Прием оповещений Microsoft Defender для облака в Microsoft Sentinel

интегрированные средства защиты облачных рабочих нагрузок Microsoft Defender для облака позволяют обнаруживать и быстро реагировать на угрозы в гибридных и многооблачных рабочих нагрузках. Соединитель Microsoft Defender для облака позволяет получать оповещения системы безопасности из Defender для облака в Microsoft Sentinel, чтобы просматривать, анализировать и реагировать на оповещения Defender, а также инциденты, которые они создают, в более широком контексте угроз организации.

Microsoft Defender для облака планы Defender включены для каждой подписки. Хотя устаревший соединитель Microsoft Sentinel для приложений Defender для облака также настроен для каждой подписки, соединитель Microsoft Defender для облака на основе клиента в предварительной версии позволяет собирать оповещения Defender для облака по всему клиенту без необходимости включать каждый из них. подписка отдельно. Соединитель на основе клиента также работает с интеграцией Defender для облака с XDR в Microsoft Defender, чтобы убедиться, что все Defender для облака оповещения полностью включены в любые инциденты, которые вы получаете через интеграцию инцидентов XDR в Microsoft Defender.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Синхронизация оповещений

• При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности, принимаемых в Microsoft Sentinel, синхронизируется между этими двумя службами. Например, если оповещение закрывается в Defender для облака, оно также отображается как закрытое в Microsoft Sentinel.

• Изменение состояния оповещения в Defender для облака не приведет к изменению состояния содержащих его инцидентов Microsoft Sentinel (меняется только состояние самого оповещения).

Двунаправленная синхронизация оповещений

При включении двунаправленной синхронизации будет автоматически выполнена синхронизация состояния исходных оповещений безопасности с инцидентами Microsoft Sentinel, содержащими эти оповещения. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещения системы безопасности, соответствующее исходное оповещение будет автоматически закрыто в Microsoft Defender для облака.

Необходимые компоненты

• У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.

• У вас должна быть роль участника или владельца подписки, которую вы хотите подключить к Microsoft Sentinel.

• Для каждой подписки, для которой нужно включить соединитель, потребуется по меньшей мере один план в Microsoft Defender для облака. Чтобы включить планы Microsoft Defender в подписке, вы должны иметь роль Администратор безопасности для нее.

• Вам потребуется SecurityInsights , чтобы поставщик ресурсов был зарегистрирован для каждой подписки, в которой требуется включить соединитель. Ознакомьтесь с рекомендациями по состоянию регистрации поставщика ресурсов и способам его регистрации.

• Чтобы включить двунаправленную синхронизацию, вы должны иметь роль Участник или Администратор безопасности в соответствующей подписке.

• Установите решение для Microsoft Defender для облака из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

Подключение к Microsoft Defender для облака

1. После установки решения в Microsoft Sentinel выберите соединители данных конфигурации>.

2. На странице соединителей данных выберите Microsoft Defender для облака на основе подписки (устаревшая версия) или соединитель Microsoft Defender для облака (предварительная версия) на основе клиента, а затем выберите страницу "Открыть соединитель".

3. В разделе Конфигурация вы увидите список подписок в клиенте и состояние их подключения к Microsoft Defender для облака. Выберите переключатель Состояние рядом с каждой подпиской, чьи оповещения требуется передать в Microsoft Sentinel в потоковом режиме. Если вы хотите подключить сразу несколько подписок, это можно сделать, установив флажки рядом с соответствующими подписками, а затем нажав кнопку Подключить на панели над списком.

   • Флажки и переключатели подключения активны только в подписках, для которых у вас есть необходимые разрешения.
   • Кнопка "Подключить " активна только в том случае, если установлен флажок хотя бы одной подписки.

4. Чтобы включить двунаправленную синхронизацию для подписки, найдите эту подписку в списке и затем выберите Enabled (Включено) в раскрывающемся списке в столбце Bi-directional sync (Двунаправленная синхронизация). Чтобы включить двунаправленную синхронизацию для нескольких подписок одновременно, установите их флажки и нажмите кнопку Enable bi-directional sync (Включить двунаправленную синхронизацию) на панели над списком.

   • Флажки и раскрывающиеся списки будут активны только для подписок, на которые у вас есть необходимые разрешения.
   • Кнопка Enable bi-directional sync (Включить двунаправленную синхронизацию) будет активна только в том случае, если установлен флажок по крайней мере одной подписки.

5. В столбце Microsoft Defender plans (Планы Microsoft Defender) списка можно узнать, включены ли планы Microsoft Defender для вашей подписки (необходимое условие для активации соединителя).

   Значение каждой подписки в этом столбце является пустым (т. е. не включены планы Defender), все включено или включено. Те, которые говорят, что некоторые включены также имеют ссылку "Включить все", которую можно выбрать, вы перейдете на панель мониторинга конфигурации Microsoft Defender для облака для этой подписки, где можно выбрать планы Defender для включения.

   Кнопка ссылки Enable Microsoft Defender for all subscriptions (Включить Microsoft Defender для всех подписок) на панели выше позволяет перейти на страницу начала работы с Microsoft Defender для облака, где можно выбрать подписки для включения Microsoft Defender для облака. Например:

   

6. Вы можете выбрать, будут ли оповещения из Microsoft Defender для облака автоматически создавать инциденты в Microsoft Sentinel. В разделе Create incidents (Создание инцидентов) выберите Включено, чтобы включить правило аналитики по умолчанию, которое автоматически создает инциденты на основе оповещений. Позднее это правило можно будет изменить в разделе Analytics (Аналитика) на вкладке Активные правила (Active rules).

   Совет

   При выборе настраиваемых правил аналитики для оповещений из Microsoft Defender для облака учитывайте серьезность предупреждения, чтобы избежать открытия инцидентов для информационных оповещений.

   Информационные оповещения в Microsoft Defender для облака сами по себе не представляют угрозу безопасности и важны только в контексте существующего открытого инцидента. Подробную информацию см. в статье Оповещения и инциденты, связанные с безопасностью, в Microsoft Defender для облака.

Проверка и анализ данных

Примечание.

Синхронизация оповещений в обоих направлениях может занять несколько минут. Изменения состояния оповещений могут отображаться не сразу.

• Оповещения по безопасности хранятся в таблице SecurityAlert в рабочей области Log Analytics.

• Чтобы запросить оповещения по безопасности в Log Analytics, в качестве отправной точки скопируйте в окно запроса следующее:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• См. вкладку Дальнейшие действия на странице соединителя для ознакомления с полезными примерами запросов, шаблонами правил аналитики и рекомендуемыми книгами.

Следующие шаги

В этом документе описано, как подключить Microsoft Defender для облака к Microsoft Sentinel и синхронизировать оповещения между ними. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
• Создавайте собственные правила для обнаружения угроз.