Microsoft Defender para a Cloud no portal do Microsoft Defender
Aplica-se a:
As equipas de segurança que utilizam o Microsoft Defender para a Cloud podem agora ver alertas e incidentes do Defender para a Cloud no portal do Microsoft Defender. Isto ajuda as equipas de segurança a obter contexto mais avançado para investigações que incluem cargas de trabalho na cloud. Além disso, as equipas de segurança podem obter a imagem completa de um ataque, incluindo eventos suspeitos e maliciosos que ocorrem no seu ambiente na cloud, através de correlações imediatas de alertas e incidentes.
O portal Microsoft Defender combina capacidades de proteção, deteção, investigação e resposta para proteger ataques em aplicações de dispositivo, e-mail, colaboração, identidade e cloud. As capacidades de deteção e investigação do portal são agora expandidas para entidades na cloud, oferecendo às equipas de operações de segurança um único painel de vidro para melhorar significativamente a eficiência operacional.
Além disso, os alertas e incidentes do Defender para a Cloud fazem agora parte da API pública do Microsoft Defender XDR. Esta integração permite a exportação de dados de alertas de segurança para qualquer sistema através de uma única API.
Pré-requisito
Para garantir o acesso aos alertas do Defender para a Cloud no portal do Microsoft Defender, tem de subscrever qualquer um dos planos listados em Ligar as suas subscrições do Azure.
Permissões obrigatórias
Observação
A permissão para ver alertas e correlações do Defender para a Cloud é automática para todo o inquilino. A visualização de subscrições específicas não é suportada. Pode utilizar o filtro de ID da subscrição de alerta para ver os alertas do Defender para a Cloud associados a uma subscrição específica do Defender para Cloud nas filas de alertas e incidentes. Saiba mais sobre filtros.
A integração só está disponível ao aplicar a função de controlo de acesso baseado em funções (RBAC) unificada Microsoft Defender XDR adequada para o Defender para a Cloud. Para ver os alertas e correlações do Defender para a Cloud sem Defender XDR RBAC Unificado, tem de ser Administrador Global ou Administrador de Segurança no Azure Active Directory.
Importante
O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários em que não pode utilizar uma função existente. A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização.
Experiência de investigação no portal do Microsoft Defender
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
A secção seguinte descreve a experiência de deteção e investigação no portal Microsoft Defender com alertas do Defender para a Cloud.
| Área | Descrição |
|---|---|
| Incidentes | Todos os incidentes do Defender para Cloud serão integrados no portal do Microsoft Defender.
- A pesquisa de recursos da cloud na fila de incidentes é suportada. - O gráfico do bloco de ataque mostrará o recurso da cloud. - O separador recursos numa página de incidente mostrará o recurso da cloud. - Cada máquina virtual tem a sua própria página de dispositivo que contém todos os alertas e atividades relacionados. Não haverá duplicação de incidentes de outras cargas de trabalho do Defender. |
| Alertas | Todos os alertas do Defender para a Cloud, incluindo alertas de fornecedores externos, internos e multi cloud, serão integrados no portal Microsoft Defender. Os alertas do Defender para a Cloud serão apresentados na fila de alertas do portal do Microsoft Defender.
O recurso de recurso da cloud será apresentado no separador Recurso de um alerta. Os recursos são claramente identificados como um recurso do Azure, Amazon ou Google Cloud. Os alertas do Defender para a Cloud serão automaticamente associados a um inquilino. Não haverá duplicação de alertas de outras cargas de trabalho do Defender. |
| Correlação de alertas e incidentes | Os alertas e incidentes são automaticamente correlacionados, proporcionando um contexto robusto às equipas de operações de segurança para compreender a história completa do ataque no respetivo ambiente na cloud. |
| Detecção de ameaças | Correspondência precisa de entidades virtuais com entidades de dispositivos para garantir a precisão e a deteção eficaz de ameaças. |
| API Unificada | Os alertas e incidentes do Defender para a Cloud estão agora incluídos na API pública do Microsoft Defender XDR, permitindo que os clientes exportem os respetivos dados de alertas de segurança para outros sistemas com uma API. |
| Investigação avançada (Pré-visualização) | As informações sobre eventos de auditoria na cloud para várias plataformas na cloud protegidas pelo Defender para a Cloud da organização estão disponíveis através da tabela CloudAuditEvents na investigação avançada. |
Observação
Os alertas informativos do Defender para a Cloud não estão integrados no portal do Microsoft Defender para permitir o foco nos alertas de gravidade relevantes e de alta gravidade. Esta estratégia simplifica a gestão de incidentes e reduz a fadiga dos alertas.
Impacto para Microsoft Sentinel utilizadores
Microsoft Sentinel clientes que integram Microsoft Defender XDR incidentese ingerem alertas do Defender para a Cloud são necessários para fazer as seguintes alterações de configuração para garantir que não são criados alertas e incidentes duplicados:
- Ligue o conector Microsoft Defender baseado no inquilino para a Cloud (Pré-visualização) para sincronizar a coleção de alertas de todas as suas subscrições com incidentes do Defender para Cloud baseados no inquilino que estão a ser transmitidos através do conector incidentes do Microsoft Defender XDR.
- Desligue o conector de alertas do Microsoft Defender baseado na subscrição para a Cloud (Legado) para impedir duplicados de alertas.
- Desative quaisquer regras de análise ( agendadas (tipo de consulta regular) ou regras de segurança da Microsoft (criação de incidentes) — utilizadas para criar incidentes a partir de alertas do Defender para a Cloud. Os Incidentes do Defender para Cloud são criados automaticamente no portal do Defender e sincronizados com Microsoft Sentinel.
- Se necessário, utilize regras de automatização para fechar incidentes ruidosos ou utilize as capacidades de otimização incorporadas no portal do Defender para suprimir determinados alertas.
A seguinte alteração também deve ser notada:
- A ação para relacionar alertas com os incidentes do portal do Microsoft Defender é removida.
Saiba mais em Ingerir Microsoft Defender para incidentes na Cloud com integração Microsoft Defender XDR.
Desativar alertas do Defender para a Cloud
Os alertas do Defender para Cloud estão ativados por predefinição. Para manter as definições baseadas na subscrição e evitar a sincronização baseada no inquilino ou optar ativamente por não participar na experiência, execute os seguintes passos:
- No portal Microsoft Defender, aceda a Definições>Microsoft Defender XDR.
- Nas definições do Serviço de alertas, procure Microsoft Defender para alertas da Cloud.
- Selecione Sem alertas para desativar todos os alertas do Defender para a Cloud. Selecionar esta opção interrompe a ingestão de novos alertas do Defender para a Cloud no portal. Os alertas ingeridos anteriormente permanecem numa página de alerta ou incidente.
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.