Оповещения и инциденты в XDR в Microsoft Defender
Microsoft Defender для облака теперь интегрирован с XDR в Microsoft Defender. Эта интеграция позволяет группам безопасности получать доступ к оповещениям и инцидентам Defender для облака на портале Microsoft Defender. Эта интеграция обеспечивает более широкий контекст для исследований, охватывающих облачные ресурсы, устройства и удостоверения.
Партнерство с Microsoft Defender XDR позволяет группам безопасности получить полную картину атаки, включая подозрительные и вредоносные события, которые происходят в облачной среде. Группы безопасности могут достичь этой цели путем немедленной корреляции оповещений и инцидентов.
XDR в Microsoft Defender предлагает комплексное решение, которое объединяет возможности защиты, обнаружения, исследования и реагирования. Решение защищает от атак на устройства, электронную почту, совместную работу, удостоверение и облачные приложения. Наши возможности обнаружения и исследования теперь расширены для облачных сущностей, предлагая группам по операциям безопасности одну панель стекла, чтобы значительно повысить эффективность работы.
Инциденты и оповещения теперь являются частью общедоступного API XDR в Microsoft Defender. Эта интеграция позволяет экспортировать данные оповещений системы безопасности в любую систему с помощью одного API. Как Microsoft Defender для облака, мы стремимся предоставить нашим пользователям лучшие решения для обеспечения безопасности, и эта интеграция является значительным шагом к достижению этой цели.
Опыт исследования в XDR в Microsoft Defender
В следующей таблице описывается процесс обнаружения и исследования в XDR в Microsoft Defender с Defender для облака оповещениями.
| Область | Description |
|---|---|
| Инциденты | Все инциденты Defender для облака интегрированы в XDR в Microsoft Defender. — Поддерживается поиск ресурсов облачных ресурсов в очереди инцидентов. — Граф истории атаки показывает облачный ресурс. — На вкладке "Ресурсы" на странице инцидента отображается облачный ресурс. — Каждая виртуальная машина имеет собственную страницу сущности, содержащую все связанные оповещения и действия. Не существует дублирования инцидентов из других рабочих нагрузок Defender. |
| видны узлы | Все оповещения Defender для облака, включая многооблачные, внутренние и внешние поставщики, интегрированы в XDR в Microsoft Defender. Оповещения Defenders for Cloud отображаются в очереди оповещений XDR в Microsoft Defender. Microsoft Defender XDR Ресурс cloud resource отображается на вкладке "Ресурс" оповещения. Ресурсы четко определены как ресурс Azure, Amazon или Google Cloud. Оповещения Defenders for Cloud автоматически связываются с клиентом. Не существует дублирования оповещений из других рабочих нагрузок Defender. |
| Корреляция оповещений и инцидентов | Оповещения и инциденты автоматически сопоставляются, предоставляя надежный контекст группам по операциям безопасности, чтобы понять полную историю атаки в облачной среде. |
| Обнаружение угроз | Точное сопоставление виртуальных сущностей с сущностями устройств для обеспечения точности и эффективного обнаружения угроз. |
| Unified API | Defender для облака оповещения и инциденты теперь включены в Общедоступный API XDR в Microsoft Defender, позволяющий клиентам экспортировать данные оповещений системы безопасности в другие системы с помощью одного API. |
Дополнительные сведения об обработке оповещений в XDR в Microsoft Defender.
Расширенная охота в XDR
Расширенные возможности поиска XDR в Microsoft Defender расширены для включения Defender для облака оповещений и инцидентов. Эта интеграция позволяет группам безопасности охотиться на все облачные ресурсы, устройства и удостоверения в одном запросе.
Расширенный интерфейс охоты в XDR в Microsoft Defender предназначен для предоставления группам безопасности гибкости для создания пользовательских запросов для поиска угроз в их среде. Интеграция с оповещениями и инцидентами Defender для облака позволяет группам безопасности охотиться на угрозы в облачных ресурсах, устройствах и удостоверениях.
Таблица CloudAuditEvents в расширенной охоте позволяет исследовать и охотиться с помощью событий плоскости управления и создавать пользовательские обнаружения для обнаружения подозрительных действий уровня управления Azure Resource Manager и Kubernetes (KubeAudit).
Таблица CloudProcessEvents в расширенной охоте позволяет анализировать, исследовать и создавать пользовательские обнаружения подозрительных действий, которые вызываются в облачной инфраструктуре с информацией, которая содержит сведения о процессе.
Клиенты Microsoft Sentinel
Если вы являетесь клиентом Microsoft Sentinel, который подключен к платформе унифицированных операций безопасности Майкрософт (SecOps), Defender для облака оповещения уже получаются непосредственно в XDR Defender. Чтобы воспользоваться встроенным содержимым безопасности, обязательно установите решение Microsoft Defender для облака из центра содержимого Microsoft Sentinel.
Клиенты Microsoft Sentinel, которые не используют единую платформу SecOps Майкрософт, также могут воспользоваться интеграцией Defender для облака с Microsoft 365 Defender в своих рабочих областях с помощью соединителя инцидентов и оповещений Microsoft 365 Defender.
Сначала необходимо включить интеграцию инцидентов в соединителе Microsoft 365 Defender.
Затем включите соединитель данных на основе клиента Microsoft Defender для облака (предварительная версия) для синхронизации подписок с инцидентами на основе клиента Defender для облака для потоковой передачи через соединитель инцидентов Microsoft 365 Defender.
Соединитель данных на основе клиента Microsoft Defender для облака (предварительная версия) доступен через решение Microsoft Defender для облака версии 3.0.0 из центра содержимого Microsoft Sentinel. Если у вас есть более ранняя версия этого решения, рекомендуется обновить версию решения. Если у вас по-прежнему включен соединитель данных на основе подписки Microsoft Defender для облака (устаревшая версия), рекомендуется отключить соединитель, чтобы предотвратить дублирование оповещений в журналах.
Мы также рекомендуем отключить все правила аналитики, которые создают инциденты из оповещений Microsoft Defender для облака напрямую. Используйте правила автоматизации Microsoft Sentinel для немедленного закрытия инцидентов и предотвращения возникновения инцидентов определенных типов оповещений Defender для облака или использования встроенных возможностей настройки на портале Microsoft Defender для предотвращения возникновения инцидентов.
Если вы интегрировали инциденты Microsoft 365 Defender в Microsoft Sentinel и хотите сохранить параметры на основе подписки и избежать синхронизации на основе клиента может отказаться от синхронизации инцидентов и оповещений с помощью соединителя Microsoft 365 Defender.
Дополнительные сведения см. в разделе:
- Обнаружение содержимого Microsoft Sentinel и управление ими
- Прием инцидентов Microsoft Defender для облака с интеграцией XDR в Microsoft Defender
- Microsoft Defender для облака безопасность данных.