Pozyskiwanie alertów Microsoft Defender dla Chmury do usługi Microsoft Sentinel
zintegrowane zabezpieczenia obciążeń w chmurze Microsoft Defender dla Chmury umożliwiają wykrywanie i szybkie reagowanie na zagrożenia w obciążeniach hybrydowych i wielochmurowych. Łącznik Microsoft Defender dla Chmury umożliwia pozyskiwanie alertów zabezpieczeń z Defender dla Chmury do usługi Microsoft Sentinel, dzięki czemu można wyświetlać, analizować i reagować na alerty usługi Defender oraz generowane przez nie zdarzenia w szerszym kontekście zagrożenia organizacyjnego.
plany usługi Microsoft Defender dla Chmury Defender są włączone dla każdej subskrypcji. Chociaż starszy łącznik usługi Microsoft Sentinel dla aplikacji Defender dla Chmury jest również skonfigurowany na subskrypcję, łącznik Microsoft Defender dla Chmury oparty na dzierżawie w wersji zapoznawczej umożliwia zbieranie alertów Defender dla Chmury w całej dzierżawie bez konieczności włączania każdego z nich subskrypcja oddzielnie. Łącznik oparty na dzierżawie współpracuje również z integracją Defender dla Chmury z usługą Microsoft Defender XDR, aby upewnić się, że wszystkie alerty Defender dla Chmury są w pełni uwzględnione we wszystkich zdarzeniach otrzymywanych za pośrednictwem integracji zdarzeń XDR w usłudze Microsoft Defender.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Synchronizacja alertów
Po nawiązaniu połączenia Microsoft Defender dla Chmury z usługą Microsoft Sentinel stan alertów zabezpieczeń pozyskanych do usługi Microsoft Sentinel jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w Defender dla Chmury ten alert będzie również wyświetlany jako zamknięty w usłudze Microsoft Sentinel.
Zmiana stanu alertu w Defender dla Chmury nie wpłynie na stan żadnych zdarzeń usługi Microsoft Sentinel, które zawierają alert usługi Microsoft Sentinel, tylko ten alert.
Synchronizacja alertów dwukierunkowych
Włączenie synchronizacji dwukierunkowej spowoduje automatyczne zsynchronizowanie stanu oryginalnych alertów zabezpieczeń z zdarzeniami usługi Microsoft Sentinel zawierającymi te alerty. Na przykład po zamknięciu zdarzenia usługi Microsoft Sentinel zawierającego alerty zabezpieczeń odpowiedni oryginalny alert zostanie automatycznie zamknięty w Microsoft Defender dla Chmury.
Wymagania wstępne
Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
Musisz mieć rolę Współautor lub Właściciel w subskrypcji, którą chcesz połączyć z usługą Microsoft Sentinel.
Należy włączyć co najmniej jeden plan w ramach Microsoft Defender dla Chmury dla każdej subskrypcji, w której chcesz włączyć łącznik. Aby włączyć plany usługi Microsoft Defender w ramach subskrypcji, musisz mieć rolę Administratora zabezpieczeń dla tej subskrypcji.
Należy zarejestrować dostawcę
SecurityInsights
zasobów dla każdej subskrypcji, w której chcesz włączyć łącznik. Zapoznaj się ze wskazówkami dotyczącymi stanu rejestracji dostawcy zasobów oraz sposobami jego zarejestrowania.Aby włączyć synchronizację dwukierunkową, musisz mieć rolę Współautor lub Administrator zabezpieczeń w odpowiedniej subskrypcji.
Zainstaluj rozwiązanie dla Microsoft Defender dla Chmury z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.
Nawiązywanie połączenia z usługą Microsoft Defender dla Chmury
Po zainstalowaniu rozwiązania w usłudze Microsoft Sentinel wybierz pozycję Łączniki danych konfiguracji>.
Na stronie Łączniki danych wybierz łącznik oparty na subskrypcji Microsoft Defender dla Chmury (starsza wersja) lub łącznik Microsoft Defender dla Chmury oparty na dzierżawie (wersja zapoznawcza), a następnie wybierz stronę Otwórz łącznik.
W obszarze Konfiguracja zostanie wyświetlona lista subskrypcji w dzierżawie oraz stan ich połączenia z Microsoft Defender dla Chmury. Wybierz przełącznik Stan obok każdej subskrypcji, której alerty mają być przesyłane strumieniowo do usługi Microsoft Sentinel. Jeśli chcesz połączyć kilka subskrypcji jednocześnie, możesz to zrobić, zaznaczając pola wyboru obok odpowiednich subskrypcji, a następnie wybierając przycisk Połącz na pasku nad listą.
- Pola wyboru i Przełączanie połączenia są aktywne tylko w subskrypcjach, dla których masz wymagane uprawnienia.
- Przycisk Połącz jest aktywny tylko wtedy, gdy co najmniej jedno pole wyboru subskrypcji zostało oznaczone.
Aby włączyć synchronizację dwukierunkową w ramach subskrypcji, znajdź subskrypcję na liście i wybierz pozycję Włączone z listy rozwijanej w kolumnie Synchronizacja dwukierunkowa. Aby włączyć synchronizację dwukierunkową dla kilku subskrypcji jednocześnie, zaznacz pola wyboru i wybierz przycisk Włącz dwukierunkową synchronizację na pasku powyżej listy.
- Pola wyboru i listy rozwijane będą aktywne tylko w subskrypcjach, dla których masz wymagane uprawnienia.
- Przycisk Włącz dwukierunkową synchronizację będzie aktywny tylko wtedy, gdy zaznaczono co najmniej jedno pole wyboru subskrypcji.
W kolumnie Plany usługi Microsoft Defender na liście można sprawdzić, czy plany usługi Microsoft Defender są włączone w ramach subskrypcji (wymaganie wstępne dotyczące włączania łącznika).
Wartość dla każdej subskrypcji w tej kolumnie jest pusta (co oznacza, że nie są włączone żadne plany usługi Defender), Wszystkie włączone lub Niektóre włączone. Te, które mówią, że niektóre włączone mają również link Włącz wszystkie, które można wybrać, spowoduje to przejście do pulpitu nawigacyjnego konfiguracji Microsoft Defender dla Chmury dla tej subskrypcji, w którym można wybrać plany usługi Defender, aby włączyć.
Przycisk Link Włącz usługę Microsoft Defender dla wszystkich subskrypcji na pasku powyżej listy spowoduje przejście do strony Microsoft Defender dla Chmury Wprowadzenie, na której można wybrać, które subskrypcje mają włączyć Microsoft Defender dla Chmury całkowicie. Na przykład:
Możesz wybrać, czy alerty z Microsoft Defender dla Chmury mają automatycznie generować zdarzenia w usłudze Microsoft Sentinel. W obszarze Tworzenie zdarzeń wybierz pozycję Włączone , aby włączyć domyślną regułę analizy, która automatycznie tworzy zdarzenia na podstawie alertów. Następnie możesz edytować tę regułę w obszarze Analiza na karcie Aktywne reguły .
Napiwek
Podczas konfigurowania niestandardowych reguł analizy dla alertów z Microsoft Defender dla Chmury należy wziąć pod uwagę ważność alertu, aby uniknąć otwierania zdarzeń dla alertów informacyjnych.
Alerty informacyjne w Microsoft Defender dla Chmury nie reprezentują samodzielnie ryzyka bezpieczeństwa i są istotne tylko w kontekście istniejącego otwartego zdarzenia. Aby uzyskać więcej informacji, zobacz Alerty zabezpieczeń i zdarzenia w Microsoft Defender dla Chmury.
Znajdowanie i analizowanie danych
Uwaga
Synchronizacja alertów w obu kierunkach może potrwać kilka minut. Zmiany stanu alertów mogą nie być wyświetlane natychmiast.
Alerty zabezpieczeń są przechowywane w tabeli SecurityAlert w obszarze roboczym usługi Log Analytics.
Aby wysyłać zapytania dotyczące alertów zabezpieczeń w usłudze Log Analytics, skopiuj następujące elementy do okna zapytania jako punkt początkowy:
SecurityAlert | where ProductName == "Azure Security Center"
Zobacz kartę Następne kroki na stronie łącznika, aby uzyskać dodatkowe przydatne przykładowe zapytania, szablony reguł analizy i zalecane skoroszyty.
Następne kroki
W tym dokumencie przedstawiono sposób łączenia Microsoft Defender dla Chmury z usługą Microsoft Sentinel i synchronizowania między nimi alertów. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
- Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
- Napisz własne reguły w celu wykrywania zagrożeń.