Alertas e incidentes no Microsoft Defender XDR
O Microsoft Defender for Cloud agora está integrado ao Microsoft Defender XDR. Essa integração permite que as equipes de segurança acessem alertas e incidentes do Defender for Cloud no Portal do Microsoft Defender. Essa integração fornece um contexto mais rico para investigações que abrangem recursos, dispositivos e identidades na nuvem.
A parceria com o Microsoft Defender XDR permite que as equipes de segurança obtenham a imagem completa de um ataque, incluindo eventos suspeitos e mal-intencionados que acontecem em seu ambiente de nuvem. As equipas de segurança podem atingir este objetivo através de correlações imediatas de alertas e incidentes.
O Microsoft Defender XDR oferece uma solução abrangente que combina recursos de proteção, deteção, investigação e resposta. A solução protege contra ataques a dispositivos, e-mail, colaboração, identidade e aplicativos na nuvem. Nossos recursos de deteção e investigação agora são estendidos a entidades na nuvem, oferecendo às equipes de operações de segurança um único painel de vidro para melhorar significativamente sua eficiência operacional.
Incidentes e alertas agora fazem parte da API pública do Microsoft Defender XDR. Esta integração permite exportar dados de alertas de segurança para qualquer sistema usando uma única API. Como Microsoft Defender for Cloud, estamos comprometidos em fornecer aos nossos usuários as melhores soluções de segurança possíveis, e essa integração é um passo significativo para alcançar esse objetivo.
Experiência de investigação no Microsoft Defender XDR
A tabela a seguir descreve a experiência de deteção e investigação no Microsoft Defender XDR com alertas do Defender for Cloud.
| Área | Description |
|---|---|
| Incidentes | Todos os incidentes do Defender for Cloud são integrados ao Microsoft Defender XDR. - A pesquisa de ativos de recursos de nuvem na fila de incidentes é suportada. - O gráfico da história de ataque mostra o recurso da nuvem. - A guia ativos em uma página de incidente mostra o recurso de nuvem. - Cada máquina virtual tem sua própria página de entidade contendo todos os alertas e atividades relacionados. Não há duplicações de incidentes de outras cargas de trabalho do Defender. |
| Alertas | Todos os alertas do Defender for Cloud, incluindo alertas multicloud, internos e externos, são integrados ao Microsoft Defender XDR. Os alertas do Defenders for Cloud são exibidos na fila de alertas do Microsoft Defender XDR. Microsoft Defender XDR O cloud resource ativo aparece na guia Ativo de um alerta. Os recursos são claramente identificados como um recurso do Azure, da Amazon ou do Google Cloud. Os alertas do Defenders for Cloud são automaticamente associados a um inquilino. Não há duplicações de alertas de outras cargas de trabalho do Defender. |
| Correlação de alertas e incidentes | Alertas e incidentes são correlacionados automaticamente, fornecendo contexto robusto para que as equipes de operações de segurança entendam a história completa de ataque em seu ambiente de nuvem. |
| Deteção de ameaças | Correspondência precisa de entidades virtuais com entidades de dispositivo para garantir precisão e deteção eficaz de ameaças. |
| API unificada | Os alertas e incidentes do Defender for Cloud agora estão incluídos na API pública do Microsoft Defender XDR, permitindo que os clientes exportem seus dados de alertas de segurança para outros sistemas usando uma API. |
Saiba mais sobre como lidar com alertas no Microsoft Defender XDR.
Caça avançada em XDR
Os recursos avançados de caça do Microsoft Defender XDR são estendidos para incluir alertas e incidentes do Defender for Cloud. Essa integração permite que as equipes de segurança busquem todos os seus recursos, dispositivos e identidades na nuvem em uma única consulta.
A experiência avançada de caça no Microsoft Defender XDR foi projetada para fornecer às equipes de segurança a flexibilidade de criar consultas personalizadas para caçar ameaças em seu ambiente. A integração com alertas e incidentes do Defender for Cloud permite que as equipes de segurança busquem ameaças em seus recursos, dispositivos e identidades na nuvem.
A tabela CloudAuditEvents na caça avançada permite investigar e caçar eventos do plano de controle e criar deteções personalizadas para exibir atividades suspeitas do plano de controle do Azure Resource Manager e do Kubernetes (KubeAudit).
A tabela CloudProcessEvents em busca avançada permite triar, investigar e criar deteções personalizadas para atividades suspeitas que são invocadas em sua infraestrutura de nuvem com informações que incluem detalhes sobre os detalhes do processo.
Clientes do Microsoft Sentinel
Se você for um cliente do Microsoft Sentinel que tenha integrado à plataforma de operações de segurança unificada (SecOps) da Microsoft, os alertas do Defender for Cloud já serão ingeridos diretamente no Defender XDR. Para beneficiar do conteúdo de segurança incorporado, certifique-se de que instala a solução Microsoft Defender for Cloud a partir do hub de conteúdo do Microsoft Sentinel.
Os clientes do Microsoft Sentinel que não estão usando a plataforma unificada SecOps da Microsoft também podem se beneficiar da integração do Defender for Cloud com o Microsoft 365 Defender em seus espaços de trabalho usando o conector de incidentes e alertas do Microsoft 365 Defender.
Primeiro, você precisa habilitar a integração de incidentes no conector do Microsoft 365 Defender.
Em seguida, habilite o conector de dados do Microsoft Defender for Cloud (Visualização) baseado em locatário para sincronizar suas assinaturas com os incidentes do Defender for Cloud baseados em locatário para transmitir através do conector de incidentes do Microsoft 365 Defender.
O conector de dados do Microsoft Defender for Cloud (Preview) baseado em locatário está disponível por meio da solução Microsoft Defender for Cloud, versão 3.0.0, no hub de conteúdo do Microsoft Sentinel. Se tiver uma versão anterior desta solução, recomendamos que atualize a versão da solução. Se você ainda tiver o conector de dados baseado em assinatura do Microsoft Defender for Cloud (Legacy) habilitado, recomendamos desconectar o conector para evitar a duplicação de alertas em seus logs.
Também recomendamos que você desabilite todas as regras de análise que criem incidentes diretamente dos alertas do Microsoft Defender for Cloud. Use as regras de automação do Microsoft Sentinel para fechar incidentes imediatamente e evitar que tipos específicos de alertas do Defender for Cloud se tornem incidentes, ou use os recursos de ajuste internos no portal do Microsoft Defender para evitar que os alertas se tornem incidentes.
Se você integrou seus incidentes do Microsoft 365 Defender no Microsoft Sentinel e deseja manter suas configurações baseadas em assinatura e evitar a sincronização baseada em locatário, pode optar por não sincronizar incidentes e alertas usando o conector do Microsoft 365 Defender.
Para obter mais informações, consulte:
- Descubra e gerencie conteúdo pronto para uso do Microsoft Sentinel
- Ingerir incidentes do Microsoft Defender for Cloud com integração com o Microsoft Defender XDR
- Segurança de dados do Microsoft Defender for Cloud.