzeń w celu zapewnienia precyzji i efektywnego wykrywania zagrożeń. |
Ujednolicony interfejs API | Defender dla Chmury alerty i zdarzenia są teraz uwzględniane w Publiczny interfejs API usługi Microsoft Defender XDR umożliwiający klientom eksportowanie danych alertów zabezpieczeń do innych systemów przy użyciu jednego interfejsu API. |
Dowiedz się więcej o obsłudze alertów w usłudze Microsoft Defender XDR.
Zaawansowane wyszukiwanie zagrożeń w usłudze XDR
Zaawansowane funkcje wyszukiwania zagrożeń w usłudze Microsoft Defender zostały rozszerzone w celu uwzględnienia alertów i zdarzeń Defender dla Chmury. Ta integracja umożliwia zespołom ds. zabezpieczeń wyszukiwanie wszystkich zasobów, urządzeń i tożsamości w chmurze w jednym zapytaniu.
Zaawansowane środowisko wyszukiwania zagrożeń w usłudze Microsoft Defender XDR zaprojektowano tak, aby zapewnić zespołom ds. zabezpieczeń elastyczność tworzenia niestandardowych zapytań w celu wyszukiwania zagrożeń w całym środowisku. Integracja z alertami i zdarzeniami Defender dla Chmury umożliwia zespołom ds. zabezpieczeń wyszukiwanie zagrożeń w zasobach, urządzeniach i tożsamościach w chmurze.
Tabela CloudAuditEvents w zaawansowanym wyszukiwaniu umożliwia badanie i wyszukiwanie zdarzeń płaszczyzny sterowania oraz tworzenie niestandardowych wykryć w celu uwidocznienia podejrzanych działań płaszczyzny sterowania usług Azure Resource Manager i Kubernetes (KubeAudit).
Tabela CloudProcessEvents w zaawansowanym wyszukiwaniu umożliwia klasyfikację, badanie i tworzenie niestandardowych wykryć podejrzanych działań wywoływanych w infrastrukturze chmury z informacjami zawierającymi szczegółowe informacje na temat szczegółów procesu.
Klienci usługi Microsoft Sentinel
Jeśli jesteś klientem usługi Microsoft Sentinel, który dołączył do ujednoliconej platformy operacji zabezpieczeń (SecOps) firmy Microsoft, alerty Defender dla Chmury są już pozyskiwane bezpośrednio do usługi Defender XDR. Aby skorzystać z wbudowanej zawartości zabezpieczeń, pamiętaj o zainstalowaniu rozwiązania Microsoft Defender dla Chmury z centrum zawartości usługi Microsoft Sentinel.
Klienci usługi Microsoft Sentinel, którzy nie korzystają z ujednoliconej platformy SecOps firmy Microsoft, mogą również korzystać z integracji Defender dla Chmury z usługą Microsoft 365 Defender w swoich obszarach roboczych przy użyciu łącznika zdarzeń i alertów usługi Microsoft 365 Defender.
Najpierw należy włączyć integrację zdarzeń w łączniku usługi Microsoft 365 Defender.
Następnie włącz łącznik danych Microsoft Defender dla Chmury oparty na dzierżawie (wersja zapoznawcza), aby zsynchronizować subskrypcje z zdarzeniami Defender dla Chmury opartymi na dzierżawie, aby przesyłać strumieniowo za pośrednictwem łącznika zdarzeń usługi Microsoft 365 Defender.
Łącznik danych Microsoft Defender dla Chmury oparty na dzierżawie (wersja zapoznawcza) jest dostępny za pośrednictwem rozwiązania Microsoft Defender dla Chmury w wersji 3.0.0 z centrum zawartości usługi Microsoft Sentinel. Jeśli masz starszą wersję tego rozwiązania, zalecamy zaktualizowanie wersji rozwiązania. Jeśli nadal masz włączony łącznik danych oparty na subskrypcji Microsoft Defender dla Chmury (starsza wersja), zalecamy rozłączenie łącznika, aby zapobiec duplikowaniu alertów w dziennikach.
Zalecamy również wyłączenie wszystkich reguł analizy, które tworzą zdarzenia bezpośrednio z alertów Microsoft Defender dla Chmury. Użyj reguł automatyzacji usługi Microsoft Sentinel, aby natychmiast zamknąć zdarzenia i zapobiec wystąpieniu określonych typów alertów Defender dla Chmury zdarzeń lub użyć wbudowanych funkcji dostrajania w portalu usługi Microsoft Defender, aby zapobiec wystąpieniu zdarzeń.
Jeśli zintegrowano zdarzenia usługi Microsoft 365 Defender z usługą Microsoft Sentinel i chcesz zachować ustawienia oparte na subskrypcji i uniknąć synchronizacji opartej na dzierżawie, mogą zrezygnować z synchronizowania zdarzeń i alertów przy użyciu łącznika usługi Microsoft 365 Defender.
Aby uzyskać więcej informacji, zobacz:
- Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią
- Pozyskiwanie zdarzeń Microsoft Defender dla Chmury za pomocą integracji usługi Microsoft Defender XDR
- Microsoft Defender dla Chmury zabezpieczenia danych.