Compartilhar via


Alertas e incidentes no Microsoft Defender XDR

O Microsoft Defender para Nuvem agora está integrado ao Microsoft Defender XDR. Este integração permite que as equipes de segurança acessem alertas e incidentes do Defender para Nuvem no portal do Microsoft Defender. O portal do Microsoft 365 Defender fornece contexto mais avançado para investigações que abrangem recursos de nuvem, dispositivos e identidades.

A parceria com o Microsoft Defender XDR permite que as equipes de segurança obtenham a imagem completa de um ataque, incluindo eventos suspeitos e mal-intencionados que ocorrem em seu ambiente de nuvem. As equipes de segurança podem atingir essa meta por meio de correlações imediatas de alertas e incidentes.

O Microsoft Defender XDR oferece uma solução abrangente que combina recursos de proteção, detecção, investigação e resposta. A solução protege contra ataques a dispositivos, email, colaboração, identidade e aplicativos de nuvem. Nossos recursos de detecção e investigação agora são estendidos para entidades de nuvem, oferecendo às equipes de operações de segurança um único painel transparente para melhorar significativamente sua eficiência operacional.

Incidentes e alertas agora fazem parte da API pública do Microsoft Defender XDR. Essa integração permite exportar dados de alertas de segurança para qualquer sistema usando uma única API. Como Microsoft Defender para Nuvem, estamos empenhados em fornecer aos nossos usuários as melhores soluções de segurança possíveis; essa integração é um passo significativo para alcançar esse objetivo.

Experiência de investigação no Microsoft Defender XDR

A tabela a seguir descreve a experiência de detecção e investigação no Microsoft Defender XDR com alertas do Defender para Nuvem.

Área Descrição
Incidentes Todos os incidentes do Defender para Nuvem são integrados ao Microsoft Defender XDR.
– Há suporte à pesquisa de ativos de recursos de nuvem na fila de incidentes.
- O gráfico de história do ataque mostra o recurso de nuvem.
- A guia de ativos em uma página de incidente mostra o recurso de nuvem.
- Cada máquina virtual tem sua própria página de entidade contendo todos os alertas e atividades relacionados.

Não há duplicações de incidentes de outras cargas de trabalho do Defender.
Alertas Todos os alertas do Defender para Nuvem, incluindo alertas de provedores multinuvem, internos e externos, são integrados ao Microsoft Defender XDR. Os alertas do Defender para Nuvem são mostrados na fila de alertas do Microsoft Defender XDR.
Microsoft Defender XDR
O ativo cloud resource aparece na guia Ativo de um alerta. Os recursos são claramente identificados como um recurso do Azure, da Amazon ou do Google Cloud.

Os alertas do Defender para Nuvem são automaticamente associados a um locatário.

Não há duplicações de alertas de outras cargas de trabalho do Defender.
Correlação entre alertas e incidentes Alertas e incidentes são correlacionados automaticamente e fornecem contexto robusto às equipes de operações de segurança para poderem entender a história completa do ataque em seu ambiente de nuvem.
Detecção de ameaças Correspondência precisa entre entidades virtuais e entidades de dispositivo para garantir a precisão e a detecção efetiva de ameaças.
API Unificada Os alertas e incidentes do Defender para Nuvem agora estão incluídos na API pública do Microsoft Defender XDR, o que permite que os clientes exportem os dados de alertas de segurança para outros sistemas por meio de uma API.

Saiba mais sobre como lidar com alertas no Microsoft Defender XDR.

Busca avançada em XDR

Os recursos de busca avançada do Microsoft Defender XDR são estendidos para incluir alertas e incidentes do Defender para Nuvem. Essa integração permite que as equipes de segurança procurem todos os recursos de nuvem, dispositivos e identidades em uma única consulta.

A experiência de busca avançada no Microsoft Defender XDR foi criada para fornecer às equipes de segurança a flexibilidade de criar consultas personalizadas para buscar ameaças no ambiente. A integração com alertas e incidentes do Defender para Nuvem permite que as equipes de segurança procurem ameaças nos recursos de nuvem, dispositivos e identidades.

A tabela CloudAuditEvents na busca avançada permite que você investigue e pesquise eventos do painel de controle e crie detecções personalizadas para exibir atividades suspeitas do painel de controle do Azure Resource Manager e Kubernetes (KubeAudit).  

A tabela CloudProcessEvents na busca avançada permite que você faça triagem, investigação e criação de detecções personalizadas para atividades suspeitas que são invocadas em sua infraestrutura de nuvem com informações que incluem detalhes sobre os detalhes do processo.   

Clientes do Microsoft Sentinel

Se você for um cliente do Microsoft Sentinel que integrou a plataforma SecOps (operações de segurança unificada) da Microsoft, os alertas do Defender para Nuvem já serão ingeridos diretamente no Defender XDR. Para se beneficiar do conteúdo de segurança interno, instale a solução do Microsoft Defender para Nuvem do Hub de Conteúdo do Microsoft Sentinel.

Os clientes do Microsoft Sentinel que não estão usando a plataforma SecOps unificada da Microsoft também podem se beneficiar da integração do Defender para Nuvem com o Microsoft 365 Defender em seus workspaces usando o conector de incidentes e alertas do Microsoft 365 Defender.

Primeiro, você precisa habilitar a integração de incidentes no conector do Microsoft 365 Defender.

Em seguida, habilite o conector de dados do Microsoft Defender para Nuvem (versão prévia) baseado em locatário para sincronizar suas assinaturas com seus incidentes do Defender para Nuvem baseados em locatário para transmitir por meio do conector de incidentes do Microsoft 365 Defender.

O conector de dados do Microsoft Defender para Nuvem (versão prévia) baseado em locatário está disponível por meio da solução do Microsoft Defender para Nuvem, versão 3.0.0, do Hub de Conteúdo do Microsoft Sentinel. Se você tiver uma versão anterior dessa solução, recomendamos que você atualize a versão da solução. Se você ainda tiver o conector de dados do Microsoft Defender para Nuvem (Herdado) baseado em assinatura habilitado, recomendamos que você desconecte o conector para evitar a duplicação de alertas em seus logs.

Também recomendamos que você desabilite todas as regras de análise que criem incidentes diretamente de seus alertas do Microsoft Defender para Nuvem. Use as regras de automação do Microsoft Sentinel para fechar incidentes imediatamente e impedir que tipos específicos de alertas do Defender para Nuvem se tornem incidentes ou use os recursos de ajuste internos no portal do Microsoft Defender para impedir que os alertas se tornem incidentes.

Se você integrou seus incidentes do Microsoft 365 Defender ao Microsoft Sentinel e deseja manter suas configurações baseadas em assinatura e evitar a sincronização baseada em locatário pode recusar a sincronização de incidentes e alertas usando o conector do Microsoft 365 Defender.

Para saber mais, veja:

Alertas de segurança – um guia de referência