Alertas e incidentes no Microsoft Defender XDR
O Microsoft Defender para Nuvem agora está integrado ao Microsoft Defender XDR. Este integração permite que as equipes de segurança acessem alertas e incidentes do Defender para Nuvem no portal do Microsoft Defender. O portal do Microsoft 365 Defender fornece contexto mais avançado para investigações que abrangem recursos de nuvem, dispositivos e identidades.
A parceria com o Microsoft Defender XDR permite que as equipes de segurança obtenham a imagem completa de um ataque, incluindo eventos suspeitos e mal-intencionados que ocorrem em seu ambiente de nuvem. As equipes de segurança podem atingir essa meta por meio de correlações imediatas de alertas e incidentes.
O Microsoft Defender XDR oferece uma solução abrangente que combina recursos de proteção, detecção, investigação e resposta. A solução protege contra ataques a dispositivos, email, colaboração, identidade e aplicativos de nuvem. Nossos recursos de detecção e investigação agora são estendidos para entidades de nuvem, oferecendo às equipes de operações de segurança um único painel transparente para melhorar significativamente sua eficiência operacional.
Incidentes e alertas agora fazem parte da API pública do Microsoft Defender XDR. Essa integração permite exportar dados de alertas de segurança para qualquer sistema usando uma única API. Como Microsoft Defender para Nuvem, estamos empenhados em fornecer aos nossos usuários as melhores soluções de segurança possíveis; essa integração é um passo significativo para alcançar esse objetivo.
Experiência de investigação no Microsoft Defender XDR
A tabela a seguir descreve a experiência de detecção e investigação no Microsoft Defender XDR com alertas do Defender para Nuvem.
Área | Descrição |
---|---|
Incidentes | Todos os incidentes do Defender para Nuvem são integrados ao Microsoft Defender XDR. – Há suporte à pesquisa de ativos de recursos de nuvem na fila de incidentes. - O gráfico de história do ataque mostra o recurso de nuvem. - A guia de ativos em uma página de incidente mostra o recurso de nuvem. - Cada máquina virtual tem sua própria página de entidade contendo todos os alertas e atividades relacionados. Não há duplicações de incidentes de outras cargas de trabalho do Defender. |
Alertas | Todos os alertas do Defender para Nuvem, incluindo alertas de provedores multinuvem, internos e externos, são integrados ao Microsoft Defender XDR. Os alertas do Defender para Nuvem são mostrados na fila de alertas do Microsoft Defender XDR. Microsoft Defender XDR O ativo cloud resource aparece na guia Ativo de um alerta. Os recursos são claramente identificados como um recurso do Azure, da Amazon ou do Google Cloud. Os alertas do Defender para Nuvem são automaticamente associados a um locatário. Não há duplicações de alertas de outras cargas de trabalho do Defender. |
Correlação entre alertas e incidentes | Alertas e incidentes são correlacionados automaticamente e fornecem contexto robusto às equipes de operações de segurança para poderem entender a história completa do ataque em seu ambiente de nuvem. |
Detecção de ameaças | Correspondência precisa entre entidades virtuais e entidades de dispositivo para garantir a precisão e a detecção efetiva de ameaças. |
API Unificada | Os alertas e incidentes do Defender para Nuvem agora estão incluídos na API pública do Microsoft Defender XDR, o que permite que os clientes exportem os dados de alertas de segurança para outros sistemas por meio de uma API. |
Saiba mais sobre como lidar com alertas no Microsoft Defender XDR.
Busca avançada em XDR
Os recursos de busca avançada do Microsoft Defender XDR são estendidos para incluir alertas e incidentes do Defender para Nuvem. Essa integração permite que as equipes de segurança procurem todos os recursos de nuvem, dispositivos e identidades em uma única consulta.
A experiência de busca avançada no Microsoft Defender XDR foi criada para fornecer às equipes de segurança a flexibilidade de criar consultas personalizadas para buscar ameaças no ambiente. A integração com alertas e incidentes do Defender para Nuvem permite que as equipes de segurança procurem ameaças nos recursos de nuvem, dispositivos e identidades.
A tabela CloudAuditEvents na busca avançada permite que você pesquise eventos de auditoria de nuvem no Microsoft Defender para Nuvem e crie detecções personalizadas para exibir atividades suspeitas do painel de controle do Azure Resource Manager e kubernetes (KubeAudit).
Clientes do Sentinel
Os clientes do Microsoft Sentinel podem se beneficiar da integração do Defender para Nuvem com o Microsoft 365 Defender em seus workspaces usando o conector de alertas e incidentes do Microsoft 365 Defender.
Primeiro você precisa ter habilitado a integração de incidentes no conector do Microsoft 365 Defender.
Em seguida, habilite o conector Tenant-based Microsoft Defender for Cloud (Preview)
para sincronizar as assinaturas com seus incidentes do Defender para Nuvem baseados em locatário para transmitir por meio do conector de incidentes do Microsoft 365 Defender.
O conector está disponível por meio da solução do Microsoft Defender para Nuvem, versão 3.0.0, no Hub de Conteúdo. Se você tiver uma versão anterior dessa solução, poderá atualizá-la no Hub de Conteúdo.
Se o conector de alertas do Microsoft Defender para Nuvem baseado em assinatura herdado estiver habilitado (que é exibido como Subscription-based Microsoft Defender for Cloud (Legacy)
), recomendamos que você desconecte o conector para evitar a duplicação de alertas em seus logs.
Recomendamos desabilitar regras de análise habilitadas (agendadas ou por meio de regras de criação da Microsoft) na criação de incidentes de seus alertas do Defender para Nuvem.
Você pode usar regras de automação para fechar incidentes imediatamente e impedir que tipos específicos de alertas do Defender para Nuvem se tornem incidentes. Você também pode usar os recursos de ajuste internos no portal do Microsoft 365 Defender para impedir que os alertas se tornem incidentes.
Os clientes que integraram seus incidentes do Microsoft 365 Defender ao Sentinel e desejam manter suas configurações baseadas em assinatura e evitar a sincronização baseada em locatário podem recusar a sincronização de incidentes e alertas por meio do conector do Microsoft 365 Defender.
Saiba como o Defender para Nuvem e o Microsoft 365 Defender lidam com a privacidade de seus dados.